[RESOLU] ISA 2006 SE

[ptitpere]

Bonjour,

j'ai actuellement un ISA 2004 et je suis en train de tester une version ISA 2006 EE française sur une machine plus puissante qui est en 2k3 R2. Après avoir tout configuré, je trouve que le poste en question rame beaucoup pariel pour l'accès à l'interface ISA 2006. En plus de cela je n'arrive pas à connecté mes postes clients au web. J'ai bien vérifié les différentes règles mais rien. Pour les performances je trouve cela bizarre alors j'ai désactivé les journéux mais pas mieux...

Quelqu'un a t-il une piste ?

merci

[Thierry DEMAN (MVP Exchan]

Bonsoir

non, je n'ai pas constaté ce phénomène en passant à ISA 2006.

Comment le cache Proxy est-il géré?

Comment était-il géré avant sur ISA 2004?

Clients Web ou NAT?

[PingMaster]

Le seul vrai reflexe qui devrait etre pris a ce niveau est le suivant:
"Best Practice Analysis Tool for ISA Server", telecharge l'outil depuis le site Microsoft, installe le sur le serveur ISA et fait un test complet.

ISA 2006 n'est certainement pas plus lent que 2004, et desactiver les logs ne va pas vraiment, au contraire.

Cela est vraissemblablement due a un probleme de confiuration reseau ou autre sur ton serveur ISA.

[alex117]

mon petit esprit me dit qu'il y a surement u problème DNS par là ....

L'utilisation de ISA BPA (http://www.microsoft.com/downloads/deta ... laylang=en ) te donnerai en effet déjà quelques pistes à explorer.

Par ailleurs tu devrais donner plus de détails sur ta configuration actuelle afin de mieux t'aider.
Es-tu en Single NIC ?

Bon courage,
Alex

[ptitpere]

bonjour,

je reprends ce dossier que j'avais confié à un stagiaire. Donc pour faire simple j'ai actullement un serveur ISA 2004 qui "doupe en deux" mon réseaux. D'un coté le réseau d'entreprise avec AD, DHCP, DNS...et de l'autre une DMZ.
Le serveur ISA est sur w2k3.

l'objectif est de migré sur un nouveau poste et par la même occasion passer sur ISA 2006.

Pour ne pas faire un remplacement brutal et tester correctement le nouveau poste, il a été installé sur le domaine avec une config IP temporaire. En gros les deux serveurs ISA tournent actullement mais le trafic passe par le 2004.

Config serveur ISA 2006 SE : w2k3 R2, je vais passer le sp1 sur ISA.

Mon problème vient du fait que le poste est très lent au démarrage cela se compte en heures quand j'arrive à le démarrer....pourtant le poste est plus puissant que celui qui héberge ISA 2004.


merci de votre aide.

[alex117]

Bonjour,

Tu devrais désactiver RSS et TCPA sur tes serveurs ISA si tes W2K3 R2 sont en SP2.
Tu devrais vérifier les paramètres du réseau interne (pour permettre à ISA de s'autoriser à s'authentifier sur AD, etc...)
Ensuite tu devrais vérifier l'ordre de liasons de tes cartes réseaux.
Tu devrais bien entendu vérifier que tu n'as qu'une seule passerelle au maximum.
Et pour l'instant vérifies que la partie client DNS des serveurs ISA est OK.

Déjà si tous ces points sont OK on pourra passer à autre chose

Bon courage,
Alex

[ptitpere]

ok merci à toi...

[ptitpere]

bonjour,

j'ai fais quelques vérif. j'arrive à accéder depuis un poste client à mon serveur ISA 2006 mais parfois j'ai un coupure réseau plus d'accès au serveur via IE, client ISA ou réseau. Pour info :
- serveur ISA 2004, c'est lui qui gére le trafic actuel : 192.168.1.254 (côté domaine) et 192.168.0.14 (côté routeur)
- serveur ISA 2006, en phase de test : 192.168.1.253 (côté domaine) et 192.168.0.13 (côté routeur)

j'ai lancé les bpa et j'attends les résultats. Cela avance.

Merci

[ptitpere]

Tu devrais désactiver RSS et TCPA sur tes serveurs ISA si tes W2K3 R2 sont en SP2.

Oui ok...mais j'ai pas trouvé comment faire. RSS c'est les flux RSS mais TCPA ???

Tu devrais vérifier les paramètres du réseau interne (pour permettre à ISA de s'autoriser à s'authentifier sur AD, etc...)

Le compte utilisateur d'ISA fait partie de l'AD et est admin local du poste...d'autres vérif sont à faire ?

Ensuite tu devrais vérifier l'ordre de liasons de tes cartes réseaux.

qu'entends-tu par ordre de liaisons. La carte côté domaine est en 192.168.1.253 avec DNS le serveur AD (serveur DNS) et pas de gateway. La carte côté routeur est en 192.168.0.13 avec passerelle le routeur et sans DNS.

Tu devrais bien entendu vérifier que tu n'as qu'une seule passerelle au maximum.

sur les clients la passerelle est le serveur ISA 2004...sur mon poste client de test c'est le serveur ISA 2006
sur mon serveur DHCP, dans étendue, options d'étendue, option routeur j'ai mis les ip des deux serveurs ISA...est-ce une erreure ?

Et pour l'instant vérifies que la partie client DNS des serveurs ISA est OK.

ok c'est en cours, j'ai lancé les bpa

merci de ton aide

[alex117]

Tu devrais désactiver RSS et TCPA sur tes serveurs ISA si tes W2K3 R2 sont en SP2.

Oui ok...mais j'ai pas trouvé comment faire. RSS c'est les flux RSS mais TCPA ???

NOn ce n'est pas les flux RSS lol . Regarde cet article http://www.alexgiraud.net/Lists/Autres/AllItems.aspx

Tu devrais vérifier les paramètres du réseau interne (pour permettre à ISA de s'autoriser à s'authentifier sur AD, etc...)

Le compte utilisateur d'ISA fait partie de l'AD et est admin local du poste...d'autres vérif sont à faire ?
Je ne parle pas de comptes utilisateurs, mais du subnet qui est paramétré sur le réseau interne de ISA. PAr défaut les règles systèmes autorisent le DNS, LDAP, CIFS, etc... vers son réseau interne car y sont situés bien souvent les DC, les serveurs DNS, etc... sinon il y a aura refus.

Ensuite tu devrais vérifier l'ordre de liasons de tes cartes réseaux.

qu'entends-tu par ordre de liaisons. La carte côté domaine est en 192.168.1.253 avec DNS le serveur AD (serveur DNS) et pas de gateway. La carte côté routeur est en 192.168.0.13 avec passerelle le routeur et sans DNS.
Tu ouvres les connexion réseaux, menu avancées, paramètres avancées. Tu places la carte interne en premier dans l'ordre de la liste.

Tu devrais bien entendu vérifier que tu n'as qu'une seule passerelle au maximum.

sur les clients la passerelle est le serveur ISA 2004...sur mon poste client de test c'est le serveur ISA 2006
sur mon serveur DHCP, dans étendue, options d'étendue, option routeur j'ai mis les ip des deux serveurs ISA...est-ce une erreure ?
Oui tout le monde ne doit avoir qu'une seule adresse IP de passerelle au max.

Et pour l'instant vérifies que la partie client DNS des serveurs ISA est OK.

ok c'est en cours, j'ai lancé les bpa
Je te conseille de regarder également les journaux d'évènements (erreurs Userenv, etc...)

merci de ton aide

[ptitpere]

Tu devrais désactiver RSS et TCPA sur tes serveurs ISA si tes W2K3 R2 sont en SP2.

NOn ce n'est pas les flux RSS lol . Regarde cet article http://www.alexgiraud.net/Lists/Autres/AllItems.aspx

c'est ok sauf DisableTaskOffload : Type REG_DWORD, Values: 1 (disabled) 0 (enabled) que je ne trouve pas

Tu devrais vérifier les paramètres du réseau interne (pour permettre à ISA de s'autoriser à s'authentifier sur AD, etc...)

Je ne parle pas de comptes utilisateurs, mais du subnet qui est paramétré sur le réseau interne de ISA. PAr défaut les règles systèmes autorisent le DNS, LDAP, CIFS, etc... vers son réseau interne car y sont situés bien souvent les DC, les serveurs DNS, etc... sinon il y a aura refus.

dans la stratégie système, DHCP, Active Directory et DNS : activé vers mon serveur principal (AD, DNS et DHCP). NTP vers Interne

Ensuite tu devrais vérifier l'ordre de liasons de tes cartes réseaux.

qu'entends-tu par ordre de liaisons. La carte côté domaine est en 192.168.1.253 avec DNS le serveur AD (serveur DNS) et pas de gateway. La carte côté routeur est en 192.168.0.13 avec passerelle le routeur et sans DNS.
Tu ouvres les connexion réseaux, menu avancées, paramètres avancées. Tu places la carte interne en premier dans l'ordre de la liste.

OK

Tu devrais bien entendu vérifier que tu n'as qu'une seule passerelle au maximum.

sur les clients la passerelle est le serveur ISA 2004...sur mon poste client de test c'est le serveur ISA 2006
sur mon serveur DHCP, dans étendue, options d'étendue, option routeur j'ai mis les ip des deux serveurs ISA...est-ce une erreure ?
Oui tout le monde ne doit avoir qu'une seule adresse IP de passerelle au max.

Ok je modifie ma config.

Et pour l'instant vérifies que la partie client DNS des serveurs ISA est OK.

ok c'est en cours, j'ai lancé les bpa
Je te conseille de regarder également les journaux d'évènements (erreurs Userenv, etc...)

bpa et journal me sortent les mêmes erreurs. J'ai quelques userenv :
- connectivité DNS, aucune connection
- windows n'a pu déterminer le nom de l'utilisateur ou de l'ordinateur
quelques source microsoft firewall:
- connectivité AD
- taille de réserve gratuite non paginée est passée sous le seuil minimal défini par le système. ISA server rejetterra toute nouvelle connection initée par un ordinateur ISA
Cela explique les pertes de réseau qui arrive de temps. En effet, j'ai l'impression que au bout d'un certain temps il se "deconnecte" du réseau (coté domaine) pourtant les cartes fonctionnent bien et rien n'est visible sauf en allant parcourir le réseau. Ce qui explique les problèmes de connectivité AD, DNS. C'est bizarre.

Est-ce que le fait d'avoir deux serveurs d'ISA ne fout pas le bean's sur le second (qui me sert de test).

sinon de manière général le poste et super lent.....j'ai l'impression qu'il cherche en permanence quelque chose et que cela prend toutes les ressources. Au démarrage idem mais se synchronise t-il avec mon ISA 2004? y a t-il dialogue entre les deux ce qui explique la lenteur du truc.

merci pour ton aide.

[alex117]

Tu as bien un problème de connectivité avec ton AD.
J'ai donc l'impression que ton ISA ne peut s'authentifier et être donc autorisé sur l'AD.
C'est soit un problème DNS, ou de configuration ISA dans ce sens là.

Peux-tu m'envoyer le fichier xml que généres ISABPA stp.
Si tu pouvais faire aussi un MPSReport et m'envoyer le .cab http://www.microsoft.com/downloadS/deta ... laylang=en
Et pour finir un mini fichier visio démontrant les configurations IP de ton DC/DNS/et serveur ISA afin de me donner une mailleure vue virtuelle.
Cela m'aiderait à mieux comprendre.

@ plus,
Alex

[ptitpere]

salut,

en msg privé je peux pas te joindre des pièces...

[alex117]

Hello,

Envoie les moi par mail : alex[no@spam]alexgiraud[.]net

J'attends ton mail,
Alex

[ptitpere]

c'est parti