E-mail és a detektívek

Exchange, Active Directory, Windows server… és ami még belefér

• Home
• Magunkról

• « Previous post
• Next post »

 

Pislant a hálókártya

By JoeP 

Erre az esetmegoldásra nem leszek büszke, de tanulság azért akad benne.

Nagyon fontos ügyfél (habár hülyeség, mindegyik az) telefonál, hogy megállt a cégnél az internetelérés. Különböző okok miatt az ISA webproxy-ra gyanakszik. Mivel internet nélkül nincs élet, így a bejelentés magas prioritású.
A megoldást nehezíti, hogy magát a belső hálózatot nem mi üzemeltetjük, abszolút semmi hozzáférésünk sincsen. Csak az ISA-t kezeljük mi.

Megnéztem a logokat, mi is a helyzet a webforgalommal: a 80-as porton remekül hasítottak a bitek, még a vizsgálat közben is. Leellenőriztem, hogy ez valós forgalom-e. Az volt. Ment vissza a levél: Kedves Ügyfél, te valamit nagyon benéztél, az ISA-n gyönyörűen megy a http.

Amire jött az indignált válasz, hogy márpedig ez nem megy. Biztos, hogy jó forgalmat néztem?

Bakker. Nem. Hiszen a böngészők webproxy kliensek, akik a webproxy filter listening portján érik el az ISA-t. A 80-as porton csak akkor megy webes forgalom, ha nem webproxy kliens forgalmaz. A konkrét esetben a webproxy filter egy lehetetlen porton (na jó, annyira nem, de akkor sem írom le) figyelt, arra rákeresve rögtön dőltek is a denied connection üzenetek.

Hát, ez már mindjárt más. Akkor itt tényleg baj van.

Event log. Tele volt gyönyörű kövér 14118-as hibákkal. Azt mondja:

Description: The Web Proxy filter failed to bind its socket to IP address port xxxx. This may have been caused by another service that is already using the same port or by a network adapter that is not functional. To resolve this issue, restart the Microsoft Firewall service. The error code specified in the data area of the event properties indicates the cause of the failure.

A részletes hibakód: 0×80072740.

Néhány perc keresgélés után meg is lett a magyarázat. (Komolyan mondom, ma egy informatikusnál az internetes keresési képesség a második legfontosabb készség. Az első az angol nyelv ismerete.) Itt van a KB cikk.
(Ne keverjük össze ezzel a másik cikkel: habár a hibaüzenet ugyanaz, de ez az írás arra az esetre vonatkozik, amikor IIS is fut az ISA mellett.)

Akkor most mi is a hipotézisünk? A hétvégén valószínűleg volt egy rövid idÅ‘szak, amikor leesett a link az ISA szerver belsÅ‘ lábáról. Ekkor a Windows Server 2003 le is kapcsolta a konkrét hálózati kártyát. Ezt hívják úgy, hogy Media Sense… és feature. Igenám, de amikor visszajön a link és feléled a hálózati kártya, az ISA szerver webproxy filtere nem képes rákapaszkodni a kijelölt portjára. Támadhatják Å‘t a böngészÅ‘kbÅ‘l a kliensek, nincs bind. (A pikáns az, hogy a netstat szerint persze ott figyel a megadott porton.) Megoldás? Újra kell indítani a Microsoft Firewall klienst.
Majd.
Eddigre ugyanis az ügyfél morogva beröffentett egy linux proxy-t, mondván ők nem érnek rá. Annyiból igazuk is volt, hogy az ISA nem csak az internet felé forgalmaz, hanem a nagyon fontos anya- és társvállalatok felé is, azt a forgalmat meg még egy percre sem lehet megszakítani szolgáltatás újraindításával.
Majd este.

Addig volt időm körbenézni - és sikerült be is igazolnom a hipotézist: abban a 10 percben, amikor az ISA log szerint megállt a webproxy filter, ott figyelt két bejegyzés a system event logban is:
Warning Event 4: Adapter xxxxxxx Adapter Link Down.
Majd pár perccel később:
Information: Adapter xxxxxxx Adapter Link Up.

A többi már annyira nem érdekes, késő este újra lett indítva a szervíz, minden a helyére került.

Ja, a tanulság: ISA szerveren lehet, hogy nem hülyeség letiltani a Media Sense opciót.
(Windows Server 2008-ban alaphelyzetben le is van.)

By JoeP július 21, 2009 at 22:03  Tags: ISA  Posted in: ISA

• Motto:

  "Easy reading is damn hard writing."
  - Nathaniel Hawthorne -

• Archívum

  • 2010. március
  • 2010. január
  • 2009. december
  • 2009. november
  • 2009. október
  • 2009. szeptember
  • 2009. augusztus
  • 2009. július
  • 2009. május
  • 2009. április
  • 2009. március
  • 2009. február
  • 2009. január
  • 2008. december
  • 2008. november
  • 2008. október
  • 2008. szeptember
  • 2008. augusztus
  • 2008. július
  • 2008. június
  • 2008. május
  • 2008. április
  • 2008. március
  • 2008. február
  • 2008. január
  • 2007. december
  • 2007. november
  • 2007. október
  • 2007. szeptember
  • 2007. augusztus
  • 2007. július
  • 2007. június
  • 2007. március
  • 2007. február
  • 2007. január
  • 2006. december
  • 2006. november
  • 2006. október
  • 2006. szeptember
  • 2006. június
  • 2006. május
  • 2006. április
  • 2006. március
  • 2006. február
  • 2006. január
  • 2005. december
  • 2005. november
  • 2005. október
  • 2005. szeptember
  • 2005. augusztus
  • 2005. július
  • 2005. június
  • 2005. május
  • 2005. március
  • 2005. február
  • 2005. január