none
ISA Server 2006 Aplica configurações mas não são efetivadas RRS feed

  • Pergunta

  • Boa noite A Todos,

     

    De uns dois dias para cá, estou notando um comportamento estranho no ISA Server 2006 SP1.

    Aqui na empresa, nós utilizamos lista branca para os usuários, e por isso o meu ISA está configurado da seguinte forma:

     

    Descrição => Ação => Protocolo => From / Listener => To => Condition

    Comercial => Permitir => Protocolos Http e Https => Interno => Sites de Bancos, Sites do Comercial, Sites Permitidos => Setor Comercial

    Onde:

    Sites de Bancos, Sites do Comercial e Sites Permitidos são respectivamente Domain Names Set;

    - Setor Comercial é um Grupo de Usuário que aponta para o grupo Setor Comercial que vem do AD.

     

    Obs. 01: Esta é apena uma das várias regras que tenho no meu ISA Server, e separo os diversos setores desta mesma forma.

     

    Sempre que precisava liberar um site para algum usuário, eu entrava em um destes Domain Names Sets (Sites Permitidos), e incluia o endereço do site (ex.: *.terra.com.br) e mandava Aplicar. Após aguardar uns 30 segundos para que o ISA efetivasse as modificações, o site era liberado para o usuário, e tudo bem.

    Agora, o que ocorre é que ao incluir um link em qualquer Domain Names Sets, Aplicando e aguardando o tempo de processamento, o ISA não libera o endereço. Ao fazer um Monitoramento no que o usuário está acessando, tive uma surpresa. O ISA desconsidera a regra e o que tem dentro dela; como não encontra nada que faz a liberação do link, ele acaba caindo na regra geral de bloqueio. Quando iniciei o Monitoramento, testei alguns sites já adicionados anteriormente, e pude verificar que o que já estava dentro dos Domain Name Sets são encontrados, e é mostrado por qual regra que foi feita a liberação, e vejo que é a regra correta.

    Pensei que o problema poderia ser do usuário do Comercial em específico, mas ao liberar um outro endereço para outro usuário de outro departamento, me deparei com a mesma situação. O que já está liberado continua vigente, entretanto o que está sendo adicionado não se torna ativo, mesmo depois de Aplicar.

     

    Hoje tive um outro problema. Tenho uma outra regra, que escuta uma determinada porta do programa de acesso remoto. Toda vez que precisava liberar o acesso em uma estação específica da rede interna, eu alterava o IP da máquina de destino e após o ISA efetivar as modificações, o usuário externo conseguia ser redirecionado para a máquina que eu queria. Hoje ao fazer isso, percebi que o ISA simplesmente IGNORA o novo IP da estação informado e continua apontando para a configuração anterior.

     

    Estou intrigado com este problema, e por isso estou recorrendo aos amigos em busca de ajuda. Neste final de semana estarei na empresa para procurar resolver esta questão nem que tenha que re-implantar o ISA no Servidor e configurar tudo novamente.

     

    Obs. 02: Também reiniciei o Servidor, mas foi em vão.

     

    Caso alguém tenha alguma dica sobre isto, ficarei imensamente grato pela informação.


    Alvaro J. P. Pereira (Analista de TI)
    sexta-feira, 4 de novembro de 2011 22:23

Respostas

  • Alvaro, pelo que entendi então você só tem uma máquina com o ISA e o CSS instalados na mesma máquina.

    A maneira mais facil de restaurar isso é fazer um Repair na instalação do ISA Server.

    Vai la em painel de Controle, programas, Clica com o botão direito na Instalação do ISA Server e escolhe a opção Repair.

    Com isso ele irá recriar a conexão entre o ISA e o CSS e provavelmente volte a funcionar.

     

    Atenciosamente,

     


    Renato Marson Pagan http://renatopagan.wordpress.com/
    • Marcado como Resposta Alvaro 007 sábado, 7 de janeiro de 2012 03:39
    quinta-feira, 10 de novembro de 2011 18:09

Todas as Respostas

  • Alvaro,

    Em Monitoring -> Configuration. O ISA Server está Sincronizado com sucesso com o CSS?

    []'s


    Renato Marson Pagan http://renatopagan.wordpress.com/
    segunda-feira, 7 de novembro de 2011 13:32
  • Boa tarde Renato,

     

    Obrigado por responder.

    Neste local ele está informando que está sendo atualizado, mas não sai disto.

    A informação completa é esta:

    Server => Status => Last Update => Description => Configuration Storage Server

    Servidor02 => Updating => 29/11/1999 22:00:00 => Server is updating configuration to match the Configuration Storage Server configuration. => servidor02.xxxxx.com.br

     

    Já inseri novos sites para que o ISA detecte uma modificação e me permita Aplicar o que foi feito, mas continua do mesmo jeito.

    O que eu to achando estranho é a data que ele ta informando.

     


    Alvaro J. P. Pereira (Analista de TI)
    quinta-feira, 10 de novembro de 2011 15:40
  • Alvaro, é isso mesmo.

    As alterações nao são aplicadas pois os nós do ISA não estão conseguindo sincronizar com o CSS.

    Quantos servidores tem nesse array? o CSS está na mesma máquina que o ISA?

    Tenta fazer um telnet nas portas 2171 e 2172 do ISA Server para o servidor CSS e ve se responde.

    Tenta acessar o CSS via ADSIEdit, está funcionando?

    As portas estão liberadas entre o CSS e os nós do ISA?

    O ISA e CSS estão no dominio? O secure channel dos nós e do CSS está válido?

    Se não estiver no dominio, os certificados estão corretamente configurados e validos?

    Existem várias coisas para serem verificadas. Enquanto a sincronização nao aparecer como SYNC, as alterações que você fizer nao serão aplicadas.

     

    []'s

     


    Renato Marson Pagan http://renatopagan.wordpress.com/
    quinta-feira, 10 de novembro de 2011 16:27
  • Boa tarde Renato,

    Eu tenho apenas uma máquina com o ISA, e portanto a Matriz e o Array estão instalados juntos.

    O ISA não está instalado no meu Domain Controler.

    Aqui eu não tenho o TelNet, mas uso o PortQry (da Microsoft) para fazer o scaneamento de portas.

    Pela resposta do PortQry, ambas as portas estão respondendo (LISTENING).

    Estando na máquina onde tem o ISA instalado; eu abro o ADSIEdit e consigo acessar o meu DC, que é o Servidor03, mas não consigo acessar nenhuma outra máquina do domínio com esta ferramenta.

    Como verifico este Secure Channel (canal seguro)?

    O que mais posso verificar?

     

    Desde já agradeço a voss aatenção.


    Alvaro J. P. Pereira (Analista de TI)
    quinta-feira, 10 de novembro de 2011 17:54
  • Boa tarde Renato,

     

    Acabei de ver no Event View que apareceu um Alerta referente a Schannel, cujo número é: 36872 e a descrioção é: Não existe nenhuma credencial de servidor padrão adequada no sistema. Isso impedirá os aplicativos servidores que esperam usar as credenciais padrão do sistema de aceitar conexões SSL. Um exemplo de tal aplicativo é o servidor de diretório. Os aplicativos que gerenciam suas próprias credenciais, como o Internet Information Server, não são afetados.

     

    Será que pode ser isto o problema? Mas eu não tenho o IIS instalado nesta máquina.

    Se for isto, como faço para validar este certificado? Ou até mesmo criar um novo e fazer o vinculo entre os programas?

     

    Desde já agradeço a vossa atenção.


    Alvaro J. P. Pereira (Analista de TI)
    quinta-feira, 10 de novembro de 2011 18:08
  • Alvaro, pelo que entendi então você só tem uma máquina com o ISA e o CSS instalados na mesma máquina.

    A maneira mais facil de restaurar isso é fazer um Repair na instalação do ISA Server.

    Vai la em painel de Controle, programas, Clica com o botão direito na Instalação do ISA Server e escolhe a opção Repair.

    Com isso ele irá recriar a conexão entre o ISA e o CSS e provavelmente volte a funcionar.

     

    Atenciosamente,

     


    Renato Marson Pagan http://renatopagan.wordpress.com/
    • Marcado como Resposta Alvaro 007 sábado, 7 de janeiro de 2012 03:39
    quinta-feira, 10 de novembro de 2011 18:09
  • Bom dia Renato,

     

    Estou voltando para qualificar e agradecer a sua ajuda.

    Eu mandei fazer uma reparação no ISA e tudo voltou ao normal.

    Muito obrigado pela dica.


    Alvaro J. P. Pereira (Analista de TI)
    sábado, 7 de janeiro de 2012 03:41
  • Opa Alvaro. Que bom que funcionou. Fico feliz em poder ajudar.

    Abraços


    Renato Marson Pagan http://renatopagan.wordpress.com/
    sábado, 7 de janeiro de 2012 13:28