Einzelne Websites lassen sich nicht öffnen

Discussion:

(zu alt für eine Antwort)

jfleck

2010-02-04 09:09:02 UTC

Hallo zusammen,

bin kurz vor der verzweiflung. unser isa server 2006 (build 5.0.5723.514)
macht seit kurzem probleme bei gewissen internetseiten. ich bekomme dann auch
sehr lange keine rückmeldung im browser. der zugriff zum beispiel auf diese
newsgroup unter folgendem link
http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.public.de.german.isaserver&cat=de_DE_f4934093-5123-42eb-a97b-f026ac5a6360&lang=de&cr=DE
funktioniert u.a. nicht. beim aufruf der seite, auch mit verschiedenen
browsern getestet, läuft der ladebalken etwa 1 minute und dann kommt vom IE
die standardrückmeldung "Seite kann nicht angezeigt werden". der fehler tritt
direkt am isa server und an allen clients auf, also kann der firewallclient
als fehler ausgeschlossen werden. Hier dann mal das, was die
Firewallprotokollierung zu einer anderen URL www.shcom.de ausspuckt.
212.218.XX.X 212.218.XX.X HERMES - 195.158.60.24 DNS UDP - - - Lokaler
Host Extern Getrennte Verbindung [System] DNS vom ISA Server an
ausgewählte Server zulassen - 04.02.2010 09:54:33 04.02.2010
08:54:33 20442 53 59000 70 266 0x80074e20
FWX_E_GRACEFUL_SHUTDOWN 0x0 0x0 Firewall -
212.218.XX.X 212.218.XX.X HERMES - 78.140.101.69 HTTP TCP - - - Lokaler
Host Extern Initiierte Verbindung - 04.02.2010 09:54:34 04.02.2010
08:54:34 58731 80 0 0 0 0x0 ERROR_SUCCESS 0x0 0x0 Firewall -

interessanterweise taucht die URL selbst garnicht im protokoll auf. wer kann
mir sagen, wie ich herausbekomme, warum diese URL sich nicht öffnen lässt.

vielen dank im voraus.
Juergen

unknown

2010-02-04 09:23:16 UTC

Permalink

moin juergen,

Post by jfleck
interessanterweise taucht die URL selbst garnicht im protokoll auf. wer kann
mir sagen, wie ich herausbekomme, warum diese URL sich nicht öffnen lässt.

könnte sich um ein dns-problem handeln. bitte checke mal deine
netzwerkkartenkonfiguration und dns-auflösungsszenario.
lies dir dazu auch mal folgenden artikel durch:
http://blog.msfirewall.org.uk/2008/06/isa-servers-recommeded-network-card.html

--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|

Jens Baier

2010-02-04 09:39:01 UTC

Permalink

Hi,

Post by jfleck
interessanterweise taucht die URL selbst garnicht im protokoll auf. wer kann
mir sagen, wie ich herausbekomme, warum diese URL sich nicht öffnen lässt.

was hast Du denn an Deiner ISA / AD Konfig geaendert? Pruefe bitte mal ob
die DNS Einstellungen korrekt sind. Sieht fuer mich nach einem DNS Problem
aus. Geht NSLOOKUP zur Aufloesung externer Namen?

Gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de

jfleck

2010-02-04 10:36:01 UTC

Permalink

hallo jens,

danke für die zügige antwort, aber die namensauflösung funktioniert.
nslookup gibt mir auf dem isa die ip adresse der website zurück. an den
einstellungen vom isa und/oder AD ist in den letzten tagen außer einigen ms
patches nichts geändert worden.

Hier mal eine Fehlermeldung, die dann doch noch nach längerer zeit zurückkam:
0.0.0.0 X.XX.XX.X anonymous Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0; .NET CLR
2.0.50727) Ja Proxy HERMES www.shcom.de 78.140.101.69 SSL-tunnel TCP www.shcom.de:443 Internet Intern Extern - - Fehlgeschlagener
Verbindungsversuch - Internet Req ID: 0a8f2746; Compression: client=No,
server=No, compress rate=0% decompress rate=0% - - - 04.02.2010
10:51:27 04.02.2010 09:51:27 0 443 0 845 0 10061 Es konnte keine Verbindung
hergestellt werden, da der Zielcomputer die Verbindung verweigerte.
0x0 0x40 Webproxyfilter

die antwort im folgenden thread von jens mander hab ich mal durchgelesen,
die NICs sind umbenannt und auch entsprechend konfiguriert. laut dieser
beschreibung soll auf der internen nic die dns eintragungen gemacht werden,
da hab ich im moment allerdings nur den AD DNS eingetragen. sollten da auch
die externen rein?

Post by Jens Baier
Hi,

Post by jfleck
interessanterweise taucht die URL selbst garnicht im protokoll auf. wer kann
mir sagen, wie ich herausbekomme, warum diese URL sich nicht öffnen lässt.

was hast Du denn an Deiner ISA / AD Konfig geaendert? Pruefe bitte mal ob
die DNS Einstellungen korrekt sind. Sieht fuer mich nach einem DNS Problem
aus. Geht NSLOOKUP zur Aufloesung externer Namen?
Gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de

unknown

2010-02-04 10:45:41 UTC

Permalink

hi juergen,

Post by jfleck
die antwort im folgenden thread von jens mander hab ich mal durchgelesen,
die NICs sind umbenannt und auch entsprechend konfiguriert. laut dieser
beschreibung soll auf der internen nic die dns eintragungen gemacht werden,
da hab ich im moment allerdings nur den AD DNS eingetragen. sollten da auch
die externen rein?

deine internen dns-server sollten sich um die dns-auflösung bemühen, nicht
der isa selber. d.h. du konfigurierst nur auf der internen karte des isas
die verwendung der internen dns-server. diese wiederum müssen dazu in die
lage versetzt werden korrekt dns richtung isp-dns auflösen zu können (per
forwarding). wenn diese konfiguration steht, dann sollte als letztes noch
die dns-caching-tabelle des isas geleert werden (achtung, 2 caches
vorhanden!) und dann erneut der zugriff gestartet werden.

--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|

jfleck

2010-02-04 12:15:01 UTC

Permalink

hallo jens,

dns auflösung funktioniert, ich bekomme für diese und auch andere urls, die
über den browser nicht aufgehen, eine korrekte IP zurück. im moment kann ich
nicht weiter testen, unser provider hat einen cisco router bei uns stehen,
über den ich mal außerhalb der geschäftszeiten direkt versuchen werde, die
internetverb aufzurufen. morgen dann also (wahrscheinlich) weitere
nachrichten von mir.

wenn wir versuchen von unserem mailserver aus mit einer eigenen festen ip
z.b. aus ohne nutzung des isa servers als proxy auf diese (oder andere nicht
funktionierende) urls zuzugreifen, dann geht das auch nicht. morgen also der
direkte versuch von der cisco büchse aus.

danke an alle !!!
:-)

Post by unknown
hi juergen,

unknown

2010-02-04 12:57:04 UTC

Permalink

hi juergen,

Post by jfleck
wenn wir versuchen von unserem mailserver aus mit einer eigenen festen ip
z.b. aus ohne nutzung des isa servers als proxy auf diese (oder andere nicht
funktionierende) urls zuzugreifen, dann geht das auch nicht. morgen also der
direkte versuch von der cisco büchse aus.
danke an alle !!!

gerne, melde dich einfach. und bedenke dein dns-auflösungs-szenario.
korrekt ist: isa interne karte an internen dns - der wiederum relayed zum
externen isp-dns!

--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|

jfleck

2010-02-05 08:23:02 UTC

Permalink

moin,

also die überprüfung mit direkter verwendung des cisco hat ergeben, das der
router den fehler verursacht. was genau an der kiste kaputt ist, wird sich in
den nächsten minuten klären.

na gottseidank war der ISA nicht schuld :-)

danke nochmal an alle helfer

Post by unknown
hi juergen,

gerne, melde dich einfach. und bedenke dein dns-auflösungs-szenario.
korrekt ist: isa interne karte an internen dns - der wiederum relayed zum
externen isp-dns!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
.

unknown

2010-02-05 13:46:56 UTC

Permalink

hi juergen,

Post by jfleck
also die überprüfung mit direkter verwendung des cisco hat ergeben, das der
router den fehler verursacht. was genau an der kiste kaputt ist, wird sich in
den nächsten minuten klären.

ah prima. fehler erkannt - gefahr gebannt.

Post by jfleck
na gottseidank war der ISA nicht schuld :-)

der schöne isa doch nicht. ;-)

Post by jfleck
danke nochmal an alle helfer

gernö!

--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|