2008-1-9 13:52
cayman811
通过VPN接入的客户,不能访问ASA数据库的奇怪问题(涉及网络的问题)
故障现象是这样的:
现通过ISA2004部署了台vpn服务器,此服务器通过adsl(动态IP)连接互联网,
网卡192.168.0.15,192.168.0.x就是内部网段。
同时此服务器上运行了ASA数据库,以及WINS服务器。
vpn拨入的地址范围为指定192.168.10.x网段。
现在遇到这个问题,就是VPN客户连接上后,访问内部和本机的策略我都配置好,如CIFS
、PING等大部分协议都允许访问ISA主机,同时开放了TCP2638(ASA数据库的通讯端口)。问题就是在,当ISA主机重新开机启动好,并启动ASA数据库,连通ADSL后,VPN客户拨接上来了,这时候VPN客户端通过应用程序使用ASA数据库的时候,死活连接不上数据库,我监测日志也没有发现问题,该允许的都允许了,但是就是连接不上数据库, 然而在不做任何改变的情况下,包括VPN客户也不需要断开的情况下,只需要将ASA数据库重新启动一次,VPN客户端的应用软件就能正常连接数据库了。
其实此故障只要大家有使用windows 2000 server内置的VPN服务器,并将ASA数据库运行在此服务器上的朋友也会遇到此问题,就是如果数据库的启动时间早于VPN连接进服务器的时间,那VPN的客户也连接不上此数据库,一定要有VPN连接成功之后,再启动数据库,VPN的客户才能访问到ASA数据库,而且这种成功一直可以持续到服务器下次启动之前,也就是说就算ADSL断开重连过,VPN客户连接断开都会成功连接数据库。就是“第一次”不行。不过后来通过找资料,发现ASA数据库不是靠ip地址来找服务,而是靠netbios的方式来先找服务器的机器名来找asa 服务,后来我通过在windows 2000 server上建立wins服务器的方法,使VPN客户使用这个wins服务器,顺利解决了此问题。以后就不需要等VPN客户端拨上来之后重启ASA的问题了。
现在我想把此解决办法搬到通过ISA2004建立的VPN网络上来,结果就算VPN客户使用了 WINS服务器也不能解决此问题。
希望大家知道的,指点指点!!
故障现象是这样的:
现通过ISA2004部署了台vpn服务器,此服务器通过adsl(动态IP)连接互联网,
网卡192.168.0.15,192.168.0.x就是内部网段。
同时此服务器上运行了ASA数据库,以及WINS服务器。
vpn拨入的地址范围为指定192.168.10.x网段。
现在遇到这个问题,就是VPN客户连接上后,访问内部和本机的策略我都配置好,如CIFS
、PING等大部分协议都允许访问ISA主机,同时开放了TCP2638(ASA数据库的通讯端口)。问题就是在,当ISA主机重新开机启动好,并启动ASA数据库,连通ADSL后,VPN客户拨接上来了,这时候VPN客户端通过应用程序使用ASA数据库的时候,死活连接不上数据库,我监测日志也没有发现问题,该允许的都允许了,但是就是连接不上数据库, 然而在不做任何改变的情况下,包括VPN客户也不需要断开的情况下,只需要将ASA数据库重新启动一次,VPN客户端的应用软件就能正常连接数据库了。
其实此故障只要大家有使用windows 2000 server内置的VPN服务器,并将ASA数据库运行在此服务器上的朋友也会遇到此问题,就是如果数据库的启动时间早于VPN连接进服务器的时间,那VPN的客户也连接不上此数据库,一定要有VPN连接成功之后,再启动数据库,VPN的客户才能访问到ASA数据库,而且这种成功一直可以持续到服务器下次启动之前,也就是说就算ADSL断开重连过,VPN客户连接断开都会成功连接数据库。就是“第一次”不行。不过后来通过找资料,发现ASA数据库不是靠ip地址来找服务,而是靠netbios的方式来先找服务器的机器名来找asa 服务,后来我通过在windows 2000 server上建立wins服务器的方法,使VPN客户使用这个wins服务器,顺利解决了此问题。以后就不需要等VPN客户端拨上来之后重启ASA的问题了。
现在我想把此解决办法搬到通过ISA2004建立的VPN网络上来,结果就算VPN客户使用了 WINS服务器也不能解决此问题。
希望大家知道的,指点指点!!
2008-1-9 13:54
jianghuilei
VPN一般都会放行广播包,但你自己配置的isa就说不定,先用抓包工具确任广播地址能穿过你的isa,因为asa在网上查找数据库时是以广播包发出,当相应的数据库接收到查询包时,返回一个信息,这样客户端才会连接数据库。广播包过滤的话那是不可能连接成功的。
2008-1-9 13:54
jianghuilei
我以前用asa7.0时,遇到到类似问题:
操作环境使用的是xp,使用delphi中ado的事务和批更新将数据添加至数据库。当数据添加出错退回事务时,此时客户端甚至服务器本机无论如何不能连接数据,必须重新启动dbsrv7,有时甚至需要多次启动方可联上数据库。而且下次启动服务器时,第一次启动dbsrv始终连不上数据库。
还有就是如果有某个客户端连接时间超过48小时时,会出现所有客户端不能连接数据库的现象。
但是换成win2000/2003故障消失,将数据库升级到8.0故障也消失。
虽然asa有时有点令人不放心的感觉,但我对它还是很满意的:
1、发布简单,服务器和客户端都不需要安装sqlanywhere,只需要拷贝几dll和exe文件,特别适合制作绿色免安装软件;
2、虽然小,但功能不亚于sql server,有很多函数、系统存贮过程、触发器,而且sybase非常重视中国市场,中文资料丰富。
3、当并发连接少于200个时,性能还是不错的。
操作环境使用的是xp,使用delphi中ado的事务和批更新将数据添加至数据库。当数据添加出错退回事务时,此时客户端甚至服务器本机无论如何不能连接数据,必须重新启动dbsrv7,有时甚至需要多次启动方可联上数据库。而且下次启动服务器时,第一次启动dbsrv始终连不上数据库。
还有就是如果有某个客户端连接时间超过48小时时,会出现所有客户端不能连接数据库的现象。
但是换成win2000/2003故障消失,将数据库升级到8.0故障也消失。
虽然asa有时有点令人不放心的感觉,但我对它还是很满意的:
1、发布简单,服务器和客户端都不需要安装sqlanywhere,只需要拷贝几dll和exe文件,特别适合制作绿色免安装软件;
2、虽然小,但功能不亚于sql server,有很多函数、系统存贮过程、触发器,而且sybase非常重视中国市场,中文资料丰富。
3、当并发连接少于200个时,性能还是不错的。
2008-1-9 13:54
jianghuilei
sas默认是通过broadcat的方式来发送和接收数据包的,可以通过禁止这一方式,直接用TCPIP寻址的方式,即可以按以下步骤偿试:
1.确认sas的TCP/udp端口号有没有改变,因为默认情况下,sas使用的是2638端口,但在许多环境下,可能会改变这一默认端口号,比如,我的端口号就已经改为49152;
2.限定broadcast,7.0中在客户端用DOBROADCAST=NO,可以阻止广播包方式传输。
3.VPN的方式,也关注!
1.确认sas的TCP/udp端口号有没有改变,因为默认情况下,sas使用的是2638端口,但在许多环境下,可能会改变这一默认端口号,比如,我的端口号就已经改为49152;
2.限定broadcast,7.0中在客户端用DOBROADCAST=NO,可以阻止广播包方式传输。
3.VPN的方式,也关注!
页: [1]
Powered by ITPUB论坛