Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
<<< Предыдущая часть этой темы

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
    продолжение шапки..
    • Всего записей: 11866 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007
    timsson



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alex_H_aka_RAT
    да есть у меня этот фильтр но глака нигде не стоит,,,!!!точно тебе говорю
    Всего записей: 365 | Зарегистр. 19-07-2006 | Отправлено: 12:02 11-10-2007
    Antdik



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Небольшая предистория. В силу некоторых обстоятельств человеку необходимо работать из дома. Руководство ПРИКАЗАЛО выделить комп установить ISA2006, VPN Site-to-Site. Сделали. подключили чела к нету, у прова взяли статический IP. Создали соединение. В итоге в офисе на исе получили:
     
    Description: ISA Server detected routes through the network adapter Internet that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 169.254.12.224-169.254.12.224;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
     
    The routing table for the network adapter Branch includes IP address ranges that are not defined in the array-level network Branch, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
    The following IP address ranges will be dropped as spoofed:
    External:169.254.12.224-169.254.12.224;
     
    Возникает вопрос откуда эта сеть 169.254.Х.Х (адрес динамический) Причем из нета комп пингуется как login IP (login имя при регистрации у прова)
    Я так понимаю это заморочки у прова. Но куда копать подскажите плиз. ОЧЕНЬ нужно настроить.
    Всего записей: 96 | Зарегистр. 11-01-2006 | Отправлено: 12:35 11-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Antdik
    по моему все кто когда либо ставил винду должны знать что 169.254. это адреса из APIPA, раздаются тогда когда комп настроен получать адрес автоматом, а ничего раздающего адреса в сети нет (то есть dhcp) итогда комп сам себе берет адрес из этого диапазона. так что настрой просто сетевуху у этого компа на нормальный адрес и все
    инетресно а зачем для одного человека site-to-site? для этих целей существуют vpn клиенты
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 12:56 11-10-2007
    Antdik



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    В том то и дело что сетевые карты настроены нормально
    Одна смотрит в нет у нее прямой IP , другая во внутреннюю сетку 192.168.20.1
    По поводу

    Цитата:
    для одного человека site-to-site?

    ничего сказать не могу, т.к. эта ситуация не у меня -друг просил помочь и сказал,что приказы не обсуждаются, а выполняются
     
    Может я не совсем правильно выразился.  В офисе и в домашней сетке все адреса статические
     
    Добавлено:
    Уточнил конфигурацию
    Офис - Domen2003, DNS, DHCP, Win2003-ISA2006ST (не DC)
    Сетевая internet
    IP 195.68.XXX.XXX
    маска 255.255.255.248
    шлюз 195.68.XXX.XXX
     
    Сетевая internal
    IP 192.168.20.101
    маска 255.255.255.0
    шлюз  
     
    Дом Win2003-ISA2006ST
    Сетевая internet
    IP 212.44.XXX.XXX
    маска 255.255.255.192
    шлюз 212.44.XXX.XXX
     
    Сетевая internal
    IP 192.168.21.1
    маска 255.255.255.0
     

    Цитата:
    169.254. это адреса из APIPA, раздаются тогда когда комп настроен получать адрес автоматом, а ничего раздающего адреса в сети нет

    Это понятно, но когда нет автомата откуда возникают эти адреса вот в чем вопрос
    Всего записей: 96 | Зарегистр. 11-01-2006 | Отправлено: 13:45 11-10-2007 | Исправлено: Antdik, 13:59 11-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Antdik
    а написать ipconfig /all и выяснить где этот адрес не дано?
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:45 11-10-2007
    Antdik



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    К сожалению нет сеть не моя, а чела нет на работе. Только вечером
    Всего записей: 96 | Зарегистр. 11-01-2006 | Отправлено: 14:49 11-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Antdik
    и какие кстати адреса у впн интерфейсов?
     
    Добавлено:
    кстати такие мессаги (что в них и написано) часто появляются тока один раз на стадии настройки
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:50 11-10-2007
    se111



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Antdik
    отключи защиту ip фрагментов на обоих иса серверах.
    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 14:56 11-10-2007
    UnstableOne

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Посоветуйте какую-нибудь надстройку к ISA, чтобы смотреть в реальном времени http-соединения пользователей. Родной механизм самой ИСЫ как-то не слишком удобен. GFI web-monitor тоже не понравился. Что ещё есть?
    Всего записей: 43 | Зарегистр. 15-11-2006 | Отправлено: 14:56 11-10-2007
    poofik



    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Добрый день, проблема вот в чём,  
    ISA находится за железным роутером, на нём проброшен 21 порт на ИСУ  
    на неё запрос приходит, но правило публикации не работает, так как ISA считает запрос outbound, а не inbound  
     Не могу понять в чём дело, и как правильно создать публикациб тогда???  
     Помогите разобраться, от себя могу сказать что сталкивался при такой конфигурации с такой же прблемой на ISA 2006 при публикации SMTP  
    Спасибо!

     
    Не ужели ни кто ни знает (хотя бы предположить)?..
    Всего записей: 111 | Зарегистр. 23-08-2006 | Отправлено: 16:29 11-10-2007
    desad79

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Есть ИСА2006Std на Win2003ENTR2, домен. Все работает. Захотел сделать блокировку расширений и тут появилась затыка. Настраиваю HTTP-политику на запрет расширений и слова banner в url. Проверяю - если в браузере прописан прокси(то бишь web-proxy клиенты), то все блокируется. Если убираем прокси(то есть идем через fwc) - нифига не блокируется. Шлюз на клиентах не прописан.  К протоколу http прицеплен web proxy filter. Опытным путем выяснил, что вообще ничего из политики HTTP не применяется к фаервол-клиентам. Правила, ограничения по content-type работают правильно для всех клиентов. Была мысль, что так и должно быть, но нет - во всех руководствах написано, что политики HTTP применяются ко ВСЕМ клиентам. Помогите разобраться. Может, ктонить проверит у себя, работает ли?
     
    PS Смотрел логи, в случае с веб-прокси клиента иса дает denied по моему правилу для http, а в случае fwc allowed по default rule. Больше отличий в логах никаких. Авторизация работает в обоих случаях.

     
    Никто не поможет?
    Всего записей: 108 | Зарегистр. 13-04-2007 | Отправлено: 17:02 11-10-2007
    se111



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    UnstableOne
    http://www.bsplitter.com/rus/
     
    poofik
    тебе нужен ftp?  
    ты не забыл, что порт 20 в случае если не используется пассивный режим
    используется сервером для установления канала(передачи данных)?
     
    desad79
    попробуй сделать правило и применить его для пользователей а не для компьютеров, убедись что в файле Application.ini есть параметр ForceCredentials=1
     
     
    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 18:10 11-10-2007 | Исправлено: se111, 18:10 11-10-2007
    desad79

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    desad79
    попробуй сделать правило и применить его для пользователей а не для компьютеров, убедись что в файле Application.ini есть параметр ForceCredentials=1  

    У меня и так все правила для юзеров из ad. Все они отрабатываются отлично. А где этот Application.ini? Странно, первый раз слышу. У тебя ISA 2006? Можешь у себя проверить? Может в 2006 это исправили,  ведь по логике web proxy filter и должен применяться только к web proxy клиентам. Однако в 2004 он применялся ко всем клиентам, если был прицеплен к HTTP протоколу.
    Всего записей: 108 | Зарегистр. 13-04-2007 | Отправлено: 08:00 12-10-2007
    se111



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    desad79
    \Documents and Settings\user_name\Local Settings\Application Data\Microsoft\Firewall Client 2004
    здесь.
     
    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 08:06 12-10-2007
    desad79

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    se111
    Странно, у меня там только common.ini и management.ini.
     
    Добавлено:
    Вот, нашел у микрософта:
    Web Proxy Filter in ISA Server 2006 works at the application level on behalf of clients residing in networks protected by ISA Server that request HTTP and HTTPS objects. Such Web requests benefit from application-layer inspection and caching, and may be from a number of sources:
    •    
     
    Requests from Web Proxy clients. Web requests (HTTP, HTTPS, or FTP for downloads) from Web Proxy clients that specify ISA Server as a proxy server in browser settings are passed directly to Web Proxy Filter.
    •    
     
    Requests from SecureNAT or Firewall clients not configured as Web Proxy clients. By default, HTTP is bound to Web Proxy Filter. With this setting in place, Web requests from clients that are not Web Proxy clients are passed transparently from the Firewall service to Web Proxy Filter for handling. This is known as transparent NAT. Applying NAT substitutes a global IP address that is valid on the Internet for the internal IP address of the client request, thus protecting internal addresses.
     
    Только все равно непонятно написано  - Web requests from clients that are not Web Proxy clients are passed transparently from the Firewall service to Web Proxy Filter for handling.
    for handling - это что значит?
    Всего записей: 108 | Зарегистр. 13-04-2007 | Отправлено: 09:02 12-10-2007
    FaustOVO



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здраствуй all
    Возникло понимание что конфиги у меня кривые и в связи с этим задался вопрос
     
    есть
     
    сеть 192.168.0.0/255.255.254.0  
     
    удаленные подсети скроссированные через чужую циску и у меня есть только возможность посылать на шлюз 192.168.1.254 со стороны сети и 192.168.nn.254 со стороны подсетию на циске отключена широковещалка
    192.168.8.0/24  
    192.168.16.0/24
    и другие
     
    стоит сервер ISA 192.168.0.2 в него воткнут интернет
     
    на всех клиентах шлюз по умолчанию 192.168.0.2
     
    -----
    что сделано на ISA средствами маршрутизации стоят роуты на все подсети с шлюзом 192.168.1.254 все прочее идет через инет
    на самом ISAсредствами ISA в нетворках в интернал занесены подсети
    в нетворк рулесах  
    localhost - allnetwork - route
    internal - external - NAT
    ---
    ISA ругается
    "Description: ISA Server detected routes through adapter LAN that do not correlate with the network element to which this adapter belongs. For best practice, the address range of an array-level network element should match the address ranges routable through its network adapters as defined in the routing table. Otherwise valid packets may be dropped as spoofed. (This alert may occur momentarily when you create a remote site network or configure Network Load Balancing.  You may safely ignore this message if it does not reoccur.)  
    The following ranges are in the network's IP address range but are missing from the routing table: 192.168.8.0-192.168.8.255,192.168.10.0-192.168.14.255,192.168.16.0-192.168.17.255,192.168.21.0-192.168.23.255;.
     
    The routing table for network adapter EXTERNAL includes IP address ranges that are not defined in the array network External to which it is bound. As a result, when packets go in/out via this network adapter and they are from/sent to the IP address ranges listed below they will be considered spoofed and will be dropped. To resolve this issue, add the missing IP address ranges to the array network.  
    The following IP address ranges will be dropped as spoofed:
    Internal:192.168.8.0-192.168.8.255,192.168.10.0-192.168.14.255,192.168.16.0-192.168.17.255,192.168.21.0-192.168.23.255;"
     
    ---
    Может кто объяснить что не так?
    Всего записей: 306 | Зарегистр. 10-01-2007 | Отправлено: 13:21 12-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FaustOVO
    у тебя скорее всего банальное непонимание исы )
    и надо все таки попонятнее писать, что у тебя прописано в networks, что в internal а что в других network если они создавались
    относительно исы циска cтоит в internal?
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:21 12-10-2007
    FaustOVO



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted

    Цитата:
     тебя скорее всего банальное непонимание исы )  
    и надо все таки попонятнее писать, что у тебя прописано в networks, что в internal а что в других network если они создавались  
    относительно исы циска cтоит в internal

    видимо так оно и есть
    Нетворков только 2 интернал и экстернал в интернал добавлены все подсети, Относительно ИСЫ - циска интернал
    Всего записей: 306 | Зарегистр. 10-01-2007 | Отправлено: 01:23 14-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FaustOVO
    если циска стоит в интернал то все сети куда она роутит должны быть в интернал
    ну и конечно же на исе должны быть руками вбиты маршруты в эти сети через циску (к самой исе это не имеет отношения, роутингом всегда занималась винда). собственно тебе в ошибках об этом ясно и четко написано
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:47 15-10-2007
    FaustOVO



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Я вбил в роуты все пути, Вбил в интерпрайз нетворк адреса подсеток
    Но есть еще в аррэй нетворк туда тоже надо пихать или пихнуть туда только интерпрайз или вообще пусто оставить?
    Всего записей: 306 | Зарегистр. 10-01-2007 | Отправлено: 17:17 15-10-2007
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)
    emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2025

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru