ISA server - again

si eu recomand SurfControl ... facilitatea de update ptr. category list e f. buna (trebuie sa platesti subscription, bineinteles). Daca vrei viteza pune baza de date pe un SQL server, renunta la mdb-ul ala implicit ...

spor

Mi-a venit si mie randul acum...:(
Nu stiu daca are legatura cu ISA neaparat dar legat de ISA am observat problema.
In event logs pe server (Windows 2003) imi apar urmatoarele:

Event ID: 40960
The Security System detected an authentication error for the server .  The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".

Event ID: 40961
The Security System detected an authentication error for the server .  The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".


Urmarile (de fapt repet ,nu stiu daca de la asta este) sunt ca in ISA logging nu mai apare traficul de la userul autentificat ci de la anonymous si tot ce nu are legatura cu HTTP (care merge,pentru ca autentificare este facuta de proxy) este DENIED !
Singurul lucru care pot sa-l fac acum este sa fac reguli care sa lase traficul de la utilizatori neautentificati!

In rest,totul pare ok,pot sa ma loghez la Domain,doar la ISA am observat acest lucru.Si asta cand am vrut sa instalez SP1 la ISA 2004 si am instalat si dezinstalat clientul de firewall .Dar nu are legatura cu asta,am pus o imagine mai veche la 2003 si am dat reinstall la client pe un XP SP2 care nu avea nici o problema,si imediat ce am restartat aceiasi problema.
Deci clientul de firewall vede serverul,scrie connected to server,doar ca accea sagetuta verde de pe iconul de tray nu mai apare si in ISA logging apare trafic de la anonymous si deci denied !

Nu stiu exact de cand o fi aparut problema asta,repet sunt sigur ca atata timp cat pe restul calculatoarelor nu incerc sa reinstalez clientul de firewall totul merge ok.
Acum 2 saptamani am pus un al doilea domain controller care apoi a fost un timp deconectat din retea si imi apareau niste erori/warnings legate de replicare si etc,
acum l-am conecat dar la fel.

A mai intalnit cineva erorile acestea?


P.S. Vad ca inca apar erorile urmatoare.
Cum pot sa scot al doilea server sa nu mai fie domain controller ?Poate se rezolva ceva.Pur si simplu ii scot rolul din Server roles ?



Event Type: Warning
Event Source: NTDS KCC
Event Category: Knowledge Consistency Checker
Event ID: 1308
Date: 3/3/2005
Time: 7:42:45 AM
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: SERVER
Description:
The Knowledge Consistency Checker (KCC) has detected that successive attempts to replicate with the following domain controller has consistently failed.

Attempts:
183
Domain controller:
CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=B18,DC=local
Period of time (minutes):
14442

The Connection object for this domain controller will be ignored, and a new temporary connection will be established to ensure that replication continues. Once replication with this domain controller resumes, the temporary connection will be removed.

Additional Data
Error value:
8524 The DSA operation is unable to proceed because of a DNS lookup failure.

For more information, see Help and Support Center at http://go.microsoft....link/events.asp.




Event Type: Error
Event Source: NtFrs
Event Category: None
Event ID: 13568
Date: 3/3/2005
Time: 7:42:34 AM
User: N/A
Computer: SERVER
Description:
The File Replication Service has detected that the replica set "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" is in JRNL_WRAP_ERROR.

Replica set name is    : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
Replica root path is   : "d:\windows\sysvol\domain"
Replica root volume is : "\\.\D:"
A Replica set hits JRNL_WRAP_ERROR when the record that it is trying to read from the NTFS USN journal is not found.  This can occur because of one of the following reasons.

[1] Volume "\\.\D:" has been formatted.
[2] The NTFS USN journal on volume "\\.\D:" has been deleted.
[3] The NTFS USN journal on volume "\\.\D:" has been truncated. Chkdsk can truncate the journal if it finds corrupt entries at the end of the journal.
[4] File Replication Service was not running on this computer for a long time.
[5] File Replication Service could not keep up with the rate of Disk IO activity on "\\.\D:".
Setting the "Enable Journal Wrap Automatic Restore" registry parameter to 1 will cause the following recovery steps to be taken to automatically recover from this error state.
[1] At the first poll, which will occur in 5 minutes, this computer will be deleted from the replica set. If you do not want to wait 5 minutes, then run "net stop ntfrs" followed by "net start ntfrs" to restart the File Replication Service.
[2] At the poll following the deletion this computer will be re-added to the replica set. The re-addition will trigger a full tree sync for the replica set.

WARNING: During the recovery process data in the replica tree may be unavailable. You should reset the registry parameter described above to 0 to prevent automatic recovery from making the data unexpectedly unavailable if this error condition occurs again.

To change this registry parameter, run regedit.

Click on Start, Run and type regedit.

Expand HKEY_LOCAL_MACHINE.
Click down the key path:
   "System\CurrentControlSet\Services\NtFrs\Parameters"
Double click on the value name
   "Enable Journal Wrap Automatic Restore"
and update the value.

If the value name is not present you may add it with the New->DWORD Value function under the Edit Menu item. Type the value name exactly as shown above.

For more information, see Help and Support Center at http://go.microsoft....link/events.asp.

Pe al doilea domain controller nu ma pot loga.Imi apare eroare din imaginea atasata.
Deci : al 2-lea domain controller a fost inchis o perioada si intre timp am schimbat parola de pe primul domain controller.
Cand am definit al 2-lea calculator aditional domain controller to domain,practic mi-a zis ca toate conturile locale vor fi sterse ,si eu ma logam cu acelasi user si parola ca si pe primul DC.
Acum nu mai pot sa ma loghez.N-am nici cea mai mica ideea daca ma apropii sau sa departez de problema (problema initiala este clientul de ISA sau ISA care nu mai autentifica).

Scuze,event ID 40961 era:

Event Type: Warning
Event Source: LSASRV
Event Category: SPNEGO (Negotiator)
Event ID: 40961
Date: 3/3/2005
Time: 7:38:55 AM
User: N/A
Computer: SERVER
Description:
The Security System could not establish a secured connection with the server .  No authentication protocol was available.

HTTP 502 Proxy Error - Not enough storage is available to process this command. (8)
Internet Security and Acceleration Server


eroarea asta imi apare la intervale neregulate de timp...din ce-am cautat pe net, se pare ca este generata de GFIWebMonitor. daca este asa, ce pot face sa nu mai apara, sau cum pot preveni o asemenea eroare? (nu-mi ziceti va rog uninstall) daca nu, de la ce apare?

tot eu....si tot ISA....de data asta legat de SurfControl. marea mea problema e ca am de facut prea multe si nu am timp de ele, asa ca le fac pe bucati....intrebare: ce loguri foloseste SurfControl? pentru ca e u am anumite nelamuriri....in primul rand, daca ati folosit asa ceva, as dori sa stiu daca vorbim despre aceeasi chestie, fapt pt care va atasez urmatoarea imagine, cu intrebarea: de ce posibilitatea mea de a customiza perioada pe care fac un raport se opreste la 1/25/2005 ? ar mai fi inste intrebari legate de faptul ca degeaba ii dau sa genereze un raport predefinit pe ultimele 7 zile, sa zicem, pentru ca tot de la inceputul inceputului o ia. o sa postez si exemple concrete, sar mai intai sa ma asigur ca am versiunea buna de surf control si ca vorbim de aceeasi chestie.

danke

nimic? :(

:((

Sorry,dar cred ca sansele ca cineva sa foloseasca ISA 2000+Surfcontrol pentru ISA 2000 + sa acceseze acest forum+ sa fie dispus sa raspunda sunt foarte foarte mici.
Eu folosesc ISA 2004 + Surfcontrol 6,te-as ajuta dar arata cu totul altfel decat la tine (nu mai este integrat in consola de ISA,etc,etc)

sorry, man ... din pacate am fost tinut departe de forum in ultimele 2 luni si situatia continua :( ...

Am aceeasi configuratie ca la tine si m-am lovit de destule probleme legate de raportarea din SurfControl. By default, SurfControl raporteaza intr-o baza de date Access (scout.mdb); incepand de la anumite dimensiuni ale bazei de date, se pare ca engine-ul nu mai lucreaza corect.

Ce as recomanda este sa treci pe o baza de date de loguri pe SQL (vezi aici )

Deocamdata nu te pot ajuta cu mai mult ... succes !

din pacate link-ul nu mai e valid :( sesiune expirata

cauta in KB dupa "specified article id number" 1108

spor

Edited by PreTXT, 20 April 2005 - 13:48.

Imi spune si mie careva cum sa configurez ISA 2000,sa ma pot conecta cu un client de dc++,adica, ce reguli trebuiesc facute la protocol definition.
Am facut doar pt. portul 411 outbound,cu care reusesc sa ma conectez pe anumite huburi,dar pe cele care au port in coada nu pot,numai daca ii fac outbound la portul hubului respectiv.
Am incercat de ex. pt. hub ....:4012 ,sa deshid port 4012 si atunci se conecteaza la hub,dar nu pot lua lista de la useri fiindca la fiecare user se conecteaza pe alt port.
Daca ma uit pe ce port se conecteaza la user si il deshid din isa,atunci pot sa fac download de la acel user.
Intreabarea este cum pot sa fac sa deshid mai multe porturi cu o singura regula?

Multumesc anticipat!!! :worthy:

vezi ca am povestit aici cam ce trebuie facut.

Am facut ce scrie acolo si nu am reusit   :nonobad: ,daca poti sa-mi spui exact cum trebe sa fac ar fi zuper.

daca-mi spui si ce reguli/ setari ai pe acolo ... sper ca ai configurat si clientul sa mearga pe port fix si nu dinamic.

clientul l-am pus pe passive,iar regulile le-am scris mai sus,cu linkul de la discutia de dinainte am facut exact asa si nu merge,nici macar nu se conecteaza pe hub,cum am facut eu ca am facut la protocol definition de am pus pe portul 411 tcp outbound se conecteaza,dar nu pot lua lista caci in momentul in care dau sa se conecteze la un user sa iau lista,evident ca se conecteaza prin alt port de ex 15125,si daca fac repede o regula tot la protocol definition cu outbound pe portul 15125(al acelui user),ma lasa sa iau lista si sa downloadez de la userul respectiv.

PreTXT please help!!!