none
ISA 2006 EE не пускает к DC по RPC RRS feed

  • Общие обсуждения

  • Приветствую уважаемый форум!

     

    Господа, имеется место быть большая проблема. Есть конфигурация: Windows 2003 SE R2 SP2 + ISA 2006 EE + Supportability Update, входит в домен AD. При работе системы в логе обнаруживаются ошибки WSAETIMEOUT, WSAENETUNREACH и т.п. при попытке сконнектиться по RPC с контроллерами домена. Соответственно, пользователи, аутентификация которых настроена на их доменные аккаунты, попасть в инет не могут, ISA не может получить и применить групповые политики и пр. прелести.

    Пробовал:

    1. Снимал пресловутую галку Enforce strict RPC compliance.

    2. Выполнял http://support.microsoft.com/default.aspx?scid=kb;EN-US;927695

    3. Отключал RPC-фильтр.

    4. На сетевых картах включал/отключал Receive Side Scaling и Offload Checksum.

    Добился только того, что вышеперечисленныке проблемы из постоянных превратились случайные, т. е. при обращении к одному и тому же DC то возникает, то нет.

    Честно говоря, что делать дальше, просто не знаю. Куда хоть копать-то?

     

    Заранее спасибо всем ответившим.

     

    28 сентября 2007 г. 10:53

Все ответы

  • Попробуйте проверить:

     

     Настройте отдельно правило (в политике трафика), типа All Traffic from Localhost to Internal (for All Users)

     

    И я правильно понял, что первое из 30 системных правил включено (Allow access to directory services for authentication purposes), но снята галочка Enforce Strict RPC?

     

    Кроме того, стоят все обновления c Microsoft Update?

    28 сентября 2007 г. 11:03
  •  Sergey Bezpalov написано:

    Попробуйте проверить:

     

    Настройте отдельно правило (в политике трафика), типа All Traffic from Localhost to Internal (for All Users)

     

    Такое есть

     

     Sergey Bezpalov написано:

    И я правильно понял, что первое из 30 системных правил включено (Allow access to directory services for authentication purposes), но снята галочка Enforce Strict RPC?

     

    Да

     

     Sergey Bezpalov написано:

    Кроме того, стоят все обновления c Microsoft Update?

     

    Стоит SP2, за post SP2 не уверен. Имеются в виду какие-нибудь конкретные обновления "по теме", на которые надо обратить внимание, или просто "ставь все, авось заработает"?

    28 сентября 2007 г. 11:30
  • А кода стопишь службы ISA 2006 (Windows Firewall, RRAS...) связь с DC возобновляется?

     

    Т.е. gpupdate /force проходит?

    28 сентября 2007 г. 11:40
  •  Sergey Bezpalov написано:

    А кода стопишь службы ISA 2006 (Windows Firewall, RRAS...) связь с DC возобновляется?

     

    Т.е. gpupdate /force проходит?

     

    Возобновляется. С запущенными службами тоже ИНОГДА проходит...

    28 сентября 2007 г. 12:32
  •  Возобновляется. С запущенными службами тоже ИНОГДА проходит... 

     

    Значит копать надо в сторону фильтрации пакетов ISA сервером, сек посмотрим

    28 сентября 2007 г. 12:37
  •  Sergey Bezpalov написано:

    Значит копать надо в сторону фильтрации пакетов ISA сервером, сек посмотрим

     

    Прошу прощения, не понял. А можно конкретно пальцем ткнуть? Smile

    28 сентября 2007 г. 13:03
  • Моя логика примерно такова !-) уж как есть: Когда вы стопите службы ISA (RRAS, Firewall...) то отключается вся "навесная" фильтрация (вместе фильтрами ISA и плугинами), кроме той которая встроенна в Windows Server 2003, а раз процессы RPC возобновляются - то Windows Server 2003 впорядке (как с нашей стороны, так и со стороны DC) - и проблему надо искать именно в настройках ISA Server (и подчиненных ему служб, таких как RRAS например)...

    28 сентября 2007 г. 13:13
  •  Sergey Bezpalov написано:

    Моя логика примерно такова !-) уж как есть: ...

     

    Ваша логика вполне понятна Smile Я и сам не сомневаюсь в том, что проблема имеет прямое отношение к ISA 2006. Просто я уже перепробовал много чего (см. выше) и уже не знаю, куда дальше копать. Что еще включить/выключить? Вы что-то говорили про фильтрацию пакетов?

    А RRAS у меня вообще не используется!

    28 сентября 2007 г. 13:23
  • Нашел!

     

    Порт 1025. На ISA Server 2004 EE + SP2 коннекты к DC по этому порту пропускаются 22-м правилом из System Policy Rules (Allow RPC from ISA Server to trusted servers), а на ISA Server 2006 EE - нет и, в итоге, этот трафик блокируется.

    RPC фильтр - включен, пресловутая галочка - по фигу (один и  тот же результат), сам протокол RPC (all interfaces) и там и там настроен одинаково.

    При явном включении порта сразу пошли и Group Policies и аутентификация пользователей и т.п.

     

    А теперь вопрос: как сделать так, чтобы на ISA 2006 правило 22 работало аналогично ISA 2004?

    28 сентября 2007 г. 16:37
  • Попробуйте

     

    1. Снять галочку "Enforce Strict RPC..." (или оставьте ее снятой)

     

    2. Создайте Enterprise правило "ISA to DC", где

     

    а) Action - Allow

    б) Protocols - All outbound traffic

    в) From - Local Host

    г) To - укажите ваши DC (dc01, dc02,...)

    д) Users - All Users

    е) Schedule - Always

    ё) Content Types - All content types

     

    3. Выбирите правило "ISA to DC" из списка правил предприятия, и нажмите правую кнопку мыши (свойства), далее выбирите "Configure RPC protocol" и снимите галочку "Enforce Strict RPC...".

     

    4. Примените правило.

     

    ISA должен начать пропускать любой RPC до контроллеров домена.

    1 октября 2007 г. 18:43
  • Уважаемый Sergey Bezpalov!

     

    Разумеется, я все это проделал, о чем ясно указал в своем ПРЕДЫДУЩЕМ постинге, и все работает. Причем, заметьте, All outbound traffic разрешать вовсе не обязательно, достаточно просто явно открыть порт 1025.

    Изложу еще раз, постараюсь детальнее Smile

    Тема с WSAETIMEOUT, WSAENETUNREACH и пр. была закрыта простой модификацией ключа реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:
    EnableRSS = 0
    EnableTCPA = 0
    DisableTaskOffload = 1.
    Но после этого ISA 2006 все равно не смог подтянуть групповые политики и авторизовать доменных пользователей. Выяснилось, что правило 22 из System Policy Rules (Allow RPC from ISA Server to trusted servers) в ISA 2006 больше не пропускает трафик по 1025-му порту, в отличие от ISA 2004. При этом, повторяю еще раз, пресловутая галочка "Enforce Strict RPC..." никакого влияния НЕ оказывает.
    Собственно вопросы: это проблема ISA или так и задумывалось? Никто больше с этой проблемой не сталкивался или народ предпочитает использовать ISA в режиме allow all to all Smile
    Очень хочется услышать КВАЛИФИЦИРОВАННОЕ мнение господ MCP, SBS и прочая, прочая, прочая по этому вопросу.
     
    Еще раз заранее спасибо!
    2 октября 2007 г. 9:35
  • Снова здравсвуйте, обьясню почему "All outbound traffic" - порт 1025 (TCP/UDP) жестко за кем то не закреплен, поэтому открытием 1025 вы неспасетесь, вот инфа к размышлению...

     

    http://support.microsoft.com/kb/927847

     

    http://www.microsoft.com/technet/community/columns/cableguy/cg1205.mspx

     

    http://support.microsoft.com/kb/832919 - здесь указывается что его можно использовать под нужды LDAP.

     

    Так что, если и указывать конкретный порт, то укажите диапозон TCP/UDP 1024 - 65535, отсюда и родилось "All outbound traffic", кроме того - когда я разворачивал на ISA 2006 на системах с R2 SP2 настроек реестра ниразу не проводил, хотя про них знал.
    2 октября 2007 г. 10:04
  •  Sergey Bezpalov написано:

    ... поэтому открытием 1025 вы не спасетесь, вот инфа к размышлению...

     

    Вы правы, в трафике RPC-сессий обнаруживается диапазон 1025-5000, дальше не смотрел.

     

    Больше интересует, известно ли что-нибудь о различном поведении ISA 2004 и 2006 в этой связи?

    2 октября 2007 г. 10:28
  • Вот нашел, что искал !-)

     

    http://support.microsoft.com/kb/832017/ru

     

    Active Directory (локальный администратор безопасности)

    Имя системной службы: LSASS

     

    Прикладной протокол

    Протокол Порты
    Сервер глобального каталога TCP 3269
    Сервер глобального каталога TCP 3268
    Сервер LDAP TCP 389
    Сервер LDAP UDP 389
    LDAP SSL TCP 636
    LDAP SSL UDP 636
    IPsec ISAKMP UDP 500
    NAT-T UDP 4500
    RPC TCP 135

     

    Порты ТСР с большими номерами, произвольно назначенные службой RPC

    TCP 1024 - 65536

    23 октября 2007 г. 16:43
  • 25 октября 2007 г. 11:14
    Модератор
  •  sie написано:

    Это не ваш случай? http://www.itcommunity.ru/blogs/sie/archive/2007/10/10/2358.aspx

     

    Да, спасибо, частично - мой.

    30 октября 2007 г. 11:37
  • Приветствую, у меня таже проблема, но ваш вариант тут не помогает.

    Для начала давайте определимся, то ли я делаю. Репликация между двумя контролерами, находящимися в разных сайтах, прервана, непонятно из-за чего пока что. При попытке нажать Replicate Now возникает сообщение о том, что RPC Server is unavailable. И дальше о том, что это могло быть вызвано проблемами с DNS. Надо сказать, что с ДНС действительно была проблема, внес поправки в зону, теперь сервера друг друга пингуют. Соответственно, у нас VPN, и сервера пингуют др др по внутреннем айпишникам.

     

    Правило по разрешению всему трафику между ними стоит уже давно, но тем не менее ошибочка все еще возникает. Плиз хелп.

    16 января 2008 г. 10:03
  • Я бы рекомендовал создать новую ветку...

     

    По вопросу - смотрите правила трафика межсайтовой связи, и включен ли RPC фильтр.

     

    Далее netdiag и dcdiag с котроллеров домена можно посмотреть.

    16 января 2008 г. 21:10
  •  

    Создаю новую ветку.
    5 февраля 2008 г. 11:23
  • А ты сделай так:

    Панель управления - Сетевые подключения - Дополнительно - Дополнительные пармаетры. Локальный интерфес первым сверху должен стоять!