none
Сравнение надежности ISA Server 2000 и ISA Server 2004/2006 RRS feed

  • Общие обсуждения

  • Коллеги, всех ли устраивает функционирование ISA 2004/2006 как прокси сервера?

    По сравнению с ISA 2000 под нагрузкой  (более 1000 веб-прокси сессий) данные прокси сервера работают гораздо менее стабильно - сервис падает 2-3 раза в день.... Постоянно ошибки записи в кэш...


    26 марта 2009 г. 8:04

Все ответы

  • Artem [Guard] написал:

    Коллеги, всех ли устраивает функционирование ISA 2004/2006 как прокси сервера?

    По сравнению с ISA 2000 под нагрузкой  (более 1000 веб-прокси сессий) данные прокси сервера работают гораздо менее стабильно - сервис падает 2-3 раза в день.... Постоянно ошибки записи в кэш...



    Возможно проблемы в оборудовании сервера.

    ISA 2004/2006 "держит" большие нагрузки без каких-либо проблем. Проверено временем.

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
    26 марта 2009 г. 8:09
  • Сервера HP DL 360 G4/G5, дисковая система на одном сервере - 0+1, на другом - 5-й рейд, сервера так же проверенные временем....
    Для сравнения, ISA 2000 на аналогичном по классу сервере, но с более старым железом - HP DL 360 G2 работает на редкость более стабильно...
    Кстати, по поводу ошибок записи в кэш, проблема достаточно известная....
    26 марта 2009 г. 8:16
  • Вы опубликуйте имеющиеся у Вас ошибки.
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    26 марта 2009 г. 8:23
  • Пожалуйста:
    Касательно падений сервиса:

    Event Type:    Error
    Event Source:    Microsoft Firewall
    Event Category:    None
    Event ID:    14057
    Date:        26.03.2009
    Time:        9:18:33
    User:        N/A
    Computer:    SRV-ISA-01
    Description:
    The Firewall service stopped because an application filter module C:\WINDOWS\system32\wdigest.dll generated an exception code C0000005 in address 74107ED4 when function CompleteAsyncIO was called. To resolve this error, remove recently installed application filters and restart the service.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    Event Type:    Error
    Event Source:    Microsoft ISA Server 2006
    Event Category:    None
    Event ID:    1000
    Date:        26.03.2009
    Time:        9:18:37
    User:        N/A
    Computer:    SRV-ISA-01
    Description:
    Faulting application wspsrv.exe, version 5.0.5723.493, stamp 48623ea3, faulting module wdigest.dll, version 5.2.3790.3959, stamp 45d70adc, debug? 0, fault address 0x00007ed4.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Data:
    0000: 41 00 70 00 70 00 6c 00   A.p.p.l.
    0008: 69 00 63 00 61 00 74 00   i.c.a.t.
    0010: 69 00 6f 00 6e 00 20 00   i.o.n. .
    0018: 46 00 61 00 69 00 6c 00   F.a.i.l.
    0020: 75 00 72 00 65 00 20 00   u.r.e. .
    0028: 20 00 77 00 73 00 70 00    .w.s.p.
    0030: 73 00 72 00 76 00 2e 00   s.r.v...
    0038: 65 00 78 00 65 00 20 00   e.x.e. .
    0040: 35 00 2e 00 30 00 2e 00   5...0...
    0048: 35 00 37 00 32 00 33 00   5.7.2.3.
    0050: 2e 00 34 00 39 00 33 00   ..4.9.3.
    0058: 20 00 34 00 38 00 36 00    .4.8.6.
    0060: 32 00 33 00 65 00 61 00   2.3.e.a.
    0068: 33 00 20 00 69 00 6e 00   3. .i.n.
    0070: 20 00 77 00 64 00 69 00    .w.d.i.
    0078: 67 00 65 00 73 00 74 00   g.e.s.t.
    0080: 2e 00 64 00 6c 00 6c 00   ..d.l.l.
    0088: 20 00 35 00 2e 00 32 00    .5...2.
    0090: 2e 00 33 00 37 00 39 00   ..3.7.9.
    0098: 30 00 2e 00 33 00 39 00   0...3.9.
    00a0: 35 00 39 00 20 00 34 00   5.9. .4.
    00a8: 35 00 64 00 37 00 30 00   5.d.7.0.
    00b0: 61 00 64 00 63 00 20 00   a.d.c. .
    00b8: 66 00 44 00 65 00 62 00   f.D.e.b.
    00c0: 75 00 67 00 20 00 30 00   u.g. .0.
    00c8: 20 00 61 00 74 00 20 00    .a.t. .
    00d0: 6f 00 66 00 66 00 73 00   o.f.f.s.
    00d8: 65 00 74 00 20 00 30 00   e.t. .0.
    00e0: 30 00 30 00 30 00 37 00   0.0.0.7.
    00e8: 65 00 64 00 34 00 0d 00   e.d.4...
    00f0: 0a 00                     ..     



    26 марта 2009 г. 8:49
  • Кстати, для ISA 2004 есть таки фикс от этой напасти...
    Правда, он вышел гораздо раньше SP3 для ISA 2004 и он пока доступен только по запросу...

    http://support.microsoft.com/default.aspx/kb/922440

    Да и вообще проблема эта так же известна:

    http://support.microsoft.com/search/default.aspx?mode=r&query=14057&spid=global&catalog=LCID%3D1033&1033comm=1&res=20

    26 марта 2009 г. 8:56
  • Тут посмотрите
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
    26 марта 2009 г. 8:56
  • cognize_ написал:

    Тут посмотрите


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

    Ничего полезного там не нашел.
    Кстати, установлены чистые ISA 2004/2006..... При нагрузке до 100 Web Prоxy сессий все работает нормально - специально проверял когда сервер был в тестовой эксплуатации...


    Вобщем, как говорится "Microsoft has confirmed that this is a problem in the Microsoft products that are listed in the "Applies to" section."
    Боюсь, что учитывая то что все силы MS сейчас брошены на доработку TMG - придется ждать его появления....
    26 марта 2009 г. 9:02
  • Artem [Guard] написал:

    Коллеги, всех ли устраивает функционирование ISA 2004/2006 как прокси сервера?

    По сравнению с ISA 2000 под нагрузкой  (более 1000 веб-прокси сессий) данные прокси сервера работают гораздо менее стабильно - сервис падает 2-3 раза в день.... Постоянно ошибки записи в кэш...


    Кстати, после увеличения размера кэша с 1-го до 2-х Гб, проблем с ошибкой записи в кэш со вчерашнего дня пока не было....
    Кэширую только элементы до 200 Кб....

    26 марта 2009 г. 9:09
  • За сегодняшний день служба FW упала уже 9-й раз.....
    После 5-го падения стал грешить на кэш - выключил. После выключения кэша, за последний час служба упала уже 4 раза... :(

    26 марта 2009 г. 14:01
  • Не очень удобная вещь эта новая ИСА. Нет возможности ведения детальных логов, да и назначение правил могло быть погибче... Да, это правится навесками и надстройками, согласен. Плюс к тому, столкнулся с проблемой в 2006 ИСА - если подключение к интернету пропадает, и непоявляется дольше 15 минут, пользователям домена по большей части приходится перелогиниваться. С чем связано - не знаю. А так, вполне пригодно в качестве не очень требовательного заборчика в средних размеров организации. ИМХО.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    26 марта 2009 г. 14:20
    Модератор
  •  эм, осмелюсь спросить - а каких деталей в логах не хватает?
    и чего не хватает в правилах? мне так казалось что правила фаера там вполне обычные для большинства фаеров и принцип работы такой же.
    26 марта 2009 г. 18:01
    Отвечающий
  • Vinokurov Yuriy - MSFT написал:

    Не очень удобная вещь эта новая ИСА. Нет возможности ведения детальных логов, да и назначение правил могло быть погибче... Да, это правится навесками и надстройками, согласен. Плюс к тому, столкнулся с проблемой в 2006 ИСА - если подключение к интернету пропадает, и непоявляется дольше 15 минут, пользователям домена по большей части приходится перелогиниваться. С чем связано - не знаю. А так, вполне пригодно в качестве не очень требовательного заборчика в средних размеров организации. ИМХО.


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт




    Вы точно из Майкрософт? Или вас сокращают :). 

    Про логи конечно еще можно поспорить, хотя интересно было бы узнать с какой именно стороны вы предлагаете детальность увеличить, а про правила я вообще не понял претензий. Уж правила в ISA Server можно на любой вкус и цвет рисовать. Какой фаервол вы предлагаете в качестве примера? Ну чтобы правила мегагибкие можно было писать?

    По фиксу от напасти. Там строго определенный сценарий описан:

    Consider the following scenario. You configure a Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition-based computer to use Remote Authentication Dial-In User Service (RADIUS) server authentication on access rules. In this scenario, the Microsoft Firewall service on the ISA Server 2004 Standard Edition-based computer may stop responding to client computer requests.

    Мое личное мнение - использование RADIUS-аутентификации не дает мегапреференций в безопасности в данном случае, зато повышает сложность администрирования.
    27 марта 2009 г. 5:12
  • Меня лично детальность логов устраивает, и правила файервола достаточно гибкие - меня именно падение сервиса накаляет....
    Судя по тому что я накопал на форумах - проблема эта встречается у многих... Правда не у всех возникает эксепшен в wdigest.dll...

    27 марта 2009 г. 6:51
  •  
    Artem [Guard] написал:

    cognize_ написал:

    Тут посмотрите


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

    Ничего полезного там не нашел.
    Кстати, установлены чистые ISA 2004/2006..... При нагрузке до 100 Web Prоxy сессий все работает нормально - специально проверял когда сервер был в тестовой эксплуатации...


    Вобщем, как говорится "Microsoft has confirmed that this is a problem in the Microsoft products that are listed in the "Applies to" section."
    Боюсь, что учитывая то что все силы MS сейчас брошены на доработку TMG - придется ждать его появления....



    Мне кажется, что Вы плохо смотрели.
    Там приведены же статьи MC M916152, M919515, M922440, M923765, M943200, M945803, M950139, M956268
    Их надо в гугле набрать без буквы M - вылезут ссылки на статьи.

    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    27 марта 2009 г. 6:52
  • Кстати, на втором моем ISA сервере (ISA 2004), ошибки аналогичные:

    Тип события:    Ошибка
    Источник события:    Microsoft Firewall
    Категория события:    Отсутствует
    Код события:    14057
    Дата:        27.03.2009
    Время:        9:22:26
    Пользователь:        Н/Д
    Компьютер:    SRV-ISA-02
    Описание:
    The Firewall service stopped because an application filter module C:\WINDOWS\system32\wdigest.dll generated an exception code C0000005 in address 74107E9C when function CompleteAsyncAccept was called. To resolve this error, remove recently installed application filters and restart the service.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    Тип события:    Ошибка
    Источник события:    Microsoft ISA Server 2004
    Категория события:    Отсутствует
    Код события:    1000
    Дата:        27.03.2009
    Время:        9:22:27
    Пользователь:        Н/Д
    Компьютер:    SRV-ISA-02
    Описание:
    Faulting application wspsrv.exe, version 4.0.2167.887, stamp 462cc525, faulting module wdigest.dll, version 5.2.3790.1830, stamp 424377e8, debug? 0, fault address 0x00007e9c.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
    Данные:
    0000: 41 00 70 00 70 00 6c 00   A.p.p.l.
    0008: 69 00 63 00 61 00 74 00   i.c.a.t.
    0010: 69 00 6f 00 6e 00 20 00   i.o.n. .
    0018: 46 00 61 00 69 00 6c 00   F.a.i.l.
    0020: 75 00 72 00 65 00 20 00   u.r.e. .
    0028: 20 00 77 00 73 00 70 00    .w.s.p.
    0030: 73 00 72 00 76 00 2e 00   s.r.v...
    0038: 65 00 78 00 65 00 20 00   e.x.e. .
    0040: 34 00 2e 00 30 00 2e 00   4...0...
    0048: 32 00 31 00 36 00 37 00   2.1.6.7.
    0050: 2e 00 38 00 38 00 37 00   ..8.8.7.
    0058: 20 00 34 00 36 00 32 00    .4.6.2.
    0060: 63 00 63 00 35 00 32 00   c.c.5.2.
    0068: 35 00 20 00 69 00 6e 00   5. .i.n.
    0070: 20 00 77 00 64 00 69 00    .w.d.i.
    0078: 67 00 65 00 73 00 74 00   g.e.s.t.
    0080: 2e 00 64 00 6c 00 6c 00   ..d.l.l.
    0088: 20 00 35 00 2e 00 32 00    .5...2.
    0090: 2e 00 33 00 37 00 39 00   ..3.7.9.
    0098: 30 00 2e 00 31 00 38 00   0...1.8.
    00a0: 33 00 30 00 20 00 34 00   3.0. .4.
    00a8: 32 00 34 00 33 00 37 00   2.4.3.7.
    00b0: 37 00 65 00 38 00 20 00   7.e.8. .
    00b8: 66 00 44 00 65 00 62 00   f.D.e.b.
    00c0: 75 00 67 00 20 00 30 00   u.g. .0.
    00c8: 20 00 61 00 74 00 20 00    .a.t. .
    00d0: 6f 00 66 00 66 00 73 00   o.f.f.s.
    00d8: 65 00 74 00 20 00 30 00   e.t. .0.
    00e0: 30 00 30 00 30 00 37 00   0.0.0.7.
    00e8: 65 00 39 00 63 00 0d 00   e.9.c...
    00f0: 0a 00                     ..     


    27 марта 2009 г. 6:55
  • Мне кажется, что Вы плохо смотрели.
    Там приведены же статьи MC M916152, M919515, M922440, M923765, M943200, M945803, M950139, M956268
    Их надо в гугле набрать без буквы M - вылезут ссылки на статьи.

    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".


    Спасибо, но я их все уже смотрел....
    Тем более что можно эти статьи поискать и не через EventId.net :)

    см выше: http://support.microsoft.com/search/default.aspx?mode=r&query=14057&spid=global&catalog=LCID%3D1033&1033comm=1&res=20

     Моего варианта там нет. Есть похожие, но фиксы на них доступны только по запросу - а значит - сырые, и не известно помогут или нет....
    27 марта 2009 г. 6:59
  • Про логи конечно еще можно поспорить, хотя интересно было бы узнать с какой именно стороны вы предлагаете детальность увеличить, а про правила я вообще не понял претензий. Уж правила в ISA Server можно на любой вкус и цвет рисовать. Какой фаервол вы предлагаете в качестве примера? Ну чтобы правила мегагибкие можно было писать?

    По фиксу от напасти. Там строго определенный сценарий описан:

    Consider the following scenario. You configure a Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition-based computer to use Remote Authentication Dial-In User Service (RADIUS) server authentication on access rules. In this scenario, the Microsoft Firewall service on the ISA Server 2004 Standard Edition-based computer may stop responding to client computer requests.

    Мое личное мнение - использование RADIUS-аутентификации не дает мегапреференций в безопасности в данном случае, зато повышает сложность администрирования.


    Я же специально в подписи указал: все, что я говорю - это мое сугубо личное и персональное мнение))  С какой стороны увеличить детальность - ну хотя бы со стороны просмотра кто куда ходил и сколько оттуда скачал. А то есть топ-много по трафику, есть топ-много по посещениям.. а вот увязать эти вещи проблематично, не навешивая полкило надстроек. Неудобно, если стоит задача точного контроля. Если вам известен способ это сделать без навесок- поделитесь, буду искренне благодарен, т.к. сам такого способа не нашел. По правилам: проблематично настраивать запреты/разрешения для пользователей в рабочих группах. Не такая редкая задача, кстати. Какой файрволл предлагаю - не скажу)) по соображениям политкорректности, хотя здоровая критика в Майкрософт приветствуется, если она аргументирована, конечно.
    Про RADIUS с вами абсолютно согласен. Очень хотелось бы видеть возможность отключения этой фишки. Неудобно при нестабильных каналах, каковые на периферии имеют место быть.

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    27 марта 2009 г. 7:15
    Модератор
  • В принципе попытаться можно - запрошу зтот патчик может и поможет....
    Бэкап сегодняшний есть, если что - откачусь....
    Если поможет - отпишусь - но у меня, честно говоря, сомнения в его эффективности.
     
    27 марта 2009 г. 7:18
  • Artem [Guard] написал:

    В принципе попытаться можно - запрошу зтот патчик может и поможет....
    Бэкап сегодняшний есть, если что - откачусь....
    Если поможет - отпишусь - но у меня, честно говоря, сомнения в его эффективности.
     



    Так я и не понял, вы RADIUS юзаете или нет?

    * * *

    Юрий, так у вас претензии к репортам? Так бы сразу и говорили, но только отчеты - это некритичный функционал для фаервола явно. Попробуйте например с Cisco ASA отчеты снять :). Если есть определенные требования безопасности (контроль и т.п.), то есть много всяких разных полезных программ, не обязательно надстраивающихся на ISA Server. А впихивать ВСЕ в один продукт это не есть гут. И вероятность ошибок при этом в разы увеличивается. По мне пусть не будет мегаотчетов, зато сама программа будет надежно защищать сеть. Ну а для крупных контор в конце концов есть возможность написать свои собственные отчеты, SQL в этом плане вещь удобная. Кстати знаю компанию, которая пошла таким путем, сделав отчеты с помощью SQL 2005 Reporting Services и вроде всем была довольна.

    С рабочими группами, да есть специфика, так и не используйте их :). А если у вас в сети 5 человек работает - зачем вам ISA Server?
    27 марта 2009 г. 7:37
  •   
    Yaroslav Turbin написал:
    Так я и не понял, вы RADIUS юзаете или нет?
    Нет, радиус мы не используем, по поводу фикса - я уже понял что это не совсем наш вариант... Но совсем нашего ни в одной статье MS нет....
    Yaroslav Turbin написал: отчеты - это некритичный функционал для фаервола явно. Попробуйте например с Cisco ASA отчеты снять :). Если есть определенные требования безопасности (контроль и т.п.), то есть много всяких разных полезных программ, не обязательно надстраивающихся на ISA Server. А впихивать ВСЕ в один продукт это не есть гут. И вероятность ошибок при этом в разы увеличивается. По мне пусть не будет мегаотчетов, зато сама программа будет надежно защищать сеть. Ну а для крупных контор в конце концов есть возможность написать свои собственные отчеты, SQL в этом плане вещь удобная.


    По отчетам - согласен - в файерволе эта функциональность не нужна. Есть логи - по ним можно какой хочешь отчет состряпать...
    Правда, MS могла бы распостранять средство для генерации этих отчетов.... Его же не нужно впихивать в ИСУ... - пусть рядом лежит и не мешает - на надежность лежащая рядом программулина генерации отчетов по моему мало влияет. ИМХО.
    27 марта 2009 г. 7:50
  • Юрий, так у вас претензии к репортам? Так бы сразу и говорили, но только отчеты - это некритичный функционал для фаервола явно. Попробуйте например с Cisco ASA отчеты снять :). Если есть определенные требования безопасности (контроль и т.п.), то есть много всяких разных полезных программ, не обязательно надстраивающихся на ISA Server. А впихивать ВСЕ в один продукт это не есть гут. И вероятность ошибок при этом в разы увеличивается. По мне пусть не будет мегаотчетов, зато сама программа будет надежно защищать сеть. Ну а для крупных контор в конце концов есть возможность написать свои собственные отчеты, SQL в этом плане вещь удобная. Кстати знаю компанию, которая пошла таким путем, сделав отчеты с помощью SQL 2005 Reporting Services и вроде всем была довольна.

    С рабочими группами, да есть специфика, так и не используйте их :). А если у вас в сети 5 человек работает - зачем вам ISA Server?


    Пробовал)) больше что-то нет желания) С софтом тоже начинаются пляски: поставишь - а он с исой на ножах)) или еще что-то ему не нравится в системе.. Все это преодолимо, подбираемо - но зачем множить число сущностей сверх необходимого? Просто странно, почему этот функционал не реализовали - чуть замедлилась бы генерация репортов и все. А файрволлы предпочитаю апаратные)) хоть и стоят дороже, и настраивать замучаешься.

    А с рабочими группами.. тут веселая шутка, когда требуется региональный офис обеспечить информационными ресурсами центрального (почта, и прочие мелкие радости, причем все это не через Цитрикс), но в домен не включать при этом, ибо VPN золотой выйдет, а сидит в офисе 4 человека... И куда их? Правильно, в рабочую группу)). А чтоб было все единообразно, на проксю ставится ISA, которая в офисе головной компании и лицензия на нее куплена. Великая вещь - Корпоративный Стандарт((

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    27 марта 2009 г. 7:53
    Модератор
  • Про золотой VPN - не согласен. Сейчас безлимитный интернет стоит недорого. А вообще это уже российская специфика, мы не Китай, чтобы Майкрософт на нас ориентировался ).
    27 марта 2009 г. 8:01
  • Но по моему мы отклонились от темы обсуждения....
    Всех ли устраивает надежность текущих продуктов в плане падений сервиса FW?
    Или это мы одни такие - у всех все стабильно и сервис не падает?

    27 марта 2009 г. 8:02
  •  
    Yaroslav Turbin Вы в Москве живёте ?
    У меня всё стабильно - я доволен как слон)
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    27 марта 2009 г. 8:03
  • Yaroslav Turbin написал:

    Про золотой VPN - не согласен. Сейчас безлимитный интернет стоит недорого. А вообще это уже российская специфика, мы не Китай, чтобы Майкрософт на нас ориентировался ).

    По моему вы далеко от действительности. Кроме Москвы, Питера и других крупных городов есть еще и Российская глубинка....
    Вот там все до сих пор печально. Да что там, в Подмосковье порой тоже все очень грустно с каналами....
    VPN действительно в этих случаях золотой. Citrix и WEB технологии тут действительно спасение....

    27 марта 2009 г. 8:06
  • Я живу в Москве и у меня много чего не работает )
    27 марта 2009 г. 8:06
  • Artem [Guard] написал:

    Yaroslav Turbin написал:

    Про золотой VPN - не согласен. Сейчас безлимитный интернет стоит недорого. А вообще это уже российская специфика, мы не Китай, чтобы Майкрософт на нас ориентировался ).

    По моему вы далеко от действительности. Кроме Москвы, Питера и других крупных городов есть еще и Российская глубинка....
    Вот там все до сих пор печально. Да что там, в Подмосковье порой тоже все очень грустно с каналами....
    VPN действительно в этих случаях золотой. Citrix и WEB технологии тут действительно спасение....



    Это российская специфика и ставить ее в претензию к ISA Server - мол такие сякие, не предусмотрели - неправильно.
    27 марта 2009 г. 8:07
  • Ну так вот ... В регионах безлимитный интернет действительно стоит дорого (поверьте на слово...)! Он и у нас в Москве Стоит дорого для организаций.
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    27 марта 2009 г. 8:08
  • Aleksey Potapov написал:

      У меня всё стабильно - я доволен как слон)



    Количество одновременных соединений через ИСУ у вас какое, если не секрет? Суточный размер лог-файлов?
    27 марта 2009 г. 8:09
  •  В нынешней организации не так много...
    Но, я знаю организации, которые используют ISA сервер в больших масштабах - проблем не имеют вообще.
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    27 марта 2009 г. 8:11
  • Yaroslav Turbin написал:

    Artem [Guard] написал:



    Это российская специфика и ставить ее в претензию к ISA Server - мол такие сякие, не предусмотрели - неправильно.



    Я, собственно, и не ставлю... Функционал ИСЫ меня вполне устраивает - хотя тот же VPN, у нас например, организуется использованием CheckPoint и Cisco ASA.
    27 марта 2009 г. 8:12
  • Aleksey Potapov написал:

     В нынешней организации не так много...
    Но, я знаю организации, которые используют ISA сервер в больших масштабах - проблем не имеют вообще.

    Ну когда соединений через ИСУ мало - ночью например и в выходные - и у нас все нормально... А в больших масштабах это сколько? Например у нас суточный размер лог файла одной ИСЫ 1,5 Гб....
    27 марта 2009 г. 8:15
  • Artem [Guard] написал:

    Aleksey Potapov написал:

     В нынешней организации не так много...
    Но, я знаю организации, которые используют ISA сервер в больших масштабах - проблем не имеют вообще.

    Ну когда соединений через ИСУ мало - ночью например и в выходные - и у нас все нормально... А в больших масштабах это сколько? Например у нас суточный размер лог файла одной ИСЫ 1,5 Гб....



    Вы количество пользователей обозначьте. - я предполагаю что человек 600... я прав?

    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    27 марта 2009 г. 8:17
  • Сейчас через ту ису которая падает чаще (2006) установлено 1115 веб прокси сессий...
    При этом система абсолютно не загружена - т.е. производительность железа - достаточна.
    Повторюсь, ISA 2000 на гораздо более слабом железе, под такой же нагрузкой работала стабильно....
    27 марта 2009 г. 8:22
  • В принципе попытаться можно - запрошу зтот патчик может и поможет....
    Бэкап сегодняшний есть, если что - откачусь....
    Если поможет - отпишусь - но у меня, честно говоря, сомнения в его эффективности.
    Патчик не помог. Падения продолжаются. Откатился назад.
    В выходные при загрузке порядка 300-400 прокси сессий проблем не было.
    Продолжаю изыскания.
    31 марта 2009 г. 5:44
  • Сетевую менять пробовали?
    Или хотя бы дрова на имеющейся поменять...


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    31 марта 2009 г. 5:49
  • Драйвера последние от производителя, сетевая интегрированая (две, в тиминге...), никаких проблем с оборудованием нет. Ошибок в логах IML (диагностика оборудования) нет... Особого смысла в замене "сетевухи" не вижу.
    31 марта 2009 г. 6:01
  • Вы попробуйте....
    Так же - какая  у Вас конфигурация сервера ?


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    31 марта 2009 г. 6:02
  • Нет проблем в оборудовании.... Ибо если бы проблемы били с оборудованием - проблемы с падением сервиса были бы и в выходные дни - а их не было. Проблема именно в работе ISA сервера под большой нагрузкой. Такая проблема насколько я знаю была всегда - начиная с выхода ISA 2004...
    Больше чем уверен - размажу нагрузку этого сервера по 2-м прокси серверам - проблем не будет. Но доказать целесообразность установки дополнительного сервера (третьего) не смогу - загрузка этого минимальна...

    Под "большой" загрузкой понимаю не загрузку самого сервера, а количество прокси соединений через сервер - (в моем случае - больше 1000)

    Конфигурация сервера - хорошая....

    System Manufacturer:       HP
    System Model:              ProLiant DL360 G5
    System Type:               X86-based PC
    Processor(s):              4 Processor(s) Installed.
                               [01]: x86 Family 6 Model 15 Stepping 6 GenuineIntel ~2666 Mhz
                               [02]: x86 Family 6 Model 15 Stepping 6 GenuineIntel ~2666 Mhz
                               [03]: x86 Family 6 Model 15 Stepping 6 GenuineIntel ~2666 Mhz
                               [04]: x86 Family 6 Model 15 Stepping 6 GenuineIntel ~2666 Mhz
    BIOS Version:              HP     - 2
    Windows Directory:         C:\WINDOWS
    System Directory:          C:\WINDOWS\system32
    Boot Device:               \Device\HarddiskVolume1
    System Locale:             ru;Russian
    Input Locale:              en-us;English (United States)
    Time Zone:                 (GMT+03:00) Moscow, St. Petersburg, Volgograd
    Total Physical Memory:     3 326 MB
    Available Physical Memory: 2 553 MB
    Page File: Max Size:       5 246 MB
    Page File: Available:      4 357 MB
    Page File: In Use:         889 MB
    Page File Location(s):     C:\pagefile.sys

    Network Card(s):           3 NIC(s) Installed.
                               [01]: HP NC373i Multifunction Gigabit Server Adapter
                                     Connection Name: Local Area Connection
                                     DHCP Enabled:    Yes
                                     DHCP Server:     N/A
                                     IP address(es)
                               [02]: HP NC373i Multifunction Gigabit Server Adapter
                                     Connection Name: Local Area Connection 2
                                     DHCP Enabled:    Yes
                                     DHCP Server:     N/A
                                     IP address(es)
                               [03]: HP Network Teaming Virtual Miniport Driver
                                     Connection Name: Local Area Connection 3
                                     DHCP Enabled:    No
                                     IP address(es)
    31 марта 2009 г. 6:15
  • Версия ОС?
    Оперативки 3 326 ?


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    31 марта 2009 г. 6:39
  • Win 2003 Std SP2. Памяти - 4 Гб.
    31 марта 2009 г. 7:03
  • а в свойствах системы сколько показывает?


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    31 марта 2009 г. 7:04
  • Это не проблема. Это особенность Windows 32 bit....
    Если в boot.ini поставить ключик /PAE - покажет правильно. Вы что не знали об этом? Статейка даже была на MS, сейчас поищу...
    Вот например статейка - http://support.microsoft.com/kb/929580
    Вот в блоге заметка - http://blogs.msdn.com/oldnewthing/archive/2006/08/14/699521.aspx
    А еще и видеоадаптер использует часть общей RAM.
    31 марта 2009 г. 7:19
  • Удалил ISA 2006 SP1. Пока 2 часа - полет нормальный, падений пока нет.
    31 марта 2009 г. 7:43
  • Я знал про ключ....
    Но как я понял он у Вас не поставлен.
    Попробуйте загрузить сервер какими-либо тестовыми программами
    Тест памяти кстати не помешает.


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    31 марта 2009 г. 7:46
  • Я знал про ключ....
    Но как я понял он у Вас не поставлен.
    Попробуйте загрузить сервер какими-либо тестовыми программами
    Тест памяти кстати не помешает

    Извиняюсь если невольно обидел. Да, не поставлен.

    На сервере установлено ПО менеджмента и диагностики HP - никаких проблем с сервером нет.
    Проблема именно с самим продуктом - ISA сервером.
    31 марта 2009 г. 8:05
  • может стоит поставить?


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    31 марта 2009 г. 8:15
  • Поставить конечно можно, хуже не станет... Но смысл?
    SQL "кушает" около 500 Мбайт, wspsrv 400 - 450....
    31 марта 2009 г. 8:26
  • В саппорт пробовали обращаться?
    31 марта 2009 г. 8:50
  • Пока нет.
    -----------
    После удаления SP1 служба работает стабильно уже 3 часа... Для сравнения с SP1 в ЧМН падения были в среднем раз в час. Тестирую дальше.
    31 марта 2009 г. 8:55
  • У меня давным давно была подобная ситуация - С различной периодичностью (от 3 дней до недели) падала служба Firewall. И ничего не помогало. Поскольку я не нашел ни одного человека, у которого была бы подобная проблема - склонен грешить на оборудование.

    А так я бы на вашем месте в саппорт обратился, если есть возможность открыть инцедент. Интересно, что они скажут.
    31 марта 2009 г. 9:22
  • Это явная ошибка в ISA 2004/2006, можно посмотреть список фиксов в 2006 SP1 хотя бы - большое количество фиксов решает проблему с падением/недоступностью сервиса FW:
    http://support.microsoft.com/kb/943462

    923765   (http://support.microsoft.com/kb/923765/ ) The Microsoft Firewall service stops responding to client computer requests and Event IDs 7034, 14057, and 1000 are logged after you publish an Outlook Web Access server in ISA Server 2004
    941296   (http://support.microsoft.com/kb/941296/ ) An ISA Server 2006 computer may stop responding under a heavy load
    943200   (http://support.microsoft.com/kb/943200/ ) The Microsoft Firewall service stops unexpectedly on a computer that is running ISA Server 2004
    944699   (http://support.microsoft.com/kb/944699/ ) The Microsoft Firewall service stops unexpectedly if a Web filter is used on a computer that is running ISA Server 2006
    949628   (http://support.microsoft.com/kb/949628/ ) The Microsoft Firewall service crashes randomly when you use ISA Server 2006 to publish a Web server by enabling forms-based authentication
    950139   (http://support.microsoft.com/kb/950139/ ) The Microsoft Firewall service in ISA Server 2006 stops responding to client requests after you publish a Web server by using NTLM authentication delegation

    Так что где-то решили проблему, где-то проблем добавили...... ИМХО - чем сложнее продукт - тем больше вероятность возникновения ошибки.....
    31 марта 2009 г. 9:31
  • А так я бы на вашем месте в саппорт обратился, если есть возможность открыть инцедент. Интересно, что они скажут.
    Обязательно обращусь. Только уже не сегодня - через часок убегаю. Сегодня завтра помониторю состояние ИСЫ без SP1. Хотя уже сейчас ясно - стабильность работы улучшилась. Уже 4 часа стабильной работы.
    31 марта 2009 г. 9:44
  • Я же специально в подписи указал: все, что я говорю - это мое сугубо личное и персональное мнение))  С какой стороны увеличить детальность - ну хотя бы со стороны просмотра кто куда ходил и сколько оттуда скачал. А то есть топ-много по трафику, есть топ-много по посещениям.. а вот увязать эти вещи проблематично, не навешивая полкило надстроек. Неудобно, если стоит задача точного контроля. Если вам известен способ это сделать без навесок- поделитесь, буду искренне благодарен, т.к. сам такого способа не нашел. По правилам: проблематично настраивать запреты/разрешения для пользователей в рабочих группах. Не такая редкая задача, кстати. Какой файрволл предлагаю - не скажу)) по соображениям политкорректности, хотя здоровая критика в Майкрософт приветствуется, если она аргументирована, конечно.
    Про RADIUS с вами абсолютно согласен. Очень хотелось бы видеть возможность отключения этой фишки. Неудобно при нестабильных каналах, каковые на периферии имеют место быть.

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    сдается мне вы несете полную ахинею 
    1. встроенные отчеты в исе - полная убогость, согласен, но они ни на что не претендовали. разрабатывать отчетность в продукте смысла мало - каждому не угодишь, а делать из исы конструктор отчетов это отдельные и большие деньги (достаточно посмотреть сколько стоят настоящие конструктора отчетов), для этого уже есть и logparser и sql reporting service: строй скока влезет
    а сами по себе логи содержат всю необходимую детальность.
    2 по поводу рабочих групп - смешно, во первых я не знаю нормальных файрволов которые вообще умеют аутенфицировать юзеров на том уровне на котором умеет иса (я имею ввиду не тока прокси клиентов, но fwc, казалось бы ничего сложного сделать аналогичный сервис на юниксе, но я таких не видел), а во вторых в раб группах можно разделять по ип, или в конце концов завести "зеркальных" юзеров локально на исе (т оесть на локальномкомпе и на исе совпадающие юзера и пароли).

    по поводу полкило навесок - попробуйте на аппаратном фаере реализовать аутенфикацию не прокси трафика, или фильтрацию по url и контенту, или анализ логов и отчетность, для cisco придется ставить отдельный сервак с websense, и еще для снятия логов и построения отчетности. не спорю cisco хорошее железо, но у каждого своя ниша и решений которые умеют абсолютно все нет, в юниксах не лучше - там разные сервисы (фаер, прокси, впн, роутинг, логинг, отчетность) реализуются в совершенно разных продуктах и их руками надо настраивать в совершенно разных местах
    если следовать вашей логике, то почему остановились только на отчетах и раб группах? почему бы не потребовать расширенных политик маршрутизации (port based, source based или даже user based routing, разделение на несколько каналов, балансировка), квотирование (например некоторые наивно хотят не только квотировать юзера, но и ограничивать размер скачиваемого файла :)), шейпирование, причем не тока юзеров но и протоколов, и т.д.
    иса далеко не идеальна, и многое не умеет, но есть задачи которые она выполняет вполне сносно, и пока люди ей пользуются и ее покупают у мелкомягких нет резона что то в нее добавлять (например некое подобие функционала по работе с несколькими каналами они в tmg вроде как добавили, видимо надоело им отвечать что "иса не роутер" на нытье ламеров "почему иса этого не умеет?")

    ps все вышенаписаное на правах imho
    31 марта 2009 г. 9:46
    Отвечающий
  • Доброго утречка.
    Без SP1, ISA 2006 стабильно работает уже сутки. Продолжаю наблюдения.
    1 апреля 2009 г. 5:43
  • Вобщем, без SP1 ISA 2006 тоже падает... Правда реже, но все-таки падает....
    Вернул SP1 обратно, выключил Digest аутентификацию, все равно reversible encryption не используем (оставил только Integrated и Basic) - пока работает без падений.....
    3 апреля 2009 г. 5:45
  • логи что говорят?


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    3 апреля 2009 г. 5:47
  • см. выше.... Все то же и говорят.... (ну на самом деле после выключения Digest аутентификации - пока (сутки) все нормально ттт....)
    3 апреля 2009 г. 5:50
  • Вы пробовали поставить сетевую другую ? Я перечитал все посты....как я понял ещё нет....попытка не пытка....так что можно и попробовать.Ничего смертельного в этом не вижу.


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    3 апреля 2009 г. 5:52
  • А basic зачем? Юзаете?
    3 апреля 2009 г. 5:54
  • Еще раз упадет - попробую...
    Карточек у меня две, интегрированные, - в тиминге...
    Можно попробовать разбить тиминг, и переключить соединение на одну из карточек, если будут проблемы - на другую... Но больше чем уверен что не в них дело...
    3 апреля 2009 г. 5:55
  • А basic зачем? Юзаете?
    Да, есть машинки/службы которые могут только Basic использовать...
    3 апреля 2009 г. 6:02
  • выключил Digest аутентификацию, все равно reversible encryption не используем (оставил только Integrated и Basic) - пока работает без падений.....
    С выключенной Digest аутентификацией и ISA 2004 и ISA 2006 - работают четвертый день без падений. Видимо, действительно имеется ошибка в wdigest.dll
    6 апреля 2009 г. 9:19
  • Прошло больше недели с момента выключения Digest аутентификации. Падений сервиса нет....
    9 апреля 2009 г. 15:02
  • Позвольте полюбопытствовать, а зачем Вам понадобилась Digest-аутентификация? В смысле, почему с самого начала не выключили?


    {Бинарный} Форпост - Блог с фокусом на ISA Server, Forefront TMG, RMS и Windows Security.
    13 апреля 2009 г. 12:57
  • Позвольте полюбопытствовать, а зачем Вам понадобилась Digest-аутентификация? В смысле, почему с самого начала не выключили?


    Позвольте вопросом на вопрос?
    А что, собственно такого во включенной Digest аутентификации? По хорошему, включение Digest аутентификации не должно влиять на поведение сервиса FW, даже если этот тип аутентификации и не используется...
    С чем, собственно, связано Ваше любопытство?
    13 апреля 2009 г. 14:23
  • Ключ /3GB случайно не используете?
    15 апреля 2009 г. 8:54
  • Пробовали использовать. Сейчас - не используем.
    --------
    Прошло почти две недели - падений сервиса нет....
    15 апреля 2009 г. 9:33