none
ISA + RRAS on Win2k3 RRS feed

  • Вопрос

  • добрый вечер! не знал куда написать свою проблему так как она связанна или с ISA или RRAS (мож конечно кривые руки, но тут такого нет раздела :)) ), написал в ISA


    И так проблема есть домен Domain.net  контроллер домена win 2k3r2 Server STD (Server 1)  есть ISA server 2004 (ISA)на нем подняты VPN access and site-to-site access
    Server + ISA сеть:
    Ip: 192.168.25.0/24
    внеш интерфейс на ISA: 192.168.10.25

    далее было сделанно следующее: установлен ещё один win2k3 (Server2) сервер выдано ему было 2 сетевухи и через network conn. был сделан VPN до ISA сервера.

    Server2 network:
    ip: 192.168.28.0/24
    внешний интерфейс: 192.168.10.30

     
    При живом и работающем VPN канале была выполнена команда dcpromo и server2 был введен в домен как Child domain и получил название remote.domain.net
    После успешно перегрузились и вошли на server2 под админом в домен Remote
    Потом включена была RRAS служба и попытка сделать demand dial VPN соединение до ISA - ответ на это один :)   :
    Event Id 20111: A Demand Dial connection to the remote interface VPN on port VPN4-4 was successfully initiated but failed to complete successfully because of the  following error: A Remote Access Client attempted to connect over a port that was reserved for Routers only.

    Вопрос как я понимаю суть проблемы: как объявить для ISA server что VPN который я создал в RRAS это удаленный роутер?

    Заранее спасибо.


    4 марта 2007 г. 17:50

Ответы

  • Код ошибки 0xc0040021 говорит об "authentication problem"

    Чтобы не путаться просто создайте одноименных пользователей с одним и тем же паролем с двух сторон! И имена интерфейсов (соединений) как имена пользователей.

    5 марта 2007 г. 11:51
    Модератор

Все ответы

  • Попробуйте пересоздать VPN соединение после поднятия роли сервера до доменного контроллера.
    4 марта 2007 г. 18:22
  • Посмотрите еще внимательней remote access policy в RRAS на ISA. Ошибка что то навевает подозрения...
    4 марта 2007 г. 18:52
  • На Server 1 запустите оснастку ISA, закладка Remote Sites (в узле VPN)

    И настройте соединение с Server 2  типа Site-to-Site VPN с помощью визарда. При этом внимательно читайте сообщения визарда - там все ответы на ваши вопросы как настроить затем RRAS.

    5 марта 2007 г. 6:45
    Модератор
  • так и делал, на ISА server с мастером сделал s-t-s указал
    что удаленный гейт: 10.30, сеть 192.168.28.0/24 L2TP, IP-sec pre-shared key указал, MS-Chap2, создал 2 правила в firewall rules - всё разрешить с remote site networк во внутреннюю сеть и обратно.
    создал пользователя на ISA server локального : router разрешил Dial-in, добавил в группу VPN acc (для ISA)


    на сервере с RRAS создал dial-demand int.
    Intrf. name - remote router
    connection using VPN
    L2Tp
    сервер 10.25
    указал что в удаленной сети 192.168.25.0/24
    пользователь ЛОКАЛЬНЫЙ на ISA server

    Теперь пишет, что
    Description: The VPN connection attempt by user ISA.domain.com\router from VPN client IP address 192.168.10.30 could not be established.
    The failure is due to error: 0xc0040021
    или туже ошибку.

    Причем, если включить VPN-Clients на ISA то через RRAS отлично всё конектится :)

    5 марта 2007 г. 11:00
  • Код ошибки 0xc0040021 говорит об "authentication problem"

    Чтобы не путаться просто создайте одноименных пользователей с одним и тем же паролем с двух сторон! И имена интерфейсов (соединений) как имена пользователей.

    5 марта 2007 г. 11:51
    Модератор
  • у меня почему то подозрение, что дело уже не в ISa сервере а в доменах, объясню почему:
    Server2 является контроллером домена remote.domain.com в свою очередь домен является Child для домена domain.com
    сделано было это всё через клиентский VPN канал после чего канал был убит и домены друг друга больше не видели + DNS на домене remote.domain.com
    не поднялась - это конечно очень плохо.
    Итого: есть домен и "дитя" домена которые друг друга не видят :)
    Если на ISa создать локального пользователя можно, то на контролере домена server2 нельзя.
    Сделал следующее (так как всё на WmWare делается) то Server2 получил IP из 25 подсети RRAS  был успешно остановлен, после чего долго и упорно пытался сделать чтобы домены увиделись, поднял DNS сервер на Server2  и добавил помимо основной зоны (remote.domain.com) сделал зону Stub zone и сказал что мастер  - это контроллер домена domain.com тоже самое в зеркальном отражении сделал на server1
    после чего домены увидели друг друга
    НА ISA сервере добавил в группу VPN acc  пользователя administrator@remote.domain.com и дал ему dial-in права, после чего вернул сетевые настройки на Server2 в изначальное состояние, и снова поднял RRAS, получил ошибку что и была в начале.
    Интерфейсы - название одинаковое, пользователи тоже.

    6 марта 2007 г. 8:19
  • Единственное, что может мешать авторизации, это расхождение времени более чем на 5 минут на серверах.

    Да кстати, а на ISA разрешен и настроен VPN Access?

    6 марта 2007 г. 12:20
    Модератор
  • В общем сделал теперь вот что: опять поменял на Server2 IP и опять сделал его в сети Server1 (25 подсеть), вывел его из домена и удалил Child domain теперь он просто рядовой сервер
    поменял обратно настройки (т.е снова 28 подсеть на одной сетевухе)
    перенастроил RRAS и ISA теже .... только в профиль - конектится только как VPN Client
    как site-to-site ни в какую не хочет....
    уже видео сделал с помощью WmWare как настраиваю ISA (150 мб видео) на след выходных сделаю как настраиваю RRAS (делаю дома, так как на работе всего и так хватает :)  )
    Если кому интересно  сможет указать мою ошибку и трафика не жалко  (около 250 Мб) могу куда нить выложить ( в подмосковье с безлимитными тарифами пока тяжко :((( )
    уже думаю над тем чтобы сделать контроллер домена +isa в одном серваке...
    12 марта 2007 г. 8:38
  • Я таки всё же добился! чтобы всё заработало!
    18 марта 2007 г. 7:25
  • С чем и поздравляю!
    19 марта 2007 г. 10:32
    Модератор