Régen szívtam már

Ma egy ISA2004 szervert kellett telepítenem távolról. Nincs ebben semmi különös, csináltam már párszor. Az oprendszert a kollégák már rárakták, nekem csak állítgatnom kellett, illetve a tűzfal szoftvert felugrasztanom. Hiába távolról érem el, a szoftver okos, telepítés során az IP címemet helyből berakja a Remote Administration Group-ba, így gond nélkül végig tudom nyomni a telepítést, sőt a konfigurálást is.

Most viszont valami szellem megzavarhatta a folyamatot – egyszercsak megszűnt az RDP kapcsolat a szerverrel. Olyannyira megszűnt, hogy nem is tudtam visszakapcsolódni. Nem öröm, de itt van az ILO, majd megnézzük, mi van. Semmi. Minden remekül működik a gépen, a telepítés lefutott, a tűzfal működik. Megnéztem, az IP címem bent volt a megfelelő csoportban. Csak éppen továbbra sem értem el a gépet. A távoli hozzáférés engedélyezve volt, szabály nem tiltotta az RDP-t.
Átnéztem az ISA network beállításait, a routing táblát, a hálókártyák IP beállításait – minden rendben volt.
Nosza, nézzük a logot. Igen, ott vigyorgott benne, hogy a szerver lepattintja a 3389-re küldött kéréseimet. Indoklásként csak ennyit mondott:
0xC0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED.

Google.

A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer.

Mivaan? Elolvastam néhányszor, de nem lettem okosabb.

Végül kínomban kipróbáltam, hogy felvettem a csoportba egy másik gépet, majd arról léptem be, terminál kliensből. És innen sikerült, vissza tudtam lépni az eredeti, telepítési sessionba. Ott pedig az ún. ‘Oké’ képernyő fogadott, az a képernyő, ahol az ember nyugtázza, hogy igen, megtörtént a telepítés.
Leokéztam.
Onnantól kezdve be tudtam lépni az eredeti gépemről is.

Hosszú percekig csak néztem magam elé bambán.

9 Comments

  1. csak a pontossag kedveert: “Remote Management Computers” a csoport neve. es hogy vizsgaltad meg mindezeket RDP nelkul?

  2. Ja, az. Csak már lusta voltam beterminálni a szerverre, hogy mi is pontosan a csoport neve.

    es hogy vizsgaltad meg mindezeket RDP nelkul?
    Mint írtam, ILO porton keresztül. A valódi kérdés nem is ez, hanem az, hogy mekkorát szívtam volna ILO nélkül?
    Ahhoz ugyanis, hogy megnyomjam azt az OK gombot, át kell tudnom vennem a sessiont – csakhogy nincs olyan távoli gép, amelyikről megtehetném. Ergo ki kell kocognom a szerverparkba, és belépni lokálisan. Aztán jönnek az újabb kérdések:
    – Át tudok-e venni konzolból távoli session-t?
    – Ha nem, akkor konzolról indítva az mstsc-t, be tudok-e lépni a localhostra?

  3. Izé, hülye vagyok. Belépek lokálisan, felveszem a Remote Management Computers csoportba az egész lant, aztán beterminálok valamelyik gépről.

  4. Valami félelmetes, hogy egy 40 éve kitalált valami mennyivel alkalmasabb erre, mint a windoze. UNIX-nak hívják :)))
    Windows és távoli menedzsment? Hát…

  5. Jozsi, mit adtal meg a telepites elejen Internal halonak? Benne volt a VPN-ed (az RDP-d) IP-je?

  6. Persze, benne volt. De nem VPN, bérelt vonal. (Egyébként azt mondtam neki, hogy csekkolja le a kártyát és a route táblát, aztán aszerint rakja össze az internal network-ot.)
    Ráadásul a másik gép, amelyikről bementem OK-t nyomni, ugyanabban az IP tartományban volt.

  7. a masik gep az OK, de szerintem itt van a gubi, mivel az automatizmus nem fogja neked berakni a megfelel address range-t egy kulso kapcsolat eseten. vagy mindegyik kartyara megkerted?

  8. Egyre kevésbé értem a kérdéseket.:-)

    Tehát: van két hálókártya, az egyik a külső, a másik a belső. Mielőtt felugrott volna az ISA, szépen felbővítettem a route táblát.
    Aztán amikor ki kellett jelölni a belső hálózatot, akkor külön leellenőriztem, hogy rendesen felvett-e mindent.

    Hogy egészen konkrét legyek: a 10.0.0.0-10.255.255.255 range egész konkrétan ott volt, én pedig a 10.x.x.195 IP-ről nyomultam. A másik gép, amelyről be tudtam lépni a 10.y.z.121 IP-ről jött.

    De írtam is az eredeti cikkben, hogy miután nyomtam neki egy OK-t, onnantól simán elértem a saját gépemről is. Mindenféle network állítgatás nélkül.

  9. igy mar tiszta, a viszonylag keves infobol ugy gondoltam h a berelt vonal miatt publikus IP-rol jossz. ti. en is beszivtam ezzel ugyanigy nemreg, egy nem Internal halobol erkezo IP-vel (es en mindig naon lekorlatozom az internal halo ip tartomanyat, mar a telepitesnel, kezzel).

Leave a Reply to gt Cancel reply

Your email address will not be published. Required fields are marked *

Discover more from MiVanVelem

Subscribe now to keep reading and get access to the full archive.

Continue reading