none
Proxy Chain Loop RRS feed

  • Pergunta

  • Caros amigos desisto,

    estou com um ISA que frequentemente apresenta o erro de proxy chain loop (event id 14141) (a mensagem completa é: "ISA Server detected a proxy chain loop. There is a problem with the configuration of the ISA Server routing policy."

    - Pesquisei muito (passei o dia com esse problema sem conseguir resolver e agora estou aqui em casa ainda tentando) e pelo que entendi (conheço o ISA não profundamente), esse erro ocorre em alguns casos como:

    - configuração errada da ordem de pesquisa das placas de rede (nas configurações avançadas das conexões de rede);

    Minha ordem estava correta (como sugere a Microsoft, a placa local em 1°);

     

    - Problemas com publicação de web servers que tenham domínio igual a web servers que estejam fora de minha estrutura;

    Este problema eu tenho, tenho um mail server que tem o endereço mail.domínio.com.br/exchange porém este domínio é um domínio que outros webservers hospedados fora de minha rede usam. Pelo que vi quando tenho este  tipo de caso, preciso marcar a opção de "Forward host header" na regra em que publico meu web server, e isso eu fiz agora (tomara que isso seja o meu problema!)

     

    - O ISA não consegue chegar aos web servers internos diretamente;

    Este teste eu fiz (tracert e nslookup) e verifiquei que meu ISA chega normalmente aos meus web servers pelo endereço interno.

     

    Fora isto, verifiquei alguns tipos de problemas com DNS e rotas do ISA que podem ocasionar este problema, mas confesso não ter entedido. Gostaria da ajuda dos especialistas de qual próximo passo posso dar para tentar resolver este problema. Por enquanto minha única solução é reiniciar o servidor toda vez que isto acontece (o problema é que isto está ocorrendo mais ou menos a cada 15 minutos ).

    Se houver mais alguma informação que possa ser útil para ajudar é só pedir, pois o bicho tá ficando feio pro meu lado.

     

    Grato

     

    Nathan

    • Movido Hengzhe Li quinta-feira, 29 de março de 2012 00:11 (De:ISA Server 2004)
    quarta-feira, 13 de setembro de 2006 01:39

Respostas

  • Mario,

    acabei hoje verificando todaa configuração do ISA antigo e comparando com o novo e verifiquei que além do web proxy filter, eu tinha desabilitado (não me lembro o motivo e não documentei) o HTTP e o FTP Filter, e mais alguns detalhezinhos que não afetam nada, mas sabe como é superstição né? Afinal informática é uma ciência "exotérica".

    Depois que fiz essas mudanças deixando o ISA novo idêntico ao antigo não tive mais o problema com chain loop. Agora estou apenas com problemas em um vpn que tenho fechada com um cliente que não está rolando. Amanhã tiro o dia para corrigir isso e vou deixar o ISA funcionando assim por uma semana direto. Depois que constatar que ele não está mais dando problemas vou alterar item a item no ISA para a configuração padrão para identificar quem é o cara que me ferrou e assim consigo diagnosticar melhor o problema.

    A dica acima já está guardada para caso o problema seja desse filtro.

     

    Assim que tiver novidades lhe informo.

     

    E muito obrigado pela ajuda cara.

     

    Abraços

    quinta-feira, 14 de setembro de 2006 01:13

Todas as Respostas

  • Vai em Networks, na aba Web Chaining e veja se nao tem nenhuma regra alem da "Last Default Rule", se tiver delete.
    quarta-feira, 13 de setembro de 2006 02:51
  • Olá Nathan,

    Boa Noite.

    Você esta publicando um servidor web ( da rede interna ), para que usuarios do mundo externo possam acessar, correto ?

    Você disse que o dominio que voce esta tentando publicar ja é usado ?

    Aguardo respostas.

    Abraços.

     

    quarta-feira, 13 de setembro de 2006 03:11
  • Mario,

    lá em Web Chaining tá o padrão (somente last DefaulT Rule), já tinha visto isso antes também. Obrigado pela ajuda, se tiver mais alguma informação que queira saber, é só pedir.

    quarta-feira, 13 de setembro de 2006 11:36
  • Isso Armindo,

    tenho o domínio cesvibrasil.com.br onde o DNS deste cara fica em um provedor (onde tenho a www, por exemplo). E lá no DNS (fora da empresa) tenho alguns endereços que apontam para meu ISA (ex: mail.cesvibrasil.com.br) e no ISA tenho a publicação do meu Exchange com o listener para o ip que o mail.ces... aponta.

    O estranho é que é assim, tenho isso criado em um outro servidor há tempos, e nunca tive esse tipo de problema. E estava fazendo testes em um novo servidor para migrar meu ISA (apenas mudança de hardware) mas ontem o hardware antigo parou e fui obrigado a migrar já para o novo, então já tinha todas as regras (iguais a do servidor anterior) criadas, e foi só entrar em produção que começou a apontar este erro.

    Como vi que este erro a maior chance é de estar relacionado há algo de publicação de web server, estou pensando em desativar todas as regras de publicação (deixar somente as regras de navegação habilitadas) e começar a habilitar uma a uma as regras de publicação para ver se consigo detectar onde está o problema. O que você acha?

    quarta-feira, 13 de setembro de 2006 11:43
  • Nathan,

    Eu encontrei um artigo no technet que pede para desabilitar o Web Proxy Filter,

    Espero que te ajude.

    http://www.microsoft.com/technet/isa/2004/plan/ts_proxy_traffic.mspx

    Um forte abraço.

     

     

    quarta-feira, 13 de setembro de 2006 12:10
  • Mario,

    acho que tu acertou na mosca, estava dando uma olhada no meu servidor antigo (que citei que funcionava normalmente), e vi que nele o WebProxy Filter estava desabilitado no protocolo http. Desabilitei ele aqui e vou acompanhar um pouco para ver se o problema do loop persiste. Logo lhe informo se isto resolveu ou não.

    quarta-feira, 13 de setembro de 2006 12:33
  • Nathan,

    Uma outra dica, caso vc tenha re reabilitar o web proxy filter é vc rodar o KB916106, que corrige um monte de erros do ISA, principalmente os de filtro.

    Para roda-lo não execute somente, rode por este comando:

    msiexec /p "<PATH TO HOTFIX>\ISA2004SE-KB916106-x86-ENU.msp" REBOOT=FORCE

    Da uma olhada nesse artigo:

    http://support.microsoft.com/kb/916106/

    Espero que de certo.

    Um forte abraço

     

     

     

     

    quarta-feira, 13 de setembro de 2006 13:17
  • Ola Nathan,

    Acompanhei os post trocados entre você e o Mario, sobre o Web proxy filter, não vou dizer que não seja ele o problema, mas ele não deveria impactar na publicação que esta tentando fazer.

    De uma olhada no link abaixo veja se faltou algum detalhe.

    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=073

    Post o resultado para que possamos acompanhar.

    Abraços.

    quarta-feira, 13 de setembro de 2006 13:24
  • Mario,

    acabei hoje verificando todaa configuração do ISA antigo e comparando com o novo e verifiquei que além do web proxy filter, eu tinha desabilitado (não me lembro o motivo e não documentei) o HTTP e o FTP Filter, e mais alguns detalhezinhos que não afetam nada, mas sabe como é superstição né? Afinal informática é uma ciência "exotérica".

    Depois que fiz essas mudanças deixando o ISA novo idêntico ao antigo não tive mais o problema com chain loop. Agora estou apenas com problemas em um vpn que tenho fechada com um cliente que não está rolando. Amanhã tiro o dia para corrigir isso e vou deixar o ISA funcionando assim por uma semana direto. Depois que constatar que ele não está mais dando problemas vou alterar item a item no ISA para a configuração padrão para identificar quem é o cara que me ferrou e assim consigo diagnosticar melhor o problema.

    A dica acima já está guardada para caso o problema seja desse filtro.

     

    Assim que tiver novidades lhe informo.

     

    E muito obrigado pela ajuda cara.

     

    Abraços

    quinta-feira, 14 de setembro de 2006 01:13
  • Bom Armindo,

    pelo Tuto do Anderson, a única coisa que tenho de diferente na publicação é o Bridging Mode (que deixei em Secure connections to clients) e no Public Name Details (que coloquei Any domains). Mas será que isso estaria afetando algo?

     

    De qualquer maneira, é mais um ponto pra eu testar como falei pro Mario (esperar uma semaninha pra resolver).

    sexta-feira, 15 de setembro de 2006 14:56
  • Blz Nathan,

    Qq problema é so falar... Se eu puder eu ajudo com maior prazer.

    Aquele abraço.

     

     

    sexta-feira, 15 de setembro de 2006 16:27
  • Olá mario boa tarde,

    Eu estava com o mesmo log de de error do chain loop, com as alterações passada por vcs aqui no site corrigi esse erro mas continuo com o meu problema da internet, trabalhamos o dia inteiro normal, mas chega no outro dia tenho que reiniciar o server p/ que ele volte a funcionar normalente.

    Gostaria da ajuda de vcs pra resolver esse problema

     

    Obrigado

     

     

    terça-feira, 25 de setembro de 2007 19:51
  • Olá Leandro beleza?

    Cara você falou que conseguiu resolver o problema do "chain loop". Qual o problema que está agora que faça você reiniciar o seu isa todo dia?
    sexta-feira, 28 de setembro de 2007 20:02
  • Fala Diego blz, valeu pela atenção.

     

    Então a mensagem de erro de chain loop já não apresenta mais, pois fiz as etapas que foram indicadas aí acima pelos colegas,

     Só que mesmo assim todo dia qdo chego no período da manhã e tento acessar a net o isa está fora, verifico os servicos do Isa e estão todos carregando normalmente.

    Cara tudo que eu tinah em emnte pra fazer tentei, só que agora já não sei mais o que possa ser.

     

    valeu

     

    Obrigado

     

    segunda-feira, 1 de outubro de 2007 11:28
  • Verifica o log do windows  se está apresentando algum erro e post aqui
    segunda-feira, 1 de outubro de 2007 16:35
  • Fala diego estou te enviando o erro que apresenta event ID 11165

     

    The system failed to register host (A) resource records (RRs) for network adapter
    with settings: (Edited out)

       Adapter Name : {0FE3F0AB-9B09-4C4D-944D-25A3BD5C6F7F}
       Host Name : boo
       Primary Domain Suffix : <domain suffix>
       DNS server list : <DNS servers list>
        
       Sent update to server : <?>
       IP Address(es) : <IP address>
        
    The reason the system could not register these RRs was because the DNS server contacted refused the update request. The reasons for this might be (a) you are not allowed to update the specified DNS domain name, or (b) because the DNS server authoritative for this name does not support the DNS dynamic update protocol.

    To register the DNS host (A) resource records using the specific DNS domain name and IP addresses for this adapter, contact your DNS server or network systems administrator.

     

    OBRIGADO

     

    segunda-feira, 1 de outubro de 2007 17:00