На этот раз - небольшой мистический триллер про настройку windows 2003 и ISA 2006. Поскольку это немного выбивается из общей тематики блога, уберу под кат, дабы не грузить тех, кому это неинтересно. Вкратце - речь о решении ошибок в работе фильтра RPC ISA Server 2006.

Потому что те, кому интересно, найдут этот пост в гугле - информации по конкретной проблеме оказалось крайне мало, а по-русски - вообще крупицы, не имеющие отношения к решению проблемы.

Проблема.

Итак, дано: новый сервер HP Proliant DL360G5, Windows Standard 2003 SP2 RTM, ISA 2006. После установки операционной системы на сервер, загрузки и установки всех обновлений, сервер был введен в домен и была установлена ISA 2006 Standard Russian. После этого появился ряд неприятных симптомов:

1. Вход пользователя в систему происходил очень долго, как в терминальном режиме (удаленный рабочий стол для администрирования), так и в консольном.

2. Вошедший в систему пользователь не мог получить доступа к ресурсам внутренней сети.

Все это дело сопровождалось ошибками Userenv 1053 (Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена. ), Winlogon 1219 (Отказано во входе в систему для DOMAIN\Admin. Не удалось получить конфигурацию пользователя сервера терминалов. Ошибка: Указанный домен не существует или к нему невозможно подключиться.) и Netlogon 5783 (Установка сеанса к контроллеру домена Windows NT или Windows 2000 \\DomainController для домена DOMAIN не отвечает. Текущий вызов RPC от Netlogon на \\PROBLEMSERVER к \\DomainController отменен.).

При попытке диагностировать подключение к RPC при помощи Microsoft PortQuery дала результат RPC query failed (6bf).

Стоит заметить, что ISA Server, будучи введенной в домен автоматически создает правила для доступа к контроллерам домена по RPC и включает фильтр RPC, то есть, проблема - налицо - RPC не работает.

В процессе ликвидации ошибок выяснилось следующее:

1. При отключенном фильтре RPC все прекрасно работает (с одним исключением*, о нем - позже)

2. (тут - самый жыръ) SP2 на windows 2003 ломает фильтр RPC, работающий в ISA, при включенном параметре Receive Side Scaling в драйвере сетевого адаптера. Это проявляется в сбросе TCP-подключения при получении подтверждения TCP_ACK при подключении к 135 TCP порту контроллера домена. Данной проблеме также подвержена ISA2004. Данная проблема характерна для адаптеров, построенных на базе Broadcom 57xx серии. К ним относится HP NC373i, устанавливаемый на некоторые HP Proliant DL пятого поколения и сетевые адаптеры, устанавливаемые в некоторые серверы Dell PowerEdge.

Решение.

Чтобы избежать подобных ошибок, требуется отключить параметр Receive Side Scaling в свойствах сетевого адаптера:

Receive side scaling disabled

*Исключение, о котором я обещал позже. Как выяснилось чуть позже, аналогичное поведение (сброс TCP-подключения) наблюдается и в работе фильтра SMTP, поэтому Receive Side Scaling лучше отключить на всех адаптерах сервера, работающего под ISA.

[Slashdot] [Digg] [News2] Бобрдобр [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]