none
VPN соединение: RemoteAccess 20189 RRS feed

  • Вопрос

  •  

    Имеется Active Directory, родительский и дочерний домены на разных площадках.

    В родительском домене есть сервер win2003+SP2 (не DC) с ISA 2000 и RRAS (Srv1).

    В дочернем домене ISA2000 устанановлен на один из двух DC (Srv2) win2003+SP2.

     

    Задача: установить VPN (PPTP) от сервера в родительском домене к серверу в дочернем домене, обеспечить взаимодейсвтие ЛВС.

     

    Созданы вызывающий и отвечающий интерфейсы.

     

    Проблема: не устанавливается PPTP  когда вызывающий интерфейс на Srv1, а отвечающий на Srv2.

    При этом на Srv1 в системном логе :

    Type: Error
    Source: RemoteAccess
    Event ID: 20111
    Подключение по требованию к удаленному интерфейсу "***" через порт "VPN8-7"
    успешно инициировано, но не закончено,
    из-за ошибки: Удаленный компьютер не отвечает.

     

    На Srv2 в системном логе :

    Type: Warning
    Source: RemoteAccess
    Event ID: 20189
    Пользователь "*****\*****", подключен с rrr.xxx.yyy.zzz, но не прошел проверку подлинности, поскольку There was an authentication failure because of an unknown user name or a bad password.

     

    Если на Srv2 добавить вызывающий интерфейс, а на Srv1 отвечающий, PPTP успешно устанавливается, исправить стат. маршруты в RRAS - работает межсеетвое взаимодейсвтие. Более того, как только устанавливается PPTP соединение Srv2->Srv1, сразу после этого успешно устанавливается и первое соединение (Srv1->Srv2). Можно обратно исправить стат. маршруты, отключить и блокировать вызывающий интерфейс на Srv2 и отвечающий на Srv2, все работает. Но после перезагрузки Srv2 он снова перестает пускать к себе с сообщениями, приведенными выше. В свойствах вызывающего интерфейса на Srv1 указана учетная запись в удаленном (дочернем) домене, пароль, естественно, правильный.

    Описание такой ситуации на MS не нашел, подскажите пжлст., в каком направлении копать. Возможно., проблема и не в настройках ISA, даже скорее всего не в нем, но разумные версии у меня уже закончились.

    19 ноября 2007 г. 9:38

Все ответы

  •  

    Я думаю, что проблема в том что одна ИСА сидит на контроллере, а вторая нет. Так вот, та что не на контроллере не может проверить учётную запись, т.е. не может состыковаться с каким нибудь контроллером в локальной сети.

     

    У меня была как то раз похожая ситуация , у меня аутентификация была на РАДИУСе, так вот он не мог опросить контроллер и подключение оборывалось. Временно решил проблему прописав локальную учётку для подключения. 

     

    В последствии тот домен был перекопан неподетски и всё само собой исчезло :-) так что не могу сказать в чем конкретно была проблема. Но копай в сторону:   ИСА(которая не на DC)>Контроллер

    20 ноября 2007 г. 19:20
  • Дело в том, что проблема возникает как раз в том направлении, где ISA стоит на DC. Т.е. удаленное соединение устанавливается под учетной записью в том домене, где ISA стоит на контроллере домена. Соответственно, тому ISA никуда не надо "лазать", чтоб проверить реквизиты учетной записи, он сам это в силах сделать в своей БД SAM (я его даже Global Catalog-ом объявил), однако, пишет про неверный пароль. Ну и по этой же причине не могу сделать удаленное соединение под локальной уч. записью, раз удаленный RRAR&ISA сам контроллер домена.

    23 ноября 2007 г. 5:19
  • Системный политики прописаны правильно, открыт доступ к нужным сервисам? В частности к Actice Directory (не помню как точно называется это в ИСЕ)?

     

    23 ноября 2007 г. 19:13