Все началось достаточно неожиданно, в один прекрасный день у всех системных администраторов в нашей компании перестал работать Internet Explorer (в то время мы использовали версию 7.0). Сразу мы это не заметили, т.к. многие пользовались браузером Firefox и особо никто не расстроился, когда браузер перестал открывать странички, но профессиональный интерес взял свое и мы выделили один день на исследование данного вопроса. Результаты нас очень удивили.

Подробнее расскажу о проблеме:

  1. Есть ISA Server 2006 SP1 со всеми updates.
  2. Есть клиентские компьютеры под управлением Windows Vista SP2 x86, также со всеми updates
  3. Еще есть «недовольные» системные администраторы :) у которых не работает Internet Explorer.
    В данном случае не работает нужно понимать следующим образом: браузер прекрасно открывает сайты из внутренней сети предприятия и может просматривать страницы по https. При обращении к сайту по протоколу http в строке состояния появляется сообщение «Ожидание соединения с сервером…» и в таком состоянии браузер может находится часами.
  4. При отключении в настройках Internet Explorer хождение через Proxy и автоматическую настройку Internet Explorer начинал ходить как часы, но не без помощи ISA Firewall Client который тоже установлен на компьютере.
  5. При включении поддержки Proxyв Mozilla Firefox картина повторялась и для него.

proxy

После всего этого мы можем с уверенностью сказать, виноват в данной проблеме именно клиент Web Proxy и именно с авторизацией.

После изучения через WireShark процесса установления соединения через WebProxy выяснилось, что подвисание происходит на процессе проверки подлинности пользователя: ProxyServer запрашивает авторизацию, а клиент ее не отправляет должным образом и процесс зацикливается.

Проверив все правила и политики на ISA Server мы не выявили каких-либо проблем с авторизацией. Дальнейшее исследование показало, что данный феномен проявляется у любого пользователя включенного в спец. группу G Системные администраторы и только у них.

Пришлось лезть в Active Directory и внимательно изучать данную группу. Оказалось что члены этой группы имею достаточно широкие права и поэтому они являются членами множества групп. В этом и оказалась проблема!!!

Ниже я привел список ровно 50 групп членом которых является данный пользователь. При добавлении его в 51-ую группу WebProxy перестает работать.

Пользователь является членом следующих групп безопасности
---------------------------------------------------------
Пользователи домена
Все
Пользователи
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
Данная организация
ЛОКАЛЬНЫЕ
G SYSADM TEST
G 1С администратор
DL xxxx dfs modify
DL yyyy dfs modiy
DL zzzz dfs modify
DL qqqq dfs modify
DL hp2015-kadr prnsrv print
CERTSVC_DCOM_ACCESS
DL apteka prnsrv modify
DL snab prnsrv modify
DL connect dc modify
DL 1s-xxx dc modify
DL TS admin
DL hp2015-snab2 prnsrv print
DL 1s-yyy dc modify
DL 1s-zzz dc modify
DL 1s-www dc modify
DL 1s-qqq
DL Logs Directum write not delete
DL 1s-eee modify
DL 1s-rrr dc modify
DL Urist share modify
DL 1s-sss dc modify
dl soft avtograf modify
DL Auto share modify
DL sql-apteka dc modify
DL 1s-ttt dc modify
DL Spravka dfs modify
DL 1s-ggg dc modify
DL 1s-yyy
DL 1s-hhh dc modify
DL 1s-dev dfs modify
DL install tr modify
DL 1s-ccc dc modify
DL Sklad DFS modify
DL hp2015-snab prn print
DL 1s-nnn dc modify
DL 1s-mmm dc modify
DL 1s-uuu dc modify
DL Voditel Portal modify
DL 1s-jjj dc modify
DL Exchanger srv modify
Средний обязательный уровень

Это удивительно, но факт ISA Server’у абсолютно без разницы какие это группы доменно локальные, глобальные — главное количество. При привышении 50 штук WebProxy отказывается работать.

Хотел бы я написать решение и победоносно закончить статью, но к сожалению я так его и не нашел …

в качестве workaround могу предложить полностью отключить WebProxy и скрипты автоматического конфигурирования в свойствах внутренней сети. Нужно снять последние три галочки.

firewall_client

to be continued.