ISA EE "Daten konnten nicht abgerufen werden"

20/10/2007 - 16:48 von Benjamin Wagrocki | Report spam
Hallo,

ich habe am Freitag eine ISA 2006 EE Umgebung installiert und auch
gleich wieder irgendwie geschrottet! :-(

Bekomme vom ISA-CSS die Meldung:

"Daten konnten nicht abgerufen werden von ISA1 ISA2 ..."


Ausführlichere Informationen:

- ISA-CSS ist Domànenmitglied und eigenstàndiger Server.

Dann 2 ISAs (zusammen 1 Array, noch kein NLB aktiviert) im gleichen
Subnetz wie CSS (auch Domànenmitglieder) --> Kommunikation für das Array
daher per Windowsauthentifizierung. Zwischen dem CSS und den ISAs
befindet sich KEINE Firewall.

Soweit sah alles gut aus. Habe auf dem Array einen UpstreamProxy
eingerichtet und einen der ISA-Server von meinem Notebook aus als
Webproxy verwendet. Habe paar URLs blocken lassen usw. Und hat alles gut
funktioniert. Bis...

Ich habe dann noch 2 ISAs in einer DMZ installiert. Da diese keine
Domànenmitglieder sind, làuft die Kommunikaiton zum CSS per Zertifkat.
Zertifkate also mit einer eigentstàndigen CA erstellt. Mit ISACertTool
in den CSS importiert und Rootzertifikate auf den ISA Servern
installiert. Für diese DMZ-ISAs habe ich ein neues Array erstellt und
auch für Zertifikate konfiguriert. Bei der Installation der ISAs in der
DMZ lief auch alles ganz gut. Konnte mich mit dem CSS verbinden und das
neue Array konnte ausgewàhlt werden.

Über die ISA-MMC auf dem CSS konnte ich also in beiden Arrays
(Trusted/DMZ) jeweils zwei ISA-Server sehen.

ABER: Sofort nach dem ich die DMZ ISAs installiert hatte fing der CSS
mit der Fehlermeldung an, dass er halt keine Daten von den ISA-Servern
beziehen konnte. In der ISA-MMC erscheint auch jeweils ein kleines rotes
Kreuz bei den Servern UND das nicht nur bei den DMZ ISA Servern, sondern
jetzt auch bei den Servern aus dem anderen Trusted-Array.

Ich habe leider keine Ahnung was da nun schiefgelaufen ist.

Ich habe das DMZ-Array erst mal wieder gelöscht, in der Hoffnung, dass
die Fehlermeldung wenigstens für das Trusted-Array wieder verschwindet.
Aber hat es leider nicht.

Mir ist dann noch aufgefallen, dass zwar der CSS keine Daten von den
Trusted-ISAs abrufen kann, ABER die ISAs ihre Konfig vom CSS immer noch
beziehen und aktualisieren. Denn ich habe z.B. die
Firewallsystemrichtlinie angepasst und z.B. Pingen aus dem Trusted auf
die ISA-Server erlaubt und nach den 15Sec konnte die Kisten auch
anpingen. Auch habe ich weitere URLs blocken lassen und diese
Regelànderung wurde auch umgesetzt. (Mit Browser getestet)

Also können die ISAs auf den CSS zugreifen, der CSS aber nicht auf die
ISAs.

Wie kann ich dieses Problem lösen???

Wie gesagt, das Problem ist meiner Meinung erst aufgetreten, nachdem ich
das DMZ-Array hinzugefügt habe. Hat es evtl. was mit dem Importieren des
Zertifikats zu tun? Für das Trusted-Array war nach wie vor
Windowsauthentifizierung eingestellt. Das hatte ich kontrolliert.

Spuckt er CSS irgenwo Logs aus, wo ich sehen kann, warum der keine Daten
von den ISAs beziehen kann?

Zudem ist mir schon nach der Installation der TrustedISAs (also noch vor
der DMZ-Installation und ohne zertifikat) aufgefallen, dass von der
ISA-CSS die Echtzeit-Protokollierung nicht gestartet werden konnte. Wenn
ich auf "Abfrage starten" gedrückt habe passierte nichts. Der Button
ànderte sich auch nicht in "Abfrage beenden"
Evtl. hàngt es ja damit zusammen und hilft bei der Suche. Evtl. ist das
auch ein anderes Problem.

Jetzt noch zum Schluss paar infos zu den Accounts:
Für die Installation von ISA-CSS und den ISAs habe ich einen Domànenuser
angelegt z.B. "ISA-DOM". Diesen auf dem ISA-CSS und den Trusted-ISAs zum
lokalen Admin gemacht und dann halt mit diesem User die Software
installiert usw.

Auf den beiden DMZ-ISAs habe ich jeweils einen lokalen user angelegt.
ISA-LOK mit selben Passwörtern auf beiden und diese halt zu lok. Admins
gemacht. Bei der Installation dieser Server habe ich bei der Verbindung
zum CSS dann aber den ISA-DOM user angegeben.


So, ich denke das ist genug Info. Ich hoffe das mir geholfen werden kann
;-)

DANKE schon mal für´s Durchlesen.

Gruß
-Benjamin-
 

Lesen sie die antworten

#1 Jens Baier
21/10/2007 - 09:12 | Warnen spam
Hi,

ich habe am Freitag eine ISA 2006 EE Umgebung installiert und auch gleich
wieder irgendwie geschrottet! :-(



na ja, so lange der Chef nicht meckert wenn Du "spielst" :-)

ABER: Sofort nach dem ich die DMZ ISAs installiert hatte fing der CSS mit
der Fehlermeldung an, dass er halt keine Daten von den ISA-Servern
beziehen konnte. In der ISA-MMC erscheint auch jeweils ein kleines rotes
Kreuz bei den Servern UND das nicht nur bei den DMZ ISA Servern, sondern
jetzt auch bei den Servern aus dem anderen Trusted-Array.



bist Du die gaengigen Artikel bei Microsoft durchgegangen was ISA Server
2006 Installation CSS, Workgroup Mode usw. angeht. Ohne detailliertere
Informationen kann man Dir evtl. nicht helfen.

der DMZ-Installation und ohne zertifikat) aufgefallen, dass von der
ISA-CSS die Echtzeit-Protokollierung nicht gestartet werden konnte. Wenn
ich auf "Abfrage starten" gedrückt habe passierte nichts. Der Button
ànderte sich auch nicht in "Abfrage beenden"



hmm, dann hattest Du aber schon vorher ein anderes Problem.
Habe ich das jetzt richtig verstanden, dass Du nur einen CSS fuer beide
Arrays hast??

DANKE schon mal für´s Durchlesen.



das war ja ein ganzer Roman!

Gruss Jens
www.nt-faq.de

Ähnliche fragen