Erre az esetmegoldásra nem leszek büszke, de tanulság azért akad benne.
Nagyon fontos ügyfél (habár hülyeség, mindegyik az) telefonál, hogy megállt a cégnél az internetelérés. Különböző okok miatt az ISA webproxy-ra gyanakszik. Mivel internet nélkül nincs élet, így a bejelentés magas prioritású.
A megoldást nehezíti, hogy magát a belső hálózatot nem mi üzemeltetjük, abszolút semmi hozzáférésünk sincsen. Csak az ISA-t kezeljük mi.
Megnéztem a logokat, mi is a helyzet a webforgalommal: a 80-as porton remekül hasítottak a bitek, még a vizsgálat közben is. Leellenőriztem, hogy ez valós forgalom-e. Az volt. Ment vissza a levél: Kedves Ügyfél, te valamit nagyon benéztél, az ISA-n gyönyörűen megy a http.
Amire jött az indignált válasz, hogy márpedig ez nem megy. Biztos, hogy jó forgalmat néztem?
Bakker. Nem. Hiszen a böngészők webproxy kliensek, akik a webproxy filter listening portján érik el az ISA-t. A 80-as porton csak akkor megy webes forgalom, ha nem webproxy kliens forgalmaz. A konkrét esetben a webproxy filter egy lehetetlen porton (na jó, annyira nem, de akkor sem írom le) figyelt, arra rákeresve rögtön dőltek is a denied connection üzenetek.
Hát, ez már mindjárt más. Akkor itt tényleg baj van.
Event log. Tele volt gyönyörű kövér 14118-as hibákkal. Azt mondja:
Description: The Web Proxy filter failed to bind its socket to IP address port xxxx. This may have been caused by another service that is already using the same port or by a network adapter that is not functional. To resolve this issue, restart the Microsoft Firewall service. The error code specified in the data area of the event properties indicates the cause of the failure.
A részletes hibakód: 0x80072740.
Néhány perc keresgélés után meg is lett a magyarázat. (Komolyan mondom, ma egy informatikusnál az internetes keresési képesség a második legfontosabb készség. Az első az angol nyelv ismerete.) Itt van a KB cikk.
(Ne keverjük össze ezzel a másik cikkel: habár a hibaüzenet ugyanaz, de ez az írás arra az esetre vonatkozik, amikor IIS is fut az ISA mellett.)
Akkor most mi is a hipotézisünk? A hétvégén valószínűleg volt egy rövid időszak, amikor leesett a link az ISA szerver belső lábáról. Ekkor a Windows Server 2003 le is kapcsolta a konkrét hálózati kártyát. Ezt hívják úgy, hogy Media Sense… és feature. Igenám, de amikor visszajön a link és feléled a hálózati kártya, az ISA szerver webproxy filtere nem képes rákapaszkodni a kijelölt portjára. Támadhatják őt a böngészőkből a kliensek, nincs bind. (A pikáns az, hogy a netstat szerint persze ott figyel a megadott porton.) Megoldás? Újra kell indítani a Microsoft Firewall klienst.
Majd.
Eddigre ugyanis az ügyfél morogva beröffentett egy linux proxy-t, mondván ők nem érnek rá. Annyiból igazuk is volt, hogy az ISA nem csak az internet felé forgalmaz, hanem a nagyon fontos anya- és társvállalatok felé is, azt a forgalmat meg még egy percre sem lehet megszakítani szolgáltatás újraindításával.
Majd este.
Addig volt időm körbenézni – és sikerült be is igazolnom a hipotézist: abban a 10 percben, amikor az ISA log szerint megállt a webproxy filter, ott figyelt két bejegyzés a system event logban is:
Warning Event 4: Adapter xxxxxxx Adapter Link Down.
Majd pár perccel később:
Information: Adapter xxxxxxx Adapter Link Up.
A többi már annyira nem érdekes, késő este újra lett indítva a szervíz, minden a helyére került.
Ja, a tanulság: ISA szerveren lehet, hogy nem hülyeség letiltani a Media Sense opciót.
(Windows Server 2008-ban alaphelyzetben le is van.)
2009-07-22 at 07:40
Keremszepen, ez akkor is bug. Egy tuzfalnak korrektul le kellene kezelnie ezt a helyzetet – a valosag ezzel szemben az, hogy nem teszi.
2009-07-22 at 09:27
Senki nem mondta, hogy nem az. Ráadásul a makacs fajtából: ha megnézed a KB cikknél, akkor már az ISA 2004-nél is megvolt – és megvan még a TMG-ben is. Magyarul az MS tud róla, de nem túlzottan érdekli.
2009-07-22 at 12:02
Nem tudom, egy ilyen blogon merjem-e irni azt, hogy jellemzo, igy inkabb ugy mondom, hogy ismeros.
2009-07-22 at 13:44
A ‘jellemző’ tényleg erős, mert úgy tapasztalom, hogy annyira ma már nem ez a jellemző. Én inkább úgy fogalmaznék, hogy bele lehet még futni ilyesmibe.
2009-08-27 at 17:36
Ezzel már nagyon sokat szívtam. Kis SBS szerverek külső lábán, ami közvetlenül az ADSL modemre van kötve, gyakran előfordul sajnos. Nem megy az OWA és az ActiveSyn. Belső lábon még nem találkoztal vele.
Viszont a tapasztalat sajnos az, hogy a Medis Sense tiltása egyáltalán semmilyen hatással nincs, a hiba ugyanúgy előfordul.
2010-10-22 at 09:51
ennyit az enterspájz tűzfal termékről 😉