ISA блокирует HTTP трафик
 

День добрый, уважаемые специалисты!

У нас одноранговая сеть, в основе домен уровня 2003 native, стоит ISA 2004/

В домене есть парочка линуксовых машин, wi-fi роутер и на контроллере домена установлен Kaspersky Administration Kit. Все остальные хосты на Win 7 \ WinXP с установленными ISA-клиентами.

Недавно заметил что wi-fi перестал работать...долго копался, мучался, оказалось что не wi-fi перестал работать а ISA перестал пропускать HTTP траффик и в Мониторинге ничего об этом не показывает и не говорит.Я даже создавал правило разрешающее весь исходящий трафик с этого айпи, результат такой же...

Далее на линуксовых машинах пропало подключение к инету, apt-get update не проходит, не может подключиться даже к яндексу. При этому пинг на внешние сервера проходит, по телнету можно сходить на 25 порт smtp.yandex.ru а через 80 порт никак и опять в мониторинге ISA пустота.

Последней каплей было обновление Касперского. Наша админка скачивает обновление с северов а все клиенты уже с нее. Админка начала писать ошибки о том что не может подключиться ни к одному из 18ти серверов, смотрю - а она тоже лезет по 80му порту.

При этом все хосты нормально ходят через браузеры в инет, проблем никаких нет, а именно эти девайсы вот так себя ведут.

Трафик смог обнаружить только через Microsoft Network Monitor, что он действительно проходит через внутренний интерфейс ISA, но не понимаю почему в окне мониторинга он ничего о нем не пишет...

Подскажите пожалуйста, как решить данную проблему...

С уважением, Григорий.

Вот в этом я сомневаюсь. Почему см. ниже.

Я уж не знаю как Вы смотрите логи исы, но если к исе попадает запрос то он отражается в её логах (логов несколько в зависимости от типов клиентов, SecureNAT , Webproxy и Firewall). Ведать вы не там смотрите или не то.

Информации для анализа недостаточно. Первое что не понятно это стоят ли какие либо другие программы на исе (антивирусник, шейпер или что-то другое). Второе исходя из описания вы используете Firewall клиент на клиентах, надеюсь на серверах они не стоят? Третье не понятно как у Вас настроены интерфейсы на исе, что бы долго не выяснять почитайте Настройка сетевых интерфейсов для ISA сервера и скажите всё ли у Вас так.

Напрасно сомневаетесь=)
первое что я начал копать- в каких случаях ISA не отображает информацию в мониторинге.

Оказалось что в свойствах правила в разделе "Actions" есть галочка"Log requests matching this rule". Если ее убрать, то траффик попадающий под это правило не будет логироваться ни в ADvanced logging ни просто в Logging.

нашел правило Deny, в нем не стояла галочка "Log requests matching this rule".

Правило запрещало определенной группе пользователей доступ в инет на все сайты кроме опредленного числа сайтов.

Линуксовые машины, в том числе и обновлялка касперского ходили в инет под учетной записью anonymous, т.е. неавторизованные.

В правиле явно была создана ISA-группа, в нее добавлена Доменная группа.

Я до сих пор не могу найти инфу,почему неавторизованные пользователи попадали под это правило...

Всё логично, только по умолчанию для созданных правил логирование включено ;) так что мои сомнения имели определённую основу. ;)

так а почему пользователи которые неавторизованы попадают под это правило?))

Ну так если у Вас в правиле прописаны конкретные пользователи или группы (кроме группы "Все пользователи), то иса пытается авторизовать пользователя, если ей это не удаётся, то и получаем отлуп (и дальнейшие правила не обрабатываются). Это в isa 2000 такое было, там обрабатываются все правила последовательно и находит то правило которое подпадает под соответствующий запрос, а в 2004/2006/TMG важно и порядковый номер этого правила в таблице.

о как...спасибо огромное что просвятили)) нашел еще вот полезную статью, http://www.isaserver.org/articles/IS...cessRules.html =)

да было такое, даже где-то видел её перевод...