none
ISA Server 2006 становится недоступна и не пропускает пакеты после установки Sp1 RRS feed

  • Вопрос

  • Добрый день.
    Стоит такая конфигурация:
    ISA Server 2006 член домена AD 2003, настроен как пограничный файервол с двумя сетевыми картами.
    Стоит также Traffic Filter 3.0.7
    Win2003 - ENG Standard Edition SP2 с последними обновлениями..
    Все полностью лицензионное...

    До установки на ISA Sp1 все было хорошо, ISA работала исправно, по 6-9 месяцев не трогали машину...
    После установки начались проблемы:
    С периодом от 3 до 10 дней ISA перестает пинговаться, не пропускает пакеты...
    Не видит внутренние ДНС сервера в сети, не пускает народ в интернет...
    В журнале событий - тишина и покой...
    Нет ошибок...
    После неоднократных перезагрузок как самого компьютера, так и службы MS Firewall часа через 1.5 все начинает работать... И опять через 3-10 дней все по-новой...
    Пробовали отключать Traffic Filter - не помогает, все равно отключается...
    Антивируса никакого не стоит...

    Подскажите, что может быть, где копать, куда смотреть?
    Поиск по базе Microsoft ничего не дал...
    Может есть какие-то хитрые приемы, чтобы выловить такие глюки?
    Переустанавливать систему и ISA Server долго...
    Может кто-то подскажет, как удалить ISA Sp1?
    8 декабря 2008 г. 14:13

Ответы

  • Вобщем источник проблем найден:
    ISA Server перестает функционировать, когда наш программный отдел делает многопользовательскую рассылку по электронной почте...
    Идет большой поток DNS запросов и ISA отрубает DC, правда, нигде об этом не пишет...
    Осталось только понять, какая из настроек в Flood Migration за это ответственная...
    Мы, на всякий случай, увеличили параметры для контроллеров домена, но, видимо, маловато...
    Пока просто останавливаем на Exchange 2007 поток писем и отправляем частями...

    Всем спасибо за обсуждение и советы!!!

    26 декабря 2008 г. 7:26

Все ответы

  •  

    А если во время ошибки псмотреть логи самой исы?
    8 декабря 2008 г. 14:21
  •  Ivan-impuls написано:
    Добрый день.
    Может кто-то подскажет, как удалить ISA Sp1?

    Удалить можно воспользовавшись обычной оснасткой "Add/Remove Programs". Подробности в разделе "Удаление исправлений": Установка исправлений и обновлений для сервера ISA Server.

    Но я всё же советую разобраться с проблемой вместо удаление пакета обслуживания.

    8 декабря 2008 г. 16:12
  • Traffic Filter удаляли или просто отключали?

     

    9 декабря 2008 г. 5:09
  • Спасибо, что откликнулись...
    Traffic Filter просто отключали...
    В ISALOG_FWC сообщения о флуде с контроллеров домена :
    11:59:08 UDP 192.168.х.33:63525 х.х.х.145:53 192.168.х.33 Internal External Terminate 0x80074e23 Outbound DNS DNS

    , которые также являются внутренними DNS серверами...
    Посмотрели статистику за те дни, когда ISA переставала пропускать пакеты, сравнили с обычными днями...
    С одной из машин в дни, когда падала ISA было очень большое количество dropped packets, эту машину сейчас убрали...

    Так же в дни, когда падала ISA увеличивалось количество DNS запросов от внутренних DNS серверов, поэтому в настройках Flood Mitigation добавили исключения для внутренних DNS серверов и увеличили для них mitigation limits...

    Теперь ждем, помогут ли вышеперечисленные меры...
    Может, еще что-то подскажете?

    9 декабря 2008 г. 8:57
  •  Artyom [d.raven] Sinitsyn написано:

     Ivan-impuls написано:
    Добрый день.
    Может кто-то подскажет, как удалить ISA Sp1?

    Удалить можно воспользовавшись обычной оснасткой "Add/Remove Programs". Подробности в разделе "Удаление исправлений": Установка исправлений и обновлений для сервера ISA Server.

    Но я всё же советую разобраться с проблемой вместо удаление пакета обслуживания.



    В том-то и дело, что в оснастке "Add/Remove Programs" нет записи про Microsoft ISA Server 2006 Sp1...
    9 декабря 2008 г. 9:22
  •  Ivan-impuls написано:
    Добрый день.
    Стоит такая конфигурация:
    ISA Server 2006 член домена AD 2003, настроен как пограничный файервол с двумя сетевыми картами.
    Стоит также Traffic Filter 3.0.7
    Win2003 - ENG Standard Edition SP2 с последними обновлениями..
    Все полностью лицензионное...

    До установки на ISA Sp1 все было хорошо, ISA работала исправно, по 6-9 месяцев не трогали машину...
    После установки начались проблемы:
    С периодом от 3 до 10 дней ISA перестает пинговаться, не пропускает пакеты...
    Не видит внутренние ДНС сервера в сети, не пускает народ в интернет...
    В журнале событий - тишина и покой...
    Нет ошибок...
    После неоднократных перезагрузок как самого компьютера, так и службы MS Firewall часа через 1.5 все начинает работать... И опять через 3-10 дней все по-новой...
    Пробовали отключать Traffic Filter - не помогает, все равно отключается...
    Антивируса никакого не стоит...

    Подскажите, что может быть, где копать, куда смотреть?
    Поиск по базе Microsoft ничего не дал...
    Может есть какие-то хитрые приемы, чтобы выловить такие глюки?
    Переустанавливать систему и ISA Server долго...
    Может кто-то подскажет, как удалить ISA Sp1?


    TCP/IP Offload-enabled  в настройках сетевых интерфейсов присутствует ?

    Если да - отключите.

    http://support.microsoft.com/kb/948496
    9 декабря 2008 г. 10:21
  • Посмотрел параметры в реестре:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    1. EnableTCPChimney = 0
    2. EnableRSS=0
    3. EnableTCPA=0
    В настройках адаптеров TCP/IP Offload и Receive Side Scaling  - таких параметров нет.
    Значит получается, что отключено?
    А обновление KB948496 надо ставить, чтобы отключить default SNP features?



    10 декабря 2008 г. 6:44
  •  Ivan-impuls написано:
    Посмотрел параметры в реестре:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    1. EnableTCPChimney = 0
    2. EnableRSS=0
    3. EnableTCPA=0
    В настройках адаптеров TCP/IP Offload и Receive Side Scaling  - таких параметров нет.
    Значит получается, что отключено?
    А обновление KB948496 надо ставить, чтобы отключить default SNP features?





    Если установлен SP2 на сервере и не работает, то ставьте.
    10 декабря 2008 г. 6:53
  • А я предлагаю попробовать удалить SP1 для ISA, удалить Traffic Filter, потом поставить SP1, а уже потом снова Traffic Filter. Этот TF еще тот глюк ).
    10 декабря 2008 г. 8:15
  • На счет глючности продукта TrafficFilter согласен с коллегой Alager.
    10 декабря 2008 г. 11:10
  • Так в том то и дело, что в Установке удалении программ нет пункта Microsoft ISA 2006 Sp1...
    Как тогда отдельно 1Sp удалить-то?
    10 декабря 2008 г. 13:14
  •  Ivan-impuls написано:
    Так в том то и дело, что в Установке удалении программ нет пункта Microsoft ISA 2006 Sp1...
    Как тогда отдельно 1Sp удалить-то?


    1) Экспортируйте конфигурацию ISA
    2) Сделайте резервную копию ISA сервера
    3) Удалите ISA сервер
    4) Установите ISA сервер и импортируйте конфигурацию
    10 декабря 2008 г. 13:29
  • Вобщем источник проблем найден:
    ISA Server перестает функционировать, когда наш программный отдел делает многопользовательскую рассылку по электронной почте...
    Идет большой поток DNS запросов и ISA отрубает DC, правда, нигде об этом не пишет...
    Осталось только понять, какая из настроек в Flood Migration за это ответственная...
    Мы, на всякий случай, увеличили параметры для контроллеров домена, но, видимо, маловато...
    Пока просто останавливаем на Exchange 2007 поток писем и отправляем частями...

    Всем спасибо за обсуждение и советы!!!

    26 декабря 2008 г. 7:26