none
Массив ISA 2006 EE не видит Active Directory RRS feed

  • Общие обсуждения

  • Моя конфигурация:

     2 ISA сервера у каждого по 3 сетевых карты:

     1) Internal: 10.0.0.x
     Network Mask: 255.255.255.0
     DNS: Внутренний DNS на контроллере домена 
     2) External: 192.168.1.x
     Network Mask: 255.255.255.0 
     DNS не сконфигурирован
     Gateway: 192.168.1.1 - ADSL Модем 
     3) Intra-Array: 192.168.2.x
     Network Mask: 255.255.255.0 
     DNS не сконфигурирован, шлюз по умолчанию не указан 

     Netbios имя первого ISA сервера: gw1 
     Netbios имя второго ISA сервера: gw2

     Сервер конфигурации массива ISA серверов установлен на gw2. 
     ISA серверы используют псевдонимы для связи между собой по сетевому интерфейсу, специально предназначенному для связи внутри массива, и используют для этого следующие псевдонимы: 
     gw1 - isa1.corp.mydomain.com
     gw2 - isa2.corp.mydomain.com 
     Таким образом, массив настроен на isa2.corp.mydomain.com в качестве сервера конфигурации. 
     Используя команду setspn я настроил ldap. Теперь setspn -l <имя сервера ISA> показывает:

     gw1:
     Registered ServicePrincipalNames for CN=gw1,OU=Gateways,OU=Contoso Servers,DC=corp,DC=mydomain,DC=com:
     ldap/isa1
     ldap/isa1:2171
     MSSQLSvc/gw1.corp.mydomain.com
     ldap/isa1.corp.mydomain.com:2171
     ldap/isa1.corp.mydomain.com
     ldap/gw1.corp.mydomain.com:2171
     ldap/gw1:2171
     E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/gw1.corp.mydomain.com:2171
     E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/gw1:2171
     WSMAN/gw1
     WSMAN/gw1.corp.mydomain.com
     HOST/gw1
     HOST/gw1.corp.mydomain.com

     gw2:
     Registered ServicePrincipalNames for CN=gw2,OU=Gateways,OU=Contoso Servers,DC=corp,DC=mydomain,DC=com:
     ldap/isa2
     ldap/isa2:2171
     MSSQLSvc/gw2.corp.mydomain.com
     ldap/isa2.corp.mydomain.com:2171
     ldap/isa2.corp.mydomain.com
     ldap/gw2.corp.mydomain.com:2171
     ldap/gw2:2171
     E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/gw2.corp.mydomain.com:2171
     E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/gw2:2171
     WSMAN/gw2
     WSMAN/gw2.corp.mydomain.com
     HOST/gw2
     HOST/gw2.corp.mydomain.com

    Итак, все вроде бы работает нормально за исключением одной очень важной вещи: каждый раз когда я пытаюсь добавить группу пользователейили пользователя в объекты Users в ISA у меня появляются 2 ошибки друг за другом: 
     "The program cannot open the required dialogue box because it cannot determine whether the computer "isa2.corp.mydomain.com" is joined to a domain. Close the message, and try again."
     After i hit close another one pops up:
     "Windows object picker is curently unavailable. This may occure when Server service is not running on the Configuration Server. In this case you can use Remote Desktop Connection and open MMC on the Configuration Server, or start the Server service on Configuration Storage server and retry the operation."

    Если смотреть свойства объектов Users, то вместо имен пользователей Active Directory или групп я вижу их SID'ы, но правила работают абсолютно нормально.

    Служба Server на сервере конфигурации работает.

    Есть идеи? Может быть кто-то сталкивался с подобными ситуациями?

    27 июня 2011 г. 4:24

Все ответы

  • Включите мониторинг для источника Local Server и посмотрите не заюлокирован ли доступ к DCs по какому-либо протоколу.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    27 июня 2011 г. 4:36
    Модератор
  • Нет, не блокируется. Только что в режиме реального времени сделал фильтр мониторинга, чтобы тот показывал соединения идущие к контроллеру домен на IP 10.0.0.1. Все соединения прошли нормально. были использованы порты 88, 53, RPC и т.д. Ни одно соединение заблокировано не было.

    29 июня 2011 г. 9:30
  • Создал ldap connectivity verifier. Прошел нормально, ответ <1msec.
    29 июня 2011 г. 10:51
  • Тогда надо посмотреть в сторону настроек DNS и доменных суффиксов.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    30 июня 2011 г. 10:46
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий