Чудеса WebProxy на ISA Server 2006
Все началось достаточно неожиданно, в один прекрасный день у всех системных администраторов в нашей компании перестал работать Internet Explorer (в то время мы использовали версию 7.0). Сразу мы это не заметили, т.к. многие пользовались браузером Firefox и особо никто не расстроился, когда браузер перестал открывать странички, но профессиональный интерес взял свое и мы выделили один день на исследование данного вопроса. Результаты нас очень удивили.
Подробнее расскажу о проблеме:
- Есть ISA Server 2006 SP1 со всеми updates.
- Есть клиентские компьютеры под управлением Windows Vista SP2 x86, также со всеми updates
- Еще есть «недовольные» системные администраторы
у которых не работает Internet Explorer.
В данном случае не работает нужно понимать следующим образом: браузер прекрасно открывает сайты из внутренней сети предприятия и может просматривать страницы по https. При обращении к сайту по протоколу http в строке состояния появляется сообщение «Ожидание соединения с сервером…» и в таком состоянии браузер может находится часами. - При отключении в настройках Internet Explorer хождение через Proxy и автоматическую настройку Internet Explorer начинал ходить как часы, но не без помощи ISA Firewall Client который тоже установлен на компьютере.
- При включении поддержки Proxyв Mozilla Firefox картина повторялась и для него.
После всего этого мы можем с уверенностью сказать, виноват в данной проблеме именно клиент Web Proxy и именно с авторизацией.
После изучения через WireShark процесса установления соединения через WebProxy выяснилось, что подвисание происходит на процессе проверки подлинности пользователя: ProxyServer запрашивает авторизацию, а клиент ее не отправляет должным образом и процесс зацикливается.
Проверив все правила и политики на ISA Server мы не выявили каких-либо проблем с авторизацией. Дальнейшее исследование показало, что данный феномен проявляется у любого пользователя включенного в спец. группу G Системные администраторы и только у них.
Пришлось лезть в Active Directory и внимательно изучать данную группу. Оказалось что члены этой группы имею достаточно широкие права и поэтому они являются членами множества групп. В этом и оказалась проблема!!!
Ниже я привел список ровно 50 групп членом которых является данный пользователь. При добавлении его в 51-ую группу WebProxy перестает работать.
Пользователь является членом следующих групп безопасности --------------------------------------------------------- Пользователи домена Все Пользователи ИНТЕРАКТИВНЫЕ Прошедшие проверку Данная организация ЛОКАЛЬНЫЕ G SYSADM TEST G 1С администратор DL xxxx dfs modify DL yyyy dfs modiy DL zzzz dfs modify DL qqqq dfs modify DL hp2015-kadr prnsrv print CERTSVC_DCOM_ACCESS DL apteka prnsrv modify DL snab prnsrv modify DL connect dc modify DL 1s-xxx dc modify DL TS admin DL hp2015-snab2 prnsrv print DL 1s-yyy dc modify DL 1s-zzz dc modify DL 1s-www dc modify DL 1s-qqq DL Logs Directum write not delete DL 1s-eee modify DL 1s-rrr dc modify DL Urist share modify DL 1s-sss dc modify dl soft avtograf modify DL Auto share modify DL sql-apteka dc modify DL 1s-ttt dc modify DL Spravka dfs modify DL 1s-ggg dc modify DL 1s-yyy DL 1s-hhh dc modify DL 1s-dev dfs modify DL install tr modify DL 1s-ccc dc modify DL Sklad DFS modify DL hp2015-snab prn print DL 1s-nnn dc modify DL 1s-mmm dc modify DL 1s-uuu dc modify DL Voditel Portal modify DL 1s-jjj dc modify DL Exchanger srv modify Средний обязательный уровень
Это удивительно, но факт ISA Server’у абсолютно без разницы какие это группы доменно локальные, глобальные — главное количество. При привышении 50 штук WebProxy отказывается работать.
Хотел бы я написать решение и победоносно закончить статью, но к сожалению я так его и не нашел …
в качестве workaround могу предложить полностью отключить WebProxy и скрипты автоматического конфигурирования в свойствах внутренней сети. Нужно снять последние три галочки.
to be continued.
