Не могу открыть веб-сайт "www.mydomain.com" из сети домена "mydomain.com"
 

Доброе утро. Прошу помочь в решении очень важной проблемы.

Есть домен MYDOMAIN.COM (где MYDOMAIN - название компании), построенный на КД Win2k3 R2 SP2. КД также является DNS и DHCP сервером.

До недавнего времени все нормально работало, но буквально несколько дней назад юзеры стали жаловаться, что не открывается корпоративный веб-сайт компании www.mydomain.com При открытии сайта вылезает такая ошибка - см. скриншот в аттаче.

Сначала подозревал, что сбилась соответствующая запись "A" в оснастке DNS, которая должна указывать на внешний айпи-адрес веб-сайта. Проверил - она на месте.

Тогда в чем может быть проблема?

Очень прошу, вопрос очень приоритетный и надо решить его в ближайшие сроки, не проходите мимо!

что говорят ping и nslookup на mydomain.com и www.mydomain.com? Сайт у тебя физически расположен или у сторонний хостинг? Если у тебя, что в IIS творится? Если сторонний хостинг, то может стоит его пощупать?

Delirium,

пинг из внутренней сети не разрешен, но видно, что эта команда пытается пропинговать удаленный сервер.

nslookup - все нормально

сторонний хостинг.

не, ты не понял. ты пробей как просто mydomain.com так и полное имя www.mydomain.com. Может где у кого в зонах глюк. Заодно не помешал бы tracert mydomain.com и tracert www.mydomain.com

Если все путем, смотри в сторону хостинга, тереби их.

кого теребить и 212.38.114.1 - Dennis N Neshtoon

Delirium, ну здесь без проблем

а www не разрешает пинговаться (как впрочем и все остальные внешние адреса)

ну а внешний tracert не проходит по тому же, что и пинг.

Только что проверил - на самом контроллере домена все прекрасно работает! :o Так что хостер явно не причем.

смотри на шлюзе куда пакеты идут.

exo, шлюз - ИСА Сервер 2004. Если смотреть в логах, то видно, что идет соединение к удаленному айпи-адресу, но соединение прерывает сам браузер.

попробуй тогда другим браузером. или смотри в настройках браузера.
может фаерволл\брандмауэр начал блочить этот адрес?

exo,

в Опере тоже самое.

нет, его настройки не менялись. Да и если бы он блочил, он давал соответствующее окно ошибки ISA Server-a (коричневое такое).

Попробуйте создать на исе правило:
из внутренней - к сайту - все пользователи - ну и протокол НТТР или НТТРS
и поместите его на самый верх (для верности). Посмотрите что получится.

А tracert может не работать, если не открыт протокол icmp.
icmp - не умеет авторизироваться его по пользователям не ограничить только по компам.
Хотя если пинг фурычит то...

сделал. не помогло :(

вот логи и нужно смотреть на том компе, где проблемы.
а ip вы пропалили 212.38.114.28

- не может быть чтобы с прокси нельзя было сделать tracert до необходимого адреса. Создай временное правило Allow -all - from local host - to external и в самый вверх его. Должно давать будет все что угодно.
- а с чего бы он его давал? Правило отработало, доступ закрылся, файрволл пашет дальше. Логи ISA куда кидаются? Выбери время, сделай трассировку, пинг, сходи на этот адрес и в логи, смотреть где отлуп идет и по какому правилу.

exo, event-log-и? они чистые!

по ходу он все равно редиректит на сайт хостера ;)

Delirium,
с самого прокси компьютера (ИСА Сервера) - все прекрасно пингуется, трейсируется и открывается в браузере. проблема на клиентах.

ВНИМАНИЕ! НОВАЯ ИНФОРМАЦИЯ!

В БРАУЗЕРЕ MOZILLA FIREFOX ВСЕ ПРЕКРАСНО ОТКРЫВАЕТСЯ! ДАЖЕ ЕСЛИ ПРОПИСАТЬ В НАСТРОЙКАХ ПРОКСИ-СЕРВЕР ISA!

ну вот мы наконецто и добрались до истины :)
Посмотри политику безопасности в IE, и вообще проверь, может это IE 7 тупит таки?

Delirium,
сбросил политику безопасности на уровень "По умолчанию для всех зон". не помогло.

в IE6 тоже самое...

не, ну если в лисе все показывает, согласись что проблема именно в броузере? Или может в групповой политике кто пошарил или в запрещенные адреса внесли. А может просто стоит кеш IE почистить вместе с ссылками и т.д.? Посмотри вкладу конфиденциальность, может туда занесли по глупости адресок.

кстати, в Опере (9.27) тоже не показывает. Сайт открывается только в Firefox. Во всех браузерах прописан один и тот же адрес проки-сервера ( ISASERVER:8080 ). Если отключить прокси-сервер, то Опера показывает нормально.

кроме меня ни у кого нет туда доступа.

проверял! Ей Богу - все там проверил! :( все чистил, все бестолку.

Ну тогда делай чистый результат: бери машину, ставь винду, НЕ вноси в домен, зайди на страницу. Потом внеси в домен и снова попробуй. Пробуй на IE с параметрами по умолчанию.
Да, кстати, что насчет логов ИСЫ то? Что там пишется когда firefox'ом на сайт идешь и что когда через IE ?

ОК. Это попробую.

А пока выкладываю логи ИСЫ при попытке открыть сайт в IE и Firefox.

Как видно при попытке открыть сайт в ИСЕ вылезают сплошные Denied Connection, при наведениее на которых выходит такая дополнительная информация

Насколько я вижу, Denied Connection вылетает только при попытке доступа с 192.168.21.100 на 192.168.21.250 и по порту 58029, а вот соединение с адресом сайта 212.38.... проходит успешно на обоих скринах. И заметь, файрфокс не инициирует отправку пакетов по данному порту, а IE пытается. Что у тебя на 192.168.21.250 находится? Почему туда ломится IE да еще и на такой странный порт?

Delirium,
192.168.21.100 - это компьютер клиента (в данном примере - мой). Если открывать с другого компа, то .100 заменяется соответствующим адресом клиентской машины.

192.168.21.250 - это адрес компьютера ISA Server.

Delirium,
интересно, что этот порт не фиксированный. иногда там отображается порт 44666, 16857 и т.п.

Трояна случаем никакого не поймал под IE ? Чет поведение больно похожее.. Поставь чистую машину и проведи эксперимент. ТОгда станет ясно на 100%

Delirium, ок, постараюсь проверить прямо сегодня.

А это не следы клиента авторизации от ISA?
Кстати, он вообще стоит на клиентах?

Dirk Diggler,
возможно, не отрицаю.

да, конечно, стоит Microsoft Firewall Client. Кстати, если его отключить, но все начинает нормально работать. Просто правила файрвола не применяются, поэтому он всегда должен быть включен.

При чем тут Firewall-клиент?
isaserver.ru
isadocs.ru
Изучайте.

monkkey,
разве не причем? я для чего тогда этот клиент нужен?

Помогите, уже 2ой день бьюсь с подобной проблемой

есть 2 домена: firma1.com firma2.com (хостятся в инете)
есть локалка с доменом firma1.com

проблема - не могу зайти ни по одному адресу (разными браузерами пробовал) из локалки (в инете сайты открываются)...

из локалки:
оба домена пингуются, нслукапятся, трейсеруются и т.д.
мало того на firma2.com я даже по фтп могу зайти

браузеры все говорят одно и тоже: Соединение с сервером firma2.com сбой (Сервер не отвечает.)

из ПО
шлюз win2003k r2 + winroute последний
AD win2003k r2 + DNS там же

Ну вот проблема и локализована. Как с ней бороться, уже вопрос №2
Кстати, не работает только этот сайт или вообще http? Яндексы всякие там нормально открываются?

dezzie, попробуйте выражаться понятно для других. Это существенно помогает в решении проблемы.

Ну куда уж понятней
из локалки не могу на сайты свои зайти

Народ, УРААААААААА! :yahoo:

В субботу, в 17:45 причины проблемы, наконец-то, выяснилась.

Сайт блокировался анти-вирусом NOD32, точнее встроенной в нее фичей Web Access Protection -> Enable HTTP Checking. Убрал галочку и все заработало!

Как я выяснил - взял комп, поставил систему с нуля. По мере установки нового софта, сразу проверял доступность этого сайта. После установки НОД-а сразу сайт перестал открываться. Сразу полез в настройки этого антивируса и попробовал убрать сканирование портов. Попробовал открыть сайт - и вуаля! :clapping:


Всем спасибо за помощь и содействие! :up

А то что почему НОД32 блокирует этот сайт - второй вопрос.