Проблема с получением IP адреса клиенту через DHCP при использовании ISA server 2006
 

Всем привет. У меня возник вопрос, при поднятии домена клиенты получают IP адреса, например на сутки. Дальше я настроил ISA server, всё работает как надо. Но только правило которое позволяет видеть клиентам друг друга и так же сервер, я его поставил самым последним, при этом всё работало. Но вот когда аренда IP адресов полученных DHCP истекает, после этого клиенты не могут получить IP. После я правило (локальная сеть) сделал самым первым и всё заработало, клиенты получили IP адреса и видели друг друга и свой контроллер домена. Мне не понятно одно, почему именно это правило надо ставить в самое начало, понимаю что надо ставить правило на счёт PING в самое начало.
Не пойму какое и почему правило блокирует правило локальной сети, на скрине оно выделено:

Зайдите в редактирование системных настроек(во вкладке Задания-Tasks). Там посмотрите, разрешен ли DHCP.
Правило 8 подредактируйте, зачем вы выпускаете наружу весь трафик, достаточно HTTP, HTTPS, FTP, ну и SMTP, POP, если необходимо.
P.S. Кстати, какая версия Bandwidth Splitter установлена? Если 1.23 и ниже, могу подкинуть программку для просмотра остатка трафика по всем пользователям с любой машины в сети.

DIMAPIKS,

Правило 10 нужно поднять в самый вверх и разбить на два (т.к. могут быть глюки). Т.е. источник от куда должен быть один.

Смысл правилу 9 вообще не вижу... зачем такая дыра!? :o

Delirium, Anton04, Ребята большое спасибо, на счёт ваших советов я с вами полностью согласен, и то что выбрал все протоколы, это всё понятно. Но я до сих пор не пойму почему правило 10, должно быть на верху, кто ему мешает и почему? Я ставил его первым и тогда всё работает. Когда аренда получена то всё работает даже когда правило 10 внизу, но когда аренда истекает, то когда оно внизу не получается получить IP, только если оно на верху.
И Anton04, на счёт 10 правила, как именно го разбить на два? типа: 1)локальный компьютер-внутренняя 2)внутренняя-локальный компьютер, внутренняя ?

Это какие например? У меня данное правило стоит 29-ым и все работает. В самый верх желательно ставить публикацию серверов(http, smtp).
10 правило просто разрешает весь трафик внутри сети, и к внешней сети не имеет отношения. Если админ не хочет закрывать порты внутри сети - его дело.
9 правило дает доступ с локального сервера ISA наружу. К нему надо применить те же ограничения, что и к основому правилу интернета, т.е. выпускать только нужные протоколы.
Конечно работает, т.к. после получения аренды клиент не рассылает запросы на получение IP адреса. А после истечения срока начинает штурмовать сеть. Что можно предпринять:
1. Запустить логгирование в ISA, настроить его на слежение за указанным компьютером. Правило 10 должно быть внизу, как и сейчас.
2. на клиенте запустить ipconfig /release (освободить IP) и затем ipconfig /renew - получить IP. Запустится процедура получения IP адреса от DHCP сервера. В логгировании вы сможете наблюдать какие правила начинают срабатывать и отсекать запросы.

Примерно. А лучше просто так. 1. локальный компьютер-внутренняя 2. внутренняя-локальный компьютер.

Просто бывали случаи...

Не сомневаюсь. См. ниже.

Согласен, я имел в виду с разу же после них.

Знаю, просто логика проста, сначало разрешить коннект к исе и от неё во внутреннюю сеть, а топом всё остальное.

Поддерживаю. А вообще-то в идеале обойтись системной политикой.

сорри за оффтоп: о ужас какой...

1. следите за логикой правил. Если нельзя определить "узкость" правила, значит правила являются равнозначными и их порядок ни на что не влияет.
2. старайтесь использовать только правила "разрешить"
3. не забываете перезагружать службу "межсетевой экран"

Dimas_83,

Есть доля истины и за тобой.
Поддерживаю.

Обязательно попробую, логирование, это в самом ISA сервер, имеется ввиду не дополнительная программа, просто в данный момент не могу проверить, нет того компьютера, а по памяти не могу точно вспомнить. Только вот хотел уточнить, а какое из моих правил может мешать получению IP адресса, хотя бы теоретически?

Правило 10 как раз к таким относится правильно?

А как же поступить, если например надо запретить какой нить FTP сервер или просто какой нить Web сайт, понимаю что так можно. Но тогда придётся создавать правило с статусом "разрешить", а в нем уже указать кучу URL адресов или IP адресов, если их мало то это не так сложно, а если много, то очень трудоёмкая работа. Это конечно только мои предположения, могу и ошибаться.

А где это именно находится?

В правой панели, там где пользователи и прочее, есть кнопка - "показать системные политики". Но лучше их править не в списке, а нажать там же справа - редактировать системную политику. Откроется мастер, и там можно будет много чего настроить, в том числе и DHCP.

ну нет, конечно, в случае запрета какого либо сайта, надо создать правило запрета. :)

Delirium, Добрался до компа.
Вот логи, точнее скрины. У меня похоже ни на каком правиле он не останавливается, а похоже что то ещё, я сам не понимаю.

DIMAPIKS, вы смотрели системные политики, как я писал выше? Там самая первая вкладка - разрешить DHCP (для внутренней сети). По приведенным логам ничего сказать толком нельзя :)

Delirium,
Смотрел) Для внутренней.
Получается что там всё правильно, а может и что то не так сделал.....