none
Проблема при установке SP1 на ISA Server 2006 RRS feed

  • Вопрос

  • Имеем один домен с двумя сайтами. В каждом сайте установлен свой Exchange Server 2003. Сайты соеденены через VPN с использованием ISA Server 2006. При выходе SP1 на ISA 2006 они были поставлены на оба пограничных сервера.

     

    После установки SP1 выявилась проблема с работой почтовых клиентов, когда человек со своим ноутбук уезжал на другой сайт: его Outlook не подключался к Exchange серверу через ISA.

     

    Проблема решилась сносом SP1 на сервере в центральном офисе. В другом офисе SP1 остался.

     

    Полная переустановка ISA сервера с последующей установкой SP1 проблему не решает: по логам RPC трафик проходит через сервера и не блокируется.

     

    В чем может быть проблема? Жить без SP1 как-то не очень хочеться Smile

    24 октября 2008 г. 6:57

Все ответы

  •  Ivan Kormachev написано:

    Имеем один домен с двумя сайтами. В каждом сайте установлен свой Exchange Server 2003. Сайты соеденены через VPN с использованием ISA Server 2006. При выходе SP1 на ISA 2006 они были поставлены на оба пограничных сервера.

     

    После установки SP1 выявилась проблема с работой почтовых клиентов, когда человек со своим ноутбук уезжал на другой сайт: его Outlook не подключался к Exchange серверу через ISA.

     

    Проблема решилась сносом SP1 на сервере в центральном офисе. В другом офисе SP1 остался.

     

    Полная переустановка ISA сервера с последующей установкой SP1 проблему не решает: по логам RPC трафик проходит через сервера и не блокируется.

     

    В чем может быть проблема? Жить без SP1 как-то не очень хочеться



    А причём тут rpc ? У Вас клиенты как работают ? По RPC over HTTP или MAPI ?

    Вы логи как смотрели ?
    24 октября 2008 г. 7:16
  • >>Вы логи как смотрели ?

     

    На ISA сервере запускал logging по IP адресу клиента. Виден только RPC трафик. Клиенты работают через MAPI.

    24 октября 2008 г. 9:42
  •  Ivan Kormachev написано:

    >>Вы логи как смотрели ?

     

    На ISA сервере запускал logging по IP адресу клиента. Виден только RPC трафик. Клиенты работают через MAPI.



    А в остальных логах что ?
    24 октября 2008 г. 9:55
  •  Ivan Kormachev написано:

     когда человек со своим ноутбук уезжал на другой сайт: его Outlook не подключался к Exchange серверу через ISA.

    Проверьте работу DNS в обоих сайтах.

     

    24 октября 2008 г. 10:14
  •  

    >>Проверьте работу DNS в обоих сайтах.

     

    Что проверить в ДНС? Ситуация: человек работает с почтой с другого сайта. Как только я ставлю SP1 на ISA сервер в офисе, у него пропадает связь с почтовым сервером. Как только удаляю SP1 все становитья нормально.

     

    Какая может быть корреляция с ДНС? За те 5 минут что я ставлю SP1 и удаляю в ДНС ничего координально поменять не может (ДНС вообще на других серверах стоит).

    24 октября 2008 г. 13:50
  •  Ivan Kormachev написано:

     

    >>Проверьте работу DNS в обоих сайтах.

     

    Что проверить в ДНС? Ситуация: человек работает с почтой с другого сайта. Как только я ставлю SP1 на ISA сервер в офисе, у него пропадает связь с почтовым сервером. Как только удаляю SP1 все становитья нормально.

     

    Какая может быть корреляция с ДНС? За те 5 минут что я ставлю SP1 и удаляю в ДНС ничего координально поменять не может (ДНС вообще на других серверах стоит).



    Вам нужно внимательней изучать логи. Чудес не бывает. В нерабочее время включите диагностику ISA сервера и всё станет понятно.
    24 октября 2008 г. 13:55
  •  

    >>А в остальных логах что ?

    На клиенте: Задача 'Microsoft Exchange Server-отправка получение' сообщила об ошибке (0x80040115): ' Подключение к серверу Microsoft Exchange Server недоступно. Для завершения команды Outlook требуется постоянное или временное подключение к серверу."

    На сервере я даже не знаю где посмотреть - в евент логах ничего нет.

    24 октября 2008 г. 13:57
  • >>Вам нужно внимательней изучать логи. Чудес не бывает. В нерабочее время включите диагностику ISA сервера и всё станет понятно.

    В среду убил на это 3 часа. Увидел только, что при SP1 идет большое количество rpc сессий, которые открываются и сразу же закрываются. Вот из-за чего это - не понятно. При нормальной работе rpc сессии открываются и до их закрытия проходит какое-то разумное время.

     

    Отброшенных пакетов нет. Очень похоже на какой-то баг, который был в ISA Server 2004, когда нужно было ставить какой-то хотфикс.

    24 октября 2008 г. 14:01
  •  Ivan Kormachev написано:

    >>Вам нужно внимательней изучать логи. Чудес не бывает. В нерабочее время включите диагностику ISA сервера и всё станет понятно.

    В среду убил на это 3 часа. Увидел только, что при SP1 идет большое количество rpc сессий, которые открываются и сразу же закрываются. Вот из-за чего это - не понятно. При нормальной работе rpc сессии открываются и до их закрытия проходит какое-то разумное время.

     

    Отброшенных пакетов нет. Очень похоже на какой-то баг, который был в ISA Server 2004, когда нужно было ставить какой-то хотфикс.



    Отключите на время защиту от флуда и прочие новые прелести в ISA SP1
    24 октября 2008 г. 14:06
  • Попробуйте выключить Enforce strict RPC compliance (Требовать строгого соответствия RPC) в правилах системной политики.

    24 октября 2008 г. 20:29
  •  

    >>ключите на время защиту от флуда и прочие новые прелести в ISA SP1

     

    Защита от флуда разве не была еще в ISA Server без SP1? О каких других вещах может идти речь?

    25 октября 2008 г. 6:26
  • >> Попробуйте выключить Enforce strict RPC compliance

     

    Посмотрел - системные политики все отключены вообще и все правила раздаются через обычные политики. В правилах Enforce strict RPC compliance не стоит

    25 октября 2008 г. 6:33
  • >>Почитайте еще вот это - Service Pack 2 для Windows 2003 и проблемы работы сети

     

    Вот это реально интересно. Поизучаю и в понедельник вечером попробую проверить.

     

    Может будут еще какие-нибудь предположения или пути троблешутинга, чтобы я мог более детально изучить проблему в понедельник?

    25 октября 2008 г. 6:36
  •  Ivan Kormachev написано:

    >> Попробуйте выключить Enforce strict RPC compliance

     

    Посмотрел - системные политики все отключены вообще и все правила раздаются через обычные политики. В правилах Enforce strict RPC compliance не стоит

    Тогда попробуйте ВКЛЮЧИТЬ в правилах "Enforce strict RPC compliance".

    25 октября 2008 г. 17:44
  • >>Тогда попробуйте ВКЛЮЧИТЬ в правилах "Enforce strict RPC compliance".

     

    Пробовал, не помогло Smile

    26 октября 2008 г. 10:56
  • >> Почитайте еще вот это - Service Pack 2 для Windows 2003 и проблемы работы сети

     

    После установки SP1 на ISA обновил драйвера, сделал остальные рекомендации по данной инструкции и ничего не помогло.

     

    Включить выключить жесткий RPC также не решает проблему.

     

    При попытке подключить в ISA сервер выпадает несколько попыток подключиться по протоколу RPC (All Interfaces) которые сразу же заканчиваются

     

    Вот что видно в логах на ISA сервере завода (на нем стоит SP1 и с ним все ок):

     

    Original Client IP Client Agent Authenticated Client Service Server Name Referring Server Destination Host Name Transport MIME Type Object Source Source Proxy Destination Proxy Bidirectional Client Host Name Filter Information Network Interface Raw IP Header Raw Payload GMT Log Time Source Port Processing Time Bytes Sent Bytes Received Result Code HTTP Status Code Cache Information Error Information Log Record Type Authentication Server Log Time Destination IP Destination Port Protocol Action Rule Client IP Client Username Source Network Destination Network HTTP Method URL
    6.6.6.4    ZEUS -  TCP -      -    31.10.2008 17:31:35 44070 31 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 31.10.2008 20:31:35 5.5.5.4 135 RPC (all interfaces) Initiated Connection Office 6.6.6.4  Internal vpn-zavod - -
    6.6.6.4    ZEUS -  TCP -      -    31.10.2008 17:31:35 44070 125 272 84 0x80074e24 FWX_E_CONNECTION_KILLED  0x0 0x0 Firewall - 31.10.2008 20:31:35 5.5.5.4 135 RPC (all interfaces) Closed Connection Office 6.6.6.4  Internal vpn-zavod - -
    6.6.6.4    ZEUS -  TCP -      -    31.10.2008 17:31:35 44071 32 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 31.10.2008 20:31:35 5.5.5.4 135 RPC (all interfaces) Initiated Connection Office 6.6.6.4  Internal vpn-zavod - -
    6.6.6.4    ZEUS -  TCP -      -    31.10.2008 17:31:35 44071 125 272 84 0x80074e24 FWX_E_CONNECTION_KILLED  0x0 0x0 Firewall - 31.10.2008 20:31:35 5.5.5.4 135 RPC (all interfaces) Closed Connection Office 6.6.6.4  Internal vpn-zavod - -
    6.6.6.4    ZEUS -  TCP -      -    31.10.2008 17:31:35 44072 31 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 31.10.2008 20:31:35 5.5.5.4 135 RPC (all interfaces) Initiated Connection Office 6.6.6.4  Internal vpn-zavod - -
    6.6.6.4    ZEUS -  TCP -      -    31.10.2008 17:31:35 44072 125 272 84 0x80074e24 FWX_E_CONNECTION_KILLED  0x0 0x0 Firewall - 31.10.2008 20:31:35 5.5.5.4 135 RPC (all interfaces) Closed Connection Office 6.6.6.4  Internal vpn-zavod - -
    6.6.6.4    ZEUS -  TCP -      -    31.10.2008 17:31:35 44073 31 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 31.10.2008 20:31:35 5.5.5.4 135 RPC (all interfaces) Initiated Connection Office 6.6.6.4  Internal vpn-zavod - -
    6.6.6.4    ZEUS -  TCP -      -    31.10.2008 17:31:35 44073 140 272 84 0x80074e24 FWX_E_CONNECTION_KILLED  0x0 0x0 Firewall - 31.10.2008 20:31:35 5.5.5.4 135 RPC (all interfaces) Closed Connection Office 6.6.6.4  Internal vpn-zavod - -

    Вот что в логах на ISA сервере офиса (на него только-только поставили SP1):

     

    Original Client IP Client Agent Authenticated Client Service Server Name Referring Server Destination Host Name Transport MIME Type Object Source Source Proxy Destination Proxy Bidirectional Client Host Name Filter Information Network Interface Raw IP Header Raw Payload GMT Log Time Source Port Processing Time Bytes Sent Bytes Received Result Code HTTP Status Code Cache Information Error Information Log Record Type Authentication Server Log Time Destination IP Destination Port Protocol Action Rule Client IP Client Username Source Network Destination Network HTTP Method URL
    6.6.6.4    TITAN -  TCP -      -    31.10.2008 17:31:32 44073 0 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 31.10.2008 20:31:32 5.5.5.4 135 RPC (all interfaces) Initiated Connection Between Office, Zavod, Sklad 6.6.6.4  vpn-zavod Internal - -
    6.6.6.4    TITAN -  TCP -      -    31.10.2008 17:31:32 44072 110 272 84 0x80074e24 FWX_E_CONNECTION_KILLED  0x0 0x0 Firewall - 31.10.2008 20:31:32 5.5.5.4 135 RPC (all interfaces) Closed Connection Between Office, Zavod, Sklad 6.6.6.4  vpn-zavod Internal - -
    6.6.6.4    TITAN -  TCP -      -    31.10.2008 17:31:32 44072 0 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 31.10.2008 20:31:32 5.5.5.4 135 RPC (all interfaces) Initiated Connection Between Office, Zavod, Sklad 6.6.6.4  vpn-zavod Internal - -
    6.6.6.4    TITAN -  TCP -      -    31.10.2008 17:31:31 44071 109 272 84 0x80074e24 FWX_E_CONNECTION_KILLED  0x0 0x0 Firewall - 31.10.2008 20:31:31 5.5.5.4 135 RPC (all interfaces) Closed Connection Between Office, Zavod, Sklad 6.6.6.4  vpn-zavod Internal - -
    6.6.6.4    TITAN -  TCP -      -    31.10.2008 17:31:31 44071 0 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 31.10.2008 20:31:31 5.5.5.4 135 RPC (all interfaces) Initiated Connection Between Office, Zavod, Sklad 6.6.6.4  vpn-zavod Internal - -
    6.6.6.4    TITAN -  TCP -      -    31.10.2008 17:31:31 44070 109 272 84 0x80074e24 FWX_E_CONNECTION_KILLED  0x0 0x0 Firewall - 31.10.2008 20:31:31 5.5.5.4 135 RPC (all interfaces) Closed Connection Between Office, Zavod, Sklad 6.6.6.4  vpn-zavod Internal - -
    6.6.6.4    TITAN -  TCP -      -    31.10.2008 17:31:31 44070 0 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 31.10.2008 20:31:31 5.5.5.4 135 RPC (all interfaces) Initiated Connection Between Office, Zavod, Sklad 6.6.6.4  vpn-zavod Internal - -
    6.6.6.4    TITAN -  TCP -      -    31.10.2008 17:31:32 44073 93 272 84 0x80074e24 FWX_E_CONNECTION_KILLED  0x0 0x0 Firewall - 31.10.2008 20:31:32 5.5.5.4 135 RPC (all interfaces) Closed Connection Between Office, Zavod, Sklad 6.6.6.4  vpn-zavod Internal - -

    5.5.5.4 - это адрес Exchange сервера в офисе, 6.6.6.4 - адрес сервера на заводе (во время тестов с него запускался Outlook). Тоже самое происходит, если запускать Outlook в обратном направлении.

    31 октября 2008 г. 17:35
  • Отключение RPC фильтра на ISA сервере решило мою проблему, но сейчас идет куча трафика по каким-то левым портам (при этом на заводе виден только RPC (All interfaces).

     

    Что делать для решения данной проблемы?

    31 октября 2008 г. 17:46
  • Ну дак как? Будут предложения?

    1 ноября 2008 г. 11:44