- PR -

ISAServerを多段とした場合に勝手に内部側がDNS参照しようとする

1
投稿者投稿内容
夜の技術者
常連さん
会議室デビュー日: 2004/07/22
投稿数: 30
投稿日時: 2004-09-15 20:41
インターネット−ISAサーバ(外DMZ)−ISAサーバ(内)−ブラウザの多段プロキシを使用しております。なにかのトリガでISAサーバ(内)が勝手にインターネットに接続する動作となり、ユーザ側でタイムアウトのブラウザエラーが発生します。頻度は少なく、トラフィックが多い時にそうなることが多いです。ISAサーバ(内)はインターネットに直接URLを引きにいくことはなく、本来はISAサーバ(内)で指定しているDNSサーバを利用すると考えております。ISAサーバが設定したDNSサーバを使わない(無視して)でインターネットへアクセスする理由をご存知でありましたらご教示ください。よろしくお願いいたします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-09-15 20:59
こんばんわ.
引用:

夜の技術者さんの書き込み (2004-09-15 20:41) より:

インターネット−ISAサーバ(外DMZ)−ISAサーバ(内)−ブラウザの多段プロキシを使用しております。なにかのトリガでISAサーバ(内)が勝手にインターネットに接続する動作となり、ユーザ側でタイムアウトのブラウザエラーが発生します。頻度は少なく、トラフィックが多い時にそうなることが多いです。ISAサーバ(内)はインターネットに直接URLを引きにいくことはなく、本来はISAサーバ(内)で指定しているDNSサーバを利用すると考えております。ISAサーバが設定したDNSサーバを使わない(無視して)でインターネットへアクセスする理由をご存知でありましたらご教示ください。よろしくお願いいたします。

DNS を引きに行っているとお考えになる根拠は?
むしろ,ISA の proxy が自力で HTTP 取りに行ってるとか?
つまり,上位である「外側 の ISA」に訊きに行くべきところを
自力で Internet に見に行ってしまっていることは無いでしょうか?

IE の「DNS error」は必ずしも
「DNS が引けない」場合だけに出力されるわけではないと思います.
夜の技術者
常連さん
会議室デビュー日: 2004/07/22
投稿数: 30
投稿日時: 2004-09-15 21:26
引用:

むしろ,ISA の proxy が自力で HTTP 取りに行ってるとか?
つまり,上位である「外側 の ISA」に訊きに行くべきところを
自力で Internet に見に行ってしまっていることは無いでしょうか?

おっしゃるとおりです。根拠はエラーのブラウザの画面に内側のプロキシ名が
表示されていること、FIREWALLのログにInternetへアクセスしよう
として拒否されているログが出ているを根拠としています。
理由はわかりませんが、「自力で Internet に見に行ってしまっている」
状態です。難しいですが、その理由を知りたいと考えております。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-09-15 22:43
引用:

夜の技術者さんの書き込み (2004-09-15 21:26) より:

おっしゃるとおりです。根拠はエラーのブラウザの画面に内側のプロキシ名が
表示されていること、FIREWALLのログにInternetへアクセスしよう
として拒否されているログが出ているを根拠としています。
理由はわかりませんが、「自力で Internet に見に行ってしまっている」
状態です。難しいですが、その理由を知りたいと考えております。

とすると,内側の ISA が外側の ISA の Security policy に従わずに
「勝手に外と通信しようとしている」のでそれを外側 ISA が「遮断している」と?

・これまでは通信できていた
・通常は通信できるが出来ないこともある

のであれば,動的に条件が変わってるんでしょうかね...

それぞれの ISA の proxy は透過型でしょうか?
それとも proxy の設定を要するものでしょうか?

ごくごく普通に考えると,内側 ISA が透過であろうとなかろうと,
内側 ISA の proxy の「上位ルート」を外側 ISA へ向けてやって,
外側 ISA では HTTP 関連の通信を内側 ISA からのみとすればよいのではないかと.

そうすることで

・クライアントは内側 ISA にリクエスト
・内側 ISA はクライアントからリクエストを受け付けて,外側 ISA にリクエスト
・外側 ISA は内側 ISA からリクエストを受け付けて目的の URL を参照する

という順序で処理されると思います.
内側を透過にすると

・クライアントは普通に該当 URL を参照しに行く
・内側 ISA はクライアントからの通信を横取りして,外側 ISA にリクエスト
・外側 ISA は内側 ISA からリクエストを受け付けて目的の URL を参照する

となります.
ま,外側も透過させることも出来ますが,なんとなくそれは「手抜き」な気がします.
※極めて個人的な意見かもしれませんが...
この場合は

・クライアントは普通に該当 URL を参照しに行く
・内側 ISA はクライアントからの通信を横取りして,該当 URL を参照しに行く
・外側 ISA は内側 ISA からの通信を横取りして目的の URL を参照する

となります.

どの方式であれ,内/外それぞれの ISA でちゃんと policy を定義していれば
「ときどき繋がらない」ことはないと考えます.
よって,「ときどき繋がらない」のであれば,
proxy の機能が有効になってなくて,
外側 ISA で内側 ISA の下位の network の一部が定義されていないなどの理由で
接続を拒否されているという推測もありますが,
この場合は「一部のクライアントで常に繋がらない」という話でしょう.

とりあえずこれらの仕組みからそれぞれの設定に必要な内容を把握し,
それぞれの ISA の設定を見直してみては如何でしょう?

以上,ご参考までに.
1

スキルアップ/キャリアアップ(JOB@IT)