Показать полную графическую версию : ISA 2006+DNS+AD WinSrv2003 R2
Доброго времени суток,
Столкнулся с такой проблемой, имеется сеть 10.2.0.1 и несколько подсетей 10.2.1.1, 10.2.2.1, 10.2.3.1, 10.2.4.1
После перехода на ISA 2006+DNS+AD WindSrv2003 R2, пользователи из подсетей не могут попасть на расшареные ресурсы находящиеся в сети 10.2.0.1 но не на все, а только на конкретные, на те которые расположены на ОС WinSrv 2003 R2 и WinSrv 2000 SP4. Пользователи находящиеся в сети 10.2.0.1 без проблем заходят на расшареные ресурсы, а вот из подсетей нет. С подсетей шары эти пингуются, но при попытке зайти на них выдает ошибка "\\10.2.0.3 Не найден сетевой путь". И не важно находятся пользователи подсетей в домене или нет, и так же шары не важно находятся в домене или нет. Что делать кто что может подсказать, может кто сталкивался с такой проблемой?
Доброго... а можно подробнее? »
Доброго времени суток,
Столкнулся с такой проблемой, имеется сеть 10.2.0.1 и несколько подсетей 10.2.1.1, 10.2.2.1, 10.2.3.1, 10.2.4.1
После перехода на ISA 2006+DNS+AD WindSrv2003 R2, пользователи из подсетей не могут попасть на расшареные ресурсы находящиеся в сети 10.2.0.1 но не на все, а только на конкретные, на те которые расположены на ОС WinSrv 2003 R2 и WinSrv 2000 SP4. Пользователи находящиеся в сети 10.2.0.1 без проблем заходят на расшареные ресурсы, а вот из подсетей нет. С подсетей шары эти пингуются, но при попытке зайти на них выдает ошибка "\\10.2.0.3 Не найден сетевой путь". И не важно находятся пользователи подсетей в домене или нет, и так же шары не важно находятся в домене или нет. Что делать кто что может подсказать, может кто сталкивался с такой проблемой?
для понимания причин нужно понять нет ли случаем NATа между сетями (есть подозрение), так же понять как проходит траффик и поглядеть в ISA-monitoring-logging в момент проблемы.
да, а на какие хосты вы подключаетесь, если на 2к3 и 2к проблема есть?
для понимания причин нужно понять нет ли случаем NATа между сетями (есть подозрение), »
Да вроде бы нету?!
http://s018.radikal.ru/i501/1208/35/739af9c1e7e8t.jpg (http://radikal.ru/F/s018.radikal.ru/i501/1208/35/739af9c1e7e8.jpg.html)
да, а на какие хосты вы подключаетесь, если на 2к3 и 2к проблема есть? »
Именно, с ними и проблема, хотя на WinXP пробуешь с некоторых машин тоже самое получается. Но это сейчас не самое главное. Самое главное мне разобраться как из подсетей мне попасть на 2к3 и 2к. Вот еще такая странная вещь, из подсетей захожу на сервер ISA (\\10.2.0.2) запрашивает авторизацию ЛОГИН и ПАРОЛЬ. Пытаюсь зайти на \\10.2.0.3 - это WinSrv2003 R2 говорит что сетевой путь не найден, пытаюсь зайти на \\10.2.0.4 - это WinSrv2000 SP4 открывает но абсолютно пустое окно.
что-то я не вижу других сетей в этом окне кроме типового набора.
маска /16 что ли?
а что в логгинге?
что в логе целевых ОС? особо аудит входа?
в общем сеанс телепатии окончен на сегодня.
маска /16 что ли? »
Нет на все сетях и на внутренней и на подсетях везде маска/24
Подсети я добавил во внутреннюю.
а что в логгинге? »
При попытке зайти на \\10.2.0.3 в логинге ничего не отображается...
особо аудит входа? »
По счет аудита, на этих шарах забиты учетные записи для каждого--- но это по старой схеме. Хотя из сети \\10.2.0.1 там же где находится и сервер, пользователи так же проходят аутентификацию по Логину и Пароль. А вот из подсетей пользователям выдает ошибку что "сетевой пут не найден"
Подсети я добавил во внутреннюю. »
покажите ipconfig /all с:
- клиента
- ISA
- какого либо проблемного клиента.
При попытке зайти на \\10.2.0.3 в логинге ничего не отображается... »
маловероятно, похоже что вы не там смотрите.
покажите ipconfig /all с:
- клиента
- ISA
- какого либо проблемного клиента. »
ОК
- клиента »
Клиент
http://i024.radikal.ru/1208/64/d232b3a7013et.jpg (http://radikal.ru/F/i024.radikal.ru/1208/64/d232b3a7013e.jpg.html)
- ISA »
ИСА
http://i070.radikal.ru/1208/37/9baba981e541t.jpg (http://radikal.ru/F/i070.radikal.ru/1208/37/9baba981e541.jpg.html)
- какого либо проблемного клиента. »
Проблемный клиент
http://s59.radikal.ru/i163/1208/e2/03936952cb6bt.jpg (http://radikal.ru/F/s59.radikal.ru/i163/1208/e2/03936952cb6b.jpg.html)
Проблемный клиент »
Извиняюсь я только что по запарке указал основной шлюз 10.2.1.2, там основной шлюз будет 10.2.1.1
в CMD отлично работает буфер обмена.
укажите правильный шлюз, проверьте.
да, 10.2.1.1 - это кто?
укажите правильный шлюз, проверьте. »
И при правильном указанном шлюзе проблема остается явной.
10.2.1.1 это шлюз первой подсети
Цитата cameron:
укажите правильный шлюз, проверьте. »
И при правильном указанном шлюзе проблема остается явной.
10.2.1.1 это шлюз первой подсети »
Дело в том что когда стоял UserGate5 то без проблем работало...
После того как перешел на ИСУ, все встало
10.2.1.1 это шлюз первой подсети »
спасибо Капитан Очевидность.
ещё раз спрашиваю - что это за устройство?
оно имеет маршруты до ISA? а ISA до него?
в ACL есть разрешения? клещами я тянуть из вас ничего не собираюсь.
рисуейте топологию со всеми участниками.
ещё раз спрашиваю - что это за устройство? »
10.2.1.1, 10.2.2.1, 10.2.3.1, 10.2.4.1 Прописаны VLANом на ЦИСКЕ
На исе я прописал роуты до них. С ИСЫ я их пингую, с них ИСУ тоже пингую.
В каком именно ACL на ИСЕ или на ЦИСКЕ?
На исе я прописал роуты до них. »
покажите route print
В каком именно ACL на ИСЕ или на ЦИСКЕ? »
и там и там.
и там и там. »
А на ИСЕ и ЦИСКЕ что за разрешения должны быть прописаны, за что отвечают, кому что должны разрешать? На ИСЕ они в правилах прописываются?
покажите route print »
http://s47.radikal.ru/i118/1208/52/e47bd0229633t.jpg (http://radikal.ru/F/s47.radikal.ru/i118/1208/52/e47bd0229633.jpg.html)
А на ИСЕ и ЦИСКЕ что за разрешения должны быть прописаны, за что отвечают, кому что должны разрешать? »
должны разрешать прохождение траффика.
На ИСЕ они в правилах прописываются? »
да, оперируя объектами "Subnet" - это правильно.
не нужно картинок, есть буфер обмена!
В субнетах я их завел, потом добавил их в правило вылазки во внешку... потом создал правило LAN< >LAN разрешил внутренюю сеть и локальный компьютер смотреть во внутренюю сеть и локальный компьютер.
Правильно или что то я не доделал?
В субнетах я их завел, потом добавил их в правило вылазки во внешку... потом создал правило LAN< >LAN разрешил внутренюю сеть и локальный компьютер смотреть во внутренюю сеть и локальный компьютер.
Правильно или что то я не доделал? »
скрины этого
и настроек сети "Internal"
В субнетах я их завел, потом добавил их в правило вылазки во внешку... »
http://s017.radikal.ru/i400/1208/3d/9ed406131f09t.jpg (http://radikal.ru/F/s017.radikal.ru/i400/1208/3d/9ed406131f09.jpg.html)
http://s48.radikal.ru/i119/1208/e4/e7c22d75507ct.jpg (http://radikal.ru/F/s48.radikal.ru/i119/1208/e4/e7c22d75507c.jpg.html)
Так же тут увидите и правило Lan<>Lan.
Еще для Outlook 2007 отдельно правило создавал.
тогда остаются файерволы на целевых хостах и ACL на циско, с позиции ISA у вас всё правильно.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.