none
ISA Server периодически не пропускает трафик из LAN RRS feed

  • Вопрос

  • Все было хорошо и замечательно, но не так давно стала проявляться следующая проблема. ISA периодически перестает принимать любые входящие подключения из LAN. Т.е. не отвечает на пинги от авторизованных хостов, недоступен RDP, WebProxy, SecureNAT не работает. При этом, если на ISA'у уже висит открытый RDP - он вполне себе продолжает работать. Если посмотреть из WAN, то все опубликованные ресурсы (портами или сервисами) доступны. В системных логах никаких событий нет, службы ISA не падают, Alert'ов нет. Логгинг показывает, что просто никто к серверу не обращается. С точки зрения циски порт в норме. Переключение в другой транковый порт ничего не дает. С пиками нагрузки не связано (проявляется и ночью, когда трафик мизерный). Лечится (если так можно назвать) само - через некоторое время все оживает, либо перезагрузкой сервера. Изменения в конфигурацию сервера не вносились давно, драйверы, версии ПО не менялись (кроме установки обновлений от MS). Драйверы на NIC'ах попробую обновить, но куда бы ещё посмотреть?


    Конфигурация:

    Windows Server 2003 SP2

    ISA Server 2006 SE SP1, Standalone

    Все WSUS'овские апдейты продуктов к текущему моменту установлены.

    Bandwidth Splitter 1.21

    24 активных внутренних VLAN'а на Intel Pro/100+ Management Adapter, Intel Pro/100 VE в WAN (на циску, с белым IP)

    VPN используется (не Site-to-Site), пара-тройка одновременных сессий гарантирована 24*7.

    21 марта 2010 г. 12:53

Ответы

  • Думаю следует все-таки написать, чем дело закончилось. На тестовой платформе в Hyper-V проблема не проявлялась (конфиги, версии ПО - те же, клиенты тоже), в результате чего было принято тяжелое решение - все-таки переставить систему. Спустя много лет эксплуатации, наверное, уже можно и полезно ;) ISA - все-таки прекрасный продукт: миграция как таковая заняла в сумме минут 15 (включая различные сопутствующие игрища с сертификатами), практически все настройки съелись из файла экспорта. Снова опять полет нормальный.

    26 марта 2010 г. 16:41

Все ответы

  • а логах ОС нет чего-то вроде - данный ИП адрес превысил число подключений и будет заблокирован......??

    22 марта 2010 г. 6:34
  • дрова обновить по любому

    snp отключали? (для исы на вин2к3 sp2 это почти обязательно)

    bsplitter такое может творить иногда (сам раз сталкивался, и от других слышал), попробуй снести

    22 марта 2010 г. 7:15
    Отвечающий
  • а логах ОС нет чего-то вроде - данный ИП адрес превысил число подключений и будет заблокирован ......??

    Есть ворнинги вроде:

    Description:
    ISA Server disconnected a non-TCP connection from 10.0.128.223 because the connection limit for this IP address was exceeded. Larger custom connection limits should be configured for the IP addresses of chained proxy servers and back-to-back ISA Server computers with a NAT relationship.

    Но по времени и источнику не сходится никак и по-моему они всегда были (несколько сегментов - вражеские, где политик использования нет).

    22 марта 2010 г. 7:23
  • snp отключали? (для исы на вин2к3 sp2 это почти обязательно)

    Насколько помню - да. KB948496 установлен.

    bsplitter такое может творить иногда (сам раз сталкивался, и от других слышал), попробуй снести

    Пробовал двигаться по версиям туда-сюда - без толку. Сносить совсем нет возможности: обязательны разные правила нарезки для конкретных пользователей, по портам не выйдет. Пока думаю развернуть дублирующую инфраструктуру (Hyper-V), чтобы детально поиграть.

    22 марта 2010 г. 7:32
  • у меня так иса отваливалась, когда в сети был вирус. ни пинги не ходили, ни рдп не работало. но в логах был написан ИП, с которого идут частые подключения. как только эту тачку выключали, то все поднималось.
    22 марта 2010 г. 7:50
  • Думаю следует все-таки написать, чем дело закончилось. На тестовой платформе в Hyper-V проблема не проявлялась (конфиги, версии ПО - те же, клиенты тоже), в результате чего было принято тяжелое решение - все-таки переставить систему. Спустя много лет эксплуатации, наверное, уже можно и полезно ;) ISA - все-таки прекрасный продукт: миграция как таковая заняла в сумме минут 15 (включая различные сопутствующие игрища с сертификатами), практически все настройки съелись из файла экспорта. Снова опять полет нормальный.

    26 марта 2010 г. 16:41