ISA 2006 не прогружает сайты - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)

- - ISA 2006 не прогружает сайты (http://forum.oszone.net/showthread.php?t=234833)

ISA 2006 не прогружает сайты

Есть winserver2003, ПК пользователей в домене, ISA2006 не в домене. Оговорюсь, что машина на которую установлена isa слабенькая -Pentium DualCore E6600 и 2 гига ОЗУ
Установили, настроили ISA. Настроили пользовательские ПК - все работает, в инет выходит (правда жалуются, что инет стал медленный). Но есть пару затыков, проходишь по адресу https://login.skype.com (не обязтельно поэтому адресу, ну вобщем надо зарегиться в скайп) и загружается только заголовок сайта и все. Правил всего 4 : Первое правило блокирует запрещенные сайты, второе разрешает все и все, третье инет на локальной машине, где стоит isa и 4 по умолчанию
Смотрю журнал, там вот такие ошибки

Неудачная попытка соединения MIP-ISA 17.05.2012 12:27:15
Тип журнала: Веб-прокси (прямой)
Состояние: 10060 Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.
Правило: Proxy
Источник: Внутренняя (10.43.79.2)
Назначение: Внешняя (184.86.231.24:443)
Запрос: apps.skypeassets.com:443
Информация фильтра: Req ID: 06b5a93e; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Протокол: SSL-tunnel
Пользователь: anonymous
Дополнительные сведения
Client agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
Object source: Интернет (Источник - Интернет. Объект был добавлен в кэш.)
Cache info: 0x0
Processing time: 0 ms
MIME type:

Неудачная попытка соединения MIP-ISA 17.05.2012 12:51:29
Тип журнала: Веб-прокси (прямой)
Состояние: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.
Правило: Proxy
Источник: Внутренняя (10.43.79.2)
Назначение: Внешняя (184.86.229.195:443)
Запрос: secure.skypeassets.com:443
Информация фильтра: Req ID: 06b5a938; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Протокол: SSL-tunnel
Пользователь: anonymous
Дополнительные сведения
Client agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
Object source: Интернет (Источник - Интернет. Объект был добавлен в кэш.)
Cache info: 0x0
Processing time: 0 ms
MIME type:

Причем правило proxy это правило, которое все все разрешает.
Есть еще пару сайтов, которые тупо не прогружаются, а в журнале нет никаких ошибок
В какую сторону копать подскажите?

nikitos435,

Для полного анализа ситуации:

1. Приведите скриншот правил.
2. Приведите скриншот команды ipconfig /all с иса сервера.
3. Приведите скриншот команды ipconfig /all с клиента.
4. Проверите настройки интерфейсов Настройка сетевых интерфейсов для ISA сервера. Всё ли у Вас так?

Цитата:

Цитата nikitos435

Оговорюсь, что машина на которую установлена isa слабенькая -Pentium DualCore E6600 и 2 гига ОЗУ »

Нормальная машина, главное шоб клиентов много не было...

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : MIP-ISA
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

WAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-528
#2
Физический адрес. . . . . . . . . : 1C-7E-E5-10-A5
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.230.100.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.230.100.1
DNS-серверы . . . . . . . . . . . : 8.8.8.8
NetBIOS через TCP/IP. . . . . . . : отключен

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-528
Физический адрес. . . . . . . . . : 1C-7E-E5-10-A3
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.33.2.130
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.33.2.230
10.3.0.50

ipconfig клиента на скриншоте client
ISA-ой пользуется около 100 ПК

http://ifolder.ru/30541800
http://ifolder.ru/30541803

nikitos435,

1. Объясните почему у Вас на клиенте и на LAN интерфейса исы разная маска подсети?
2. Объясните почему у Вас на клиенте и LAN интерфейсе исы разные DNS?
3. На свой 4 вопрос ответа не получил. ;)
4. Правила иса сервера:
а) Что это за "защищённые сети"? что туда входит?;
б) в правиле № 2 убрать пользователя/группу "22" (или конкретные группы пользователей/отдельные пользователи или все пользователи, но ни как и то и другое);
в) правило № 6 и 7 объединить включить и в самый верх (номером 1).
г) правило №5 не имеет смысла, т.к. перекрывается правилом № 2 и 3
д) правило № 4 должно быть в под номером 2.
е) не понятен смысл правила № 4 (по моему там полный кавардак)
ж) правило № 3 лишнее, т.к. доступ к интернету с сервера исы не нужен/излишен.

Что должно быть в правилах (по нормальному):
1. Правило все всем от локального компьютера и внутренняя сеть к локальному компьютеру и внутренней сети (фактически это тестовое правило, которое в последствии можно отключить).
2. Правило разрешающее протокол DNS от внутреннего DNS сервера к внешнему DNS серверу (провайдера).
3. Далее должно идти Ваше правило №1.
4. Правило все всем во внешнюю сеть (опять же, тестовое правило, которое нужно потом изменить).

После этого тестируйте интернет и открытие страниц.

Проблема оказалась в циске, у сотрудника у которого инет на прямую настроен на порту и ходит он мимо исы, те же самые проблемы. Теперь цискарь будет конфиг смотреть. Всем спасибо за советы