|
ISA 2006 Проблема с 2 ip в одной сети
С наступающим Новым Годом формучане!!!
Вот под новый год приключилась у меня небольшая беда. Сам не могу ее решить так как знаний не хватает :cry2: На защите нашей корпоративной сети стоит ISA 2006. Настроена как Внутренний Межсетевой Экран. Выше isa идет cisco route. В ISA 2006 настроен VPN сервер. VPN сервер использует статистические ip адреса. Вот из за этого у нас бываю проблемы. Раньше раз в 2 месяца(вообще проблеме уже больше года) после того как пользователь подключался через vpn сервер сам vpn сервер отваливался. То есть никто не мог больше подключится через vpn сервер. Не работал только vpn сервер все остальное работало! Проблема в самой RRAS точнее в той части которая отвечает за vpn. В логах ничего нету по этому поводу нету. В последние 2 недели проблема обострилась. Каждые 2 дня vpn сервер падал. Проблема решается перезапуском сервера. Решил в vpn использовать dhcp. Четыре дня полет нормальной. Но тут выявил другую проблему. У нас настроен wpad.dat. В самом dhcp сервере стоит опция agibuba.estiw.lan/wpad.dat (agibuba -- это имя сервера где стоит isa). VPN сервер присваивает себе ip адрес из внутренней сети(10.12.5.X /24) например 10.12.5.34 и запросы от всех браузер идут на этот ip адрес(ISA Наблюдение увидел). ISA отклоняет запросы! В результате чего IE не работают. Firefox если не может пройти через прокси сервер выполняет запрос напрямую. В интернет у него получается выйти. Надо что бы браузеры отправляли запрос на 10.12.5.2(это шлюз) Если в ручную в браузере прописать ip прокси сервера 10.12.5.2 все начинает работать. Скажи пожалуйста как сделать что бы браузеры отправляли запрос на 10.12.5.2? PS Что то я не как не могу найти файл wpad.dat. Где он лежит?(я его не настраивал) |
Цитата:
вы хотите сказать что у вас адреса которые получает RRAS для VPN клиентов регистрируются в DNS что ли? |
Совершенно верно! VPN сервер был настроен использовать местный dhcp сервер. Пока я опять включил использовать статистические адреса
|
Цитата:
на чём у вас DHCP сервер? покажите вывод nslookup agibuba.estiw.lan |
Когда стал использовать dhcp сервер служба rras зарезервировала около 10 ip адресов у dhcp. VPN серверу было присвоен ip 10.12.5.34 и создана запись А на dns сервере.
После этого все браузеры начали подключатся через этот IP. Это скорей всего из за того что на dns сервере создана запись CNAME wpad указывающая на agibuba.estiw.lan Существовало 2 записи А для agibuba 10.12.5.2 и 10.12.5.34. WPAD использовал вместо 10.12.5.2 10.12.5.34 nslookup Default Server: vmware.estiw.lan Address: 10.12.5.13 |
Цитата:
скопируйте строку: nslookup agibuba.estiw.lan вставьте ей в окно cmd и нажмите Enter. скопируйте вывод и напишите сюда. какая версия ISA и какие SP стоят? |
Server: vmware.estiw.lan
Address: 10.12.5.13 Name: agibuba.estiw.lan Addresses: 10.12.5.2, 10.11.11.1, 172.16.28.10, 192.168.2.2, 172.16.30.1 10.12.5.2 -- это шлюз 10.11.11.1 -- диапазон статистических ip адресов для vpn клиентов 172.16.28.10 --- dmz На другом конце стоит cisco route 192.168.2.2 -- Тестовая сеть -- в этой сети всего один пк стоит 172.16.30.1 -- Сеть разработок -- в этой сети всего один пк стоит ISA 2006 Standard SP1 Русская Windows 2003 Enterprise SP2 Eng |
да, vmware это имя вашего DNS сервера? на какой он платформе?
|
Windows 2003 Enterprise SP2 Eng
|
Цитата:
на всех интерфейсах кроме 10.12.5.2 уберите галку "регистрировать в DNS", удалите из DNS эти записи (оставьте только 10.12.5.2), после чего на ISA выполните ipconfig /registerdns и покажите свежий вывод nslookup agibuba.estiw.lan Цитата:
genkoo, ещё вопрос: а нет ли на самом хосте с ISA DNS сервера? ато очень похоже |
Цитата:
Я же говорю что dhcp сервер раздает из этого сегмента адресов 10.12.5.X. После того как vpn серверу присваивается например адрес 10.12.5.64 браузеры начинает думать что это прокси а нет 10.12.5.2 Цитата:
Дополнение У меня 4 dns сервера и 4 Active Directory. На ISA есть dns и AD Главный DNS и AD стоит на 10.12.5.5 Между 4 AD настроена репликация. |
Цитата:
или вы о чём? Цитата:
|
Цитата:
|
Цитата:
так как виндовый DHCP не регает в DNS адреса с идентификатором RAS, то я предполагаю что это единственная возможная проблема. если, вы так и не ответили, у вас нет на ISA DNS сервера. |
Ответил выше
На ISA есть DNS и AD Цитата:
PS Мне надо уходить. Вечером сделаю что вы предложили |
Цитата:
в таком случае вам ещё необходимо указать в свойствах этого DNS сервера обслуживать только интерфейс 10.12.5.2, если Цитата:
если прописаны - то извольте рассказать топологию АД, ибо иметь мультихоумед КД не зная основ DNS черевато DNS граблями, что мы и наблюдаем. |
Цитата:
Так мне надо удалять то что вы сказали? Я еще просто не когда с несколькими DNS и AD не работал вот из за и туплю |
|
Какая вкладка? :blush:
Name servers? В ней выбрать dns сервер isa(там 4 dns сервера. они между собой реплицируются) и удалить все ip кроме 10.12.5.2 ? |
Цитата:
 |
C:\Documents and Settings\tuxkon>nslookup agibuba.estiw.lan
Server: vmware.estiw.lan Address: 10.12.5.13 Name: agibuba.estiw.lan Address: 10.12.5.2 Сделал все что вы сказали и заработало! VPN сервер берет IP у dhcp и не создает запись А Опять вы помогли мне. Снимаю шляпу перед вами! |
не забудьте отметить тему как [решено]
|
По поводу зависания rras
На форуме microsoft сказали что если стоит обновление KB2509553 удалить его. Так как оно вызывает проблемы в службе rras. Почитал в интернете про него. У многих начинаются проблемы после этого обновления. Удалил его. Время покажет |
| Время: 22:23. |
Время: 22:23.
© OSzone.net 2001-