Показать полную графическую версию : [решено] Не могу открыть веб-сайт "www.mydomain.com" из сети домена "mydomain.com"
Доброе утро. Прошу помочь в решении очень важной проблемы.
Есть домен MYDOMAIN.COM (где MYDOMAIN - название компании), построенный на КД Win2k3 R2 SP2. КД также является DNS и DHCP сервером.
До недавнего времени все нормально работало, но буквально несколько дней назад юзеры стали жаловаться, что не открывается корпоративный веб-сайт компании www.mydomain.com При открытии сайта вылезает такая ошибка - см. скриншот в аттаче.
Сначала подозревал, что сбилась соответствующая запись "A" в оснастке DNS, которая должна указывать на внешний айпи-адрес веб-сайта. Проверил - она на месте.
Тогда в чем может быть проблема?
Очень прошу, вопрос очень приоритетный и надо решить его в ближайшие сроки, не проходите мимо!
Delirium
05-06-2008, 09:11
что говорят ping и nslookup на mydomain.com и www.mydomain.com? Сайт у тебя физически расположен или у сторонний хостинг? Если у тебя, что в IIS творится? Если сторонний хостинг, то может стоит его пощупать?
Delirium,
что говорят ping и nslookup на mydomain.com и www.mydomain.com? »
пинг из внутренней сети не разрешен, но видно, что эта команда пытается пропинговать удаленный сервер.
nslookup - все нормально
Z:\>nslookup www.mydomain.com
Server: dc1.mydomain.com
Address: 192.168.21.249
Name: www.mydomain.com
Address: 212.38.114.[X]
Сайт у тебя физически расположен или у сторонний хостинг? »
сторонний хостинг.
Delirium
05-06-2008, 09:20
не, ты не понял. ты пробей как просто mydomain.com так и полное имя www.mydomain.com. Может где у кого в зонах глюк. Заодно не помешал бы tracert mydomain.com и tracert www.mydomain.com
Если все путем, смотри в сторону хостинга, тереби их.
кого теребить (http://www.ripn.net:8080/nic/whois/) и 212.38.114.1 - Dennis N Neshtoon
Delirium, ты пробей как просто mydomain.com »
ну здесь без проблем
Z:\>ping mydomain.com
Pinging mydomain.com [192.168.21.252] with 32 bytes of data:
Reply from 192.168.21.252: bytes=32 time<1ms TTL=128
Reply from 192.168.21.252: bytes=32 time<1ms TTL=128
Reply from 192.168.21.252: bytes=32 time<1ms TTL=128
Reply from 192.168.21.252: bytes=32 time<1ms TTL=128
Ping statistics for 192.168.21.252:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
а www не разрешает пинговаться (как впрочем и все остальные внешние адреса)
Z:\>ping www.mydomain.com
Pinging www.mydomain.com[212.38.114.XXX] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 212.38.114.28:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Заодно не помешал бы tracert mydomain.com и tracert www.mydomain.com »
Z:\>tracert mydomain.com
Tracing route to mydomain.com [192.168.21.252]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms dc2.a-group.az [192.168.21.252]
Trace complete.
ну а внешний tracert не проходит по тому же, что и пинг.
Если все путем, смотри в сторону хостинга, тереби их. »
Только что проверил - на самом контроллере домена все прекрасно работает! :o Так что хостер явно не причем.
смотри на шлюзе куда пакеты идут.
exo, шлюз - ИСА Сервер 2004. Если смотреть в логах, то видно, что идет соединение к удаленному айпи-адресу, но соединение прерывает сам браузер.
прерывает сам браузер »
попробуй тогда другим браузером. или смотри в настройках браузера.
может фаерволл\брандмауэр начал блочить этот адрес?
exo,
попробуй тогда другим браузером »
в Опере тоже самое.
может фаерволл\брандмауэр начал блочить этот адрес? »
нет, его настройки не менялись. Да и если бы он блочил, он давал соответствующее окно ошибки ISA Server-a (коричневое такое).
Попробуйте создать на исе правило:
из внутренней - к сайту - все пользователи - ну и протокол НТТР или НТТРS
и поместите его на самый верх (для верности). Посмотрите что получится.
А tracert может не работать, если не открыт протокол icmp.
icmp - не умеет авторизироваться его по пользователям не ограничить только по компам.
Хотя если пинг фурычит то...
Попробуйте создать на исе правило:
из внутренней - к сайту - все пользователи - ну и протокол НТТР или НТТРS
и поместите его на самый верх (для верности). Посмотрите что получится. »
сделал. не помогло :(
соединение прерывает сам браузер. »
вот логи и нужно смотреть на том компе, где проблемы.
а ip вы пропалили 212.38.114.28
Delirium
06-06-2008, 01:15
exo, шлюз - ИСА Сервер 2004. » - не может быть чтобы с прокси нельзя было сделать tracert до необходимого адреса. Создай временное правило Allow -all - from local host - to external и в самый вверх его. Должно давать будет все что угодно.
Да и если бы он блочил, он давал соответствующее окно ошибки ISA Server-a » - а с чего бы он его давал? Правило отработало, доступ закрылся, файрволл пашет дальше. Логи ISA куда кидаются? Выбери время, сделай трассировку, пинг, сходи на этот адрес и в логи, смотреть где отлуп идет и по какому правилу.
exo, вот логи и нужно смотреть на том компе, где проблемы. »
event-log-и? они чистые!
а ip вы пропалили 212.38.114.28 »
по ходу он все равно редиректит на сайт хостера ;)
Delirium,
не может быть чтобы с прокси нельзя было сделать tracert до необходимого адреса »
с самого прокси компьютера (ИСА Сервера) - все прекрасно пингуется, трейсируется и открывается в браузере. проблема на клиентах.
ВНИМАНИЕ! НОВАЯ ИНФОРМАЦИЯ!
В БРАУЗЕРЕ MOZILLA FIREFOX ВСЕ ПРЕКРАСНО ОТКРЫВАЕТСЯ! ДАЖЕ ЕСЛИ ПРОПИСАТЬ В НАСТРОЙКАХ ПРОКСИ-СЕРВЕР ISA!
Delirium
06-06-2008, 08:15
ну вот мы наконецто и добрались до истины :)
Посмотри политику безопасности в IE, и вообще проверь, может это IE 7 тупит таки?
Delirium,
Посмотри политику безопасности в IE »
сбросил политику безопасности на уровень "По умолчанию для всех зон". не помогло.
может это IE 7 тупит таки? »
в IE6 тоже самое...
Delirium
06-06-2008, 10:01
не, ну если в лисе все показывает, согласись что проблема именно в броузере? Или может в групповой политике кто пошарил или в запрещенные адреса внесли. А может просто стоит кеш IE почистить вместе с ссылками и т.д.? Посмотри вкладу конфиденциальность, может туда занесли по глупости адресок.
не, ну если в лисе все показывает, согласись что проблема именно в броузере? »
кстати, в Опере (9.27) тоже не показывает. Сайт открывается только в Firefox. Во всех браузерах прописан один и тот же адрес проки-сервера ( ISASERVER:8080 ). Если отключить прокси-сервер, то Опера показывает нормально.
может в групповой политике кто пошарил или в запрещенные адреса внесли. »
кроме меня ни у кого нет туда доступа.
А может просто стоит кеш IE почистить вместе с ссылками и т.д.? Посмотри вкладу конфиденциальность, может туда занесли по глупости адресок. »
проверял! Ей Богу - все там проверил! :( все чистил, все бестолку.
Delirium
07-06-2008, 01:15
Ну тогда делай чистый результат: бери машину, ставь винду, НЕ вноси в домен, зайди на страницу. Потом внеси в домен и снова попробуй. Пробуй на IE с параметрами по умолчанию.
Да, кстати, что насчет логов ИСЫ то? Что там пишется когда firefox'ом на сайт идешь и что когда через IE ?
Ну тогда делай чистый результат: бери машину, ставь винду, НЕ вноси в домен, зайди на страницу. »
ОК. Это попробую.
А пока выкладываю логи ИСЫ при попытке открыть сайт в IE и Firefox.
Как видно при попытке открыть сайт в ИСЕ вылезают сплошные Denied Connection, при наведениее на которых выходит такая дополнительная информация
Denied Connection FIREWALL 6/7/2008 9:11:52
Log type: Firewall service
Status: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer.
Rule:
Source: Internal ( 192.168.21.100:1793)
Destination: Local Host ( 192.168.21.250:61122)
Protocol: TCP Outbound
User:
Additional information
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 0ms Original Client IP: 192.168.21.100
Client agent
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.