none
ISA 2004 SE и Windows messenger RRS feed

  • Вопрос

  • ДД Всем.

     

    Исх. данные: ISA 2004 SE SP3 с двумя сетевушками смотрящими в две приватные подсетки, между которыми развешен роутинг (network rule) всего траффика в обе стороны (access rules).

    Все клиенты -- fw-клиенты.

    В первой из указанных подсетей установлен Exchange 2000 cо службой Microsoft Exchange Chat Service, к которой коннектятся клиенты с помощью Windows messenger 4.6. Клиенты этой же сети успешно подключаются и работают с Exchange Chat Service. Клиенты второй сети, которые подключаются к Exchange Chat Service через ISA не могут законнектиться.

    Всё пингуется в обе стороны по именам.

     

    Подскажите в какую сторону смотреть?

    31 июля 2008 г. 12:19

Все ответы

  • Приведите логфайл ISA Server, отражающий попытку пользователей из второй подсети подключиться к сервису Exchange Server 2000 в первой подсети (ISA Management Console - Monitoring - Logging).

     

    1 августа 2008 г. 5:22
  • http://ifolder.ru/7547270 - текстовый лог.

    http://ifolder.ru/7547402  - скриншот.

    Вот ссылка на лог.

    Логироавл весь траффик между клиентом и сервером Exchange.

    На клиенте включен fw-клиент.

    1 августа 2008 г. 11:01
  • Можно сделать так. Раз на ISA настроен прямой роутинг между сегментами, то отключите FWC на клиенте и если на нем нет роутинга через ISA в другой сегмент, то пропишите его (хотя если у вас работает пинг, то прямой маршрут уже есть). Проверьте работу чата. Если все работает, то проблема действительно в настройках ISA и FWC.

    Тогда можно начать с то, что добавить сеть сегмента с Exchange в список исключений FWC.

     

    4 августа 2008 г. 3:51
    Модератор
  •  

    Пробовал с включенным и отключенным fw-клиентом, результат отрицательный.

    На вкладке "Domains" в свойствах проблемной сети прописал домен, для того чтобы fw-клиенты ходили напрямую, тоже не помогло. Перегрузил рабочую станцию, тоже не помогло.

    В логе продолжает появляться сообщение от Firewall сервиса:

    Code Snippet

    A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer.

     

     

    Может стоит обратить внимание и на это..

    Кстати, ISA является шлюзом и для обеих сетей, других маршрутов нет.

     

    4 августа 2008 г. 7:46
  • Это сообщение говорит о том, что пакеты у вас все же ходят как-то "кругами", несмотря на ваше заверение, что "других маршрутов нет".

     

    4 августа 2008 г. 11:20
    Модератор
  • Ну а как кругами-то?

    Есть две сети 192.168.6.x и 192.168.0.x.

    Между ними ISA с тремя интерфейсами: первый интерфейс смотри наружу. Второй и третий по обозначенным приватным подсеткам. На клиентах и серверах дефолтным гейтом является иса.

    Правда на исе еще крутится RRAS, который поддерживает VPN-туннели с удаленными офисами -- может тут собака порылась ? )))

    4 августа 2008 г. 12:02
  • Если Вам необходим функционал VPN-сервера, и для этих целей Вы решили использовать компьютер с ISA Server, конфигурировать VPN Gateway и VPN Site-to-Site соединения следует исключительно в консоли ISA Server Management Console. Для обеспечения функции VPN-сервера ISA Server использует службу RRAS, причем использует так, что настройками своими настройки, сделанные напрямую в службе RRAS, неребивает.

    На самом деле, это так, к сведению. В Вашем случае необходимо обратить внимание на таблицу маршрутизации ОС системы ISA Server. Скорее всего проблемы в некорректных маршрутах (особенно с учетом того, что на сервере настроены туннели к филиалам).

    4 августа 2008 г. 12:55
  • Вот тут моя таблица маршрутизации с исы.

    Интересуют две сети 192.168.0.0 и 192.168.6.0.

     

     http://ifolder.ru/7694641

    Как мне кажется маршруты прописаны правильно..

    Или я ошибаюсь?

    13 августа 2008 г. 6:33
  • В Alerts (ISA Server Management Console) не фиксируется ошибок, касающихся некорректной конфигурации сетей, к примеру, маршруты, мол, у Вас прописаны неверно, или были зафиксированы пакеты для которых не было наудено корректных маршрутов и в дальшейшем эти пакеты будут отклонены как спуфинг?
    13 августа 2008 г. 6:52
  • В EventViewer проскакивает такая ошибка, только не знаю связана ли она как с моей проблемой:

     

    Event Type: Error
    Event Source: Microsoft Firewall
    Event Category: None
    Event ID: 14147
    Date:  13.08.2008
    Time:  9:14:25
    User:  N/A
    Computer: ISA

    Description:
    ISA Server detected routes through the network adapter LAN that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.0.119-192.168.0.119;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    13 августа 2008 г. 9:52
  • И что такое 192.168.0.119 ?

    13 августа 2008 г. 13:18
    Модератор
  • > 192.168.0.119-192.168.0.119
    Это, случаем, не адрес клиентской станции, с которой Вы пытаетесь подключиться к Exchange Server?

    15 августа 2008 г. 7:17