Назад | Перейти на главную страницу

ISA-сервер отбрасывает пакеты, поскольку считает, что они подделаны

У нас есть ISA Server 2004, работающий на Windows Server 2003 SP2.

Он имеет 2 сетевых адаптера - один внутренний с именем LAN на 192.168.16.2 с подсетью 255.255.255.0 и один внешний с именем WAN на 93.x.x.2. Шлюз по умолчанию 93.x.x.1 (наш модем). Эта машина также принимает VPN-подключения.

Возникла проблема со сканером, который пытается сохранить отсканированное изображение в общий сетевой ресурс.

Каждый раз, когда мы пытаемся сканировать, ISA Server регистрирует следующее запрещенное соединение

Пинг 192.168.16.54 с ISA-сервера работает нормально.

В ISA Server, зайдя в Конфигурация → Сети, есть 5 сетей: - Внешняя (встроенная) - Внутренняя (определенная как 192.168.16.0 → 192.168.16.255) - Локальный хост (встроенный) - Клиенты VPN на карантине (встроенные) - Клиенты VPN ( встроенный)

Наконец, в разделе «Сетевые подключения» → «Дополнительно» → «Дополнительные настройки ...» подключения выполняются в следующем порядке: - LAN - WAN - [Подключения удаленного доступа]

Если мы попытаемся сканировать на рабочую станцию, все будет нормально.

Пожалуйста, дайте мне знать, если вам понадобится дополнительная информация - большое спасибо.

РБ.

Я сильно подозреваю, что ваша проблема со сканированием не имеет ничего общего с брандмауэром ISA и больше связана с ограничениями безопасности протокола SMB на сервере, на котором вы пытаетесь нацелить сканирование. Я подозреваю это, потому что, в первую очередь, я предполагаю, что сервер, на который вы пытаетесь отправить сканирование, имеет IP-адрес 192.168.16.0/24, и поэтому связь между сканером и сервером не нужно перемещать. через ISA Server.

Упавший пакет - почти наверняка отвлекающий маневр.

Пакет, который вы видите, является рассылкой, связанной со службой имен NetBIOS. Это обычные пакеты, генерируемые реализациями протокола совместного использования файлов и принтеров Microsoft, SMB. Это заставляет меня задаться вопросом, есть ли у вас соединение уровня 2 между "внешним" сегментом сети и вашим "внутренним" сегментом сети, и широковещательные сообщения из "внутреннего" также отображаются во "внешнем" сегменте. Запуск сниффера на "внешнем" сегменте скажет вам это быстро и легко. Подключен ли «модем» непосредственно к компьютеру с ISA-сервером или он подключен к коммутатору / концентратору, который может иметь другие соединения?

Большинство дрянных копировальных / многофункциональных устройств, с которыми я работал, требуют отключения подписи SMB на сервере, чтобы включить функцию «сканирование в папку». Есть некоторые обсуждение этого применительно к компьютерам Ricoh здесь, на странице Server Fault. Я сильно подозреваю, что это ваша проблема.