none
VPN сервер НЕ доступен после обновления RRS feed

  • Вопрос

  • Ситуация критичная.

    сегодня вышли очередные обновление. я обновил сервер: W2k3 SP2 32bit. На нем стоит ISA 2006 standard, который работает как VPN сервер.
    После перезагрузки клиенты НЕ могут подключится к серверу !! в логах Isa:

    Failed Connection Attempt SERVER_ISA 14.10.2009 15:45:45
    Log type: Firewall service
    Status: 
    Rule: [System] Allow VPN client traffic to ISA Server
    Source: External (92.101.хх.хх:11099)
    Destination: Local Host (192.168.1.11:1723)
    Protocol: PPTP
    User: 
     Additional information
    Number of bytes sent: 0 Number of bytes received: 0
    Processing time: 1016 ms Original Client IP: 92.101.хх.хх
    Client agent:

    А вот и тот системный роль, который вроде блокирует:
    http://i074.radikal.ru/0910/1f/2ae3c9b80e93.jpg

    помогите решать проблему !

    P.S. Еще и не доступен тот сервер по RDP по локальному сети после той роковой обновлений ! но что интересно - ISA продолжает интернет раздавать.

    вот те обновление,который поставил сегодня:
    http://s44.radikal.ru/i106/0910/70/2ad4c33f4da0.jpg

    • Изменено Krec 14 октября 2009 г. 12:19
    14 октября 2009 г. 12:07

Ответы

  • Кто мне объяснит, зачем надо ставить KB974571 на ISA сервер? По тексту статьи:

    This fix works for both clients and servers, and it is applicable to the following roles for all versions of Office Communications Server and Live Communications Server 2005 SP1 and for evaluation versions of Office Communicator
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    2 марта 2010 г. 4:05
    Модератор

Все ответы

  • клиент какую ошибку выдает?
    snp фичи выключены?
    14 октября 2009 г. 12:15
    Отвечающий
  • Вот ошибка клиента:
    http://s41.radikal.ru/i094/0910/81/ce4c93e48da6.jpg

    / А что за snp фичи ?? я не знаю про них..


    Одиночество - это тогда, когда тебе не пишут даже спамеры...
    14 октября 2009 г. 12:26
  • А что за snp фичи ?? я не знаю про них..


    Одиночество - это тогда, когда тебе не пишут даже спамеры...

    на гугле или микрософте забанили?
    scalable network pack
    любой кто ставил sp2 на вин2003 должен знать про это
    14 октября 2009 г. 12:39
    Отвечающий
  • там вы имели ввиду KB948496 ?

    Так я в R2 версии встретил только такую проблему. скачал и поставил этот hotfix, теперь решилась главная проблема.
    спасибо большое.
    осталась проблема с RDP. после хотфикса тоже не пусает...
    Одиночество - это тогда, когда тебе не пишут даже спамеры...
    14 октября 2009 г. 13:07
  • а по rdp откуда и куда не пускает?

    15 октября 2009 г. 7:37
    Отвечающий
  • Ребята, спасите.опять VPN не пусает клентов после перезагрузки !
    в логе опять тот же:

    Failed Connection Attempt

    Log type: Firewall service

    Status:

    Rule: [System] Allow VPN client traffic to ISA Server

    Source: External (92.101.хх.хх:10426)

    Destination: Local Host (192.168.1.11:1723)

    Protocol: PPTP

     



    >>а по rdp откуда и куда не пускает?
    к серверу, где стоит ISA (w2k3 standart, 32bit).


    Одиночество - это тогда, когда тебе не пишут даже спамеры...
    15 октября 2009 г. 11:05
  • Откатите последние обновления и посмотрите восстановится ли работоспособность сервера. Потом можно накатить обновления по одному не спеша и вычислить проблемное обновление.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    15 октября 2009 г. 12:24
    Модератор
  • ну да, так и пришлось делать !

    виновником оказался KB974571 (на w2k3)
    что за hotfix ???
    Одиночество - это тогда, когда тебе не пишут даже спамеры...
    15 октября 2009 г. 12:55
  • http://support.microsoft.com/kb/<kb number>
    15 октября 2009 г. 12:57
    Отвечающий
  • Обновление явно кривое... уже есть статья по его поводу http://support.microsoft.com/default.aspx/kb/974571 с описанием проблем.
    Так что рекомендую срочно обращаться в техподдержку MS, если есть возможность.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    15 октября 2009 г. 13:25
    Модератор
  • И какой связь он имеет с ISA ?
    Или очередной брешь от MS ?

    а вот RDP как не работал - так и не работает. думаю надо все обновление удалить..
    вроде 3389 порт прослушивается !
    Одиночество - это тогда, когда тебе не пишут даже спамеры...
    15 октября 2009 г. 13:33
  • Звонил в техподдержку ! отказались по этому поводу помощь ! т.к. нет у нас подписки MSDN :(((

    Странная контора, однако, microsoft.

    Одиночество - это тогда, когда тебе не пишут даже спамеры...
    15 октября 2009 г. 13:59
  • проблема еще актуальна ! сегодня посатвил .NET Framework 2.0, 3.5 SP1, и перезагрузил сервер. После перезагрузки опять таже самая история: VPN клиенты не могут подключится !
    создал ради интереса дополнительнуую правилу: External > local host, PPTP, All users. И поставил првым даже, но в логах опять
    Failed Connection Attempt SERVER_ISA
    Log type: Firewall service
    Status: 
    Rule: [System] Allow VPN client traffic to ISA Server
    Source: External (92.101.хх.хх:11099)
    Destination: Local Host (192.168.1.11:1723)
    Protocol: PPTP


    удалил все фрйморки, перезагрудил, но этот раз не сработало это :(( не могут подключится опять !
    Может есть какое то решение на это?

    P.S. восстановил System state (из резервного копии) - тоже никакого результата
    27 октября 2009 г. 12:31
  • Давайте попробуем так: Вы мне в личку (см. профиль) сбросите свой адрес электронной почты, а я вам выдам карточку на открытие инцидента в платной поддержке MS c условием, что решение вы опубликуете здесь. Идет?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    30 октября 2009 г. 13:56
    Модератор
  • Здрасвствуйте, Юрий ! я напсал вам на почту.


    Сегодня опять перезагрузил сервер и опять VPN клиенты начали жаловаться, что сервер не доступен, а RDP клиенты, что тоже сервер не доступен.
    вот не знаю что за удав просыпается после перезагрузки (иногда нормально презагружается) и потеряет все ИМЕННО удаленные подклюение. (только VPN и RDP). Все остальне в порядке. все клиенты нормально работают за SecureNAT и никакого жалобы. а также пробовал зайти через сетевое окружение - тоже зашел нормально !

    Вот что пишет в логе ISA, при попытке подключится по RDP:
    -------
    Initiated Connection SERVER_ISA 18.11.2009 12:22:27
    Log type: Firewall service
    Status:
    Rule: [System] Allow remote management from selected computers using Terminal Server
    Source: Internal (192.168.0.5:49815)
    Destination: Local Host (192.168.0.10:3389)
    Protocol: RDP (Terminal Services)
    User:
    Additional information
    • Number of bytes sent: 0 Number of bytes received: 0
    • Processing time: 0 ms Original Client IP: 192.168.0.5
    • Client agent:
    ------------
    Closed Connection SERVER_ISA 18.11.2009 12:22:27
    Log type: Firewall service
    Status:
    Rule: [System] Allow remote management from selected computers using Terminal Server
    Source: Internal (192.168.0.5:49815)
    Destination: Local Host (192.168.0.10:3389)
    Protocol: RDP (Terminal Services)
    User:
    Additional information
    • Number of bytes sent: 52 Number of bytes received: 40
    • Processing time: 0 ms Original Client IP: 192.168.0.5
    • Client agent:
    как видно - вроде ISA не блокирует.. а в чем тогда может быть дело?
    18 ноября 2009 г. 8:38
  • Я забыл также сказать, что ISA server 2006 (w2k3 server) находиться под виртуализиции, на платформе VMWARE server 2.0
    техподдержка MS (Vinokurov Yuriy мне дал карточку даже на платную поддержку) все таки отказался в помощи. типа если у вас есть посторонние программы, то есть VMWARE например, то не оказывает техподдержку.

    так что проблема так и не решилась :(

    Одиночество - это тогда, когда тебе не пишут даже спамеры...
    18 ноября 2009 г. 12:43
  • Хм ! прикол новый.

    перезагрузил несколько раз - теперь VPN работает. клиенты подклюаеются. А вот RDP никак не подключаеся.
    Одиночество - это тогда, когда тебе не пишут даже спамеры...
    18 ноября 2009 г. 13:26
  • сделал такой эксперимент !
    пока работает VPN клиенты - снял Snapshot !
    поставил CCleaner и искал баги реестра (или как там его). нашел кучу "ошибок", я сначало хранил резервную копью этих ошибок(прога сама предлогает бекапить), потом почистил.
    Ради интереса думал перезагрузить - и как ждал, после перезагрузки опять VPN клиенты не доступны. Я заново импортировал эти ключи в реестр с надеждой, что узнаю методом тыпа какой веть "критично" важо для VPN, Но увы ! после импорта в реестр очишенных ошибок - я перезагрузил опять ISA сервер, но и после этого не доступен VPN сервер.
    Востановил с snapshot - VPN начал работать.. (хотя RDP так и не работает)
    У меня такое ошушение, что при каждом установке/удаление чего то  приводит к краху, но где это, почему и что с этим делать - мне пока не ясно.

    У вас пока не появляется какие то мысли?

    Одиночество - это тогда, когда тебе не пишут даже спамеры...
    18 ноября 2009 г. 20:53
  • Появилась расширенная информация о этой ошибке?

    У меня еще один больной с этими симптомами. Очень не хочется все переставлять.

    30 ноября 2009 г. 9:04
  • Можно сказать нет. Но надо уже более серьезно относится к этому, раз не у меня только такое..

    Опишите вашу проблему, мне интересно у нас точно одинаково ?
    Я поступил по другому вот. снял снапшот и когда глючит - откатываю назад и все начинает работать. Щас хочу найти метод понять разницу между ДО и ПОСЛЕ отката снапшита, может понять в чем дела? хотя я на ISA (w2k3) никаких изминений не ввожу, всего лишь перезагружаю хостовую систему w2k8 и после перезагрузки в ISA именно  VPN и RDP не доступны !


    Одиночество - это тогда, когда тебе не пишут даже спамеры...
    10 декабря 2009 г. 9:28
  • Тут еще одно обсуждение в соседнем разделе формума http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/606554db-3554-4f61-95ba-97093d21ca28
    У меня уже 4 случая с такими же симптомами...
    Иногда помогает backup конфигурации и переустановка ISA , иногда нет.

    24 декабря 2009 г. 17:58
  • Решение кто нибудь нашел? или саму проблему?
    столкнулся с точной такой же ситуацией. после обновления компьютера с Win 2003 SP2 + ISA 2006 перестали работать RDP и VPN подключения.
    патч с scalable network pack, решал проблему частично, после нескольких перезагрузок опять начинало что либо отлетать.
    помог только откат системы.

    Установил все обновления кроме тех кто к название имеют "Обновление для системы безопасности Windows Server 2003"
    сейчас в обновлениях доступны порядка 10 патчей которые просятся установится, но боюсь!
    какое то из них (или часть) запарола систему и заного запорит.
    перечислю те обновления которые хотят быть установлены:
    -KB958869
    -KB969059
    -KB969947
    -KB971486
    -KB973037
    -KB974112
    -KB974571
    -KB975025
    -KB975467
    -KB973687

    В теме говорили что KB974571 вроде как проблемное. Не установка данного обноления и установка других не выведет из строя VPN+RDP?

    11 января 2010 г. 2:11
  • Попробуйте в тестовой среде, это будет гарант.
    1 марта 2010 г. 14:24
    Модератор
  • Кто мне объяснит, зачем надо ставить KB974571 на ISA сервер? По тексту статьи:

    This fix works for both clients and servers, and it is applicable to the following roles for all versions of Office Communications Server and Live Communications Server 2005 SP1 and for evaluation versions of Office Communicator
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    2 марта 2010 г. 4:05
    Модератор
  • А зачем Microsoft Update предлагает установить это обновление, если нет установленных продуктов?

    3 марта 2010 г. 9:00
  • Потому что это обновление для ОС , а не для какого-то другого продукта, поэтому нужно в обязательном порядке тестировать все обновления, а только потом пускать их в производственную среду, ну, и , конечно же, внимательно читать все описания обновлений.
    3 марта 2010 г. 9:51
    Модератор
  • Потому что это обновление для ОС


    Это обновление для OC с УСТАНОВЛЕННЫМ продуктом. Почему, если у меня установлен OCS, в обновлении есть отдельная секция для ЭТОГО продукта.

    В данном случае правильнее было-бы помещать такие обновления к продукту, а не к ОС.

    поэтому нужно в обязательном порядке тестировать все обновления, а только потом пускать их в производственную среду

     А если в компании 2 сервера и 10 пользователей (установлен ISA2006 и SBS)? На чем тестировать? WSUS безплатен и позволят значительно секономить время.

    9 сентября 2011 г. 7:35