none
ISA Server 2006 FW Chain RRS feed

  • Вопрос

  • Добрый день,

    Есть следующая схема:
    ISA Server 2006 в центральном офисе (центральный домен), ISA Server 2006 поднятый с нуля в региональном офисе (дочерний домен). Есть необходимость завернуть весь трафик из регионального офиса на центральную ISA, настроил Proxy Chaining и Firewall Chaining с авторизацией (учетка из центрального домена, одна на обе цепи). Авторизация между доменами бегает без проблем, сервера видят друг друга, Proxy chaining работает прекрасно.
    Но, абсолютно не желает работать FW chain! В логах то появляются то пропадают сообщения о доступности апстима, но на самом деле никаких потерь связи нет. При первом же обращении регионального клиента через firewall апстрим "пропадает", если обращений нет, то апсрим по мнению ISA поднимается (но опять пропадет при первом же обращении). При этом в логе апстрима видно следующие сообщения:
    0x80074e21 FW_E_ABORTIVE_SHUTDOWN
     
    Closed Connection ADONIS 07.12.2009 9:34:48
    Log type: Firewall service
    Status: 
    Rule: 
    Source: Internal (10.50.0.24:11643)
    Destination: Local Host (10.1.0.157:1745)
    Protocol: Microsoft Firewall Client (TCP)
    User: 
     Additional information
    Number of bytes sent: 2865 Number of bytes received: 1273
    Processing time: 36000 ms Original Client IP: 10.50.0.24
    Client agent: 

    На даунстриме тишина в логах, кроме выше означенных сообщений. Клиенты из региональной сети (FWC) прекрасно себя чуствуют при "ручной" настройке на апстрим и без проблем на нем авторизуются и ходят в инет. Апстрим имеет два интерфейса (инет и internal), даунстрим - один. Внутренняя WAN-подсеть прописана как Internal на обоих серверах.

    7 декабря 2009 г. 6:38

Ответы

  • Осипов, firewall, да и proxy -chaining довольно редко используемый функционал ISA, поэтому коллеги Вам и не берутся советовать. :)

    Отпишитесь пожалуйста, как кейс закрют.


    Можно сказать что кейс закрыли, получил следующий ответ:
    I must admit Firewall Chaining is not a reliable feature.
     While Firewall Chaining is a documented feature even in a dual NIC scenario there are a number of scenarios where this does not work correctly and where unfortunately the root cause is too fundamental to address in a hotfix or a service pack. And because it is rarely used feature for the next version of ISA, the Firewall Chaining has been removed from the product as it is not a common usage scenario.

    Our recommendation here would be to make your downstream ISA servers SecureNAT clients of the upstream ISA server so that outbound traffic is routed at the TCP layer and Firewall Chaining is not used.
    If there is a requirement to authenticate the traffic between Upstream and Downstream you might consider the use of IPsec.
     
    I know this is not ideal but unfortunately that is all we can do in your scenario.

    Другими словами - FW Chaining либо работает, либо нет. Если не работает, то лучше с ним не парится попытатся решить проблему через SecureNAT и роутинг до апстрима. В новом продукте MS TMG Server этого функционала уже не будет, так что лучше к нему не привыкать.

    • Помечено в качестве ответа Denis Osipov 30 декабря 2009 г. 10:58
    30 декабря 2009 г. 10:58

Все ответы

  • У вас не заблокирован доступ для RPC в сеть головного офиса на апстриме?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    7 декабря 2009 г. 9:47
    Модератор
  • Было закрыто, разрешил региональной исе все и в любом направлении - не помогло. Так же разрешил головной исе ходить везде...

    7 декабря 2009 г. 13:04
  • Было закрыто, разрешил региональной исе все и в любом направлении - не помогло. Так же разрешил головной исе ходить везде...


    Кстати, недоглядел, RPC открыт для Internal по умолчанию через system policies
    7 декабря 2009 г. 13:12
  • Хорошо, поставим вопрос по другому - эта функция в 2006 ISA у кого нибудь работает? Есть пошаговая инструкция по настройке? Поднял еще две исы - те же грабли, конфа вообще чистая. Плюс заметил глюк с исой, когда меняешь сервер в  chaining, иногда в логах продолжает писаться про недоступность старого сервера, вместо нового...
    8 декабря 2009 г. 8:40
  • Весело общаться самому с собой, поэтому продолжаю - добавил второй интерфейс с прямым интернетом ко второй исе. По прежнему chaining не работает, только в этом случае все идет через локальный интернет. Пробовал так же гасить локальный интернет - не переключается.

    PS: Все свежие патчи установленны, SNP отключено на обоих серверах.

    Завел кейс в MS Support SRQ091214600013, висит уже неделю со всеми запрошеными данными.
    21 декабря 2009 г. 6:08
  • Осипов, firewall, да и proxy -chaining довольно редко используемый функционал ISA, поэтому коллеги Вам и не берутся советовать. :)

    Отпишитесь пожалуйста, как кейс закрют.
    21 декабря 2009 г. 7:05
    Отвечающий
  • Осипов, firewall, да и proxy -chaining довольно редко используемый функционал ISA, поэтому коллеги Вам и не берутся советовать. :)

    Отпишитесь пожалуйста, как кейс закрют.


    Можно сказать что кейс закрыли, получил следующий ответ:
    I must admit Firewall Chaining is not a reliable feature.
     While Firewall Chaining is a documented feature even in a dual NIC scenario there are a number of scenarios where this does not work correctly and where unfortunately the root cause is too fundamental to address in a hotfix or a service pack. And because it is rarely used feature for the next version of ISA, the Firewall Chaining has been removed from the product as it is not a common usage scenario.

    Our recommendation here would be to make your downstream ISA servers SecureNAT clients of the upstream ISA server so that outbound traffic is routed at the TCP layer and Firewall Chaining is not used.
    If there is a requirement to authenticate the traffic between Upstream and Downstream you might consider the use of IPsec.
     
    I know this is not ideal but unfortunately that is all we can do in your scenario.

    Другими словами - FW Chaining либо работает, либо нет. Если не работает, то лучше с ним не парится попытатся решить проблему через SecureNAT и роутинг до апстрима. В новом продукте MS TMG Server этого функционала уже не будет, так что лучше к нему не привыкать.

    • Помечено в качестве ответа Denis Osipov 30 декабря 2009 г. 10:58
    30 декабря 2009 г. 10:58
  • Доброго время суток

    может кто что сказать нового по теме

    грабли те же

    29 января 2011 г. 13:10
  • Доброго время суток

    может кто что сказать нового по теме

    грабли те же


    лично я на этот вопрос забил, сейчас переходим на TMG 2006, в нем нет этой фичи. Пока все уперлось в наведение порядка на региональных ISA и написание регламентов.

    Есть одна мысль - возможно он ждет что пакеты upstream ISA будут приходить через external интерфейс либо какой-то другой выделенный. У меня она была на internal.

    29 января 2011 г. 18:00