FWC и автоопределение ISA
"Sergey S. Betke" <
на некоторых машинах (хотя ОС везде одинакова - windows xp, все dhcp
клиенты) клиент файрвола при включенной галке автоопределение isa сервера
странно себя ведёт. часто говорит, что не может его найти, и ftp сеанс и
прочие не http приложения не работают (так как авторизацию пройти не могут -
fwc не авторизует). как это можно отладить? галку снимаем, прописывает isa -
всё работает на ура. однако - хочется всё-таки чтобы и автоопределение
работало
как это можно отладить? куда смотреть? на dhcp параметр для автоопределения
прокси прописан, на isa autodiscovery разрешено (в настройках сервера). куда
ещё копать?
Vitaly Kushnerov
Понедельник Июль 26 2004 10:45, \"Sergey S. Betke\" < -> All:
SB> Люди, есть проблема.
SB> на некоторых машинах (хотя ОС везде одинакова - windows xp, все dhcp
SB> клиенты) клиент файрвола при включенной галке автоопределение isa
SB> сервера странно себя ведёт. часто говорит, что не может его найти, и
SB> ftp сеанс и прочие не http приложения не работают (так как авторизацию
SB> пройти не могут - fwc не авторизует). как это можно отладить? галку
SB> снимаем, прописывает isa - всё работает на ура. однако - хочется
SB> всё-таки чтобы и автоопределение работало
SB> как это можно отладить? куда смотреть? на dhcp параметр для
SB> автоопределения прокси прописан, на isa autodiscovery разрешено (в
SB> настройках сервера). куда ещё копать?
Hе знаю, помогу или нет, но может быть начать копать с того, что у тебя в
клиенте прописан адрес сервера. Он у тебя нормально разрешается в ip ? Может
быть проблема с этим?
Vitaly
Hornet
You wrote on Mon, 26 Jul 2004 06:45:44 +0000 (UTC):
SSB> пройти не могут - fwc не авторизует). как это можно отладить? галку
SSB> снимаем, прописывает isa - всё работает на ура. однако - хочется
SSB> всё-таки чтобы и автоопределение работало
IMHO это глюк FWC (по крайней мере я его не излечил). Если прописывается
адрес исы, то FWC коннектится, если имя - через раз и постоянно слетает,
причем без разницы что прописано в настройках клиента на сервере - имя или
адрес. Скорее всего здесь какие-то внутренние нестыковки с DNS. У себя я
автоопределение отключил за ненадобностью.
With best regards, Hornet.
"Sergey S. Betke" <
> SB> автоопределения прокси прописан, на isa autodiscovery разрешено (в
> SB> настройках сервера). куда ещё копать?
> Hе знаю, помогу или нет, но может быть начать копать с того, что у тебя в
> клиенте прописан адрес сервера. Он у тебя нормально разрешается в ip ?
Может
> быть проблема с этим?
разрешается замечательно. в dns прописан.
"Sergey S. Betke" <
> SSB> снимаем, прописывает isa - всё работает на ура. однако - хочется
> SSB> всё-таки чтобы и автоопределение работало
>
> IMHO это глюк FWC (по крайней мере я его не излечил). Если прописывается
> адрес исы, то FWC коннектится, если имя - через раз и постоянно слетает,
> причем без разницы что прописано в настройках клиента на сервере - имя или
> адрес. Скорее всего здесь какие-то внутренние нестыковки с DNS. У себя я
> автоопределение отключил за ненадобностью.
прикол то не в том. в адресе и на сервере, и на клиенте указан ip. а вот в
wpad параметре (252 в dhcp) указан fqdn isa сервера. его надо изменить? ну,
в принципе, попробую. может - и поможет. хотя там ведь урл указывается.
поможет ли оно?
я отключил сейчас тоже autodiscovery. тоже работает всё. но хочется понять
причину.
Hornet
You wrote to Hornet on Mon, 26 Jul 2004 13:39:47 +0000 (UTC):
SSB> прикол то не в том. в адресе и на сервере, и на клиенте указан ip. а
SSB> вот в wpad параметре (252 в dhcp) указан fqdn isa сервера. его надо
SSB> изменить? ну, в принципе, попробую. может - и поможет. хотя там ведь
SSB> урл указывается. поможет ли оно?
ИМХО не должно помочь, т.к. wpad используется браузером, а не FWC - он ищет
ису собственными средствами.
SSB> я отключил сейчас тоже autodiscovery. тоже работает всё. но хочется
SSB> понять причину.
Мне бы тоже этого хотелось :) Может в 2004 будет работать более устойчиво...
With best regards, Hornet.
"Sergey S. Betke" <
> SSB> вот в wpad параметре (252 в dhcp) указан fqdn isa сервера. его надо
> SSB> изменить? ну, в принципе, попробую. может - и поможет. хотя там ведь
> SSB> урл указывается. поможет ли оно?
>
> ИМХО не должно помочь, т.к. wpad используется браузером, а не FWC - он
ищет
> ису собственными средствами.
какими? может - именно это знание и поможет найти корень проблемы.
Hornet
You wrote to Hornet on Tue, 27 Jul 2004 14:18:38 +0000 (UTC):
??>> ИМХО не должно помочь, т.к. wpad используется браузером, а не FWC - он
SSB> ищет
??>> ису собственными средствами.
SSB> какими? может - именно это знание и поможет найти корень проблемы.
Возможно и поможет, но, как всегда, мелкософтовцы очень любят пользоваться
эзоповым языком, когда дело касается их собственных продуктов. Т.ч. той
скудной информации, которую они все же соизволили выдать пользователям, мне
не хватило, чтобы разобраться где там зарыты грабли. Может тебе повезет
больше ;)
With best regards, Hornet.
Vitaly Kushnerov
Вторник Июль 27 2004 22:04, Hornet -> "Sergey S. Betke" <:
H> Hello, "Sergey!
H> You wrote to Hornet on Tue, 27 Jul 2004 14:18:38 +0000 (UTC):
??>>> ИМХО не должно помочь, т.к. wpad используется браузером, а не
??>>> FWC - он
SSB>> ищет
??>>> ису собственными средствами.
SSB>> какими? может - именно это знание и поможет найти корень
SSB>> проблемы.
H> Возможно и поможет, но, как всегда, мелкософтовцы очень любят
H> пользоваться эзоповым языком, когда дело касается их собственных
H> продуктов. Т.ч. той скудной информации, которую они все же соизволили
H> выдать пользователям, мне не хватило, чтобы разобраться где там зарыты
H> грабли. Может тебе повезет больше ;)
Это напраслина, которая вызвана тем, что ты явно прдумал свой метод внедрения
ISA, отличный от рекомендаций _производителя ПО_, а теперь не можешь найти, где
у тебя случились кривые руки. Я считаю, что документация и поддержка у
microsoft лучшая в мире.
Vitaly
Hornet
You wrote to Hornet on Wed, 28 Jul 2004 15:16:43 +0400:
VK> Это напраслина, которая вызвана тем, что ты явно прдумал свой метод
VK> внедрения ISA, отличный от рекомендаций _производителя ПО_, а теперь не
VK> можешь найти, где у тебя случились кривые руки. Я считаю, что
VK> документация и поддержка у microsoft лучшая в мире.
Я рад, что ты так думаешь :) К сожалению, не могу разделить твою
уверенность - опыта хватает.
With best regards, Hornet.
Vitaly Kushnerov
Среда Июль 28 2004 16:38, Hornet -> Vitaly Kushnerov:
H> You wrote to Hornet on Wed, 28 Jul 2004 15:16:43 +0400:
VK>> Это напраслина, которая вызвана тем, что ты явно прдумал свой
VK>> метод внедрения ISA, отличный от рекомендаций _производителя ПО_,
VK>> а теперь не можешь найти, где у тебя случились кривые руки. Я
VK>> считаю, что документация и поддержка у microsoft лучшая в мире.
H> Я рад, что ты так думаешь :) К сожалению, не могу разделить твою
H> уверенность - опыта хватает.
Опыта использования ПО не так, как планировал разработчик?
Впрочем ладно, опытом мериться не будем.
Vitaly
"Sergey S. Betke" <
> ??>>> FWC - он
> SSB>> ищет
> ??>>> ису собственными средствами.
> SSB>> какими? может - именно это знание и поможет найти корень
> SSB>> проблемы.
> H> Возможно и поможет, но, как всегда, мелкософтовцы очень любят
> H> пользоваться эзоповым языком, когда дело касается их собственных
> H> продуктов. Т.ч. той скудной информации, которую они все же соизволили
> H> выдать пользователям, мне не хватило, чтобы разобраться где там зарыты
> H> грабли. Может тебе повезет больше ;)
> Это напраслина, которая вызвана тем, что ты явно прдумал свой метод
внедрения
> ISA, отличный от рекомендаций _производителя ПО_, а теперь не можешь
найти, где
> у тебя случились кривые руки. Я считаю, что документация и поддержка у
> microsoft лучшая в мире.
по поводу уровня - никто не спорит. только если вы всё продумали правильно -
тогда скажите, где мы ошиблись. вообще-то, всё делалось по msdn. или не тот
msdn?
Hornet
You wrote to Vitaly Kushnerov on Thu, 29 Jul 2004 07:11:03 +0000 (UTC):
SSB> по поводу уровня - никто не спорит. только если вы всё продумали
SSB> правильно - тогда скажите, где мы ошиблись. вообще-то, всё делалось по
SSB> msdn. или не тот msdn?
А также почему FWC из одной подсетки не видит ISA-сервер, находящийся в
другой, если сетки связываются через dial RRAS? Точнее, не видят те FWC,
которые расположены не на шлюзовой машине. Шлюзовой FWC с ISA-сервером
связывается без проблем (если не считать упомянутого глюка). Маршрутизация,
DNS, прокси-клиенты на всех машинах удаленной сети работают нормально, а
FWC-клиенты - не хотят. Может где-то это описано в документации, а я
пропустил? На самых популярных и компетентных ISA-форумах isaserver.org и
isaserver.ru ответа я также не получил. Кстати, по поводу FWC там задается
довольно много безответных вопросов, так что, видимо, дело все-таки не в
"рекомендованном" подходе...
With best regards, Hornet.
Vitaly Kushnerov
Четверг Июль 29 2004 11:11, \"Sergey S. Betke\" < -> Vitaly Kushnerov:
>> H> Возможно и поможет, но, как всегда, мелкософтовцы очень любят
>> H> пользоваться эзоповым языком, когда дело касается их собственных
>> H> продуктов. Т.ч. той скудной информации, которую они все же
>> H> соизволили выдать пользователям, мне не хватило, чтобы
>> H> разобраться где там зарыты грабли. Может тебе повезет больше ;)
>> Это напраслина, которая вызвана тем, что ты явно прдумал свой метод
SB> внедрения
>> ISA, отличный от рекомендаций _производителя ПО_, а теперь не можешь
SB> найти, где
>> у тебя случились кривые руки. Я считаю, что документация и поддержка
>> у microsoft лучшая в мире.
SB> по поводу уровня - никто не спорит. только если вы всё продумали
SB> правильно - тогда скажите, где мы ошиблись.
В чём вопрос-то?
SB> вообще-то, всё делалось по msdn. или не тот msdn?
msdn един ;-) .Лишь бы толкование было правильно.
Vitaly
"Sergey S. Betke" <
> >> H> пользоваться эзоповым языком, когда дело касается их собственных
> >> H> продуктов. Т.ч. той скудной информации, которую они все же
> >> H> соизволили выдать пользователям, мне не хватило, чтобы
> >> H> разобраться где там зарыты грабли. Может тебе повезет больше ;)
> >> Это напраслина, которая вызвана тем, что ты явно прдумал свой метод
> SB> внедрения
> >> ISA, отличный от рекомендаций _производителя ПО_, а теперь не можешь
> SB> найти, где
> >> у тебя случились кривые руки. Я считаю, что документация и поддержка
> >> у microsoft лучшая в мире.
> SB> по поводу уровня - никто не спорит. только если вы всё продумали
> SB> правильно - тогда скажите, где мы ошиблись.
> В чём вопрос-то?
так, мать - начало то треда гляньте: на некоторых машинах - fwc клиентах,
при включенном автоопределении fwc клиент не проводит авторизацию клиента на
isa - и access denied. при выключенном - всё прекрасно. причём только на
некоторых машинах. ОС одна, версия клиента одна (всё через GPO и RIS), одна
ip подсеть... куда смотреть?
Vitaly Kushnerov
Четверг Июль 29 2004 18:44, \"Sergey S. Betke\" < -> Vitaly Kushnerov:
>> >> Это напраслина, которая вызвана тем, что ты явно прдумал свой
>> >> метод
>> SB> внедрения
>> >> ISA, отличный от рекомендаций _производителя ПО_, а теперь не
>> >> можешь
>> SB> найти, где
>> >> у тебя случились кривые руки. Я считаю, что документация и
>> >> поддержка у microsoft лучшая в мире.
>> SB> по поводу уровня - никто не спорит. только если вы всё
>> SB> продумали правильно - тогда скажите, где мы ошиблись.
>> В чём вопрос-то?
SB> так, мать - начало то треда гляньте: на некоторых машинах - fwc
SB> клиентах, при включенном автоопределении fwc клиент не проводит
SB> авторизацию клиента на isa
Как это выражается непосредственно на клиенте?
Это тоже самое, что fwc не видит ISA?
Какое непосредственно приложение не проходит аутентификацию на ISA?
Установлены последние обновления?
SB> - и access denied. при выключенном - всё прекрасно. причём только на
SB> некоторых машинах. ОС одна, версия клиента одна (всё через GPO и RIS),
SB> одна ip подсеть... куда смотреть?
Vitaly
"Sergey S. Betke" <
> >> >> метод
> >> SB> внедрения
> >> >> ISA, отличный от рекомендаций _производителя ПО_, а теперь не
> >> >> можешь
> >> SB> найти, где
> >> >> у тебя случились кривые руки. Я считаю, что документация и
> >> >> поддержка у microsoft лучшая в мире.
> >> SB> по поводу уровня - никто не спорит. только если вы всё
> >> SB> продумали правильно - тогда скажите, где мы ошиблись.
> >> В чём вопрос-то?
>
> SB> так, мать - начало то треда гляньте: на некоторых машинах - fwc
> SB> клиентах, при включенном автоопределении fwc клиент не проводит
> SB> авторизацию клиента на isa
> Как это выражается непосредственно на клиенте?
очень просто - ie по ftp протоколу не может зайти никуда. и прочие winsock
приложения тоже. внешне - fwc не ругается. ничего не говорит. но в логах Isa
явно видно, что fwc не проводит авторизацию. хотя поставлено на isa, чтобы
требовалась авторизация всегда.
> Это тоже самое, что fwc не видит ISA?
совсем нет.
> Какое непосредственно приложение не проходит аутентификацию на ISA?
выше - пример. остальные тоже. у меня обязательная аутентификация на все
протоколы.
> Установлены последние обновления?
естественно, включая isa sp2. fwc распространён последний через gpo.
> SB> - и access denied. при выключенном - всё прекрасно. причём только на
> SB> некоторых машинах. ОС одна, версия клиента одна (всё через GPO и
RIS),
> SB> одна ip подсеть... куда смотреть?
понятно описал?