none
Erro Isa Server RRS feed

  • Pergunta

  • Senhores, bom dia.

     

    Meu ambiente está passando por algumas intermitencias, primeiramente começou no meu DC e agora alguns alertas de log no isa server.

    ISA Server disconnected a non-TCP connection from 192.168.xxx.xxx(meu DC) because the connection limit for this IP address was exceeded. Larger custom connection limits should be configured for the IP addresses of chained proxy servers and back-to-back ISA Server computers with a NAT relationship.

    por favor poderiam me informar do que se trata esse erro, o pq ele ocorre e como arrumá-lo ?

    Obrigado a todos e um bo dia.


    Fabricio Proença
    segunda-feira, 30 de agosto de 2010 11:05

Respostas

  • Você pode ir em Sistema de prevenção de intrusoes - Máximo de solicitações de conexões TCP por minuto por endereço IP.

    Abraço!

    segunda-feira, 30 de agosto de 2010 12:25
  • Amigo,

     

    Quando utilizamos webproxy com autenticação do tipo NTLM da parte do client, temos um alto nivel de trafego de rede, dependendo do tamanho do seu ambiente, capacidade da maquina ETC, isso pode se esgotar mais rapidamente.

    Alem das dicas acima, sugiro que você faça um tunning no seu ISA, passando a utilizar KERBEROS como autenticação, com isso o cliente na primeira requisição de validação de usuario e senha, adquire um ticket, esse ticket tem uma validade X de tempo, com isso ele nao precisa mais ir até o AD validar o usuario nos acessos.

    Abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 30 de agosto de 2010 16:48
    Moderador
  • Fabricio, o Isa está alertando para um excesso de comunicações feitas pelo endereço IP específico. As causas podem ser desde um trojan ou vírus até mesmo nada especificamente danoso.

    Essas requisições foram barradas, e o que você deve fazer é alterar o limite de conexões.

    segunda-feira, 30 de agosto de 2010 12:11
  • Fabricio, basta traduzir, o nome está como na ferramenta em portugues.

    Intrusion Prevention System - Maximum TCP connection requests per minute per IP address. por ai.

    Aquela outra questão acima, sugiro que você registre uma outra dúvida.

    terça-feira, 31 de agosto de 2010 12:46

Todas as Respostas

  • Fabricio, o Isa está alertando para um excesso de comunicações feitas pelo endereço IP específico. As causas podem ser desde um trojan ou vírus até mesmo nada especificamente danoso.

    Essas requisições foram barradas, e o que você deve fazer é alterar o limite de conexões.

    segunda-feira, 30 de agosto de 2010 12:11
  • Você pode ir em Sistema de prevenção de intrusoes - Máximo de solicitações de conexões TCP por minuto por endereço IP.

    Abraço!

    segunda-feira, 30 de agosto de 2010 12:25
  • Ola Fabricio, o nosso amigo Anderson esta correto, e tambem recomendo uma varredura no Computador no seu DC para solucionar este problema, pois senao vc  ira aumentar o maximo de solicitacoes sempre do seu ISA, diminuindo a seguranca do seu ambiente.

    Abracos

    segunda-feira, 30 de agosto de 2010 12:48
  • Amigo,

     

    Quando utilizamos webproxy com autenticação do tipo NTLM da parte do client, temos um alto nivel de trafego de rede, dependendo do tamanho do seu ambiente, capacidade da maquina ETC, isso pode se esgotar mais rapidamente.

    Alem das dicas acima, sugiro que você faça um tunning no seu ISA, passando a utilizar KERBEROS como autenticação, com isso o cliente na primeira requisição de validação de usuario e senha, adquire um ticket, esse ticket tem uma validade X de tempo, com isso ele nao precisa mais ir até o AD validar o usuario nos acessos.

    Abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 30 de agosto de 2010 16:48
    Moderador
  • Senhores, bom dia.

    Creio que esse log seja referente a um link direto que tenho com uma empresa parceira, então ciente disso creio que posso desconsiderar esse aviso.

    Hoje tenho um link com outra empresa.

    O roteador está em meu switch, criei rotas para conexão com a empresa parceira.

    e no isa server criei uma network com o range de ip.

    Alguem tem alguma sugestão para melhoras de segurança ou melhor manutenção do meu ambiente ?

    A pergunta é, quando meus clientes saem para esse link parceiro, algum tipo de autenticação é feita ou resolução DNS ?

     

    Obrigado.


    Fabricio Proença
    terça-feira, 31 de agosto de 2010 12:28
  • Anderson, meu isa server está em ingles.

    como faço para acessar essa configuração ?

     

    Obrigado


    Fabricio Proença
    terça-feira, 31 de agosto de 2010 12:29
  • Fabricio, basta traduzir, o nome está como na ferramenta em portugues.

    Intrusion Prevention System - Maximum TCP connection requests per minute per IP address. por ai.

    Aquela outra questão acima, sugiro que você registre uma outra dúvida.

    terça-feira, 31 de agosto de 2010 12:46
  • Fabricio,

     

    Eu no seu lugar colocaria esse link numa terceira placa de rede do seu ISA Server...com isso vc consegue fazer controler mais granular e mais efetivo.

    Sobre autenticação e resolução DNS, é dificl de nós aqui deste lado afirmarmos alguma coisa, pois nao sabemos como é estruturado esse link.

    MAs vc mesmo pode responder isso...quando vc chama um recurso do outro lado (outra empresa) vc chama por nome? ou por IP?

    Precis ainserir algum tipo de credencial? PIN?

     

    Abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 31 de agosto de 2010 13:17
    Moderador
  • Bom dia galera, fala Luiz, blza ??

     

    Analisando sua opnião, eu vou disponibilizar uma outra máquina para meu isa server e refazer a instalação dele até por questões de hd do meu outro isa.

    Poderia me dar mais instruções referente a ter três placas de rede instalada no isa server ?

    Preciso abrir outro post ?

     

    Obrigado e bom dia.


    Fabricio Proença
    quarta-feira, 1 de setembro de 2010 12:36
  • Fabricio,

     

    Não tem muito oque te falar, é bem simples.

    Espetar a placa, instalar, espetar o cabo, criar uma network dentro do isa com o range de IP da rede e depois criar as regras entre as redes...

     

    sacou?


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 1 de setembro de 2010 12:49
    Moderador
  • Luis, hoje no meu isa server, tenho um network que adicionei os ips para comunicação com a outra rede

    10.0.0.0 a 10.255.255.255 -
    172.0.0.0 à 172.255.255.255 -
    192.168.0.0 à 192.168.255.255

    Hoje o roteador é ligado direto no switch, o ip do meu roteador é 192.168.10.19 nele tenho algumas rotas que faz se comunicar com o roteador que está na outra ponta até o presente momento tudo está funcionando dessa forma.

    As regras que devo configuar é de internal para network parceiro ?

     

    Tks

     


    Fabricio Proença
    quarta-feira, 1 de setembro de 2010 12:58