none
fws & autodetect RRS feed

  • Вопрос

  • Есть большая сеть с несколькими подсетями.
    Есть isa, c тремя интерфейсами (10.10.1.1,10.10.2.1,10.10.3.1)
    у исы имя isa.domen.ru
    В днс есть записи:
    A isa 10.10.1.1
    A isa 10.10.2.1
    A isa 10.10.3.1
    wpad CNAME isa.domen.ru

    в днс netmask ordering включен.

    Для всех сетей в исе включен автодетект
    на всех компьютерах стоит FWC
    FWC на компьютерах из подсетей непосредственно подключенных к исе разршает запись wpad, потом получает адрес из СВОЕЙ подсети (netmask ordering) и загружает с исы wpad.dat со всеми настройками. Все хорошо.

    Но есть несколько подсетей, которые не подключены к исе, т.е. между ними маршрутизаторы.
    И при резолвинге адреса isa.domen.ru nrtmask ordering не работает и они получают адреса по кругу.
    Если попадается адрес интерфейса исы, который смотрит на клиента. то все работает.
    Если другой, то как я понимаю иса отвчает уже с другого интерфейса (того который смотрит в сторону клиента) и FWC не может получить wpad.dat. В итоге он не подключается.

    Что можно с этим сделать?
    29 октября 2009 г. 8:41

Ответы

  • Windows Server 2003 позволяет более тонко настраивать netmask ordering, используя параметр LocalNetPriorityNetMask, причем задаваемая маска для netmask ordering может не совпадать с фактическими масками подсетей. Посмотрите эту статью:

    http://support.microsoft.com/kb/842197

    Но и в этом случае, видимо, не обойтись без пересмотра адресного пространства.
    • Помечено в качестве ответа Yakov Barinov 29 октября 2009 г. 10:52
    29 октября 2009 г. 10:31
    Модератор

Все ответы

  • Ну Вы и "накрутили"...

    Не знаю, почему именно так происходит с ISA, по идее, ей пофиг кому из хостов "Internal" или другой сети, если в свойствах сети настроено "Autodiscovery", отдавать WPAD.

    Вот Вам мой совет: Используйте DHCP для рассылки записи WPAD, либо, публикуйте этот файлик на отдельном веб-сервере, соответственно и запись WPAD в DNS на него нацельте. Вот.

    29 октября 2009 г. 9:06
    Отвечающий
  • Общее решение, на мой взгляд, состоит в ином выборе IP-адресов подсетей в вашей организации, так чтобы функция netmask ordering работала корректно. Но смена всех IP-адресов - слишком большая работа, чтобы ее планировать.

    Не хотите раздавать WPAD через DHCP?
    29 октября 2009 г. 9:13
    Модератор
  • через dhcp не могу раздавать для одной подсети, т.к. это VPN-клиенты и впн сервер не может раздавать кастомные записи.
    29 октября 2009 г. 9:18
  • Ну Вы и "накрутили"...

    Не знаю, почему именно так происходит с ISA, по идее, ей пофиг кому из хостов "Internal" или другой сети, если в свойствах сети настроено "Autodiscovery", отдавать WPAD.

    Это же происходит, если руками адрес сервера прописывать в FWC.
    Если тот, который смотрит на клиента, то коннектится. Если тот, который с противоположной стороны исы, то нет.
    29 октября 2009 г. 9:20
  • Общее решение, на мой взгляд, состоит в ином выборе IP-адресов подсетей в вашей организации, так чтобы функция netmask ordering работала корректно. Но смена всех IP-адресов - слишком большая работа, чтобы ее планировать.
    Есть два офиса, между ними какой-то канал. В главном офисе иса, через которую все ходят в интернет.
    Как выбрать Ip-адреса для второго офиса, чтобы netmask ordering корректно работал?
    29 октября 2009 г. 9:29
  • Допустим, внутренние интерфейсы ISA имеют адреса:

    10.10.1.1 10.20.1.1 10.30.1.1

    а локальный интерфейс маршрутизатора "смотрит" в подсеть 10.10.1.0/24

    Тогда для удаленных офисов следует выбирать подсети с адресами

    10.10.2.0/24
    10.10.3.0/24 и т.д.
    29 октября 2009 г. 9:37
    Модератор
  • Допустим, внутренние интерфейсы ISA имеют адреса:

    10.10.1.1 10.20.1.1 10.30.1.1

    а локальный интерфейс маршрутизатора "смотрит" в подсеть 10.10.1.0/24

    Тогда для удаленных офисов следует выбирать подсети с адресами

    10.10.2.0/24
    10.10.3.0/24 и т.д.
    Сейчас у меня все именно так.
    Смотрите.
    В днс есть три записи:
    isa.domen.ru 10.10.1.1
    isa.domen.ru 10.20.1.1
    isa.domen.ru 10.30.1.1

    клиент из 10.10.2.0/24 резолвит isa.domen.ru
    что он получает? Правильно - все записи по кругу (round robin)
    Ведь dns сервер не знает ничего про то как у меня маршрутизация настроена и как подсети соеденены.
    29 октября 2009 г. 10:01
  • Какая информация по IP-адресам ISA-сервера правильная? Та, что в вашем вопросе или в предыдущем сообщении?
    29 октября 2009 г. 10:06
    Модератор
  • а у удаленных сеток своих dns серверов нет?

    29 октября 2009 г. 10:08
    Отвечающий
  • Какая информация по IP-адресам ISA-сервера правильная? Та, что в вашем вопросе или в предыдущем сообщении?

    в предыдущем ответе я привел указанные Вами адреса.
    У меня все так, как указанно в первом посте.
    В удаленном офисе - 10.10.100.0/24
    29 октября 2009 г. 10:11
  • нет, только в головном офисе.
    29 октября 2009 г. 10:12
  • Windows Server 2003 позволяет более тонко настраивать netmask ordering, используя параметр LocalNetPriorityNetMask, причем задаваемая маска для netmask ordering может не совпадать с фактическими масками подсетей. Посмотрите эту статью:

    http://support.microsoft.com/kb/842197

    Но и в этом случае, видимо, не обойтись без пересмотра адресного пространства.
    • Помечено в качестве ответа Yakov Barinov 29 октября 2009 г. 10:52
    29 октября 2009 г. 10:31
    Модератор
  • даже не видимо а точно не обойтись

    29 октября 2009 г. 10:34
    Отвечающий
  • Windows Server 2003 позволяет более тонко настраивать netmask ordering, используя параметр LocalNetPriorityNetMask, причем задаваемая маска для netmask ordering может не совпадать с фактическими масками подсетей. Посмотрите эту статью:

    http://support.microsoft.com/kb/842197

    Но и в этом случае, видимо, не обойтись без пересмотра адресного пространства.

    Да, это меня спасет. Буду менять подсети. Благо человечество придумало DHCP.
    29 октября 2009 г. 10:52