Доброе утро. Прошу помочь в решении очень важной проблемы.

Есть домен MYDOMAIN.COM (где MYDOMAIN - название компании), построенный на КД Win2k3 R2 SP2. КД также является DNS и DHCP сервером.

До недавнего времени все нормально работало, но буквально несколько дней назад юзеры стали жаловаться, что не открывается корпоративный веб-сайт компании www.mydomain.com При открытии сайта вылезает такая ошибка - см. скриншот в аттаче.

Сначала подозревал, что сбилась соответствующая запись "A" в оснастке DNS, которая должна указывать на внешний айпи-адрес веб-сайта. Проверил - она на месте.

Тогда в чем может быть проблема?

Очень прошу, вопрос очень приоритетный и надо решить его в ближайшие сроки, не проходите мимо!

что говорят ping и nslookup на mydomain.com и www.mydomain.com? Сайт у тебя физически расположен или у сторонний хостинг? Если у тебя, что в IIS творится? Если сторонний хостинг, то может стоит его пощупать?

Delirium,

что говорят ping и nslookup на mydomain.com и www.mydomain.com? »
пинг из внутренней сети не разрешен, но видно, что эта команда пытается пропинговать удаленный сервер.

nslookup - все нормально

Z:\>nslookup www.mydomain.com
Server: dc1.mydomain.com
Address: 192.168.21.249

Name: www.mydomain.com
Address: 212.38.114.[X]

Сайт у тебя физически расположен или у сторонний хостинг? »
сторонний хостинг.

не, ты не понял. ты пробей как просто mydomain.com так и полное имя www.mydomain.com. Может где у кого в зонах глюк. Заодно не помешал бы tracert mydomain.com и tracert www.mydomain.com

Если все путем, смотри в сторону хостинга, тереби их.

кого теребить (http://www.ripn.net:8080/nic/whois/) и 212.38.114.1 - Dennis N Neshtoon

Delirium, ты пробей как просто mydomain.com »
ну здесь без проблем

Z:\>ping mydomain.com

Pinging mydomain.com [192.168.21.252] with 32 bytes of data:

Reply from 192.168.21.252: bytes=32 time<1ms TTL=128
Reply from 192.168.21.252: bytes=32 time<1ms TTL=128
Reply from 192.168.21.252: bytes=32 time<1ms TTL=128
Reply from 192.168.21.252: bytes=32 time<1ms TTL=128

Ping statistics for 192.168.21.252:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

а www не разрешает пинговаться (как впрочем и все остальные внешние адреса)

Z:\>ping www.mydomain.com

Pinging www.mydomain.com[212.38.114.XXX] with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 212.38.114.28:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Заодно не помешал бы tracert mydomain.com и tracert www.mydomain.com »

Z:\>tracert mydomain.com

Tracing route to mydomain.com [192.168.21.252]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms dc2.a-group.az [192.168.21.252]

Trace complete.

ну а внешний tracert не проходит по тому же, что и пинг.

Если все путем, смотри в сторону хостинга, тереби их. »
Только что проверил - на самом контроллере домена все прекрасно работает! :o Так что хостер явно не причем.

смотри на шлюзе куда пакеты идут.

exo, шлюз - ИСА Сервер 2004. Если смотреть в логах, то видно, что идет соединение к удаленному айпи-адресу, но соединение прерывает сам браузер.

прерывает сам браузер »
попробуй тогда другим браузером. или смотри в настройках браузера.
может фаерволл\брандмауэр начал блочить этот адрес?

exo,

попробуй тогда другим браузером »
в Опере тоже самое.

может фаерволл\брандмауэр начал блочить этот адрес? »
нет, его настройки не менялись. Да и если бы он блочил, он давал соответствующее окно ошибки ISA Server-a (коричневое такое).

Попробуйте создать на исе правило:
из внутренней - к сайту - все пользователи - ну и протокол НТТР или НТТРS
и поместите его на самый верх (для верности). Посмотрите что получится.

А tracert может не работать, если не открыт протокол icmp.
icmp - не умеет авторизироваться его по пользователям не ограничить только по компам.
Хотя если пинг фурычит то...

Попробуйте создать на исе правило:
из внутренней - к сайту - все пользователи - ну и протокол НТТР или НТТРS
и поместите его на самый верх (для верности). Посмотрите что получится. »
сделал. не помогло :(

соединение прерывает сам браузер. »
вот логи и нужно смотреть на том компе, где проблемы.
а ip вы пропалили 212.38.114.28

exo, шлюз - ИСА Сервер 2004. » - не может быть чтобы с прокси нельзя было сделать tracert до необходимого адреса. Создай временное правило Allow -all - from local host - to external и в самый вверх его. Должно давать будет все что угодно.
Да и если бы он блочил, он давал соответствующее окно ошибки ISA Server-a » - а с чего бы он его давал? Правило отработало, доступ закрылся, файрволл пашет дальше. Логи ISA куда кидаются? Выбери время, сделай трассировку, пинг, сходи на этот адрес и в логи, смотреть где отлуп идет и по какому правилу.

exo, вот логи и нужно смотреть на том компе, где проблемы. »
event-log-и? они чистые!

а ip вы пропалили 212.38.114.28 »
по ходу он все равно редиректит на сайт хостера ;)

Delirium,
не может быть чтобы с прокси нельзя было сделать tracert до необходимого адреса »
с самого прокси компьютера (ИСА Сервера) - все прекрасно пингуется, трейсируется и открывается в браузере. проблема на клиентах.

ВНИМАНИЕ! НОВАЯ ИНФОРМАЦИЯ!

В БРАУЗЕРЕ MOZILLA FIREFOX ВСЕ ПРЕКРАСНО ОТКРЫВАЕТСЯ! ДАЖЕ ЕСЛИ ПРОПИСАТЬ В НАСТРОЙКАХ ПРОКСИ-СЕРВЕР ISA!

ну вот мы наконецто и добрались до истины :)
Посмотри политику безопасности в IE, и вообще проверь, может это IE 7 тупит таки?

Delirium,
Посмотри политику безопасности в IE »
сбросил политику безопасности на уровень "По умолчанию для всех зон". не помогло.

может это IE 7 тупит таки? »
в IE6 тоже самое...

не, ну если в лисе все показывает, согласись что проблема именно в броузере? Или может в групповой политике кто пошарил или в запрещенные адреса внесли. А может просто стоит кеш IE почистить вместе с ссылками и т.д.? Посмотри вкладу конфиденциальность, может туда занесли по глупости адресок.

не, ну если в лисе все показывает, согласись что проблема именно в броузере? »
кстати, в Опере (9.27) тоже не показывает. Сайт открывается только в Firefox. Во всех браузерах прописан один и тот же адрес проки-сервера ( ISASERVER:8080 ). Если отключить прокси-сервер, то Опера показывает нормально.

может в групповой политике кто пошарил или в запрещенные адреса внесли. »
кроме меня ни у кого нет туда доступа.

А может просто стоит кеш IE почистить вместе с ссылками и т.д.? Посмотри вкладу конфиденциальность, может туда занесли по глупости адресок. »
проверял! Ей Богу - все там проверил! :( все чистил, все бестолку.

Ну тогда делай чистый результат: бери машину, ставь винду, НЕ вноси в домен, зайди на страницу. Потом внеси в домен и снова попробуй. Пробуй на IE с параметрами по умолчанию.
Да, кстати, что насчет логов ИСЫ то? Что там пишется когда firefox'ом на сайт идешь и что когда через IE ?

Ну тогда делай чистый результат: бери машину, ставь винду, НЕ вноси в домен, зайди на страницу. »
ОК. Это попробую.

А пока выкладываю логи ИСЫ при попытке открыть сайт в IE и Firefox.

Как видно при попытке открыть сайт в ИСЕ вылезают сплошные Denied Connection, при наведениее на которых выходит такая дополнительная информация







Denied Connection FIREWALL 6/7/2008 9:11:52
Log type: Firewall service
Status: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer.
Rule:
Source: Internal ( 192.168.21.100:1793)
Destination: Local Host ( 192.168.21.250:61122)
Protocol: TCP Outbound
User:
Additional information
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 0ms Original Client IP: 192.168.21.100
Client agent