ISA 2006+DNS+AD WinSrv2003 R2
 

Доброго времени суток,

Столкнулся с такой проблемой, имеется сеть 10.2.0.1 и несколько подсетей 10.2.1.1, 10.2.2.1, 10.2.3.1, 10.2.4.1
После перехода на ISA 2006+DNS+AD WindSrv2003 R2, пользователи из подсетей не могут попасть на расшареные ресурсы находящиеся в сети 10.2.0.1 но не на все, а только на конкретные, на те которые расположены на ОС WinSrv 2003 R2 и WinSrv 2000 SP4. Пользователи находящиеся в сети 10.2.0.1 без проблем заходят на расшареные ресурсы, а вот из подсетей нет. С подсетей шары эти пингуются, но при попытке зайти на них выдает ошибка "\\10.2.0.3 Не найден сетевой путь". И не важно находятся пользователи подсетей в домене или нет, и так же шары не важно находятся в домене или нет. Что делать кто что может подсказать, может кто сталкивался с такой проблемой?

Доброго времени суток,

Столкнулся с такой проблемой, имеется сеть 10.2.0.1 и несколько подсетей 10.2.1.1, 10.2.2.1, 10.2.3.1, 10.2.4.1
После перехода на ISA 2006+DNS+AD WindSrv2003 R2, пользователи из подсетей не могут попасть на расшареные ресурсы находящиеся в сети 10.2.0.1 но не на все, а только на конкретные, на те которые расположены на ОС WinSrv 2003 R2 и WinSrv 2000 SP4. Пользователи находящиеся в сети 10.2.0.1 без проблем заходят на расшареные ресурсы, а вот из подсетей нет. С подсетей шары эти пингуются, но при попытке зайти на них выдает ошибка "\\10.2.0.3 Не найден сетевой путь". И не важно находятся пользователи подсетей в домене или нет, и так же шары не важно находятся в домене или нет. Что делать кто что может подсказать, может кто сталкивался с такой проблемой?

для понимания причин нужно понять нет ли случаем NATа между сетями (есть подозрение), так же понять как проходит траффик и поглядеть в ISA-monitoring-logging в момент проблемы.
да, а на какие хосты вы подключаетесь, если на 2к3 и 2к проблема есть?

Да вроде бы нету?!
[IMG][/IMG]

Именно, с ними и проблема, хотя на WinXP пробуешь с некоторых машин тоже самое получается. Но это сейчас не самое главное. Самое главное мне разобраться как из подсетей мне попасть на 2к3 и 2к. Вот еще такая странная вещь, из подсетей захожу на сервер ISA (\\10.2.0.2) запрашивает авторизацию ЛОГИН и ПАРОЛЬ. Пытаюсь зайти на \\10.2.0.3 - это WinSrv2003 R2 говорит что сетевой путь не найден, пытаюсь зайти на \\10.2.0.4 - это WinSrv2000 SP4 открывает но абсолютно пустое окно.

что-то я не вижу других сетей в этом окне кроме типового набора.
маска /16 что ли?
а что в логгинге?
что в логе целевых ОС? особо аудит входа?
в общем сеанс телепатии окончен на сегодня.

Нет на все сетях и на внутренней и на подсетях везде маска/24
Подсети я добавил во внутреннюю.
При попытке зайти на \\10.2.0.3 в логинге ничего не отображается...
По счет аудита, на этих шарах забиты учетные записи для каждого--- но это по старой схеме. Хотя из сети \\10.2.0.1 там же где находится и сервер, пользователи так же проходят аутентификацию по Логину и Пароль. А вот из подсетей пользователям выдает ошибку что "сетевой пут не найден"

покажите ipconfig /all с:
- клиента
- ISA
- какого либо проблемного клиента.
маловероятно, похоже что вы не там смотрите.

ОК

Клиент

ИСА

Проблемный клиент

Извиняюсь я только что по запарке указал основной шлюз 10.2.1.2, там основной шлюз будет 10.2.1.1

в CMD отлично работает буфер обмена.
укажите правильный шлюз, проверьте.

да, 10.2.1.1 - это кто?

И при правильном указанном шлюзе проблема остается явной.
10.2.1.1 это шлюз первой подсети

Дело в том что когда стоял UserGate5 то без проблем работало...
После того как перешел на ИСУ, все встало

спасибо Капитан Очевидность.

ещё раз спрашиваю - что это за устройство?
оно имеет маршруты до ISA? а ISA до него?
в ACL есть разрешения? клещами я тянуть из вас ничего не собираюсь.
рисуейте топологию со всеми участниками.

10.2.1.1, 10.2.2.1, 10.2.3.1, 10.2.4.1 Прописаны VLANом на ЦИСКЕ
На исе я прописал роуты до них. С ИСЫ я их пингую, с них ИСУ тоже пингую.
В каком именно ACL на ИСЕ или на ЦИСКЕ?

покажите route print
и там и там.

А на ИСЕ и ЦИСКЕ что за разрешения должны быть прописаны, за что отвечают, кому что должны разрешать? На ИСЕ они в правилах прописываются?

должны разрешать прохождение траффика.
да, оперируя объектами "Subnet" - это правильно.
не нужно картинок, есть буфер обмена!

В субнетах я их завел, потом добавил их в правило вылазки во внешку... потом создал правило LAN< >LAN разрешил внутренюю сеть и локальный компьютер смотреть во внутренюю сеть и локальный компьютер.

Правильно или что то я не доделал?

скрины этого
и настроек сети "Internal"

Так же тут увидите и правило Lan<>Lan.
Еще для Outlook 2007 отдельно правило создавал.

тогда остаются файерволы на целевых хостах и ACL на циско, с позиции ISA у вас всё правильно.

Везде файеры отключены... И каспера отключал, и все остается идентичным!
На CISCO их вообще нету там все проходит VRFом.....

Уже не знаю что делать, а с делать нужно!