none
Problemas com Broadcast e Firewall Client no Isa Server 2006. RRS feed

  • Pergunta

  • Prezados, boa noite!

    Estou com um problema e gostaria de saber se alguem pode me dar uma força. Meu ambiente é o seguinte:

    2 - Servidores Fisicos Win Server 2003 SP2 R2 Enterprise com Isa Server 2006 Enterprise SP1 rodando com NLB.
    2 - Servidores Virtuais com Win Server 2003 SP2 R2 Enterprise com Isa Server 2006 Enterprise SP1, rodando os CSS do Array.

    O problema é o seguinte, todas as maquinas que estão na minha rede local com Firewall Client e precisão baixar algum conteúdo de algum servidor Web que está no mesmo barramento de rede, estão saturando meus Switch e deixando a rede toda lenta.

    Eu já efetuei alguns testes e verifiquei que isso acontece apenas com maquinas que utilizam o Firewall Client, em maquinas sem FC a comunicação funciona da forma correta. Todo o trafego que chega ao servidor Web vem com o IP do Client e não do Isa, coisa que não acontece com o Firewall Client instalado, as requisições ao servidor Web são feitas pelo ISA Server, mesmo o servidor e o cliente estando no mesmo barramento de rede e por algum motivo, que ainda não identifiquei ele gera gargalos em todos as interfaces dos meus Switchs como se estivesse enviando broadcast com o conteúdo a ser baixado em todas as portas.

    Bom, caso alguem tenha alguma idéia do que possa estar acontecendo nesse ambiente ficarei muito grato.

    Gostaria também levantar uma outra discussão que escuto muito por ai... Usar ou não o Firewall Client do Isa Server, alguem poderia me passar uma lista com os prós e contras desse cliente, para que eu possa pesar e decidir se devo ou não continuar utilizando?

    Grato,




    William
    quarta-feira, 17 de fevereiro de 2010 20:54

Respostas

  • Na verdade eu já efetuei esse procedimento em outro ambiente que possui... Aqui, por enquanto estou apenas lendo a respeito, pois não tenho toda certeza que ira resolver meus problemas e como esse ambiente está em produção, preciso ter máxima atenção!

    Estou avaliando as possibilidades... Porque, acha que isso resolve o problema de broadcast?



    William
    • Marcado como Resposta William Rogério quarta-feira, 1 de setembro de 2010 10:51
    segunda-feira, 22 de fevereiro de 2010 17:43

Todas as Respostas

  • William,

    Que doidera..
    Vc tem configurado para fazer bypass dos servidores internos?

    Sobre a utilizaçao doFC, eu particularmente não utilizo, somente quando existem aplicaçoes SOCKS.
    Com o restante, FTP, SMTP, POP qu esao normalmente a causa da instalaçao do FC ou até mesmo configuraçao automatica do proxy nos navegadores, vc consegue solucionar com uma GPO e regras no ISA.

    Se vc não tiver aplicaçoes SOCKS rodando nos clientes, acredito que valha a pena pensar na implmentaçao de uma GPO ou at[e mesmo o automatic discovery (http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=12) para atribuiçao automatica do proxy e configurar as regras certinho para os protocolos que vc utiliza...

    Forte abraço.
    Espero ter ajudado
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 19 de fevereiro de 2010 11:18
    Moderador
  • Luiz... Bota doideira nisso!

    Cara, eu andei monitorando as portas dos meus Switch no Cacti e por incrível que pareça, maquinas e servidores diferentes estão com os gráficos idênticos... É como se o Isa enviasse um Broadcast de tudo que está fazendo para todos os clientes...

    Eu estou com a configuração de Bypass ativado, ativei também a opção de "Domains e Directly Access these Servers or Domains" e coloquei o range de IPs da minha rede interna, mesmo assim quando monitoro um servidor Web Apache, consigo enxergar nos Logs que as requisições que faço está partindo do ISA e não do próprio cliente.

    Bom, além do Firewall Cliente, estou utilizando SecureNAT, pois do Default Gateway das maquinas é a VIP do NLB do ISA, além do Web Proxy estar habilitado na interface interna.

    Eu verifiquei também os Switch e percebi que na tabela ARP deles, os IPs dos Isa estão com o mesmo endereço MAC, algo que pelo que sei é comum nas configurações de NLB.

    10.1.1.40        02bf-0a01-0128  1        GigabitEthernet1/0/19  16        D

    10.1.1.41        02bf-0a01-0128  1        GigabitEthernet1/0/40  20        D

    10.1.1.42        02bf-0a01-0128  1        GigabitEthernet1/0/35  20        D

    10.1.1.43        000c-2906-0f12  1        GigabitEthernet1/0/5   18        D

    10.1.1.44        000c-2915-261c  1        GigabitEthernet1/0/5   19        D

     

    Outra informação importante é que meus servidores Web não utilizam o Isa como Default Gateway, apesar de estarem no mesmo barramento de rede. Será que isso pode estar gerando algum problema devido eu utilizar o SecureNAT nas estações.

     

    É isso ai... Continuo na busca da solução e caso alguem tenha alguma luz... Serie bastante grato!

     

    Abraços...

     


    William
    sábado, 20 de fevereiro de 2010 13:25
  • Carambaaaaaa....rsss

    Cara eu não acho que seja o problema do gateway dos servidores web nao, desde que no gateway deles exista rota para conversar com a sua rede interna corretamente.

    A mascara é a mesma para esses servidores?

    Abraços

    OBS: Ja começou as rezas? rsss
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 22 de fevereiro de 2010 15:28
    Moderador
  • Então! 

    Eu também não acredito que tenha a ver com Gateway, eu acredito que seja algo relacionado a trafego NLB unicast do Isa Integrado. Talvez eu precise alterar o modo de NLB para multcast, ou ainda trabalhar com as configurações dos Switchs, tipo, criar VLANs.

    Eu achei interessante esse link que fala a respeito desses problemas, principalmente de flooding, ou inundação da rede com tráfego NLB, broadcast que é exatamente o que está acontecendo aqui.


    Bom, vou analisar com calma esse material e de repente tentar algo nesse sentido e se puderem continuarem me ajudando... Agradeço também!

    Abraços...

    William
    segunda-feira, 22 de fevereiro de 2010 17:37
  • Ja tentou alterar o modo do NLB para o multicast ou só leu a respeito?


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 22 de fevereiro de 2010 17:40
    Moderador
  • Na verdade eu já efetuei esse procedimento em outro ambiente que possui... Aqui, por enquanto estou apenas lendo a respeito, pois não tenho toda certeza que ira resolver meus problemas e como esse ambiente está em produção, preciso ter máxima atenção!

    Estou avaliando as possibilidades... Porque, acha que isso resolve o problema de broadcast?



    William
    • Marcado como Resposta William Rogério quarta-feira, 1 de setembro de 2010 10:51
    segunda-feira, 22 de fevereiro de 2010 17:43
  • Pode ser que sim....

    dificil dar o veredito final mas..
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 22 de fevereiro de 2010 17:58
    Moderador