Win Server 2003 "verschwindet" nach Inaktivität aus 2000 Domäne

[Lokiy]

Hi ich habe folgendes Problem:

Wir haben eine Windows 2000 Domäne. Der Domänencontroller läuft auf einem Windows 2000 Server mit SP1.

Nun habe ich einen neuen Windows Server 2003 eingerichtet auf dem der MS ISA Server 2004 läuft (regelt die Internetverbindung für etwa 400 PCs). Anfangs lief das Ganze einwandfrei, aber nun zeigt sich folgendes Problem:

Am Wochenende, wenn keine Anfrage ins Internet sattfindet verabschiedet sich der Server aus der Domäne. Somit muss man erst wieder den Server neu starten, dass jemand wieder ins Internet kommt. Kann mir jemand weiterhelfen?

Gruß

[I´m a BunnyRabbit]

Meinst du jetzt das Rechner sich an WE abschaltet oder das er keinen zugriff mehr auf die domäne hat (also aus der ADS) verschwindet?

[Lokiy]

Man sieht ihn aus der Domäne heraus nicht mehr. Wenn man an den Rechner selbst rangeht kann man noch immer ins Internet. Nur in der Domäne ist er nicht mehr sichtbar / ansprechbar und somit kein Internetzugriff möglich...

[Christl]

Welcher Server 2003 ist es?

Ist er ein Member-Server?

Wie ist der ISA-Server konfiguriert?

Wie ist der Zugriff geregelt, über Clientsätze?

In welchem Modus läuft der ISA-Server, integriert, alleinstehend?

Was sagen die Log-Dateien und die Ereignisanzeige?

Fragen über Fragen...

[Lokiy]

- Windows Server 2003 Enterprise Edition

- kein member server

- zugriff ist über die firewallrichtlinien geregelt

- die Log-Dateien vom ISA-Programm sagen nichts aus; wenn ich die Ereignisprotokolle des Servers einsehen will bekomme ich folgende Fehlermeldung:

"Die Ereignisprotokolldatei ist beschädigt"

- ISA ist als Edgefirewall eingerichtet

Was meinst du mit dem Modus? Der ISA Server läuft nur auf dem Server, der das interne mit dem externen Netz (Internet) trennt. Firewall wird nicht auf die Clients integriert (wenn du das meinst). Der ISA-Server ist mit dem Active Directory des internen Netzes verbunden um die Berechtigungen abzufragen.

[Christl]

Hm, warum ist der ISA nicht in der Domäne? Würde die Zugriffsverwaltung vereinfachen (IMHO)...

Steht denn bei deinem AD-Server was in der Ereignisanzeige? Dass der Zugriff für den ISA-Server verweigert wurde?

Wie äußert sich die Nicht-Verbindung? Etwa: http 403 URL verweigert?

Ist der Web-Proxy aktiviert (=integrierter Modus)?

Ist evtl. ein Zeitplan für die Internetverbindung aktiv (standartmäßig am WE aus)?

[Lokiy]

Sorry ich hab mich falsch ausgedrückt. Der Server ist natürlich in der Domäne drin (im DNS eingetragen).

Zeitplan gibt es keinen (nix aktiviert). Es tritt auch öfters mal über nacht auf -> z.B. wenn kein Nachtdienst da ist der mal surft

Ereignisanzeige-AD schau ich mal nach

Fehlermeldung heisst glaub ich irgendwas mit Benutzerauthentifizierung wobei hier vielleicht noch wichtig ist, dass die Fehlermeldung vom ISA selbst kommt (sieht ja optisch anders aus als die IE Fehlermeldungen), also wird der Server erreicht.

Kannst du mir das mit Web-Proxy erläutern? Ist das ne Einstellung am ISA?

[Christl]

Jawoll ja!

Das ist der Webproxy, der da sperrt... (highest_true_shinly)

In den Einstellungen des ISA (rechte Maustaste auf Server -> Eigenschaften) sind für eingehende und ausgehende Webanfrage sog. Abhörer konfiguriert. Darin die Authentifizierungsmethode...

Habs jetzt nicht komplett im Kopf, sollte aber auf integriert stehen...? Mal kucken, da muß ich jetzt selber mal nachschauen.

Aber wenn diese Authentifizierung nicht erfolgt, sperrt ISA das Internet mit eben dieser Fehlermeldung...

Da mußte mal kucken..

[Lokiy]

hm ich find die einstellung nirgends. bei eigenschaften auf dem ISA kommen bei mir nur allgemeine informationen, auch in der hilfe find ich nichts zu integriert...

ich habe grade gesehn dass der isa-auftragszeitplaner-dienst läuft. für was ist der zuständig? ich habe nirgends eine möglichkeit gefunden den zu bearbeiten. ich kann ihn nur anhalten und wieder starten

[Christl]

ISA-Verwaltung, dann mit rechter Maustaste auf Deinen Server, dann kommt heraufstufen etc.pp. und auch Eigenschaften

[Lokiy]

Diese Optionen gibt es bei mir nicht. Vielleicht sollte ich noch erwähnen dass ich hier die Standard Edition habe.

ich habe grade gesehn dass der isa-auftragszeitplaner-dienst läuft. für was ist der zuständig? ich habe nirgends eine möglichkeit gefunden den zu bearbeiten. ich kann ihn nur anhalten und wieder starten...

[Christl]

Hauahauahauahaua....

Du hast ja 2004... Ich stopsel hier immer mit meinem 2000er rum..

Der Auftragsdienst ist für den geplanten Inhaltsdownload zuständig. Du könntest Webseiten fest eingeben, für die der ISA die Inhalte holt und die Nutzer nur auf den ISA zugreifen... Bietet sich bei stark frequentierten Seiten an, die nicht dynamisch sind. Reduziert den Traffic ungemein.

Hat aber nichts mit der "Sperre" zu tun...

"integriert" heisst, die Firewall mit Webproxy zu installieren, bei 2000 gings auch ohne den Webproxy, bei 2004 weiss ich nicht. Auf alle Fälle gehts um die Athentifizierung Deiner User beim ISA, und die müßte unter "Abhörer" bzw. "Eigenschaften" zu finden sein...

[edit] Eine wirklich gute Seite zum ISA: MS ISA FAQ (Klick mich!)

[Lokiy]

da kann ich lang suchen

meinst du es hängt wirklich mit der authentifizierung zusammen? ich meine es funktioniert ja eigentlich und nur wenn der server eine längere idle-time hat ist er danach nicht mehr ansprechbar bzw. nicht mehr in der domäne drin...

Hab jetzt nochmal neue Hardware (Server) vom Chef bekommen. Werd das Ding nochmal neu hochziehn und schauen ob das selbe Problem wieder erscheint. Anderst weiss ich net weiter.

Die Seite kenne ich. Danke trotzdem.

[Christl]

Ja, mein ich...

Ist ja so, dass Deine User sich übers Wochenende abmelden, oder? Nach ner Neuanmeldung gehts nimmer...

Anderer Ansatz... : Hat Dein ISA nach innen ne feste IP?

Wenns nach einem Neustart des Servers wieder geht... Hm.. *kopfkratz* Was holt er sich alles vom AD bei einem Neustart? (rethorisch)

Kriegen die Clients den ISA als Standart-Gateway per DHCP?

[Lokiy]

Ja aber sie melden sich ja nur auf dem ISA an wenn sie ne anfrage ans internet machen und nicht dauerhaft.

Der ISA hat ne feste IP -> DNS

Nach dem Neustart meldet er sich nur neu in der Domäne an sonst nichts.

Die Clients bekommen den Server als Proxyserver eingetragen (wird glaub ich übers AD bzw. Domänencontroller geregelt)

[Lokiy]

ich habe mittlerweile festgestellt, dass integriert authentifiziert wird