ISA Server üzerinde problem çözme adımlarına devam ediyoruz. Çok sık şekilde karşılaştığımız ve aynı zamanda problemin nereden kaynaklandığını tespit etmemiz için öncelikle aşağıdaki soruların yanıtlarını çok iyi bilmemiz gerekiyor.
Bu sorun olmadan önce ne değişti?
Sorunun gerçekten ISA Serverdan kaynaklandığını doğrulayabiliyor muyuz?
Problem ile ilgili olarak aşağıdakine benzer hata iletileri var mı?
- Application Level
- Popup Messages
- Event Log Messages
- Logging Messages
ISA server tek network kartı ile mi çalışıyor?
ISA server üzerinde Authentication enable durumda mı?
Bu sorun tüm clientları etkiliyor mu yoksa sadece belirli clientlar mı etkileniyor?
Kullanılan uygulamanın adı veya versiyonu ISA Server üzerinden geçiyor mu?
Bu soruların temel alarak öncelikle ortak problemleri inceleyelim.
Uygulama ISA Server arkasında çalışmıyor!
Genel anlamda bu problem ISA Server içersinde ki Authentication ile ilgilidir ve uygulamanın credential’ı geçme ile ilgili olarak sorunla karşılaşmasıdır. Bu durumu en iyi şekilde inceleyebileceğiniz alan makalenin birinci bölümde real time logging ile bağlantıyı izlemeniz gerekmektedir. Bu alanda active session’ı incelerken sorunun nerden kaynaklandığını daha rahat tespit edebilirsiniz.
Spesifik olarak incelemeniz ve yanıtlamanız gereken sorular şunlardır:
Uygulama eğer ISA Server’ı bypass ederseniz çalışıyor mu?
Uygulama Basic Authentication enabe duruma getirdiğinizde çalışıyor mu?
Authentication’ı disable ettiğinizde hedef sisteme ulaşabiliyor mu?
Uygulamanız sizin kendi test sunucunuz üzerinde çalışıyor mu?
Uygulama ve ISA server arasında ki bağlantıda network trace’e baktığınızda herhangi bir sorun görünüyor mu?
Bu soruların yanıtlarını ve eventları dikkatli şekilde inceledikten sonra problemin çözüm adımlarını çok daha kolay şekilde başlayabilirsiniz.
Windows Update tek ethernetli ISA Server üzerinden çalışmıyor!
Muhtemelen sorun client sistemlerin Proxy ayarları ISA Serverı işaret etmiyor olmasından kaynaklanmaktadır.
- Çözüm: Komut satırında proxycfg –u komutunu client sistemde çalıştırarak winhttp Proxy ayarlarını kullanarak çıkış sağlayabilecektir.
http://support.microsoft.com/default.aspx?scid=KB;EN-US;900935
Publish ettiğiniz web sayfası sıkıştırılmış bir içerik bulunduryorsa ISA Server üzerin sorunla karşılaşabilirsiniz!
- Sunucuyu Mail Server’ı Web publishing wizard kullanarak yayınlayın bu şekilde COM objeleri ve sıkıştırılmış contentler ISA Server üzerinden izin verilecektir.
Firewall Servisi aşağıdaki hatalardan birini göstererek crash olabilir!
The Firewall service stopped because an application filter module <ISA Path>\ISAMON2.dll generated an exception code C0000005 in address <Random Value> when function CompleteAsyncIO was called. To resolve this error, remove recently installed application filters and restart the service
Faulting application wspsrv.exe, version 4.0.2161.50, stamp 40c77ea2, faulting module isamon2.dll, version 2.0.0.2, stamp 40b1fcdf, debug? 0, fault address 0x00001a7a.
Due to an unexpected error, the service fwsrv stopped responding to all requests. Stop the service or the corresponding process if it does not respond, and then start it again. Check the Windows event Viewer for related error messages
ISAMON2.DLL dosyası GFI Monitore ait olan bir dosyadır ve bu problem GFI monitor’ü disable duruma getirip sunucuyu yeniden başlatarak kontrol edebilirsiniz. GFI monitor aracının güncel bir sürümü veya repair kurulumu problemi çözmenizi sağlayabilir.
ISA üzerinden publish edilmiş OWA da password değiştirirken sorunla karşılaşabilirsiniz!
- Bu sorun webclient veya ISA serverdan kaynaklanıyor olabilir. Öncelikle kontrol edilmesi gereken durum OWA doğru şekilde ISA üzerinden yayınlanmış mı?
Implementing the Change Password feature with Outlook Web Access http://support.microsoft.com/default.aspx?scid=KB;EN-US;297121
Makalesi ilk adım olarak bize fikir verebilir.
- Etki alan adı doğru şekilde yazılmamış olabilir.
- Bir sonraki oturum açmasında password’ü değiştirilmesi gereken kullanıcının parolasını değiştiremezsiniz.
- Expaire olmuş kullanıcının password’ünü değiştiremezsiniz.
- UPN formatında kullanıcı ismini kullanamazsınız (UPN, kullanıcı oturum açma adı ve @ işareti ile eklenen UPN sonekinden oluşur)
Ayrıca problemin devam etmesi durumunda
http://support.microsoft.com/default.aspx?scid=KB;EN-US;833734 linkte bulunan hotfixiMicrosoft’dan isteyebilirsiniz.
Son olarak bu konu ile ilgili
“Outlook Web Access”e Parolanızı Değiştiremiyorsunuz”
Makalesini inceleyebilirsiniz.
http://support.microsoft.com/kb/827614/tr
403 Forbidden hatası!
Bu hata görüldüğünde ilk akla gelmesi gereken durum ISA server tüm istekler default olarak denydır. Yani erişmek istediğiniz site veya publish ettiğiniz sayfaya erişmek istediğinizde öncelikle aşağıdaki durumları göz önünde bulundurmalısınız.
- OWA’ı www.company.com/exchange olarak publish etmişsinizdir ancak dışarından www.copmpany.com/exchangeweb olarak erişmek isterseniz 403 Forbidden hatası ile karşılaşabilirsiniz.
- SSL ile yapılandırılmış bir web sayfasını http olarak erişmek isterseniz bu uyarı ile karşılaşmanız mümkün
- Bu hatanın bir diğer karşılığı ise erişilmek istenen veya publish ettiğiniz web sayfasında Authentication sorunu oluşmuş olabilir. Kullanıcı adı ve parola kontrol edilmeli veya sunucu üzerinde ki anti-virus uygulamaları kontrol edilmelidir.
Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022)
Bu hatanın temel sebebi SSL’in yanlış olarak yapılandırılmasından kaynaklanır.
- Sorun genel anlamda yayınlanan sertifikanın bilgisi ISA da sunulandan farklı olmasından kaynaklanır.
- ISA server üzerindeki isim çözümlemesini doğrulayın.(ping ile durumu kontrol edebilirsiniz.)
- ISA server üzerinde bir browser açarak publish etmeye çalıştığınız web servera ulaşmayı deneyin. Ulaşmak istediğiniz web sayfasında bir redirection varsa bunu no alın ve ISA üzerinden bu URL’ye izin verin.
http://support.microsoft.com/default.aspx?scid=KB;EN-US;841664
Error code 500 Internal Server Error. The request was rejected by the HTTP filter. Contact your ISA Server administrator (12217)
Monigoring işleminde aşağıdaki uyarı görülebilir.
12217 The request was denied by the HTTP filter. Contact your ISA server administrator
- http konfigrasyonunu tekrar gözden geçirin.
- Her tab içerisinde bulunan değerleri kayıt edin.
- Tüm değerleri kendi test sisteminizdeki değer ile karşılaştırın ve default değerlere getirin.
Eğer bu şekilde sorunla karşılaşmıyorsanız editlenmiş olan http configrasyonunu tekrar yapılandırmanız gerekmektedir. En iyi sonuç ise ISA üzerinden tracing’i inceleyin bu bölümde filterelenmiş veya yasak almış kuralları bulmanız gerekmektedir. Bu kurallara gerekli izinleri verirseniz problemi çözebilirsiniz.
“HTTP 502 Proxy Error – The ISA Server denies the specified Uniform Resource Locator (URL). (12202) Internet Security and Acceleration Server”
- Bu hata ile karşılaşıldığında öncelikle internal kullanıcıların SSL kullanmadan OWA’ya erişip erişemediğini kontrol edin.
- Web publishing rule bridging tabında “Redirect requests to SSL port” işaretli olmadığını doğrulayın.
- Web publishing rule’un FQDN adı yerine IP adresi ile yönlendirilip yönlendirilmediğini doğrulayın.
- Çözümlenen ismin hostname ile sertifika içerisinde gördüğünüz ismin aynı olduğunu doğrulayın.
http://support.microsoft.com/default.aspx?scid=KB;EN-US;831140 http://support.microsoft.com/default.aspx?scid=KB;EN-US;295089
ISA Sever Kurulumunda karşılaşabileceğiniz problemler!
ISA Server kurulumunda en çok karşılaşılan problemler:
- ISA server templateleri ve izinler
- Farklı bir uygulamanın sistem içerisinde çalışır durumda olması
- ISA server’a ait olan eski bir versiyonun sistemde bulunması veya kaldırılmış olsa dahi bazı dosyalarının halen sistem içerisinde olması.
- Çözüm adımlarında ise en iyi yöntem tabi ki Logların incelenmesidir. http://support.microsoft.com/default.aspx?scid=kb;en-us;837347
ISA server MSI(Microsoft Installer) kullanmaktadır bu sayede setup logları ayrıntılı şekilde sistem içerisinde yer alır.
Windows Installer Error message ve error kodları %windir%\temp altondan ulaşılabilir.
- ISAWRAP_XXX.log – Wrapper log file
- ISAFWSV_XXX.log – MSI log file
- ISAMSDE_XXX.log – MSDE log file
Enterprise Edition için tutulan aynı alandaki log dosyaları ise;
- ISAFWUI_XXX.log – MSI log file (UI sequence)
- ISAADAM_INSTALL_XXX.log – ADAM install log file
- ISAADAM_UNINSTALL_XXX.log – ADAM uninstall log file
- ISAADAM_IMPORTSCHEMA_XXX.log – Ldifde.exe log file
- ISAADAM_IMPORTSCHEMAERR _XXX.log – Ldifde.exe error log file
Setup failed while registering Wspadmin.dll
Setup failed while registering Wspadmin.dll Details: The function My_LoadLibrary failed at the function Registrator::RegisterComControl
Bu hata iletisi sistem içerisinde ISA Server’ın farklı veya eski bir versiyonu bulunmaktadır veya eski versiyon tam olarak sistemden kaldırılmamıştır. Eski versiyona ait olan bilgileri kaldırmak için:
Program files içerisinde ki Microsoft ISA Server klasörünü silin.
System32 altında aşağıdaki dll dosyalarını silin.
| Cachctrs.h | Mspui.dll |
| Cachctrs.ini | Pfctrs.h |
| Latui.dll | Pfctrs.ini |
| Mspapi.dll | Ratlib.dll |
| Msfpc.dll | Msfpcstg.dll |
| Msfpcui.dll | W3papi.dll |
| Msphlpr.dll | W3pctrs.h |
| Msplog.dll | W3pctrs.ini |
| Mspmon.dll | W3pmib.dll |
| Mspmsg.dll | Wspapi.dll |
| Mspsec.dll |
Firewall Servisi başlatılırken hata ile karşılaşıyorsunuz!
Cannot load an application filter Web Proxy Filter ({4CB7513E-220E-4C20-815A-B67BAA295FF4}). FilterInit failed with code 0x80072afc. To attempt to activate this application filter again, stop and restart the Firewall service.
Bu problem DNS ile ilgili bir hata iletisidir. Problemi DNS server üzerinde ISA için açılmış olan kaydı düzenleyerek çözebilirsiniz.
Array Memeber’ın Configration Storage Server’a erişemiyor!
Array Memeber Configration Storage Server’a rişmek için izni olmayabilir.
Log dosyalarını kontrol ederek array memeberîn confgration Stroge Server’a erişim izni olup olmadığını doğrulayın. Eğer izni bloklanmış olarak görünüyorsa aşağıdaki adımları uygulayın.
- Configration Storage servera erişim için bir kural oluşturun.
Eğer yeni bir konfigrasyon yayınlıyorsanız.
Firewall Servisini durdurun
- ISA management konsol altında arrays >> monitoring >> Services >> sağ click Microsoft Firewall stop seçeneğini seçin.
- fwengmon.exe (http://go.microsoft.com/fwlink/?LinkId=46024 ) dosyasını download edin ve komut satırında
fwengmon.exe /a ip adres (Configration Storage Server’ın ip adresi)
Array için configrasyonun güncellenip güncellenmediğini kontrol edin.
ISA managment altında
- Arrays >> Monitoring >> configration tab >> status sekmesi altında “Synced” olarak yapılandırıldığını doğrulayın.
Bu adımların sonrasında tekrar firewall servisini başlatın.
Genel anlamda makalenin temelinde sık olarak karşılaşılabilecek problemlerden bahsetmeye çalıştım. Bir çoğunda çözüm adımları görebilirsiniz. Bazı durumlarda ise sorunun nereden kaynaklanabileceğine dair ve bunların tespit edilmesi ile ilgili bilgi vermeye çalıştım. Bu konu ile ilgili sorularınızı mshowto.org/forum sayfasından yönlendirebilirsiniz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
–
