Добрый день уважаемые гуру,
Очень надеюсь на Вашу помощь.. Есть сеть, контроллер домена и ИСА 2006 на отдельном сервере. Проблема в том, что при падении внешней сети, так же пропадает доступ к внутренней стетевой карте ИСА, то есть внутри сети достучаться до ИСА нет возможности пинги не проходят, так же с самой ИСЫ не возможно пропинговать любой компьютер в сети...При появлении интернета все начинается работать в штатном режиме само собой...
Ну могли подсказать в какую сторону копать.
Заранее благодарю.
В расширенных настройках сетевых интерфейсов на исе глянь порядок расположения.Первым должен быть внутренний интерфейс.И внутренние клиенты при обращении к внутренним ресурсам не должны задействовать ису.
не возможно пропинговать любой компьютер в сети
Прописывая маршруты ручками, не стоит забывать про параметр -р :) The way to develop self-confidence is to do the thing you fear ! Не убегай от снайпера - умрешь уставшим !
Спасибо... Поставил в нужном порядке...буду вечерком тестировать когда все с работы уйдут...а не пингуются они ни по ип, ни по именам, вообщем никак, ну покрайней мере не пинговались...В любом случае отпишу вечером...Спасибо еще раз...
Может будут еще какие соображения дополнительные по этому поводу?
Сначала это проверь :)
Проверил, результат все тот же :-(
tracert по айпишнику от одного внутренного клиента до другого что говорит ?
allianceplayer: Проверил, результат все тот же :-(
Очередной религиозный экстремист? Ну почитай ты журнал ISA Firewall - те полегчает.
Вот результат трасировки с сервера ИСА, до внутреннего клиента во время падения инет канала....Команда была успешна выполнена только после востановления внешнего соединения.
C:\Documents and Settings\user>tracert 192.168.0.61
Tracing route to 192.168.0.61 over a maximum of 30 hops
1 * * * Request timed out.
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 3001 ms <1 ms <1 ms PC61 [192.168.0.61]
Trace complete.
Вообщем пригласил я товарисча тех поддержки провайдера. Пришел поменял сплитер, модем....Как были дыры в пинге внешней сети так и остались...Но ИСА сейчас ведет себя вообще не понятно...Те же проблемы что и были, но гораздо чаще.... Не проходит nslookup до контроллера домена, потом через какое то время начинает ходить, такая же ситуация и с пингами внутренними и внешними...Перегружаю firewall сервис ИСы начинает все работать...Через какое то время такая же история....Начали выпадать следующие ошибки Microsoft Firewall 15113
ISA Server disconnected a non-TCP connection from 192.168.0.3 because the connection limit for this IP address was exceeded. Larger custom connection limits should be configured for the IP addresses of chained proxy servers and back-to-back ISA Server computers with a NAT relationship.
LSASRV 40960
The Security System detected an authentication error for the server AKF\PROXY$. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".
NETLOGON 5719
This computer was not able to set up a secure session with a domain controller in domain MYDOMAIN due to the following:
The RPC server is unavailable.
This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.
ADDITIONAL INFO
If this computer is a domain controller for the specified domain, it sets up the secure session to the primary domain controller emulator in the specified domain. Otherwise, this computer sets up the secure session to any domain controller in the specified domain.
Может и нет никакой закономерности то что модем был сменен покрайней мере я не нахожу...Но началось именно после этого.... Господа надеюсь на Вашу помощь...Хотя бы направления куда копать... Заранее благодарю..
А ты опиши свою локалку целиком - где какой сервер установлен, что и как там настроено, топологию сети...Может тогда проще будет локализовать косяк.
Доменная сеть, три сервера, один контроллер, второй под нужды sharepoint, третий ИСА… На ИСА три интерфейса, один внутренний, второй внешка, третий юзает тоже ADSL..Но этой линий пользуется определенный отдел в организации при работе с CITRIX, так как из-за дохлых каналов связи работа с CITRIX была просто не выносимой по общей линии..На ИСА естественно прописаны маршруты и создано правило…Тема обсуждалась здесь и были даны советы по применению. На ИСА поднят ДНС где в форвардерах прописнаы ДНС моего провайдера.. В внутреннейсетевой карточке числится только мой локальный ДНС.
Так же имеются 4 филиала, между ними настроено L2TP\IPSEC VPN соединение по требованию.. Так же настроены доверительные отношения между доменами, для того что бы в SharePoint можно было легко разрулить с пользователями. Н у вот в принципе и все…
Ну, вроде всё нормально... разве что ДНС на исе... ДНС вроде ведь доменная служба и по логике в первую очередь должна быть физически ближе к AD. :)Хотя это не суть.А теперь брутальный тест.Если исключить сервак с исой из локалки (просто выдернуть LAN-шнурок) проблема будет повторяться ? Если да - значит твоя локалка криво настроена, возможно проблемы не только в серверах локалки, но и на клиентах.Если нет - значит косяки на исовой машине и возможно в маршрутизации.
Отключил я сервера от локалки...Вернее оставил этих трех ребят (серверов) наедине... Ничего не изменилось ИСА как хочет так и работает хочет нслукапит в метре стоящий Контроллер, хочет пингует, хочет не пингует....В журналах ошибок не пишется...Не могу определить зависимость..ТО есть какой то полный полтергейст...Хотя в это я не верю, может и руки кривые, конечно..Но это все началось спонтанно, единственно что заметил, так это началось как модем ADSLный сменили...Поехал за старым своим модемом...Только так же не понимаю эту зависимость...
Может в модеме какая-нибудь левая маршрутизация прописана и есть смысл сбросить его в заводские настройки ?
Что то я совсем ничего не стал понимать....Все вроде заработало...Притащил модем который работал два с лишним года, ну который недавно обменяли....Переставил модемы...ОПА..История повторилась..До этого у меня прокси пинговался с параметром -t..Поставил старый модем прокси перестал пинговаться, хотя как модем завязался внешка начала пинговаться, но браузером ничего не открывалось, а до прокси достучаться не реально было..Минут через 5 начинает пинговаться прокси, сам по себе, пробуй зайти по терминалу 0 эмоций...Еще через минут 15 начинает и по терминалу ходить и браузер открываться...Правда был не большой скачек электричества в промежутке этих 15 минут...Уже и на железо грешить стал...Хотя все это время контроллер домена, который сидит на одном свитче с ИСОЙ доступен и отлично работает...У меня уже соображений порядком не хватает....Спасибо Dave, что возишься здесь со мной...Но может будут еще какие соображения?