none
Problemas com clientes SecureNAT RRS feed

  • Pergunta

  • Boa tarde a todos,

    Estou com um problema em um cliente, somente usuários que NÃO utilizam proxy setado no navegador apresentam problemas intermitentes ao acessar a internet, além da lentidão, perdem a conectividade e não navegam, ocorre umas 6 vezes ao dia, porém o MSN e outros serviços que não sejam sites funcionam.

    Pensei ser DNS, porém os servidores estão fazendo pesquisa DNS normalmente, nas máquinas estão setados 2 DNS, além disso são os mesmos que o ISA utiliza, os encaminhadores estão configurados para 3 servidores diferentes do provedor, e tem regra liberando conexões vindas dos servidores com direção de saída para a porta 53. 

    A única coisa que não sei se pode interferir é um FortGate como roteador entre a rede interna e o ISA. As rotas para a rede interna foram adicionadas no ISA com o comando route add -p 192.168.0.0 mask 255.255.255.0 172.16.0.2.

    O Isa não apresenta nenhum erro no log de eventos relacionado ao problema.

    Segue um esboço da rede
    http://img4.imageshack.us/img4/534/desenho1b.jpg



    Alguém já passou por isso ou tem alguma idéia???

    Obrigado a todos
    quinta-feira, 19 de novembro de 2009 20:28

Todas as Respostas

  • As mauqinas apontam para esse fortgate?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 19 de novembro de 2009 21:05
    Moderador
  • Sim...o FortGate é o gateway da rede local.
    quinta-feira, 19 de novembro de 2009 21:09
  • e o fortgate encaminha para o seu ISA é isso??
    Estao no mesmo barramento de ree o fortgate e o isa?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 20 de novembro de 2009 03:14
    Moderador
  • O Fortgate e o ISA estão na mesma rede (172.16.0.0/24), um cabo de rede sai da placa WAN do FortGate e se liga na placa LAN do ISA. O fortgate recebe as solicitações dos clientes e encaminham para o ISA.  A configuração de rede está assim: (FORTGATE WAN1 - 172.16.0.2 / LAN 192.168.0.200) (ISA Server LAN - 172.16.0.1 / WAN - Endereço IP Provedor) Os clientes utilizam o endereço 192.168.0.200 como gateway.
    • Editado Felipe M. Ferreira domingo, 22 de novembro de 2009 22:48 Correção nas configurações de IP
    domingo, 22 de novembro de 2009 22:41
  • Qual a finalidade desse fortgate ai no meio?


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    domingo, 22 de novembro de 2009 23:45
    Moderador
  • O FortGate foi colocado no meio pois a empresa possui dois links de internet e foi solicitado que alguns usuários, escolhidos pela equipe de TI, não deveriam passar pelo firewall nem por proxy, passar pelo outro link.
    O projeto foi elaborado por outra empresa, estou apenas configurando o ISA.
    O FortGate não foi eu quem configurou, nas instalações que fiz do ISA nunca peguei um problema parecido sempre funcionou perfeitamente, eu acredito não ser o ISA, mas queria ter certeza antes.
    segunda-feira, 23 de novembro de 2009 11:17
  • Felipe,

    Na minha opinião isso é má configuração das placas de rede ou do fortgate ou do ISA com a parte de DNS
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 23 de novembro de 2009 13:07
    Moderador
  • Mas se os clientes Webproxy não sofrem com esse problema, poderia ser DNS mesmo assim???
    Vou verificar novamente as configurações da placa para ver se há algum problema.

    segunda-feira, 23 de novembro de 2009 13:48
  • Cliente webproxy quem resolve nome é o ISA junto com o seu AD.

    Pela teoria o secureNAT tb tem que ser assim, mas se estiver configurado errado.


    veja no meu site http://lfdias.mvpbrasil.com.br o tutorial de configs de placa do ISA....

    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 23 de novembro de 2009 14:05
    Moderador
  • Boa tarde,

    Segui as recomendações de configuração do seu tutorial, agora vou aguardar para ver se o problema retorna e aviso.
    segunda-feira, 23 de novembro de 2009 14:19
  • fico no aguardo.


    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 23 de novembro de 2009 14:37
    Moderador
  • Segui o tutorial de configuração das placas de rede, estava quase tudo correto, só o NETBIOS estava habilitado na placa externa, porém o problema persiste, solicitei abertura de chamado no provedor para verificar o link, pois é um problema intermitente, não ocorre erro nos logs de monitoramento nem nada, solicitei suporte para verificar o FortiGate também.

    Estou replicando o AD para outro DC, estou com duvidas em relação ao atual.

    Se houver alguma outra sugestão.

    Muito obrigado Luiz.

    Abraços.
    segunda-feira, 23 de novembro de 2009 16:14
  • Cara se o seu ambiente resolve nomes no seu DNS interno tem que funcionar.

    ao menos que sej aproblam externo.

    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 23 de novembro de 2009 17:14
    Moderador
  • Felipe tem como passar o modelo desse seu router?? E fazer um diagrama simples que mos range cliente, rande router e rage ISA, so para entendermos melhor seu cenario?
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 23 de novembro de 2009 17:24
  • Felipe, fiz um esboço da rede http://img4.imageshack.us/img4/534/desenho1b.jpg

    Configurei um outro Domain Controller na rede e transferi os mestres de operação.

    Vi que muitas pessoas relatam problemas de conectividade que nunca tinha passado quando utiliza-se o Windows Server 2003 R2 SP2 + Isa Server 2006 SP1+Hyper-V, esqueci de comentar que o ISA está virtualizado.

    Desativei o RSS, e o TCP SEND OFFLOAD (IPv4) nas configurações avançadas da placa de rede virtual, estou aguardando, assim que tiver resultados volto a postar.

    Obrigado a todos.

    terça-feira, 24 de novembro de 2009 19:00
  • Felipe,

    Vc usou um placa de rede do seu host hyper v só para externa do ISA?

    eu ja vi problemas com ISA em 2003 R2 tb....

    Existe algum erro no event viewer ou algo do tipo?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 24 de novembro de 2009 19:26
    Moderador
  • As 2 placas que o ISA está usando são somente para ele, pois uma liga direto com o modem do provedor e a outra vai na porta WAN do FortiGate, portanto fisicamente fica isolado da rede interna.

    No event viewer não apresenta erro relacionado ao problema, porém eu reparei que quando o problema ocorre, o PING que vêm da internet e da rede local pára de responder, e o ISA não pinga a rede interna, porém as portas que alguns serviços utilizam funcionam normalmente quando faço conexão por telnet nas portas publicadas, 3389, 53, 25, etc.


    Hoje o problema ocorreu novamente, clientes SecureNat perderam a conexão com a internet, quando cai a conexão esses clientes habilitam o proxy e volta a funcionar, os clientes com proxy nem sentem o problema, isso dura uns 15 minutos depois volta, ocorreu 2 vezes hoje já.

    • Editado Felipe M. Ferreira quarta-feira, 25 de novembro de 2009 11:12 Acrescentado informações.
    quarta-feira, 25 de novembro de 2009 10:56