none
Из внутренней подсети нет доступа к внешней сети, хотя DNS резолвится RRS feed

  • Вопрос

  • Сеть построена следующим образом - есть сервер с 2003, на нем стоит ISA и на него приходит интернет. Интернет идет через прокси провайдера. НА 2 сетевой карте сервера поднят интерфейс 192.168.1.1 ,провод из которого идет в свитч. Адреса раздаются по DHCP. Компьютеры подключенный в свитч с интернетом работают нормально. Так же, в этот свитч воткнут второй сервер - домен-контроллер второй сети. На нем поднят 172.16.1.1 для внутренней сети. Сам он в интернет выходит без проблем. Компьютеры из сети 172,16 видят только ДНС, пинг и все остальное не работает. На втором сервере поднят NAT. Что может быть не так? И где должно прописываться прокси, используемое на всю сеть ( прописан просто в эксплорере на главном серваке, вроде работает). Спасибо. Может, необходимо изменить саму структуру?
    6 февраля 2010 г. 18:49

Все ответы

  • RRAS работает на "втором сервере"
    Что-то не могу  понять как у вас  закручено со вторым ДС.
    Запустите на ISA Монитор трафика, и посмотрите почему блокируется траффик.

    Добавьте  свою вторую подсеть во внутреннию подсеть  в настройках ISA  сервера.
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    6 февраля 2010 г. 19:13
  • Есть 2 разных домена. Они никак между собой не связаны, только сетью
    На ИСА монитор запускал. Если добавить подсеть во внутреннюю - иса пакеты вообще не показывает. Если удалить из внутренних - показывает исходящие, я с правильного айпишника, но распознает его как external. НО пакеты пропускает.

    RRAS запущен на обоих серверах. Возможно, проблема в этом. Но я пробовал отключать на втором сервере - ничего не менялось.
    7 февраля 2010 г. 8:52
  • Le Loup Gris, покажите IP-конфигурацию ("ipconfig /all") с серверов и клиента.
    7 февраля 2010 г. 11:18
    Отвечающий
  • Я так понимаю у вас сеть1, сеть2 и интернет, соединеные "в цепочку" ?
    И нет доступа  из   сети1 вы не можете попасть в интернет ?
    Из сети2 - можете ?

    Из сети1  в сеть2  ходите  без проблем ?
    Покажите лог ISA сервера.
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    7 февраля 2010 г. 11:45
  • Я так понимаю у вас сеть1, сеть2 и интернет, соединеные "в цепочку" ?
    И нет доступа  из   сети1 вы не можете попасть в интернет ?
    Из сети2 - можете ?

    Из сети1  в сеть2  ходите  без проблем ?
    Покажите лог ISA сервера.
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)


    Топология такая:
    В сервер1 приходит интернет. Соответственно в сети1 интернет есть. Далее, есть сервер 2, подключенный к сети1. На нем интернет так же есть. А вот в сети2 нету. Из сети2 сеть1 не пингуется.

    В логах все обращения с айпишников сети2 идут как external -> external ( сейчас не могу выложить логи)
    8 февраля 2010 г. 23:32
  • Домены друг другу доверяют? Шлюз можно прописать в свойствах DHCP-области, тогда он распространится на все компьютеры, которым раздаются адреса из этой области.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    12 февраля 2010 г. 8:10
    Модератор
  • Насчет доверия не знаю. Где посмотреть? Шлюзы в дхцп прописаны. Может, не те? Какие должны быть на каждом из них?

    Это школьная сетка. Необходимо, чтобы одна сеть была на 3 компьютерных класса, а вторая на школьные классы и администрацию. Может просто тогда скажете, как это лучше реализовать? Таким образом, чтобы из школьных классов не было доступа в сетку администрации
    12 февраля 2010 г. 15:28
  • Посмотреть можно в Domains and Trusts на сервере. Подробнее про доверие и способы настройки читаем здесь и здесь . ISA в вашем случае я бы вообще разместил вне доменов и настроил соответствующим образом - так, как написано у Томаса Шиндера . Скажите, а зачем при весьма малом количестве клиентов вы создали мало того, что две разных сети, так еще и два разных домена? Ограничение доступа к ресурсам внутри одного домена прекрасно настраивается при помощи стандартных разрешений и групповых политик.

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    12 февраля 2010 г. 16:45
    Модератор
  • Да не я создал. Мне надо "это" в работоспособное состояние привести хотябы до каникул. На каникулах уже можно переделать на один домен. Это еще не самое страшное, Что там есть ) Спасибо, посмотрю насчет доверия между доменами. Еще сразу спрошу тогда про настройки - на компьютерах, подключенных ко второму домену ( не имеющему прямой выход в инет) шлюзом и ДНС указывать его, или первый домен?
    17 февраля 2010 г. 10:43
  • Шлюзом после настройки доверия указывать ISA-сервер, вторичным DNS - DNS-сервер первого домена. Чтобы не мучиться с авторизацией, на ISA можно настроить SecureNAT и соответствующим образом настроить клиентов второго домена

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    17 февраля 2010 г. 11:22
    Модератор