ISA2006 :: WMP ne passe pas, que faire?

[leboss38]

Bonsoir à tous,

J'ai un serveur Win 2003 Std 64bits avec un serveur ISA 2006 STD et 9 postes sous Vista Pro SP1. à Partir d'IE, je me connecte sur ce lien

France 3 Régions , La vidéo se charge bien sous WMP mais impossible de lancer la lecture, quand je clique sur play, le message connexion au media en cours (classique) mais disparait aussitôt. La seule explication c'est qu'ISA 2006 le bloque. Après avoir recherché une solution sur le net j'ai trouvé cela

Problème d'authentification WMP sous ISA 2004

J'ai fait la manip, mais apparement j'ai du louper quelques choses car ça ne marche pas (certes j'ai pas désinstallé le FWC avant de réinstaller celui télécharger depuis le lien).

Avez vous déjà eu ce problème, si oui comment l'avez vous résolu ou contourner?

Je pense installer BSPLayer ou Winamp pour voir si ça marche (sachant que oui ça marche sur un poste non couvert par ISA).

Merci d'avance.

EDIT : Il s'agit d'un flux mms.

[alex117]

Hello,

En fait le flux MMS utilisé pour le streaming vidéo utilise un port non web (TCP1755). Mais ce flux peut être encapsulé dans du http au prix d'une baisse de performance.
je te propose de vérifier tes paramètres Windows Média Player en faisant un clic droit 'Option' sur la fenêtre Player afin de vérifier que tu utilises bien les proxy.

mms-proxy.png (59.79 Kio) Consulté 3663 fois

Essaye éventuellement de rajouter explicitement tes paramètres de Proxy ici.
Le cas échéant tu pourrais ouvrir le port 1755 au niveau de ton firewall ... à vérifier dans les logs.

Bonne journée,
Alex

[leboss38]

Je vais essayer cela merci.

Par contre, la baisse de performance est elle vraiment significative?

[alex117]

Concernant les performances, je ne sais pas.
Ce que je comprends juste, c'est que des commandes sont envoyés en Pragma.
Pour culture : http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.32

moi là ça me dépasse complet

Alex

[leboss38]

Bon alors je galères!

Voici ce que j'ai fait :
- adresse du proxy dans le paramétrage de WMP, ne change rien, mais javais rien ouvert au niveau des FW.

J'ai un DLink DSL 2640B sur lequel je ne peut désactiver le FW, j'ai donc rediriger les ports 1775 en TCP et UPD sur la pate externe du serveur ISA. J'ai également activé sur le D-Link l'ouverture des ports (pas de redirection juste ouvrir) le mms. Ensuite sur mon serveur ISA je paramètre une règle suivante
- Nom : Streaming WMP
- Autoriser : OK
- Protocole : HTTP, HTTPS, MMS, RTSP (Http pour l'encapsulation, et Https car je me connecter via logmein en https pour prendre la main sur le poste client, pour ce dernier je n'ai pas essayé, mais sans le https à chaque fois que je lance le chargement de la page où il ya la vidéo, je me retrouve déconnecté, donc on verra bien)
- De : Clients VPN, Interne
- A : Externe
- Tous les users
- Types de contenu : Tous les types

Mais j'ai l'impression que ça ne marche pas, je vais aller certainnement demain sur site car avec Logmein sur ce genre de soucis c'est pas top. Par contre j'ai testé avec VLC. J'ouvres ce dernier, je recupère l'adresse mms et j'arrive à le lire sans problème (sans être déconnecté ) , ce qui prouve bien que le mms sur 1755 est bien ouvert.

Je penses que je me suis embêté la vie plus qu'autre chose donc déjà on oubli la télémaintenance (on verra ça après), je vais sur site demain, mais j'aimerais avoir votre avis sur ces paramétrages.

Merci d'avance.

Edit : Merci pour le lien, mais vu que je suis déjà dépassé, on va éviter d'en rajouter une couche

[alex117]

Hello,

Je crois qu'au niveau de ton routeur, tu t'es un peu lâché .. voir trop
C'est pas de la publication, donc inutile d'ouvrir les ports.

Ce qui serait plus intéressant, c'est faire une analyse réseau pour voir comment se comporte WMP, puis une autre trace avec VLC.
En fait WMP récupère les paramètres Internet Explorer, et je pense que c'est là d'ou vient le problème.
Or tu prouves avec VLC que tu te connectes directement ... (à vérifier avec une trace) ... et donc pourquoi ne pas faire passer WMP directement aussi ?

Les paserelles des postes, c'est bien le routeur et non le ISA ? Le ISA est en SingleNic ? Ou le ISA est en FW entre les clients et le routeur ?

Bonne journée,
Alex

[leboss38]

Hello,

Pour mon routeur, j'ai activé les flux mms et ouvert les ports 1755, comme tu me l'a dis. A quel niveau je me suis trop laché (ça c'est possible lol)?

Qu'entends tu par trace? C'est un tracert sous dos? Sinon pourrai tu approfondir?

Heu avec WMP en ouvrant directement le flux j'ai pas pensé le faire, je vais essayer cela, merci!

Les GW de mes postes c'est l'adresse de la pate interne de mon ISA, voici comment je l'ai reglé

- Dlink : 192.168.3.254
- ISA carte externe : 192.168.3.253
- ISA carte interne : 192.168.2.254
- Serveur de prod (DNS) : 192.168.2.50

Etr voici la config IP du poste client :
IP : 192.168.2.70
Masque : 255.255.255.0
GW : 192.168.2.254
DNS Primaire : 192.168.2.50

Donc l'ISA est bien entre le routeur et les clients et non en SingleNic (vu que je peux pas désactiver le FW du modem, je peux pas être en SingleNic? Si?)

Merci

[alex117]

Bonjour,

Quand je parle de traces, ce sont des traces réseaux capturés à l'aide d'outils comme Network Monitor par exemple : http://www.microsoft.com/DownLoads/details.aspx?familyid=983B941D-06CB-4658-B7F6-3088333D062F&displaylang=en
Cela permet d'analyser le comportement IP d'un client.

Si je dis que tu t'es lâché sur le routeur, c'est que je suis quasi-sur qu'il ne bloque rien en "sortie" et donc que tu n'a pas besoin de règles spécifiques.
Cependant les règles que tu as du créer doivent certainement être de type "entrantes". Mais je peux me tromper.

Dis nous déjà ce que cela donne en direct.

Bonne journée,
Alex

[leboss38]

Hello,

Sur le routeur c'est une redirection de ports mms sur le serveur ISA et sur le serveur c'est l'autorisation des postes internes vers le net des flux mms que j'ai activé donc effectivement sur le routeur c'est entrant et sur ISA c'est sortant.

Si je comprends bien, je n'ai pas besoinde règle sur ISA?

Merci pour le lien, je vais mercredi sur site, je ferai les traces et je posterai le résultat.

Merci

[leboss38]

Hello,

Voici les étapes que j'ai testé :

- Sur le serveur ISA, que ce soit sous IE ou WMP, la vidéo fonctionne parfaitement, signe que le routeur laisse bien passer les flux mms
- Sur un poste client derrière ISA, impossible de lire la vidéo depuis IE ou WMP, mais avec VLC pas de problème, j'ai tenté ce que tu m'as dit au dessus sans succés, j'ai également tenté plusieurs règles sur ISA idem, ça ne passe pas.

J'ai donc fait des captures des paquets IP pour IE, WMP et VLC, par contre je n'y comprends pas grand chose

Pourrais je te les envoyer par mail et me dire ce que tu en penses?

Merci à toi.

[alex117]

Bonjour,

ce qui serait bien c'est de déposer la trace réseau (fichier .cap) dans un post afin d'analyser le comportement.
D'ailleurs, plus tard cela surement bien de comparer avec une trace réseau ISA et également avec une journalisation ISA.

On va commencer par la trace réseau coté client, on avisera ensuite ...

Alex

[leboss38]

Bonjour alex,

Pour les captures, elle sont relativement lourdes, donc les mettre en code, c'est impossible, faire une capture d'écran, ça va être illisible et mettre le code du fichier, ça risque de créer un roman (à cause des balises html, php présent dans le fichier cap). Donc je vous mets 3 liens pour télécharger les cap (ensuite on peut l'ouvrir soit avec avec Network Monitor, soit avec ConTEXT ou tout autre notepad performant).

La première concerne la lecture de la vidéo avec VLC qui se déroule sans accorc :
Capture VLC

La seconde concerne la lecture avec IE en streaming direct qui ne démarre (connexion au média en cours puis prêt mais impossible de lire la vidéo)
IE Streaming

Et enfin la troisième concerne la lecture avec WMP en mettant l'adresse du flux MMS qui ne démarre pas (également )
WMP

La configuration de ces captures sont faites sur un poste client sous Windows Vista Pro SP1 avec WMP11. ISA 2006 est paramétré pour laisser un accès illimité à Internet avec quelques règles pour bloquer certains protocoles (ed2k....), il n'y a pas de règles pour laisser les flux multimédia car ils sont de base encapsulé dans l'HTTP

Qu'en pensez?

PS : Les fichiers sont pas trop lourds à télécharger!

[leboss38]

Une idée?

[alex117]

Hello,

Je ne t'ai pas oublié et j'ai déjà commencé à analyser. Le POST est en mode brouillon.
Le tout n'est de donner de but en blanc une quelconque réponse, mais de détailler afin que tu comprennes les analyses réseaux.
Par ailleurs je suis actuellement pris sur un projet qui me prend beaucoup de temps ...

Je fais au mieux,
Alex

[alex117]

Hello,

Donc j'ai bien repris tes captures.

Donc quand ça marche on a ceci :

Code: Tout sélectionner

192.168.2.80   192.168.2.254   TCP   1745 (0x6D1)   TCP:Flags=......S., SrcPort=49229, DstPort=1745, PayloadLen=0, Seq=592404399, Ack=0, Win=8192 ( Negotiating scale factor 0x2 ) = 8192
192.168.2.254   192.168.2.80   TCP   49229 (0xC04D)   TCP:Flags=...A..S., SrcPort=1745, DstPort=49229, PayloadLen=0, Seq=130237456, Ack=592404400, Win=16384 ( Negotiated scale factor 0x0 ) = 16384
192.168.2.80   192.168.2.254   TCP   1745 (0x6D1)   TCP:Flags=...A...., SrcPort=49229, DstPort=1745, PayloadLen=0, Seq=592404400, Ack=130237457, Win=16425 (scale factor 0x2) = 65700
192.168.2.80   192.168.2.254   RWS   1745 (0x6D1)   RWS:Windows stub parser: Requires full Common parsers. See the "How Do I Change Parser Set Options" help topic for tips on loading these parser sets.


On voit effectivement la connexion de ton poste 192.168.2.80 vers ton routeur 192.168.2.254 sur le port 1745.

Maintenant avec Internet Explorer :

Code: Tout sélectionner

192.168.2.254   192.168.2.80   HTTP   49238 (0xC056)   HTTP:Response, HTTP/1.1, Status Code = 304, URL: http://jt.france3.fr/layoutftv/arches/common/images/video/ecran-france3.jpg
192.168.2.254   192.168.2.80   TCP   49238 (0xC056)   TCP:[ReTransmit #389]Flags=...AP..., SrcPort=HTTP Alternate(8080), DstPort=49238, PayloadLen=150, Seq=1932938310 - 1932938460, Ack=2557003428, Win=65535
192.168.2.80   192.168.2.254   TCP   8080 (0x1F90)   TCP:Flags=...A...., SrcPort=49238, DstPort=HTTP Alternate(8080), PayloadLen=0, Seq=2557003428, Ack=1932938460, Win=16387
192.168.2.80   192.168.2.254   RWS   1745 (0x6D1)   RWS:Windows stub parser: Requires full Common parsers. See the "How Do I Change Parser Set Options" help topic for tips on loading these parser sets.
192.168.2.254   192.168.2.80   RWS   49235 (0xC053)   RWS:Windows stub parser: Requires full Common parsers. See the "How Do I Change Parser Set Options" help topic for tips on loading these parser sets.
192.168.2.80   192.168.2.254   RWS   1745 (0x6D1)   RWS:Windows stub parser: Requires full Common parsers. See the "How Do I Change Parser Set Options" help topic for tips on loading these parser sets.
192.168.2.254   192.168.2.80   RWS   49235 (0xC053)   RWS:Windows stub parser: Requires full Common parsers. See the "How Do I Change Parser Set Options" help topic for tips on loading these parser sets.


Par contre on voilà la connexion Web sur ton port Proxy (8080), mais la connexion des données de flux vidéos n'est pas encapsulé. On a 192.168.2.80 192.168.2.254 RWS 1745
Je pense que tu devrais vérifier tes paramètres de Proxy au niveau de Windows Media Player dans IE (clic-droit Proritétés).

Et avec Windows Media Player :

Code: Tout sélectionner

192.168.2.80   192.168.2.254   RWS   1745 (0x6D1)   RWS:Windows stub parser: Requires full Common parsers. See the "How Do I Change Parser Set Options" help topic for tips on loading these parser sets.
192.168.2.254   192.168.2.80   RWS   49245 (0xC05D)   RWS:Windows stub parser: Requires full Common parsers. See the "How Do I Change Parser Set Options" help topic for tips on loading these parser sets.
192.168.2.80   192.168.2.254   TCP   8080 (0x1F90)   TCP:Flags=......S., SrcPort=49252, DstPort=HTTP Alternate(8080), PayloadLen=0, Seq=942154205, Ack=0, Win=8192 ( Negotiating scale factor 0x2 ) = 8192
192.168.2.254   192.168.2.80   TCP   49252 (0xC064)   TCP:Flags=...A..S., SrcPort=HTTP Alternate(8080), DstPort=49252, PayloadLen=0, Seq=1932695271, Ack=942154206, Win=16384 ( Negotiated scale factor 0x0 ) = 16384
192.168.2.80   192.168.2.254   TCP   8080 (0x1F90)   TCP:Flags=...A...., SrcPort=49252, DstPort=HTTP Alternate(8080), PayloadLen=0, Seq=942154206, Ack=1932695272, Win=16425 (scale factor 0x2) = 65700
192.168.2.80   192.168.2.254   HTTP   8080 (0x1F90)   HTTP:Request, GET http://a988.v101995.c10199.e.vm.akamaistream.net/7/988/10199/3f97c7e6/ftvigrp.download.akamai.com/10


Et là c'est idem ....

Alors j'essaye de mon coté (connexion ADSL directe) sur le site de FR3 et j'obtiens ceci:

Code: Tout sélectionner

192.168.117.100   81.52.170.54   TCP   554 (0x22A)   TCP:Flags=...A...., SrcPort=50106, DstPort=RTSP(554), PayloadLen=0, Seq=1768491899, Ack=2283839277, Win=49300
81.52.170.54   192.168.117.100   TCP   50106 (0xC3BA)   TCP:[Continuation to #6776]Flags=...A...., SrcPort=RTSP(554), DstPort=50106, PayloadLen=1320, Seq=2283839277 - 2283840597, Ack=1768491899, Win=32850


Alors je pense que cela doit venir d'un problème de port, car au début je te parlais du port 1755 car c'est le port MMS. Or depuis chez moi cela se fait en RTSP (554) malgré l'adresse en mms:// ...
Et chez toi j'ai que des logs en destination du port 1745 ça n'a rien à voir ...

Tu devrais rajouter une règle dans ton serveur pour autoriser le flux en provenance du réseau 'interne' vers le réseau 'externe' pour le flux TCP1745 (en sortie) pour tous les utilisateurs.
Ensuite aide-toi de la journalisation ISA, (surveillance, journalisation) en utilisant comme filtre unique l'adresse IP source de ton poste. Lance ensuite une connexion et vérifie si ISA te bloque un paquet. En tout cas cela ne semble pas le modem car tu passes nickel.

Tu peux aussi t'appuyer sur le filtre MMS de ISA Server. Il est activé par défaut lorsque tu utilises le protocoles MMS dans une règle. Tu as d'autres protocoles dédiés dans ISA.

streaming.png (4.6 Kio) Consulté 3295 fois

J'espère qu'en rajoutant RTSP, MMS et le port 1745 en sortie cela devrait aller ...

Bon courage,
Alex

Ps: Prends avion ->US demain pour 2 mois de vacances. Donc pas d'internet avant un petit temps ....