none
ISA 2006 +win 2003 +dns +ad RRS feed

  • Общие обсуждения

  • Добрый день всем! Есть небольшая проблемма с isa2006.

    Есть сервер win 2003 c двумя сетевухами(internal) и (external). На сервере поднят AD DNS.

    На исе развернуты разрешения на доступ снаружи по vpn. Все работает юзеры извне конектятся по vpn (средствами винды) и потом работают в терминале.

    Но с сервера невозможно бродить по интернету (абсолютно) т.е. вызываю интернет explorer, вбиваю http://www.google.com и сервер пишет..

    Объяснение: При попытке доступа к этой странице произошла ошибка, страницу отобразить невозможно.

    Попробуйте следующее:
    Обновление страницы: выполните повторный поиск страницы, нажав кнопку "Обновить". Возможно, тайм-аут произошел из-за перегрузки Интернета.
    Проверка написания: проверьте правильность написания адреса веб-узла. Возможны ошибки при вводе адреса.
    Доступ из ссылки: если имеется ссылка на искомую страницу, попробуйте получить доступ к странице с помощью этой ссылки.
    Если страницу все еще не удается отобразить, обратитесь к администратору или в службу поддержки.

     
     
     Технические сведения (для персонала службы поддержки)
    Код ошибки: 403 Запрет доступа. ISA Server отклонил указанный URL-адрес. (12202)
    IP-адрес: 74.125.87.99
    Дата: 1/21/2011 11:27:47 AM [GMT]
    Сервер: zodidc.zodiplus.ge
    Источник: прокси
     
    Что  мне нужно сделать ?

    • Изменен тип Yuriy Lenchenkov 7 февраля 2011 г. 7:41 пользователь покинул тему
    21 января 2011 г. 11:26

Все ответы

  • так вроде на самой исе в системных надо разрешать, как минимум.

    да и вроде как ходить с такого сервере не рекомендуется на екстернал.

    21 января 2011 г. 11:34
  • Я пока еше внутренюю сетку не подключал к серверу т.е. в идее этот же сервак пока будет раздавать dhcp клиентам internal сети. А они смогут со своих компов броузить инет или это уже надо смотреть после их подключения(извините за тупизм с исой пока я на вы)
    21 января 2011 г. 11:38
  • 1. Тесть у вас один сервер, он же АД, ДНС, терминал сервер, так еще и иса сервер?

    2. Без терминалке открываются сайты? (если работать с него напрямую)

    21 января 2011 г. 14:20
  • Да пока сервер один на все... это тестовый проект. Терминальных узеров немного, но ни в терминальной сесии ни просто с сервера web не открывается
    21 января 2011 г. 14:32
  • Создай правило порт http с local host в external для всех пользователей. С начало добейся чтобы просто сайты открывались. А еще лучше в начале разреши весь исходящий трафик в экстернал, если заработают сайты, то тогда уже урезай права. Но главное когда выбираешь откуда разрешить, надо выбрать local host
    21 января 2011 г. 14:36
  • попробуйте в firewall-system policy-various-allowed web-sites разрешить доступ куда-либо кроме reputation services и system policy allowed sites

    это в tmg так. в isa точно не помню


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    21 января 2011 г. 14:43
  • TO Alexey Mog создал правило + правильно настроил форвардери в DNS (sorry стыдно даже что не проверил) Все работает! Большое спасибо!
    21 января 2011 г. 21:23
  • Iraklizh, помечайте, пожалуйста, ответы, если предложенное решение вам помогло
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    22 января 2011 г. 7:49
  • Да предложенное решение помогло но осталась еше одна проблемма.

    В офисе стоит  dvr (записывает показания камер наблюдения) и нужно чтоб извне амогли бы просматривать. т.е. мне нужно открыть порт 4545 но какой протокол я сначала должен выбрать Поток мультимедия (PNM rtsp и mms) какой следует выбрать?

    22 января 2011 г. 8:14
  • Iraklizh, проверьте, пожалуйста, еще вариант разрешения доступа в инетрент через системную политику.

    У системы видеонаблюдения веб-интерфейс или клиентская часть некая?



    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    22 января 2011 г. 9:03
  • у системы наблюдения есть клиентская часть (на ыингейте раньше был редирект извне по порту 45454 на внутренний ip двр-а) по протоколу tcp

    еше смотрел лог сервера :Описание:  Таблица маршрутизации сетевой платы Internal включает диапазоны IP-адресов, не определенные в сети уровня массива Внутренняя, к которой она привязана. По этой причине, когда пакеты будут проходить через данную сетевую плату из указанных ниже диапазонов IP-адресов, либо к этим диапазонам, они будут считаться поддельными и отбрасываться. Для устранения данной неполадки добавьте отсутствующие диапазоны IP-адресов в сеть массива.
    Пакеты из следующих диапазонов IP-адресов будут считаться поддельными и отбрасываться:
    Внешняя:192.168.0.0-192.168.0.0,192.168.0.251-192.168.0.254;

    почему это происходит. где это нужно поправить.

    еше одна проблемма идентифицировалась. Клиенты внутренней сети не получают от dhcp адреса. Если прописывать вручную все работает, но если клиент vpn получает от dhcp адрес который уже прописан вручную на другом клиенте -возникает естественно ошибка. Почему так происходит пока не понял...

    23 января 2011 г. 6:38
  • Вот еше добавилась проблемма:

    Описание: ISA Server отключил не TCP-соединение от 192.168.0.75, поскольку превышен лимит подключений для данного IP-адреса. Следует установить больший лимит подключений для IP-адресов последовательно соединенных прокси-серверов и сдвоенных компьютеров с сервером ISA Server с отношением преобразования адресов (NAT).

    Описание:  Пакет масштабируемой сети Windows Server 2003, входящий в состав пакета обновления 2 (SP2) Windows Server 2003, включен. Если сетевая плата, установленная в компьютере ISA Server, поддерживает и использует функции пакета масштабируемой сети, то некоторые функции ISA Server будут работать неправильно. Дополнительные сведения см. в статье 948496 базы знаний Майкрософт.

    Описание: ISA Server обнаружил атаку путем подделки с IP-адреса 192.168.0.76. Атака путем подделки происходит, когда IP-адрес недоступен через сетевую плату, на которую пришел пакет. Если включено ведение журнала для отброшенных пакетов, можно посмотреть подробные сведения в журнале межсетевого экрана.

    И возникла у одного юзера проблемма. в впн подключает, нажимает на подключение к удаленному рабочему столу, появляется приложение но до логина не доходит. На сервере в евентвювере ошибка event id 1218 Failed to lad

    terminal server profile path Note that the profile path must be less then 256 characters

    Но даже когда с того компютера заводим другого юзера-таже ошибка.

    • Изменено Iraklizh 24 января 2011 г. 10:22
    24 января 2011 г. 8:07
  • Пакет масштабируемой сети - это опять вопрос о tcp offload, rss и tcp chimney

    отключите их по этой статье

    http://support.microsoft.com/kb/948496/en-us


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    24 января 2011 г. 9:53
  • Чтото не нашел я такого пункта:

    Method 1: Manually disable Receive Side Scaling and TCP Offload in the network adapter driver

    To manually disable RSS and TCP Offload in the network adapter driver, follow these steps:
    1. Click Start , click Run , type ncpa.cpl , and then click OK .
    2. Right-click a network adapter object, and then click Properties .
    3. Click Configure , and then click the Advanced tab.
    4. In the Property list, click Receive Side Scaling , click Disable in the Value list, and then click OK .
    5. In the Property list, click TCP/IP Offload , click Disable in the Value list, and then click OK .
    6. Repeat steps 2 through 5 for each network adapter object.
    7.  А что можно сделать с остальными проблеммами?
    24 января 2011 г. 11:06
  • до конца нужно было дочитать

    To manually disable RSS and TCP Offload yourself, follow these steps:

    1. Click Start, click Run, type regedit, and then click OK.
    2. Locate the following registry subkey:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    3. Right-click EnableTCPChimney, and then click Modify.
    4. In the Value data box, type 0, and then click OK.
    5. Right-click EnableRSS, and then click Modify.
    6. In the Value data box, type 0, and then click OK.
    7. Right-click EnableTCPA, and then click Modify.
    8. In the Value data box, type 0, and then click OK.
    9. Exit Registry Editor, and then restart the computer.

    If you set the value of the EnableTCPChimney registry entry to 1, the TCP Chimney functionality is enabled. Similarly, if you set the values of the EnableRSS and EnableTCPA registry entries to 1, the RSS functionality and the TCPA functionality are enabled.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    24 января 2011 г. 12:32
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    31 января 2011 г. 8:24
  • Проблеммы пока до конца не решены....
    31 января 2011 г. 11:47
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    4 февраля 2011 г. 7:11