Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
<<< Предыдущая часть этой темы

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     

    продолжение шапки..

  • Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007
    jarod2007

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    странно, но в 2000 исе это работало... добавляешь пользователя в группу в AD - и иса это сразу просекает - и не дает ему интернета...
     
    да и в 2006 срабатывает это, если с правилами поиграться,- то перечитываются группы...

    Всего записей: 2 | Зарегистр. 26-01-2007 | Отправлено: 08:46 27-04-2007
    vicwanderer

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    В Офисе ВПН подключениям выделяются статические ипишники из диапазона 192.168.3.0-192.168.3.255
    В Филиале ВПН подключениям выделяются статические ипишники из диапазона 192.168.10.0-192.168.10.255
     
    Предыдущая ошибка была из Просмотр событий\Приложение. А вот что в Просмотр событий\Система
    Источник: RemoteAccess
    Код (ID): 20111
    Подключение по требованию к удаленному интерфейсу "Branch" через порт "VPN4-99" успешно инициировано, но не закончено, из-за ошибки: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.
     
    !!!Такое ощущение, что предварительный ключ для  L2TP-подключения имеет какой-то срок действия (например 30 дней) и этот срок закончился.!!!
     
    Примерно такие же ошибки и на шлюзе2
    Просмотр событий\Приложение
    Источник: Microsoft Firewall
    Код (ID): 14147
    ISA Server detected routes through the network adapter VPNRemoteOffice that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.3.255-192.168.3.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
    ---------------------------------------
    Источник: Microsoft Firewall
    Код (ID): 21255
    Remote gateway address < 192.168.113.22> specified for VPN site-to-site network <Main> cannot be resolved. As a result, a VPN connection cannot be established to the remote network. In addition, if the network used for the VPN connection from the remote server is enabled for NLB, VPN traffic may be picked up by the wrong array member, and not by the intended server.
    ---------------------------------------------
    Просмотр событий\Система
    Источник: Remote Access
    Код (ID): 20111
    Подключение по требованию к удаленному интерфейсу "Main" через порт "VPN4-100" успешно инициировано, но не закончено, из-за ошибки: Попытка L2TP-подключения не удалась, поскольку истекло время согласования режима безопасности.
     

    Всего записей: 545 | Зарегистр. 25-12-2005 | Отправлено: 09:43 27-04-2007
    Galliot

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Досталась "в наследство" ISA 2000.
    Пытаюсь хоть как-то прикрутить подсчет трафика (без использования сторонних модулей и софта). Мега точность не нужна. Эксперименты, естессно начинаю с себя любимого. И, самое удивительное, что меня-то она и не считает! Т.е. НЕТ моей истории HTTP ни в прокси ни в файрволл логах. Вот уже несколько дней ковыряю. Для чистоты даже переставлял свою систему - результата нет. Прекрасно определяются почта, аська и прочее не HTTP (содержимое файрволл лога). С других машин считает все корректно.
    Что есть:
    ISA 2000 (теперь уже SP2) на Win2003Std SP2
    мое рабочее место Win2003SP2. Установлен FWClient о ISA
    пользовался IE 6.0 и 7.0ю В его настройках указана прокси и соотв. порты.
    С этими настройками инет работает. без них - нет.
    Сеть - 1 домен. DHCP. у ISA статический адрес, у меня - динамический.
    В настройках исы в LAT все внутренние IP указаны корректно. В настройках HTTP redirector - redirect to local web proxy service. Галочка (...redirect to req. web server) не стоит. Стоит требование аутентификации для исходящих соединений.
    Для всех разрешающих правил указаны конкретные группы. Для всех запрещающих - any request.
     
    Я новичек в этой области. Может у кого есть идеи как с этим бороться?

    Всего записей: 2 | Зарегистр. 26-04-2007 | Отправлено: 10:20 27-04-2007 | Исправлено: Galliot, 10:24 27-04-2007
    rijk



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Galliot
    Можно по подробней куда идут логии в SQL или txt.  
    Может не стоять птичка “log requests this rule” на правиле, если у тебя личное правило для своей машины. Если в SQL то триггеры могут перехватывать.

    Всего записей: 361 | Зарегистр. 16-10-2006 | Отправлено: 15:18 27-04-2007
    Galliot

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    rijk
    Логи идут в SQL. Базу создавал лично - никаких триггеров там нет.
    Личных правил нет. Такой галки
    Цитата:
    “log requests this rule”
    нигде никогда не видел
     (ISA 2000).

    Всего записей: 2 | Зарегистр. 26-04-2007 | Отправлено: 15:29 27-04-2007
    HomoLogicus



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет народ.  
    Вопрос - как можно подменить User-Agent'a соединений пользователей средствами ISA 2006EE?

    Всего записей: 28 | Зарегистр. 12-07-2005 | Отправлено: 14:28 28-04-2007
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HomoLogicus
    можно попробовать через http filter на закладке headers

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:18 28-04-2007
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Стоит ISA 2004 Standart  
    Здравствуйте.  
     
    Столкнулся с проблемой. Недавно создал одно правило, открыл порт  
     
    1433 TCP Outbound Inbound  
     
    from All network  
     
    to All Network  
     
    Проверил работоспособность правила, открываю заного ISA 2004 захожу в Firewall Policy и понеслась... выезла ошибка The operation failed / 0x8000FFFF Catastrophic failure.  
     
    Перезагрузка сервака не помогла, удалил это новое правило, опять вылазила эта ошибка но вроде удалил. Не помогло. Правила все вроде как работают... но есть опасения. Не дает создавать новые правила. Не дает экспортировать конфигурацию, все та же ошибка.  
     
    Помогите пожалуйста, никак не могу разобраться.  
     
     Спасибо.  
     
    Еще кое что заметил, когда заходишь в Firewall Policy справа есть колонка которая делиться на три свойства Toolbox, Tasks, Help. Если при закрытии ИСЫ было выбрано Toolbox, то при следующем открытии в Firewall Policy обязательно выскачет эта ошибка, но если же выбрать Tasks или Help перед закрытием, то при открытии ошибки уже нет, НО правила так же не создаются и не экспортируется конфигурация, выходит ошибка The server cannot load the property page / 0x8000FFFF Catastrophic failure.  
     
    Что же делать то??????????

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 17:11 30-04-2007
    gameman

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    возник актуальный вопрос, каким путем можно сделать балансер интернет-каналов с 2-3 фейсов ? есть вариант подключения дополнительного провайдера в качестве резервного, а балансером сделать на него минимальную нагрузку типа аси и прочего, основной траффик пустить по другому прову, а в случае отказа одного из провов перенаправлять всю нагрузку активному.
    про аппаратные решения в курсе, но есть смысл в  некоторой экономии.

    Всего записей: 609 | Зарегистр. 28-09-2005 | Отправлено: 16:14 02-05-2007
    Out



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Господа.. Есть следующая проблема... Пытаюсь опубликовать OWA 2003 SSL через ISA 2006. Вроде все делаю по прописи... Но возникает одна проблема - когда пытаюсь подключится ничего не выходит... Получаю страничку (Код ошибки: 500 Внутренняя ошибка сервера. The data area passed to a sysytem call is too small [122]) В логах вроде как все ОК. Сначала открывает https, а потом закрывает https соединения. FBA на Exchnage отключены. У кого какие есть идеи?
     
    Проблему решил... Все оказалось очень просто... Оказывается иса очень щепетильно относится к версии браузера.. И получается, что из Pocket можно зайти только на OMA... )

    ----------
    Кто страшиться упасть - тот недостоин неба

    Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 16:54 02-05-2007 | Исправлено: Out, 23:26 03-05-2007
    xhangmanx



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос по поводу кеша.Чето он в исе не кэширует ни фига.Стоит кешировать все что с инета и ни фига.Страницу грузит поновой.
    Вот на керио ваще сказка гружу страницу с одно машины съела 3 метра с другой таже страница 80Килобайт !!!!!!!!
     
    Кто че думает по этому поводу???
     
    Добавлено:
    разобрался оказывается тупо не поставил размер кеша и он соответственно был дисейбл

    Всего записей: 90 | Зарегистр. 10-01-2007 | Отправлено: 08:00 03-05-2007
    Etalon

    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Кто нибудь уже поставил Microsoft® Internet Security and Acceleration (ISA) Server 2004 Standard Edition Service Pack 3?

    Всего записей: 306 | Зарегистр. 03-02-2006 | Отправлено: 10:49 03-05-2007
    bolelshik1



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Добрый вечер!
    Проблема такая в офисе два DC один из них смотрит в инет, так вот сервер на котором стоит isa не может по rpc общаться с другим, помогает только отключение service в isa. Подскажите как это лечится. Спасибо.

    Всего записей: 105 | Зарегистр. 14-10-2006 | Отправлено: 19:09 03-05-2007
    Haik1979



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброе время суток всем  
    Нужна Помощь по настройкам логов в SQL  
    От начало и до конца  
    Заранее спосибо

    Всего записей: 110 | Зарегистр. 26-10-2005 | Отправлено: 19:37 03-05-2007
    Out



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Haik1979
    А тут смотрел http://www.isaserver.org/pages/article.asp?id=341
    Я в свое время делал по этому мануалу и все работало... )

    ----------
    Кто страшиться упасть - тот недостоин неба

    Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 21:01 03-05-2007
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Haik1979
    Out
    по моему там настолько простой интерфейс и хелп что и без мануалов все прозрачно.
    bolelshik1
    разрешить весь трафик между dc пробовал? галочку про restrict rpc пробовал снимать?
    gameman
    исой никак нельзя, если только не использовать web chaining (кидать запросы от прокси клиентов на вышестоящий прокси другого провайдера, а остальной трафик туда куда default gateway показывает). но это не совсем балансировка.  
    вообще посещение офсайтов и чтение доков полезно во всех случаях. читай тут
    http://www.microsoft.com/technet/isa/2004/plan/unsupportedconfigs.mspx
    и тут
    http://www.microsoft.com/isaserver/partners/highavailability.mspx
    а левым софтом или железом можно сделать все что угодно.
     
    All
    когда вы наконец начнете версию исы писать

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 22:28 03-05-2007
    Out



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    hardhearted
    Согласен... Но это, так сказать, чтоб быть на все 100% уверенным =)

    Цитата:
    All
    когда вы наконец начнете версию исы писать  

    Ну как правило все понятно из описания проблемы... Хотя хотелось бы чтоб была указана версия и юзался поиск по сайтам из шапки или хотя бы в гугле =)

    ----------
    Кто страшиться упасть - тот недостоин неба

    Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 23:24 03-05-2007
    savapasha

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уважаемые форумчане!
     
    Подскажите правильную реализацию проекта с использованием ISA.
    Задача:
    Имеется 2 филиала. Имена доменов разные и в принципе нет необходимости в объединении, но хочется юзать терминальный сервер в филиале. Терминальный сервер стоит за isa 2000 на отдельном PС.
    Я вижу два пути.
    1. Прописать RDP на isa 2000 офиса 1 и дать возможность пользователям офиса 2 создавать VPN соединение и работать. Но возникает вопрос у всех остальных пользователей офиса 2 не выключиться интернет?
     
    2. Создать VPN соединение между 2 офисами и работать, но в данном случае  опять же не понятно смогут ли люди в обоих офисах пользоваться инетом.
     
    Подскажите какой будет правильным путь и ответ на мучающий меня вопрос.
     
    Заранее спасибо.

    Всего записей: 6 | Зарегистр. 27-02-2006 | Отправлено: 23:26 03-05-2007
    Out



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    savapasha
    Вариант 2 оптимален.. Только с небольшой поправкой.. Тебе нужно делать ВПН типа stite-to-site.... (Чесно говоря не помню есть ли такое в ISA 2000. Если нет... Тогда через RRAS делаешь дозвон с одного филиала на другой.... Прописываешь маршруты и радуешься жизни)
    Инет у тебя не отключится... (как минимум из-за того, что www/ftp запросы проксируются, а другие запросы под правило проксирования не попадают)

    ----------
    Кто страшиться упасть - тот недостоин неба

    Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 23:38 03-05-2007
    vicwanderer

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть Офис(ЛВС1) и Филиал(ЛВС2) и там и там шлюзом ИСА2006. Связаны между собой по ВПН site-to-site.
    шлюз1 имеет три сетевых интерфейса
    LANOffice - 192.168.2.2/24
    VPNMainOffice - 192.168.113.22/30
    WAN - 192.168.44.2/30
    В Офисе ВПН подключениям выделяются статические ипишники из диапазона 192.168.3.0-192.168.3.255  
     
    шлюз2 имеет два сетевых интерфейса
    VPNRemoteOffice - 192.168.113.26/30
    LANBranch - 192.168.9.1/24
    В Филиале ВПН подключениям выделяются статические ипишники из диапазона 192.168.10.0-192.168.10.255
     
    на шлюзе1 вылезает такая ошибка:
    Просмотр событий\Приложение
    источник: Microsoft Firewall
    Код (ID): 14147
    ISA Server detected routes through the network adapter WAN that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.10.255-192.168.10.255,192.168.113.27-192.168.113.27,192.168.113.255-192.168.113.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
     
    Я так понимаю, из сети External надо исключить подсети 192.168.113.0- 192.168.113.255 и 192.168.10.0 - 192.168.10.255. Только как это сделать? В свойствах этой сети нельзя добавлять исключения

    Всего записей: 545 | Зарегистр. 25-12-2005 | Отправлено: 10:56 04-05-2007
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)
    emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru