none
Странная работа клиента RRS feed

  • Вопрос

  • Скажу сразу: началось после чего-то. После чего -- не знаю. Не особо достаёт (ибо нашёл обходные пути), но разобраться хочется.

     

    Суть проблемы: бесполезность ISA-клиента. То есть он не отправляет пакеты на сервер.

     

    Анамнез (все адреса вымышленные)

    ISA 2004 Ent -- 192.168.0.12

    Клиенты: 192.168.0.0/24, шлюз 192.168.0.7

    DNS работает нормально, всё резолвится и так далее. ISA-клиент ставится с шары \\ISA\mspclnt\setup.exe (ну, то есть, вроде как по человечески)

     

    В IE прописан адрес прокси, с этим проблем нет -- всё видно в мониторинге, пакеты бегают, правила работают.

    Проблемы с... ну, с другими клиентскими приложениями -- телнет, фтп, аська, поп3/смтп. Выглядит это так: на ISA настраиваю монитор пакетов с определённого клиентского адреса, на клиенте захожу, делаю, например, telnet pop.mail.ru 110 -- а в мониторе тишина. Ну и не коннектится, разумеется. Зато на шлюзе вижу активность с этого адреса. То есть, ISA-клиент не "заворачивает" пакеты на ISA-сервер, они шлются на default gateway.

     

    Сумбурно объяснил как-то... Надеюсь, смысл понятен Smile

    7 декабря 2007 г. 2:38

Все ответы

  • А автодискавери работает в сети? Клиент брандмауэра точно определил ИСА сервер?

     

    7 декабря 2007 г. 3:06
  • Дискавери не включен. Имя сервера прописывается при установке руками и успешно проходит тесты.

     

    7 декабря 2007 г. 3:25
  • Вы уверены, что ваши программы работают через сокеты? FWC может переадресовать только сокеты.

     

    7 декабря 2007 г. 10:22
    Модератор
  • За telnet, например, можно быть уверенным?

    14 декабря 2007 г. 9:00
  • Вполне

     

    Вообще проблема на одном компьютере или тотально на всех?

    Попробуйте снести клиента и поставить заново его последнюю версию с сайта Майкрософт.

    18 декабря 2007 г. 10:00
    Модератор
  • Скачал. Поставил. Кое-что изменилось. В мониторинге стали видны пакеты от клиента, но такого рода

     

    Дата/время   АдресКлиента   АдресИСАсервера   DestinationPort (1745)   НекоеПравило   Initiated connection   0x0

    Дата/время   АдресКлиента   АдресИСАсервера   DestinationPort (1745)   НекоеПравило   Closed connection   (код)

     

    Где (код) может быть либо FWX_E_ABORTIVE_SHUTDOWN, либо FWX_E_GRACEFUL_SHUTDOWN.

     

    На клиенте выполнилось telnet pop.mail.ru 110. Соответствующее разрешающее правило для клиента есть (аутентификация по имени пользователя). Доступа нет.

     

    Что-то меня смущает порт 1745...

     

    20 декабря 2007 г. 3:49
  • Клиент FWC, когда он запущен и разрешен, создает постоянное соединение с ISA. В мониторинге на закладке сессий должна отображаться соответствующая сессия.

     

    Проверьте, что для сети, с которой выполняется подключение клиента (обычно Internal), в ее свойствах включено принимать подключания FWC.

    21 декабря 2007 г. 8:39
    Модератор
  • Заглянул в мониторинг, сессии есть, но немного. Сильно смутило, что большинство из них под Anonymous. Лишь там, где я в QiP прописывал себя -- идёт коннект под моим именем.

     

    В свойствах сетки Internal включено принимать клиентов.

    Правда, что-то в Network rules у меня наворочено... Есть какой-нибудь скриншот, что там должно быть по умолчанию?

    15 января 2008 г. 3:53
  •  LittleDen написано:

    Где (код) может быть либо FWX_E_ABORTIVE_SHUTDOWN, либо FWX_E_GRACEFUL_SHUTDOWN.

     

     

    Это означает, что ISA не может выполнить какую-то операцию и завершает подключение.

     

    Проверьте, что ISA нормально работает в внутренней сетью, в частности что открыт доступ к DC, т.е. что работает аутентификация с доменом. Особенно проверьте DNS и распознавание имен внутренних (и внешних).

    15 января 2008 г. 7:47
    Модератор
  •  LittleDen написано:

    Где (код) может быть либо FWX_E_ABORTIVE_SHUTDOWN, либо FWX_E_GRACEFUL_SHUTDOWN.

      

     

     

     

    Это означает, что ISA не может выполнить какую-то операцию и завершает подключение.

     

    Проверьте, что ISA нормально работает в внутренней сетью, в частности что открыт доступ к DC, т.е. что работает аутентификация с доменом. Особенно проверьте DNS и распознавание имен внутренних (и внешних).

    Да уже понял. Странно для ИСЫ достаточно правила "туда-сюда" - все пользователи

    А для TMG нет, добавил еще - Системная и сетевая служба и все стало как на ИСЕ.

    Спасибо Олег, буду мониторить

     

    Извиняюсь, не туда, но вроде я также ответил на свой вопрос.


    • Изменено krasnol1 26 декабря 2011 г. 9:24 Не туда
    26 декабря 2011 г. 9:17