ISA2006 :: problème d'accès a mes serveur par web

[mperron]

Bonjour

Je suis Nouveau sur le forum j'ai souvent lu et trouvé des solutions ici, mais cette fois j'ai rien trouvé donc je m'inscris puis je vais essayé de participer

Donc j'ai installe un serveur isa 2006 en proxy avec une seule interface
mon problème est que je ne suis plus capable d'accéder a certain de mes serveurs en accès web
Exemple: nous avons un serveur de spam qui pour le configurer ou voir les log on se connecte en web par l'adresse mais ca ne fonctionne pas
même avec une règle qui laisse passer tout le trafic
J'obtient une page de Isa error timeout

J'ai essaye d'augmenter le delay mais ca ne change rien

Voici le message d'erreur que j'obtient

Failed Connection Attempt KASHYYK 2009-06-15 13:18:27
Log type: Web Proxy (Forward)
Status: 10060 A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Rule: all
Source: Internal (172.16.225.39)
Destination: Internal (ip-208-94-110-155.mtl.fibrenoire.ca 172.16.65.12:80)
Request: GET http://172.16.65.12/
Filter information: Req ID: 090d4f7d; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Protocol: http
User: anonymous
Additional information
Client agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Object source: Internet (Source is the Internet. Object was added to the cache.)
Cache info: 0x0
Processing time: 63375 ms
MIME type:


Quelqu'un peu m'aider S.V.P.
Merci

[alex117]

Bonjour et bienvenue,

Si je comprends bien, tu essayes d'accéder à des pages web de tes serveurs web internes depuis tes clients.
As-tu configuré dans les propriétés de ton réseau internal, la liste des domaines internes (ex: *.corp.lan, ...), l'adressage interne (par ex: 172.16.0.0-172.16.255.255, ...), etc... en indiquant bien de ne pas passer par le proxy ?

domain1.png (5.22 Kio) Consulté 2639 fois

domain2.png (7.61 Kio) Consulté 2639 fois

De plus tes clients Internet Explorer ont-ils bien la case cochée qui permet de ne pas utiliser de serveurs proxy pour les serveurs internes ?

ie-proxy.png (13.96 Kio) Consulté 2639 fois

Bonne journée,
Alex

[mperron]

Merci pour la reponse mais malheureusement ca ne fonctionne pas
J'ai entré le nom de domain et l'adresse directement. Je me suis assurer que la case étais coché.
mais j'obtient toujours la meme erreur.

[alex117]

Peux-tu faire un ISABPA .. et nous donner le résultat stp.
C'est étrange ton problème.

Alex

[mperron]

je le fait comment le scan???

Maintenant j'arrive a rejoindre le site par son nom en l'ajoutant a mon DNS avec une inscription A mais je n'arrive toujours pas a y accéder par l'adresse

Je pense avoir trouvé une parti du problème
lorsque je fais un tracert ca me donne

1 <1 ms <1 ms <1 ms 172.16.225.3
2 1 ms <1 ms <1 ms 172.16.1.2
3 1 ms 1 ms <1 ms ip-208-94-100-150.mtl.fibrenoire.ca [172.16.65.1
2]

Itinéraire déterminé.

Je pense qu'il ne devrait pas se rendre sur mon réseaux externe vu que le serveur est a l'interne

[alex117]

Je suis Nouveau sur le forum j'ai souvent lu et trouvé des solutions ici, mais cette fois j'ai rien trouvé donc je m'inscris puis je vais essayé de participer

Hello,

Tu aurais du donc trouver facilement ISABPA, puisque je poste le lien quasi systématiquement !
ISABPA 7.0.1 : http://www.microsoft.com/downloadS/details.aspx?familyid=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063&displaylang=en

Suite aux données que tu ajoutes, peux-tu nous donner la configuration de ta carte réseau (IP,Mask,GW, ...) et nous faire un route print ?
Peux-tu nous dire a quoi correspond 172.16.225.3 et 1.2, 65.1 ?

Bonne journée,
Alex

[mperron]

Bonjour

J'ai partiellement réglé mon problème Mon PC as 2 adresse Ip et il répond bien sur l'autre adresse Donc pour l'instant ca me suffit comme ca je suis un peu débordé j'y reviendrais un peu plus tard

Pour ce qui est du scan j'avais deja le programme mais je comprend qu'est-ce que tu veux que je t'envoie (Health Check, ISA INFO, ISA Configuration ou BPA2Visio)???????

[alex117]

Hello,

En fait il te faut faire une analyse BPA en prenant l'option "all checks". Tu peux ensuite exporter le résultat au format xml. Ce fichier nous permettra de mieux comprendre ta configuration et surtout d'éviter de poser 36 questions. On devrait gagner du temps pour t'aider dans la résolution de ton problème.

Bonne soirée,
Alex

[mperron]

J'ai fait une analyse mais elle est tres longue tu preferes que je te l'envoie par courriel ???

[alex117]

hello,

Oui je t'ai envoyé un MP

Alex

[mperron]

Merci

Je t'ai envoyé le mail
merci encore

[alex117]

Bonsoir,

Une question que je ne t'ai pas posé. Y arrives-tu depuis le serveur ISA à consulter ces sites web ?
Une remarque : La règle "all" qui fait du "from All to All for all trafic" ..... Faut pas prendre un serveur ISA Entreprise pour faire ç a

D'ailleurs, j'ai l'impression que ton filtre http est désactivé au niveau entreprise. Peux-tu t'en assurer et le réactiver.
Par ailleurs tu dois avoir un autre service sur ton serveur qui occupe le port 80. Par terrible justement pour le filtre Proxy Web.

2009-06-16 09:03:28 - The Web Proxy filter failed to bind its socket to 172.16.250.30 port 80. This may have been caused by another service that is already using the same port or by a network adapter that is not functional. To resolve this issue, restart the Microsoft Firewall service. The error code specified in the data area of the event properties indicates the cause of the failure.
The failure is due to error: An attempt was made to access a socket in a way forbidden by its access permissions.

Tu devrais essayer un netstat -ano | find ":80" pour vérifier quel est le process qui utilise le port 80 ?
Malgré que tu me dis que tu as ajouté les domaines, je ne les voit pas dans le rapport xml. Peux-tu me faire un screenshot des deux onglets Domains et Web Browser au niveau des propriétés du réseau interne stp ?

Alors pour récapituer :
1/ Que se passe t'il depuis ISA ?
2/ règle le problème du port 80
3/ Active le filtre de Proxy Web
4/ Screenshot

Bon courage,
Alex

[mperron]

Bonjour en cette journée de pluie
Donc

Je sais bien que ma règle "All" est un peu bizarre. Mais le but de mon serveur Isa est tout simplement de bloquer l'accès à certains sites web comme facebook et youtube.

J'ai un autre serveur ISA, qui était déjà en place, à l'intérieur de mon réseau qui lui bloque les accès correctement.


1) De l’Isa il se passe la même chose que des autres postes, je n'arrive pas à atteindre ma page web

2) Je t'ai fait parvenir mon fichier réponse de la commande Netstat

3) Le filtre est déjà actif

4) Je t'ai fait parvenir les screenshot

Merci

[alex117]

Hello,

De mon coté il pleut pas, je suis à Manhattan aux USA !!!!
1) En fait si depuis ton ISA tu as ce problème, alors tu l'auras depuis tes clients
2) Je vois cette ligne dans ton fichier export netstat :

Code: Tout sélectionner

TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       4

N'aurais-tu pas IIS installé sur ce serveur ? Si oui désinstalle le.
3) Pour le filtre, c'est étonnant car le ISABPA montre le contraire. Je pense que si tu résous le problème 2) (IIS désinstallé) le filtre fonctionnera correctement. Renvoie un ISABPA après avoir déinstallé IIS
4) OK pour les scrennshots. Je te conseille plutôt de mettre 172.16.0.0 à 172.16.255.255, comme ça t'es tranquille.

et un 5) à présent : Ce que je te propose aussi c'est d'utiliser le WPAD. Cela te permettra d'exploiter la configuration ISA, notamment sur la liste des exclusions. Tu devras créer une option dans ton DHCP avec le code 252. Il te faudra activer la configuration automatique sur le port 80 de ton serveur ISA (option du réseau interne). Tu as un tuto qui explique bien : http://www.isaserver.org/tutorials/Configuring_Automatic_Discovery_for_ISA_Server_Clients.html L'option dans ton DHCP aura pour valeur http://nom_serveur_isa/wpad.dat. Pour finir tu devras indiquer à tes clients Internet Explorer d'utiliser la configuration automatique et d'être clients DHCP.

Fais ces actions, cela devrait aller mieux.
Bon courage,
Alex