Доброго времени суток,

Имеется WinSrv2003+DNS+AD+ISA 2006 Std RUS.

Проблема такова, имеются 4 подсети которым ИСА раздает ИНЕТ, с них пинги до ИСЫ идут, с ИСЫ на них тоже. А с самих подсетей не идут пинги на внешние адреса. Правила для них созданы, в правилах разрешены ВСЕ ПРОТОКОЛЫ из подсетей во ВНЕШНЮЮ СЕТЬ, И ВСЕ СЕТИ ВКЛЮЧАЯ ЛОКАЛЬНЫЙ КОМПЬЮТЕР. В сети в которой находится сам сервер, а это сеть 10.2.0.0 с нее пинги идут и внутрь и наружу. А вот в сетях 10.2.1.0, 10.2.2.0, 10.2.3.0, и 10.2.4.0 пинги ходят туда-сюда только внутри и до самого сервера, а на внешние ping`а нету. При запуске пинга с них получается такая вот лабуда:

Обмен пакетами с ya.ru [77.88.21.3] по 32 байт:

Ответ от 10.2.1.1: Заданный узел недоступен.
Ответ от 10.2.1.1: Заданный узел недоступен.
Ответ от 10.2.1.1: Заданный узел недоступен.
Ответ от 10.2.1.1: Заданный узел недоступен.

И т.д.

Помогите начинающем администратору сервера ISA.

Что я не доделал, что не так? Подскажите где что включить.

покажите:
- ipconfig /all ISA
- ipconfig /all с проблемного клиента
- tracert ya.ru с проблемного клиента.
- скриншоты FW правил ISA.
- скриншоты раздела Networks в ISA.

Могу расписать:

ipconfig /all ISA

ВНЕШНЯЯ КАРТОЧКА.
IP: 217.196.ХХ.ХХХ
MASK: 255.255.255.240
DEFAULT GETAWAY: 217.196.ХХ.ХХХ

DNS: 217.196.ХХ.ХХХ
ALTERNATIVE DNS: 217.196.ХХ.Х

ВНУТРЕННЯЯ КАРТОЧКА:

IP: 10.2.0.2
MASK: 255.255.255.0

DNS: 10.2.0.2


При всем этом постоянные маршруты были прописаны:
route add -p 10.2.1.0 mask 255.255.255.0 10.2.0.0
route add -p 10.2.2.0 mask 255.255.255.0 10.2.0.0
route add -p 10.2.3.0 mask 255.255.255.0 10.2.0.0
route add -p 10.2.4.0 mask 255.255.255.0 10.2.0.0

ipconfig проблемного компа:

IP: 10.2.1.71
MASK: 255.255.255.0
DEFAULT GETAWAY: 10.2.1.1
DNS: 10.2.0.2


С проблемных ПК например в сети 10.2.1.0, tracert доходит только до шлюза 10.2.1.1 и все, дальше трассировка не идет.
С пингом так же проблема:
Обмен пакетами с ya.ru [77.88.21.3] по 32 байт:

Ответ от 10.2.1.1: Заданный узел недоступен.
Ответ от 10.2.1.1: Заданный узел недоступен.
Ответ от 10.2.1.1: Заданный узел недоступен.
Ответ от 10.2.1.1: Заданный узел недоступен.

На счет правил файрвола ИСЫ:

Internet User
Разрешены все протоколы откуда: Internal куда: External

Local computer:
Разрешены все протоколы откуда: Local host куда: External

Подсеть 10.2.1.0:
Разрешены все протоколы откуда: подсеть 10.2.1.0 куда: External и Все сети включая локальный компьютер.

В разделе Networks все по умолчанию внутренняя 10.2.0.0, так же в свойства внутренней сети добавил еще диапазон адресов:
10.2.1.0 - 10.2.1.255
10.2.2.0 - 10.2.2.255
10.2.3.0 - 10.2.3.255
10.2.4.0 - 10.2.4.255

А подсети были созданы в разделе ПОДСЕТИ. И после созданы исходя из них правила.

Могу расписать: »
я просила скрины.
DNS: 217.196.ХХ.ХХХ
ALTERNATIVE DNS: 217.196.ХХ.Х »
если доменная сеть - это недопустимая настройка.
При всем этом постоянные маршруты были прописаны:
route add -p 10.2.1.0 mask 255.255.255.0 10.2.0.0
route add -p 10.2.2.0 mask 255.255.255.0 10.2.0.0
route add -p 10.2.3.0 mask 255.255.255.0 10.2.0.0
route add -p 10.2.4.0 mask 255.255.255.0 10.2.0.0 »
откуда в сетке /24 адрес 10.2.0.0?
На счет правил файрвола ИСЫ:
Internet User
Разрешены все протоколы откуда: Internal куда: External
Local computer:
Разрешены все протоколы откуда: Local host куда: External
Подсеть 10.2.1.0:
Разрешены все протоколы откуда: подсеть 10.2.1.0 куда: External и Все сети включая локальный компьютер.
В разделе Networks все по умолчанию внутренняя 10.2.0.0, так же в свойства внутренней сети добавил еще диапазон адресов:
10.2.1.0 - 10.2.1.255
10.2.2.0 - 10.2.2.255
10.2.3.0 - 10.2.3.255
10.2.4.0 - 10.2.4.255
А подсети были созданы в разделе ПОДСЕТИ. И после созданы исходя из них правила. »
скрины.

Ок. Вечером выложу.

покажите:
- ipconfig /all ISA
- ipconfig /all с проблемного клиента
- tracert ya.ru с проблемного клиента.
- скриншоты FW правил ISA.
- скриншоты раздела Networks в ISA. »

Доброго времени суток cameron

Как Вы и просили выкладываю скрины:

- ipconfig /all ISA
http://s019.radikal.ru/i620/1208/84/2b46d981da29t.jpg (http://radikal.ru/F/s019.radikal.ru/i620/1208/84/2b46d981da29.jpg.html)

- ipconfig /all с проблемного клиента
http://s61.radikal.ru/i172/1208/fe/388a8aa7f6b3t.jpg (http://radikal.ru/F/s61.radikal.ru/i172/1208/fe/388a8aa7f6b3.jpg.html)

- tracert ya.ru с проблемного клиента.
http://s019.radikal.ru/i613/1208/d5/a3cfd408b7d2t.jpg (http://radikal.ru/F/s019.radikal.ru/i613/1208/d5/a3cfd408b7d2.jpg.html)

- скриншоты FW правил ISA.
http://i074.radikal.ru/1208/85/2f53dfef13a9t.jpg (http://radikal.ru/F/i074.radikal.ru/1208/85/2f53dfef13a9.jpg.html)

- скриншоты раздела Networks в ISA.
http://s48.radikal.ru/i120/1208/6b/18898f6fcbd5t.jpg (http://radikal.ru/F/s48.radikal.ru/i120/1208/6b/18898f6fcbd5.jpg.html)

Ну кто что может подсказать, очень нужно!

ipconfig скринами...
1. http://admin.vlady.ru/w2k-dns.htm - это по КД.
2. я не вижу что бы у ISA были интерфейсы в сетях отличных от 10.0.2.0/24
я, честно говоря, вообще не понимаю что за бред у вас сделан.

ipconfig скринами...
1. http://admin.vlady.ru/w2k-dns.htm - это по КД.
2. я не вижу что бы у ISA были интерфейсы в сетях отличных от 10.0.2.0/24
я, честно говоря, вообще не понимаю что за бред у вас сделан. »

Извините, но можно по подробнее я не понимаю. Я только начал осваивать все это.

Извините, но можно по подробнее я не понимаю »
прочитайте статью http://admin.vlady.ru/w2k-dns.htm, внесите исправления.
далее, что бы ISA работала корректно ей нужны интерфейсы в нужных сетях. в приницпе можно попробовать сделать это просто адресами, забив их много на интерфейсе, но это не очень гуд с позиции ISA и будут грабли.

ну а ipconfig - там есть опция "скопировать-вставить", позволяет удобней видеть ваши настройки, без баннеров и прочего.
соотно остальные картинки можно аттачить в тему, что тоже, бесспорно, удобней чем таращиться на баннеры.

прочитайте статью http://admin.vlady.ru/w2k-dns.htm, внесите исправления »

Статью прочитал, вроде ыб все сделано как описано. .

далее, что бы ISA работала корректно ей нужны интерфейсы в нужных сетях. »

как это я могу сделать, что значит ИСЕ нужны интерфейсы в нужных сетях?

в приницпе можно попробовать сделать это просто адресами, забив их много на интерфейсе »
Где это прописывается?