none
isa блокирует fwc RRS feed

  • Общие обсуждения

  • Добрый день!
    На днях на домене появилась ошибка:

    Тип события: Ошибка
    Источник события: MRxSmb
    Категория события: Отсутствует
    Код события: 8003
    Дата:
    Время: 10:44:09
    Пользователь: Нет данных
    Компьютер: Server
    Описание:
    Основной обозреватель сети получил с сервера извещение, что компьютер ISA объявил себя основным обозревателем домена на транспорте NetBT_Tcpip_{723F9B39-32EE-4789-. Основной обозреватель останавливается или объявляются выборы.
    ----

    Ошибку исправили, отключив в реестре на исе возможность участия в выборах (MaintainServerList = No). Службу обозреватель компьютеров выключать не стали, но чувствую все таки выключим через gpo.

    Ошибку исправили, но после нее клиенты isa отказываются подключаться к серверу isa (Сбой операции из-за ошибки сети.).
    Журнал исы выдает:

    10.0.0.10 NIAIIS-ISA 0x0 ERROR_SUCCESS    1745 Клиент межсетевого экрана Microsoft (TCP) Начато соединение
    10.0.0.10 NIAIIS-ISA 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN  1745 Клиент межсетевого экрана Microsoft (TCP) Закрытое соединение
    10.0.0.10 NIAIIS-ISA 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED 1745 Клиент межсетевого экрана Microsoft (TCP) Отклоненное

    Много уже чего попробовали. Посоветуйте что проверить.

    1 марта 2010 г. 9:59

Все ответы

  • Возможно у Вас не все диапазоны айпи адресов вписаны в определение сетей ISA и клиент пытается подключиться из неизвестнгой для сервера подсети.
    Или запросы FWC идут не на тот интерфейс сервера.

    Попробуйте для начала в FWC пописать айпи адрес и посмотреть что будет. Если проблема решится то проблема в разрешении имен и нужно копать в сторону DNS, NetBIOS.

    Если проблема не уйдет, опишите топологию сети.
    1 марта 2010 г. 10:30
  • Диапазон ip адресов, включенных в сеть
    10.0.0.0 - 10.0.0.255
    10.255.255.255 - 10.255.255.255

    В fwc сервер исы задали по ip - 10.0.0.3
    Сеть: домен, иса. В исе 2 сетевые карты (внутрь и наружу). Вот в общем то и все.
    1 марта 2010 г. 10:37
  • Диапазон ip адресов, включенных в сеть
    10.0.0.0 - 10.0.0.255
    10.255.255.255 - 10.255.255.255

    В fwc сервер исы задали по ip - 10.0.0.3
    Сеть: домен, иса. В исе 2 сетевые карты (внутрь и наружу). Вот в общем то и все.
    Проверьте, опубликована ли информация для автообнаружения - в свойствах сети, на вкладке автообнаружение
    1 марта 2010 г. 14:41
  • Да галочка на автообнаружение стоит. Он бы хоть в ручную обнаружил.

    1 марта 2010 г. 15:34
  • Могут быть проблемы с разрешением имен и на сервере.

    На той же закладке попробуйте прописать полное доменное имя.
    На самой ISA попробуйте еще сделать nbtstat -R && ipconfig /flushdns
    Зайдите в Конфигурация / Серверы / Свойства вашего сервера / Закладка соединение там тоже проверьте, стобы было по полному доменному имени. И посмтрите не регистрируется ли внешний интерфейс ISA в DNS.

    // Он бы хоть в ручную обнаружил.
    а что это значит?

    1 марта 2010 г. 16:39
  • // Он бы хоть в ручную обнаружил. 
    а что это значит?


    Это значит что fwc будет не автоматически обнаруживать ISA. После разрыва связи необходимо будет в интерфейсе fwc ручками прописать ip isa и нажать проверить.

    Обязательно завтра проверю регистрацию внешнего интерфейса, но думается мне, что это тоже не то. По идее ведь isa блокирует только соединение fwc на 10.0.0.3

    Да я забыл сказать Интернет есть. Но без fwc уж очень не удобно. Достаточно много программ в различных отделах где прийдется прописать прокси, не говоря уж о всяких icq...
    1 марта 2010 г. 19:19
  • Источник, а Вы протокл FWC, случаем, не переопределяли?.. А задействован ли вообще "Firewall Client Support" для сети? :)

    1 марта 2010 г. 22:12
    Отвечающий
  • Да задействован. А вот по поводу переопределения. Уточните как это делаеться. Не переопределяли точно. Но может попробовать. Все работало до ошибки. Т.е. настройки должны быть правильны все. Что то случилось после.

    2 марта 2010 г. 12:34
  • Проверьте, нет ли среди "User Defined" протоколов, содержащего "TCP - Outbound - 1745".

    Пробовали откатиться к состоянию системного реестра, предшествующему появлению проблемы с FWC?..
    2 марта 2010 г. 15:08
    Отвечающий
  • Ну на сколько я понимаю"User Defined" в русской версии это "Пользовательские". Завтра конечно удостоверюсь, но сам я его не создавал, значит там его нет. Да откатили из Бэкапа всю систему на 4х дневную и 12ти дневную копию. Но после отката все равно появлялась ошибка 

    Тип события: Ошибка
    Источник события: MRxSmb
    Категория события: Отсутствует
    Код события: 8003

    приходилось ее устранять заново. Так что трудно сказать про состояние реестра до потери связи, но связь точно была.
    3 марта 2010 г. 1:35
  • Появилась идея. Жесткая правда, но походу последняя. Завтра будет больше информации.
    3 марта 2010 г. 1:55
  • Добрый день!

    Не надо жестоких идей, давайте попробуем вот что:
    1. Запустите ISABPA и расскажите, что он скажет
    2. С внутреннего интерфейса попробуйте сделать захват трафика в момент этого подключение. Будем искать того, кто шлет RST сегмент, который как раз и заставляет прерывать сессию с клиентом.
    3 марта 2010 г. 10:22
    Модератор
  • 1. ISABPA сначала выдал кучу ошибок, в том числе выдал предупреждение что не установлен sp1 на isa. Поставили - несколько предупреждений исчезли, но проблема не решилась. Клиенты так и не подключаются к исе. Вот что осталось в bpa:

    http://www.flickr.com/photos/48052827@N07/4404026976/

    2. На клиентской машинке поставил сниффер. Вот что он выдал:

    http://www.flickr.com/photos/48052827@N07/4404027160/sizes/o/

    RST сегмент судя по всему шлет клиент. Но клиент у нас не один в организации не подключается.
    3 марта 2010 г. 13:46
  • Добрый день. В свете новой информации не появились ли идеи в чем может заключаться проблема?
    4 марта 2010 г. 13:01
  • А какие устройства (уровня 3 и выше) находятся между клиентами и сервером ISA?

    P.S. У коллеги была подобная проблема, но с ISA в NLB.
    4 марта 2010 г. 20:24
    Отвечающий
  • Если я правильно понял имееться ввиду выше сетевого уровня. Нет. Там нет таких. Между ними только свичи. Но вот странность сегодня нашлось два компа, которые видят isa. Если ничего не найдем то на выходных переустановим сервер. И перед тем как вогнать в домен отключим функцию участия в выборах (что бы ошибка не появилась). 

    Тогда будет ясно точно ли isa. я уже начинаю думать не сам домен ли. А может проблема после переустановки уйдет. Но к таким мерам конечно прибегать не хочеться.
    4 марта 2010 г. 23:57
  • // Если я правильно понял имееться ввиду выше сетевого уровня. Между ними только свичи.

    Именно сетевого, т.е. IP. Ну, некоторые "свичи" и Layer-3 (сетевой) могут обрабатывать.


    5 марта 2010 г. 6:47
    Отвечающий
  • Хм... На самом деле первый свич от всех серверов и от isa тоже управляемый (3com), но он работает как обычный. Сегодня приедут два самых обычных свича. Попробую переткнуть isa и свой комп в один из них. Но мы не меняли конфигурацию 3com. Ошибка выпала внезапно, да и есть те два компа которые все же видят isa. Но как минимум буду на работе через часок попробую просто ребутнуть свич.
    5 марта 2010 г. 8:40
  • Ну в общем не помогло.

    5 марта 2010 г. 13:37
  • Добрый день.

    Проверьте вот это . И ,соответственно, посмотрите, что с параметрами EnableRSS и EnableTCPA.
    9 марта 2010 г. 14:56
    Модератор
  • Добрый. Это уже пробовали. Не помогло. Есть подозрение что что-то с маршрутизацией после сбоя.

    Но конкретно в этих вопрсах я не очень силен.

    Вот тут рассматривали что-то похожее.

    http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/29527b9f-a839-4b32-bfac-81115efbe917

    Как думаете есть смысл в фиксированных маршрутах от клиентов до иса в данной ситуации.

    И на сколько я понял locallat.txt помогает не проверять межсетевому экрану трафик от и до какой либо точки, но в данной ситуации трафик именно fwc  блокируеться. Как бы это сказать сам fwc блокируеться так что до locallat.txt дело даже не доходит.

    10 марта 2010 г. 14:19
  • Попробовать определенно стоит.
    Только для начала посмотрите таблицу маршрутизации с клиента, после чего можно и попробовать писать маршруты на избранных компьютерах.Почитайте про localllat.txt .
    11 марта 2010 г. 10:11
    Модератор
  • Таблица маршрутов на одной из клиентских машинок:


    >route print
    ===========================================================================
    Список интерфейсов
    0x1 ........................... MS TCP Loopback interface
    0x2 ...00 1e 8c 16 13 d0 ...... Atheros L2 Fast Ethernet 10/100 Base-T Controlle
    r - Teefer2 Miniport
    ===========================================================================
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0         10.0.0.3      10.0.0.122       20
             10.0.0.0    255.255.255.0       10.0.0.122      10.0.0.122       20
           10.0.0.122  255.255.255.255        127.0.0.1       127.0.0.1       20
       10.255.255.255  255.255.255.255       10.0.0.122      10.0.0.122       20
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
            224.0.0.0        240.0.0.0       10.0.0.122      10.0.0.122       20
      255.255.255.255  255.255.255.255       10.0.0.122      10.0.0.122       1
    Основной шлюз:            10.0.0.3
    ===========================================================================
    Постоянные маршруты:
      Отсутствует



    И таблица маршрутов на isa:

    >route print

    IPv4 таблица маршрута
    ===========================================================================
    Список интерфейсов
    0x1 ........................... MS TCP Loopback interface
    0x2 ...00 05 5d d0 0b d8 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC #2
    - Teefer2 Miniport
    0x3 ...00 16 76 a2 cf c1 ...... Intel(R) 82566DC Gigabit Network Connection - Te
    efer2 Miniport
    0x10004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
    ===========================================================================
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0     81.222.81.65     81.222.81.76     20
             10.0.0.0    255.255.255.0         10.0.0.3         10.0.0.3     20
             10.0.0.3  255.255.255.255        127.0.0.1        127.0.0.1     20
            10.0.0.51  255.255.255.255        127.0.0.1        127.0.0.1     50
       10.255.255.255  255.255.255.255         10.0.0.3         10.0.0.3     20
         81.222.81.64  255.255.255.240     81.222.81.76     81.222.81.76     20
         81.222.81.76  255.255.255.255        127.0.0.1        127.0.0.1     20
       81.255.255.255  255.255.255.255     81.222.81.76     81.222.81.76     20
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
            224.0.0.0        240.0.0.0         10.0.0.3         10.0.0.3     20
            224.0.0.0        240.0.0.0     81.222.81.76     81.222.81.76     20
      255.255.255.255  255.255.255.255         10.0.0.3         10.0.0.3      1
      255.255.255.255  255.255.255.255     81.222.81.76     81.222.81.76      1
    Основной шлюз:        81.222.81.65
    ===========================================================================
    Постоянные маршруты:
      Отсутствует


    Адрес клиента 10.0.0.122, исы 10.0.0.3. Внешний адрес исы 81.222.81.76.
    Как думаете, правильный ли маршрут от клиента до исы и обратно?

    11 марта 2010 г. 13:07
  • Да, вроде все правильно.

    Но все-таки, давайте попробуем прописать статический маршрут.
    15 марта 2010 г. 16:06
    Модератор
  • Уважаемый istochnik ,

    вы смогли решить проблему?

    1 апреля 2010 г. 13:25
    Модератор
  • Ситуация один в один. ТС, если ты решил проблему и чудесным образом увидишь обновление в своей теме, расскажи пожалуйста как решил вопрос.
    4 декабря 2012 г. 13:34