none
LIMITE DE CONEXIONES RRS feed

  • Pregunta

  • Me aparece una alerta en el isa que dice "se superó el limite de conexiones" y que desconectó el cliente.

    Esto sucede solamente con 6 equipos cliente los cuales unicamente se dedican a escanear documentos con un software especial que graba todas las imagenes en el servidor central que ademas es DC, DNS, DHCP e ISA server.

     Analizando los registros del ISA me doy cuenta que a dichos clientes les aparece hasta 38 conexiones por cada segundo de la siguiente regla de firewall:

    ip destino = 192.168.0.1 (que es el DC, DNS, DHCP e ISA server)

    puerto destino = 88

    protocolo = Kerberos-Sec (UDP)

    accion = "conexion iniciada" y abajo en otra linea aparece "conexion cerrada"

    regla = "permitir todo el trafico de red local"

    red origen = Interna

    red destino = Host local

     

    La regla "permitir todo el trafico de red local" la tengo definida de ultimo y de la siguiente manera:

     accion = permitir

    protocolos = todo el trafico saliente

    de / escucha = "host local" e "interna"

    a = "host local" e "interna"

     

    Que es lo que creen que está sucediendo? Como puedo evitar que el isa me siga desconectando esos clientes? Porque hay tantas conexiones Kerberos-Sec (UDP) por segundo?

    jueves, 1 de febrero de 2007 22:23

Respuestas

  • Hola Anoclon!

    Aca esta la respuesta a tu pregunta... http://www.microsoft.com/technet/isa/2004/plan/connectionlimits.mspx (ingles)

    viernes, 2 de febrero de 2007 12:52
  • El problema es que tienes el DC en el ISA... cada vez que un cliente necesite autenticarse, imprimir, copiar archivos, compartir archivos, etc... Va a ir al ISA que es a su vez tu servidor principal a hacer la conexión kerberos.

    Lo que quiero decir con esto es que es normal no te preocupes por estas conexiones, la única forma de que esto no te ocurra es que saques el isa del DC, DNS, DHCP.

    viernes, 2 de febrero de 2007 17:47
  • El ISA va desconectando las conexiones UDP que no estan haciendo nada para que las nuevas puedan entrar. Pero hay ocaciones en las que el cliente se le va a negar el acceso por exeder el limite.

    Te recomiendo que si no quieres deshabilitar el limite entonces agregues esas maquinas que te estan dando carpeta a la lista de direcciones costumizadas para que no te siga saliendo el error hasta averiguar que software o que servicios corren estas maquinas que se necesitan autenticar tanto en el dominio.

    sábado, 3 de febrero de 2007 2:50

Todas las respuestas

  • Hola Anoclon!

    Aca esta la respuesta a tu pregunta... http://www.microsoft.com/technet/isa/2004/plan/connectionlimits.mspx (ingles)

    viernes, 2 de febrero de 2007 12:52
  • Gracias Cesar, ya solucioné el problema incrementando "limite de conexiones por cliente (TCP y no TCP)" de 160 a 200, pero mi pregunta ahora es, para que sirven las conexiones Kerveros-Sec(udp)? y porque crees que solo unos cuantos equipos de mi red tienen tan elevado ese tipo de protocolo?
    viernes, 2 de febrero de 2007 14:06
  • Hola!

    Kerberos es un protocolo de autenticación de redes de ordenador que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Kerberos evita eavesdropping y ataques de Replay, y garantiza la integridad de datos. De esta manera, proporciona integridad y confidencialidad. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro. (wikipedia)

    Puede ser que estos equipos tengan algun software que esta tratanto de salir a internet o pasar a traves del isa y necesite autenticarse.

    Chequea los computadores si tienen spyware o softwares de bajar cosas del internet...

    Con el monitor del isa verifica que es exactamente lo que hacen estos usuarios para que salgas de dudas.

    viernes, 2 de febrero de 2007 15:13
  • Ya busqué spyware en todos esos clientes y están limpios. Tambien busqué virus y tampoco tienen. Estos clientes no tienen acceso a internet y ya chequé el monitor del isa y como te dije antes, lo unico que me aparece son los protocolos kerberos-sec(udp) pero hasta 38 veces por segundo.
    viernes, 2 de febrero de 2007 16:10
  • El problema es que tienes el DC en el ISA... cada vez que un cliente necesite autenticarse, imprimir, copiar archivos, compartir archivos, etc... Va a ir al ISA que es a su vez tu servidor principal a hacer la conexión kerberos.

    Lo que quiero decir con esto es que es normal no te preocupes por estas conexiones, la única forma de que esto no te ocurra es que saques el isa del DC, DNS, DHCP.

    viernes, 2 de febrero de 2007 17:47
  • Que bien, muchisimas gracias Cesar, te lo agradezco mucho por el comentario anterior.

    Pero fijate que creí que las alertas de limite de conexiones se habian detenido, pero no es asi. Ya voy por:

    conexiones creadas por segundo por regla (no TCP) = 40000

    limite de conexiones por cliente (TCP y no TCP) = 24000

    y aun siguen saliendo las alertas.

    Ahora mi duda es:

    el ISA dice que "desconectó" el cliente con el ip = xxx. Quiere decir esto que el cliente ya no puede conectarse a la red hasta que se reinicie el equipo? Que ya no tiene acceso a los recursos compartidos que le ofrece el server?

    viernes, 2 de febrero de 2007 22:35
  • El ISA va desconectando las conexiones UDP que no estan haciendo nada para que las nuevas puedan entrar. Pero hay ocaciones en las que el cliente se le va a negar el acceso por exeder el limite.

    Te recomiendo que si no quieres deshabilitar el limite entonces agregues esas maquinas que te estan dando carpeta a la lista de direcciones costumizadas para que no te siga saliendo el error hasta averiguar que software o que servicios corren estas maquinas que se necesitan autenticar tanto en el dominio.

    sábado, 3 de febrero de 2007 2:50