Многие администраторы брандмауэра ISA имеют недостаточно времени, чтобы рассмотреть сеть, находящуюся за концепцией сети. Клинт Денхам снимает завесу с этой мистической части и помогает нам исправить и ускорить нашу сеть в соответствии с имеющимися настройками сети.
Симптом: Сервер ISA записывает в журнал следующую ошибку.
Описание: Сервер ISA обнаружил маршруты через «внутренний» адаптер, которые не связаны с элементом сети, к которому этот адаптер относится. Диапазон конфликтных адресов: 192.168.0.0-192.168.0.0; 192.168.0.255-192.168.0.255. Исправьте элемент сети и/или таблицу маршрутизации, чтобы сделать эти диапазоны непротиворечивыми; изменения нужно внести в оба диапазона или ни в какой. Если вы только создали удаленную сеть, проверьте, повторяется ли эта ошибка. Если нет, то вы можете спокойно проигнорировать это сообщение.
Диапазон адресов, упомянутый в тексте ошибки, будет различным в зависимости от конкретной установки, но суть проблемы в том же.
Короткий ответ — Администратор сервера ISA некорректно настроил внутреннюю сеть.
Длинный ответ — Как сервер ISA Server 2004 видит сеть
Когда сервер ISA установлен, некоторые администраторы определяют диапазон адресов с 192.168.0.1 по 192.168.0.254 — как адреса «внутренних» сетевых элементов. «Сетевые» элементы определяются с точки зрения сервера ISA. Тут имеется несколько тонкостей, поэтому углубимся в детали.
Когда вы прописываете адреса в свойствах «Сети», ISA просматривает все адаптеры в системе, пытаясь найти такие, чьи IP-адреса входят в указанный диапазон — если находит, то связывает «Сеть» с этими адаптерами.
Рассмотрим следующую таблицу маршрутизации компьютера под управлением Windows Server 2003.
Активные маршруты: | ||||
---|---|---|---|---|
Адрес назначения | Маска сети | Шлюз | Интерфейс | Метрика |
0.0.0 | 0.0.0 | 157.57.157.57 | 157.57.157.57 | 30 |
157.57.157.0 | 255.255.255.0 | 157.57.157.1 | 157.57.157.57 | 30 |
157.57.157.57 | 255.255.255.255 | 127.0.0.1 | 127.0.0.1 | 30 |
157.255.255.255 | 255.255.255.255 | 157.57.157.57 | 157.57.157.57 | 30 |
127.0.0.0 | 255.0.0.0 | 127.0.0.1 | 127.0.0.1 | 1 |
192.168.0.0 | 255.255.255.0 | 192.168.0.1 | 192.168.0.1 | 30 |
192.168.0.1 | 255.255.255.255 | 127.0.0.1 | 127.0.0.1 | 30 |
192.168.0.255 | 255.255.255.255 | 192.168.0.1 | 192.168.0.1 | 30 |
224.0.0.0 | 240.0.0.0 | 157.57.157.57 | 157.57.157.57 | 30 |
224.0.0.0 | 240.0.0.0 | 192.168.0.1 | 192.168.0.1 | 30 |
255.255.255.255 | 255.255.255.255 | 157.57.157.57 | 157.57.157.57 | 1 |
255.255.255.255 | 255.255.255.255 | 192.168.0.1 | 192.168.0.1 | 1 |
Шлюз по умолчанию: 157.57.157.1 | ||||
=========================================================== | ||||
Постоянные маршруты: | ||||
Нет |
Из выделенных строк видно, что Windows считает адреса получателей 192.168.0.0 и 192.168.0.255 доступными через интерфейс 192.168.0.1 (специфический хост с адресом получателя 192.168.0.1 — особый случай).
Кроме того, вы можете видеть, что групповой адрес 224.0.0.0 и адрес назначения «трансляций всех сетей» 255.255.255.255, так же доступны через интерфейс 192.168.0.1 — групповые адреса и этот адрес трансляций обрабатываются по разному у адресованного конкретному устройству трафика, так, что нас не беспокоят эти получатели, когда мы определяем сети.
Здесь начинают действовать тонкости, и есть две их разновидности ...
- Windows связывает адреса получателей 192.168.0.0 и 192.168.0.255 с интерфейсом 192.168.0.1.
- Сервер ISA связывает «внутреннюю» сеть с интерфейсом 192.168.0.1.
Теперь, сервер ISA сравнивает информацию, полученную от Windows (192.168.0.0 и 192.168.0.255 доступны через интерфейс 192.168.0.1) с информацией, которую ввел администратор ISA (192.168.0.1 через 192.168.0.254) и видит, что они не пересекаются. Простой ответ — надо добавить эти адреса в свойства конкретного объекта сети.
Теперь рассмотрим следующий сценарий...

.10, .20 и .30 подсети доступны серверу ISA через внутренние маршрутизаторы. Администратор Windows должен, используя команду ROUTE, добавить маршруты к .10, .20 и .30 подсетям через их соответствующий маршрутизатор или создать маршруты посредством Службы маршрутизации и удаленного доступа (RRAS). Это тоже должно вызвать ошибку, но в этот раз сообщение ошибки должно содержать .10, .20 и .30 подсети. Это вызвано той же проблемой — Windows связывает эти подсети с интерфейсом 192.168.0.1, но ISA проверяет настройку внутренней сети и «видит», что эти диапазоны адресов не содержатся в свойствах сети.
Логически, администратор сервера ISA должен думать, что нужно определить «Сеть», которая содержит эти адреса — один на каждую, .10, .20 и .30, подсеть. К несчастью, это не решает проблему. Ранее мы установили, что «Когда вы прописываете адреса в свойствах „Сети“, ISA просматривает все адаптеры в системе, пытаясь найти такие, чьи IP-адреса входят в указанный диапазон — если находит, то связывает „Сеть“ с этими адаптерами». Если администратор сервера ISA создал «Сети» для .10, .20 и .30 подсети, сервер ISA должен просмотреть список адаптеров в системе и попытаться найти адаптер, который имеет адрес, присвоенный этим подсетям. Поскольку, в нашей конфигурации, сервер ISA не содержит таких сетевых адаптеров (у нас есть только один внутренний и один внешний адаптер), ISA допускает, что «Сеть», которую пытается настроить администратор, связана с интерфейсом, который физически не работает или отключен и устанавливает статус «Сети» в состояние отключена.
Дополнительная информация: Справка по серверу ISA (находится в Microsoft ISA Server -> Multi-Networking -> Multi-Networking Architecture) дает хорошее определение «Сети».
- Сервер ISA группирует IP-адреса в наборы, называемые «сетями». «Сеть» используется сервером ISA для определения адресов компьютеров, которые могут обмениваться данными, не пропуская их через сервер ISA.
Последнее предложение — очень важно для понимания того, как ISA видит сеть — с того момента, как .0, .10, .20 и .30 подсети могут соединяться без «прохождения» через сервер ISA, они должны считаться частью одной сети.
Да — это имеет смысл — но как мне контролировать доступ к подсетям .10, .20 и .30 после этого?
Как только все эти диапазоны адресов будут включены в сеть, нужно зайти в Параметры Брандмауэра -> Инструменты -> Объекты сети (Firewall Policy -> Toolbox -> Network Objects) и создать новые «подсети» для .0, .10, .20 и .30 подсети и затем создать правила доступа брандмауэра, которые будут применяться к подсетям, а не к «Сети».
Автор: Томас Шиндер (Thomas Shinder)