ISA Server....again

am intalnit ceva probleme azi dimineata cand am ajuns la lucru, in sensul ca anumite calculatoare din retea nu mai accesau internetul. initial am crezut ca problema provine de la clientul de firewall, asa incat l-am reinstalat pe calculatoarele cu pricina. degeaba. browser-ul cerea autentificare. controller-ul de domeniu se afla pe acelasi calc cu ISA. si el si ISA sunt in stare de functionare, din moment ce mai toti ceilalti pot face browse. majoritatea care acceseaza internetul se autentifica dupa nume si parola la Active Directory in momentul intrarii in retea. aici sunt in impas. de ce la unii merge, iar la altii nu? unde trebuie sa ma uit? (conturile sunt valide)

Daca intri cu un alt cont (Domain admin de ex) pe computerele respective - mere internet? Se face autentificarea pe ISA?

nu....cu nici un cont, tocmai asta e tampenia

hmm ... Ai verificat sa nu cumva sa fie vreo problema in computer account (AD U&C) pe AD?

Prima chestie pe care sa o incerci ar fi rejoining pe Domain ...

Ce spune ISA in loguri referitor la respectivii clienti?

nu e nici o problema in AD.....pe moment am rezolvat accesul printr-o regula ce permite conectarea pe anumite porturi si unde filtrarea este facuta printr-un client addres set ce contine respectivele IP-uri, insa nu sunt multumit de solutie. anterior acestei reguli mai exista una care autentifica toti utilizatorii prin username si passwd.

In configuratia ta exista Client Address Set definit? Daca da, ai cumva o regula de Deny explicit la Protocol Rules, sau la  Site and Content Rules de Allow cu exceptia pe un Client Address Set?

Calculatoarele cu probleme formeaza un grup de AD ? Ai event-uri mai ciudate in Security log pe DC legate de computer accounts?

exista mai multe client address set definite. am regula de allow pt toti userii din domeniu pt anumite protocoale, apoi regula de allow pt anumite ip-uri pt alte protocoale (unii pot folosi si alte aplicatii, majoritatea insa au drept numa' de browse din IE). ce-am facut eu, am adaugat al un client address set ip-urile cu pricina pentru a putea utiliza totusi internetul....solutia insa nu-mi convine.

n-am nici un event neobisnuit in nici un log (tocmai m-am uitat peste logurile so-ului si peste cele din ISA), nu exista nici un grup separat de useri in AD.

setarile la ISA nu le-am schimbat de multa vreme (am adaugat si apoi sters niste porturi pt o aplicatie da' asta nu a avut nici un efect). problema a aparut azi la inceputul programului si numa' la cateva calculatoare, nu la toate. suspectez un virus, desi nu am gasit nimic in acest sens. la 8 dimineata, cand au pornit, cateva calculatoare au manifestat aceeasi problema.

hmm ... daca browser-ul cere autentificare presupun ca ai bifata optiunea "Ask unauthenticated users for identification" la Outgoing web requests .. o varianta ar fi ca nu merge autentificarea de pe calc. respective (adica mai degraba problema AD decat ISA)

Daca ai enabled Success/Failure la Audit account logon events verifica in Security log daca cererile de autentificare sunt OK in momentul in care faci un request catre ISA.

am verificat audit-urile. intr-adevar am erori de tipul urmator:

537 Failure Audit Logon Failure: An unexpected error occurred during logon

in cazul asta unde ma uit?

uita-te pe aici un pic :
http://www.eventid.n...ecurity&phase=1

ei zic de mai multe probleme, dar intai as verifica daca nu este cumva o desincronizare de timp intre statii si server (5 min este by default maxima admisa).
Also, incearca sa treci calculatorul pe workgroup, sters obiectul computer din AD, dupa care join iarasi la domeniu.

Domain controller-ul care e si ISA este singurul DC ?

exact acolo citeam si eu acum.
un singur DC am aici.

sincronizarea de timp nu e o problema. scoaterea obiectului din domeniu si reintroducerea nu au avut efectul scontat. din pacate nu mai pot sta azi. maine insa continui cercetarile....danke si astept si alte sugestii daca mai ai.

hmm ... daca nici rejoin pe domeniu nu a rezolvat ... sa incerci un clean install pe unul (sau, si mai bine, daca ai, un WinPE ... care ruleaza WinXP direct de pe CD). poti face unul cu utilitarul BartPE Editor

http://www.nu2.nu/pebuilder/

Spor!

Reinstalarea e intr-adevar solutia cea mai sigura. Daca te roade sa afli ce se intampla incearca sa faci un logging pe event-urile de Kerberos:

http://support.micro...kb;en-us;262177
http://support.micro...kb;en-us;230476

Btw: Daca permiti si Digest authentication pe listener-ul de la Outgoing web requests se schimba situatia ? (ar trebui sa permita si NTLM ...)

reinstall....cre' ca turbez :) inainte de toate ma intereseaza insa f mult CAUZA, asa ca nu fac nimic pana nu o aflu, fir-ar sa fie.

ti-a mers cu Digest Authentication pana la urma?

nope...nu merge

nu am bifata nici optiunea "Ask unauthenticated users for identification" la Outgoing web requests