Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   Отваливается подключение MS FWC к ISA 2006 (http://forum.oszone.net/showthread.php?t=165190)

morgue 28-01-2010 12:20 1332231
Отваливается подключение MS FWC к ISA 2006
 
Вложений: 3
Добрый день. Столкнулся с такой проблемой. Начали отваливаться клиенты Microsoft Firewall Cilent от Isa(т.е. пропадает подключение клиента). ISA стоит 2006 standart. Она в домене. От рабочих станций пингую, всё пингуется и nslookup проходит. Забивал в клиенты как IP, так и имя прокси сервера.
Полез в DNS на контроллере домена, увидел свежие ошибки типа:

DNS 4015 "DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке."

Далее полез в логи DC, всё чисто и красиво. Лазал в логах рабочих станций и прокси сервера. Там были обнаружены следующие:

USERENV 1053

Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.


LSASRV 40960

Система безопасности обнаружила ошибку проверки подлинности сервера cifs/PDC. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".


NETLOGON 5719

Компьютер не может установить безопасный сеанс связи с контроллером домена RSS по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.


Ниже логи тестов с контроллера домена dcdiag, netdiag и ntdsutil(в режиме восстановления каталогов).

Народ подскажите пожалуйста что делать. Мозги уже раком стоят.

Delirium 29-01-2010 01:16 1332992
Primary WINS Server. . . . : 127.0.0.1
Dns Servers. . . . . . . . : 127.0.0.1

НИКОГДА не ставьте адрес замыкания на себя в качестве DNS сервера. Всегда используйте IP адрес локальной сети, в вашем случае IP Address . . . . . . . . : 192.168.1.200.
Проблема однозначно в DNS, покажите результат работы nslookup с клиента, nslookup PDC, nslookup pdc.rss.loc

morgue 29-01-2010 09:44 1333188
Вот результаты:

nslookup с клиента:

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

Z:\>nslookup
Default Server: pdc.rss.loc
Address: 192.168.1.200

> nslookup pdc
Server: pdc.rss.loc
Address: 192.168.1.200

*** pdc can't find nslookup: Non-existent domain
> nslookup pdc.rss.loc
Server: pdc.rss.loc
Address: 192.168.1.200

*** pdc.rss.loc can't find nslookup: Non-existent domain
>

Telepuzik 29-01-2010 10:24 1333229
morgue
Либо вводите полностью команду nslookup pdc.rss.loc, либо после ввода nslookup вводите имя компьютера:pdc.rss.loc

morgue 29-01-2010 12:41 1333354
C:\Documents and Settings\Sys>nslookup pdc.rss.loc
Server: pdc.rss.loc
Address: 192.168.1.200

Name: pdc.rss.loc
Address: 192.168.1.200

Telepuzik 29-01-2010 13:25 1333389
А nslookup имя ISA сервера что выдает ? На ISA сервере в логах есть ошибки?

Anton04 29-01-2010 15:54 1333549
morgue,
Telepuzik,

Однозначно проблема не и ISA Server`е, следовательно к данному разделу отношения не имеет.

Delirium 01-02-2010 01:16 1335547
morgue, покажите ipconfig /all с клиента, поменяйте адрес DNS сервера на сервере, откройте оснастку DNS, пройдите простой и рекурсивные тесты, просмотрите отчеты об ошибках в логах DNS сервера. После всего вышеперечисленного расскажите, что получилось. и Anton04 прав, данная проблема не имеет отношения к ISA серверу(если, конечно, вы не ставили запрещающие правила на ISA для внутреннего трафика).

morgue 01-02-2010 12:17 1335793
Добрый день. Спасибо за ответы.
Адрес поменял, проблема не пропала.

Вот ipconfig /all с одного из клиентов

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

Z:\>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : secretary-2
Основной DNS-суффикс . . . . . . : rss.loc
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : rss.loc

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 00-1D-7D-A1-18-4B
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.12
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.210
DNS-серверы . . . . . . . . . . . : 192.168.1.200
Основной WINS-сервер . . . . . . : 192.168.1.200

Z:\>


Простой и рекурсивные тесты успешно пройдены, ошибок нет.
На ISA нет запрещающих правил для внутреннего трафика.


Время: 10:40.

Время: 10:40.
© OSzone.net 2001-