Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть II)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (10-03-2007 19:04): Следующая часть этой темы - http://forum.ru-board.com/topic.cgi?forum=8&topic=20506#1  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100

   

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
<<< Предыдущая часть этой темы

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
    продолжение шапки..
    • Всего записей: 11862 | Зарегистр. 05-06-2002 | Отправлено: 16:31 28-02-2006 | Исправлено: emx, 21:45 10-03-2007
    andreshirshov4



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted

    Цитата:
    для external нельзя такое сделать...  

     
    Несколько месяцев назад стояла 2000-я ИСА и все как-то работало! Определенные компьютеры "со стороны"  авторизировались и пускались в инет!  
    Понятно что у 2004-й другой подход к своим Сетям, но неужели без аппаратной модификации мою проблему не решить? ((
    Всего записей: 20 | Зарегистр. 18-01-2006 | Отправлено: 17:05 12-04-2006
    AlexRNeos



    Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Поискал на сайте - похожего не встретил.
    Помогите с ВПН, ситуация следующая:
    Есть шлюз на нем ISA 2000, есть локалка. Так же есть второй шлюз на ISA 2004. Соеденины они между собой ISA 2000 и ISA 2004 напрямую (т.е. просто витухой).
    Так вот, по правилам клиентам из сети "ISA 2000" разрешен выход на "ISA 2004" по VPN (ЗЗЕЗ) из "ISA 2004" на "ISA 2000" запрещен.
    Проблема следующая - клиент из сети "ISA 2000" по VPN подключаеться к "ISA 2004" без проблем. И все бы ничего, но интернет (т.е. сайты на это время перестаються открываться) чем это можно исправить?
    Всего записей: 207 | Зарегистр. 08-02-2006 | Отправлено: 21:05 12-04-2006
    IceFusion



    Full Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    На одной машине не работает FC, он установлен и настроен на ISA server, тес проходит, но в логах эта машина подключается как SecureNAT клиент.... что за фигня?
    Всего записей: 588 | Зарегистр. 29-10-2005 | Отправлено: 16:31 13-04-2006
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IceFusion
    то что он как securenat подключается это не значит что на нем fwc не работает.andreshirshov4
    ты погляди в свойствах сети external, там даже нет вкладки с настройками web proxy и т.п.
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:59 13-04-2006
    greenfox



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IceFusion
    при установки FWC на клиенте он по мимо fwc-сессии всегда сосдаёт ещё и snat-сессию с исой.

    ----------
    Три вещи вечны: смерть, налоги и потеря данных...
    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:37 13-04-2006
    IceFusion



    Full Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    hardhearted
    greenfox
    Дело в том, что он через FC не соединяется, хотя FC настроен на ISA и соответсвтенно не передает даныые об учетной записии, вот как!!! Что делать? В логах с этого компа только SecureNAT сессии а FC нету....
    Всего записей: 588 | Зарегистр. 29-10-2005 | Отправлено: 08:44 14-04-2006
    kaskad



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    MeGaBrAiN

    Цитата:
    kaskad  
    IceFusion  
    господа! вы в заблуждение вводите народ..  
     
    1) какие еще локал хосты в разрешениях на выход?  
    правило должно быть оформлено как Internal - External.. доступ к хосту исы нужен тока админам.. и то оно и так будет доступно если админская машина про менеджменте прописана..  
     
    2) у исы есть определенная система анализа правил  
        1. Анонимусы - запрет  
        2. Анонинусы - доступ  
        3. Авторизованные - запрет  
        4. Авторизованные - доступ  
     
    3) Если нужно открыть аську и тд авторизованным только то  
     
       1. Создаем запрещающее правило для аськи и тд для анонимусов ИСКЛЮЧАЯ авторизованных  
       2. Создаем разрешающее правило для авторизованных на доступ..  
     
    4) если нужно чтобы небыло http у неавторизованных (тобишь SecureNat)  
      создаем запрещающее правило для HTTP/HTTPS для всех исключая авторизованных  
     
    ну а дальше надо обязать всех авторизироваться каким либо заданным методом...

    А где эти самые анонимоусы? Ты имеешь ввиду шаблон по-умолчанию All Users?  
    Всего записей: 2307 | Зарегистр. 10-10-2002 | Отправлено: 18:50 14-04-2006
    Ernie

    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Стоит шлюз Win2k3 SP1, ISA 2k4 SP2, TQuota 2 beta 1, настроен Site-2-Site PPTP VPN.
    Комп периодически (раз в два-три дня) пишет в Event Log ошибки:
    333

    Код:
     
    Event Type:    Error
    Event Source:    Application Popup
    Event Category:    None
    Event ID:    333
    Date:        14.04.2006
    Time:        10:59:38
    User:        N/A
    Computer:    *****
    Description:
    An I/O operation initiated by the Registry failed unrecoverably. The Registry could not read in, or write out, or flush, one of the files that contain the system's image of the Registry.
     
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Data:
    0000: 00 00 00 00 01 00 6c 00   ......l.
    0008: 00 00 00 00 4d 01 00 c0   ....M..&#192;
    0010: 00 00 00 00 4d 01 00 c0   ....M..&#192;
    0018: 00 00 00 00 00 00 00 00   ........
    0020: 00 00 00 00 00 00 00 00   ........
     

     
    2020

    Код:
     
    Event Type:    Error
    Event Source:    Srv
    Event Category:    None
    Event ID:    2020
    Date:        14.04.2006
    Time:        11:12:43
    User:        N/A
    Computer:*****
    Description:
    The server was unable to allocate from the system paged pool because the pool was empty.
     
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Data:
    0000: 00 00 04 00 01 00 54 00   ......T.
    0008: 00 00 00 00 e4 07 00 c0   ....&#228;..&#192;
    0010: 00 00 00 00 9a 00 00 c0   ....&#154;..&#192;
    0018: 00 00 00 00 00 00 00 00   ........
    0020: 00 00 00 00 00 00 00 00   ........
    0028: 07 00 00 00               ....    
     

    И после этого сервер не отвечает на запросы. Помогает только Hard RESET!!!
    Всё уже перерыл и перепробывал, так и не нашел решения.
    Может кто сталкивался?!!
    Всего записей: 126 | Зарегистр. 01-02-2003 | Отправлено: 23:08 14-04-2006 | Исправлено: Ernie, 23:11 14-04-2006
    Xless



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted

    Цитата:
    подскажите, как заставить клиента firewall не изменять настройки IE


    Цитата:
    в настройках самих клиентов у юзеров убрать галку на вкладке web browser

    у тебя это работает?
     
    у меня при установленном клиенте firewall в IE устанавливаются настройки на ISA сервер (при установленных галочках в клиенте и сервере) или сбрасываются все настройки (при отсутствующих галочках). Но в последнем случае IE опять выходит в инет через ISA сервер, так он прописан на клиентах как DG.
     
    задача: настроить IE на альтернативный прокси, не изменяя других настроек ОС.
    Всего записей: 234 | Зарегистр. 07-02-2005 | Отправлено: 12:37 15-04-2006
    wea



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IceFusion
    а какой антивирь используешь ?
    не NOD32 случайно ?
    У меня не работал клиент из за включенного модуля IMON
    Всего записей: 356 | Зарегистр. 03-09-2004 | Отправлено: 13:47 15-04-2006 | Исправлено: wea, 13:51 15-04-2006
    IceFusion



    Full Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Использую именно NOD Спасибки я бы ни в жизь не догадался
    Всего записей: 588 | Зарегистр. 29-10-2005 | Отправлено: 11:14 17-04-2006
    kaskad



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    All
    В свете всех тех бредней, которыя я наспрашивал выше, ну просто огромная просьба объяснить, как кто считает правильным создавать правила для ИСЫ. Вот у меня, например, создаются тупо они:  
    Allow From Internal to External For Inet Users (в эту группу запихиваю всех из АД, кому мона в инет ходить.) protocols HTTP, HTTPS, ICQ, ICQ2000. Минусы такого правила в том, что, почему-то проходят в нет неавторизованные усеры, всмысле запросы. ISA в отчётах пишет нечто типа kaskad (?), т.е. вроде я потратил, но не уверена иса совсем блин.  
    Чуть выше уважаемый MeGaBrAiN предложил плясать от обратного. Но не до конца понятна формулировка "запретить анонимоусов". Как их запретить? Сет какой-то там есть? Или чек-боксик какой в настройках бякнуть надо бы?
    Всего записей: 2307 | Зарегистр. 10-10-2002 | Отправлено: 11:29 17-04-2006
    SunStroke

    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    У меня так сделано:
    1. Правило, разрешающее любой траффик в локалке
    2. Правила запрещающие разные виды контента и сайты
    3. Правила, разрешающие инет и почту (Internal to External) для юзеров из группы Internet Users
     
    Чтобы запретить анонимусов:
    ISA -> Configuration -> Networks -> Internal Properties -> Web Proxy -> Autentication -> галка Require All Users to Autenticate
     
    Ну и FC на всех машинах
    Всего записей: 127 | Зарегистр. 26-09-2002 | Отправлено: 12:48 17-04-2006
    MrKiT

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    есть насущный вопрос: как мониторить FTP соединения? ISA 2004. GFI WebMonitor показывает только HTTP.
    Всего записей: 211 | Зарегистр. 15-04-2006 | Отправлено: 13:45 17-04-2006
    wea



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IceFusion
    ну вот
    кстати я сделал так - удалил НОД, поставил клиента, потом поставил НОД(но с выключенным IMON) и запустил IMON вручную... соответственно пашет теперь и то и другое.
    Всего записей: 356 | Зарегистр. 03-09-2004 | Отправлено: 16:09 17-04-2006
    Ducky



    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Доброе всем.
    Проблема с VPN-сервером.
    Isa 2004 standart  
    сервер windows 2003 sp1
     
    настроено VPN соединение с провайдером спутникового интернета. Работает замечательно. Но, при включении VPN-сервера на исе перестает раздаваться интернет через спутник для клиентов локалки...
    vpn-маршрут в таблице маршрутизации пропадает.
    если наоборот-вначале включаем vpn-сервер, а потом устанавлиаем соединение до провайдера, маршрут в таблице маршрутизации добавляется, а инет клиентам не раздается
     
    Подскажите направление плиз...
     
     
     
    Всего записей: 89 | Зарегистр. 23-04-2003 | Отправлено: 08:33 18-04-2006
    kaskad



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    SunStroke
    А ИСА не понимает что ли доменной авторизации? При авторизации в домене чтобы усера пускала. Чтоб винды сами ей енту инфу посылали, такого невозможно сделать?
    Всего записей: 2307 | Зарегистр. 10-10-2002 | Отправлено: 13:57 18-04-2006
    SunStroke

    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    А ИСА не понимает что ли доменной авторизации

    Это почему это. Ставишь группу пользователей All Authenticated Users. Если сетка с доменом и юзеры авторизуются через AD, то эта группа и будет обозначать всех пользователей AD, которые авторизовались в сетке.
    У меня сделана группа Internet Users, так как не всем пользователям локалки (то бишь AD) разрешен Internet.
    Всего записей: 127 | Зарегистр. 26-09-2002 | Отправлено: 14:14 18-04-2006
    kaskad



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    SunStroke
    Ну вот у меня при таких раскладах и происходит какой-то там корявый подсчёт трафика. Появляются всякие там анонимоусы, которые хз сколько трафика схавали. И юзвери (?). Правда, ещё твой метод попробовать не успел.
    Всего записей: 2307 | Зарегистр. 10-10-2002 | Отправлено: 17:02 18-04-2006
    angelweb



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    kaskad
     
    Как вариант:
     
    можно использовать IAM ... каждому ip сопоставить имя , разбить всё это на группы.
     
     
     


    ----------
    Первое правило Windows - делай резервную копию ©.
    CISCO на РУССКОМ
    Всего записей: 687 | Зарегистр. 09-12-2004 | Отправлено: 17:21 18-04-2006
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть II)
    emx (10-03-2007 19:04): Следующая часть этой темы - http://forum.ru-board.com/topic.cgi?forum=8&topic=20506#1


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru