Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

   

vamp



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

  • Microsoft Internet Security & Acceleration Server Home - сайт производителя

  • - необходимо посетить начиная работу с ISA Server

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
     
    Подробнее...

  • Всего записей: 121 | Зарегистр. 30-01-2002 | Отправлено: 16:46 10-04-2002 | Исправлено: Leonid_Z, 16:31 26-09-2005
    Laurent

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    greenfox

    Цитата:
    запретит достут на все подсайты (домены 4 уровня) сайта love.2net.info

     
    При этом доступ к love.2net.info будет открыт? Есть ли способ одной строкой задать запрет на love.2net.info и его поддомены?
     
    И еще вопрос. ISA 2004 EE. Имею в ентерпрайзе в URL Sets список баннерных сетей. Хочу блокировать баннеры, запрещая на уровне Enterprise доступ к данным URL. Вместо них хочу отображать картинку, но на каждом ARRAY на своем веб-вервере. Можно ли это забить какую-либо переменную.
     
    Например, есть array EARTH, и есть array DREAM. Есть правило, которое запрещает доступ к сайтам, указанным в URL Sets, вместо этого показывает какою-то картинку.  
    Можно ли сделать так, чтобы в одном случает показывалась картинка http://earth.domain.com/deny.gif, а во втором - http://dream.domain.com/deny.gif и все это происходило на уровне правил enterprise, желательно, одним правилом.
     
    Либо, сделать 2 разных правила в политиках предприятия, в одном указать один URL с картинкой, а во втором другой. Главное, использовать один URL Set, на уровне предприятия, и не плодить его во всех массивах?
     
    Либо подскажите, как сделать, чтобы баннеры не показывались и окошко авторизации при этом не выскакивало
     
    PS: не бейте ногами, у меня везде еще стоит 2000 Standard.

    Всего записей: 94 | Зарегистр. 04-06-2004 | Отправлено: 16:29 16-03-2005 | Исправлено: Laurent, 16:56 16-03-2005
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Laurent

    Цитата:
    При этом доступ к love.2net.info будет открыт? Есть ли способ одной строкой задать запрет на love.2net.info и его поддомены?
    наск я понял по словам Шиндлера - нет.
    У меня то все сайты прописаны 2-ды: *.xxx.ru и xxx.ru Вроде только так...

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:35 16-03-2005
    XAN

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ivanopulos
    SurfControl+ ISA вот тебе нормальная фильтрация контента по тематике.  
    Еще здорово примотать было бы Proximitron, но он не грузится как служба.  
    stack
    Я SurfControl пользую для резки и пара фич в правилах. Никто не пробовал ведь менять параметры http, а то есть. Там есть просто фильтр URL  закладка Signatures в диалоге Configure HTTP policy for rule.
    я туда прописал штуки 4 первые попашиеся в голову строки типа  
    .cnt
    banner
    counter?
    cnt?
    Жить стало проще. И не надо морочить себе башку с URL листами лишний раз.

    Всего записей: 271 | Зарегистр. 03-09-2004 | Отправлено: 19:04 16-03-2005
    Laurent

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос по написанию сценариев для ISA Server на VBScript...
     
    Есть isa 2000. Есть Destination Set с именем Banners. Есть какой-то способ просмотреть содержимое этого Destination Set?
     
    Переименовать, удалить, добавить Destination Set, добавить описание можно... а как работать с содержимым, не зная, что в нем? Удалить что-то я могу только зная содержимое... а как его можно узнать, зная, сколько там позиций?
     
    Вопрос решен. Всем спасибо )))

    Всего записей: 94 | Зарегистр. 04-06-2004 | Отправлено: 08:52 17-03-2005 | Исправлено: Laurent, 12:34 17-03-2005
    XAN

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Насущный вопрос. Тормозит канал. Как выявить тех кто его грузит больше всех ?
    ISA 2004 + SurfControl5

    Всего записей: 271 | Зарегистр. 03-09-2004 | Отправлено: 11:07 17-03-2005
    kibkalo



    Убью Билла
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Либо подскажите, как сделать, чтобы баннеры не показывались и окошко авторизации при этом не выскакивало  

    Добавь равный единице параметр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\ReturnDeniedIfAuthenticated

    Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 12:39 17-03-2005
    Laurent

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    ISA 2004 EE, стоит на контроллере домена, там же - IsaStorageServer.
     
    IsaStorageServer запущен под аккаунтом MYDOMAIN\isastorageserver, не имеющим прав администратора домена, следуя пункту помощи, описывающего установку на контроллер.
    Из папки c:\Program Files\Microsoft Isa Server\ADAMData был запущен скрипт mydomain.lan.bat , однако неприятность не исчезла.
     
    Судя по нижнему сообщению, по каким-то причинам, Актив Директори не может запустить систему аудита безопасности. Так как я чайник, не совсем понимаю, о какой конкретно системе аудита идет речь.
     
    Судя по верхнему сообщению, невозможно создать какие-то объекты в Актив Директори. Какие соображения? Пользователю MYDOMAIN\isastorageserver не хватает прав?
     

    Каким может быть выход из ситуации? На время дать пользователю MYDOMAIN\isastorageserver права администратора домена для создания необходимых объектов? А если потом ему что-то потребуется создать?
     
    Как избавиться от ругани в EventLog:

     
    Event Type:Error
    Event Source:ADAM [ISASTGCTRL] General
    Event Category:Internal Processing  
    Event ID:2537
    Date:3/18/2005
    Time:10:55:19 AM
    User:NT AUTHORITY\ANONYMOUS LOGON
    Computer:EARTH
    Description:
    The directory server has failed to create the ADAM serviceConnectionPoint object in the Active Directory. This operation will be retried.  
     
    Additional Data  
    SCP object DN:
    CN={86dd7d10-bd26-4ccf-9a4d-60e9ef29457a},CN=EARTH,OU=Domain Controllers,DC=mydomain,DC=lan  
    Error value:
    5 Access is denied.  
    Server error:
    00000005: SecErr: DSID-03151D54, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
     
    Internal ID:
    3390387  
    ADAM service account:
    MYDOMAIN\isastorageserver  
     
    User Action  
    If ADAM is running under a local service account, it will be unable to update the data in the Active Directory. Consider changing the ADAM service account to either NetworkService or a domain account.  
     
    If ADAM is running under a domain user account, make sure this account has sufficient rights to create the serviceConnectionPoint object.  
     
    ServiceConnectionPoint object publication can be disabled for this instance by setting msDS-DisableForInstances attribute on the SCP publication configuration object.
     
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
     
     
    Event Type:Warning
    Event Source:ADAM [ISASTGCTRL] General
    Event Category:Security  
    Event ID:2521
    Date:3/18/2005
    Time:10:55:11 AM
    User:N/A
    Computer:EARTH
    Description:
    Active Directory was unable to initialize auditing security system. It will run with auditing disabled. No security audits will be generated.
     
    Additional Data:  
    Error value:  
    1314 A required privilege is not held by the client.
     
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    Всего записей: 94 | Зарегистр. 04-06-2004 | Отправлено: 09:10 18-03-2005 | Исправлено: Laurent, 09:19 18-03-2005
    AD_MAX



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Проблемма такая -- Есть сервак Win2003, поднята AD, стоит ISA2000, две сетевухи одна в инет другая в локалку, так вот как запретить работу всякого рода сниферов типа проги Give Me Too, т.е есть в отделе перцы которые на свои локальные машины ставят эти проги и перехватываю все разговоры по ICQ, почту и сетевой траффик всей конторы, все компы в локалке естественно авторизуются в домене.
     
    Вопрос можно ли с помощью ISA с использованием фильтров или других возможностей запретить работы этих программ?

    Всего записей: 20 | Зарегистр. 10-11-2004 | Отправлено: 10:33 18-03-2005
    Zioma



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите новичку. ISA 2004 EE + MS SQL Server 2000 ...
     
    Ситуация такая:
     
    есть довольно большая локальная сеть, в ней стоит комп (назовем его сервер), на котором крутится MS SQL Server 2000 ну и пару общих папок. Никакого интенета, доменов и ДНС нет. Все просто. Исторически так сложилось, что доступ к БД происходит через одного пользователя, пароль к которому всем известен (это не страшно, так как на сервере лежат копии). Но встал вопрос как-то все-таки контролировать доступ именно к БД, ну и заодно и ко всему серверу (шары). Поступило предложение установить ISA 2004. Так и сделали. Поставили ЕЕ (по умолчанию). Начали пробовать настраивать. Вот тут то и начались проблемы ...
     
    Так вот, вопрос (или вопросы ):
     
    1. какой тип сети выбрать (Single или какую-то другую)?
    2. как и что надо настроить, что-бы разрешать/запрещать доступ к SQL серверу?
    3. основная клиентская програма для работы с БД написана на Clarion for Win (не мы писали). Она подключается к БД в любом случае (помогает только выдергивание сетевого шнура ), то есть ISA ей не помеха. Почему так происходит?
     
    Заранее благодарю!
     
     
     
     
     

    Всего записей: 178 | Зарегистр. 21-11-2003 | Отправлено: 11:02 18-03-2005
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AD_MAX
    пакеты перехватывают из-за того, что хаб ретранслирует их на все свои порты... ИСА на шлюзе и к этому отношения не имеет... тут либо с хабом возиться (свитч ставить) либо запрещать на локал-машинах ставить такое прог обеспеч тех.средствами... В андеграунде была тема похожая...

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 11:03 18-03-2005
    rsmike



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Здравствуйте.
     
    Преамбула: Почти уверен, что тема уже где-то раскрыта (или ответ тривиален), если так - то ткните лбом. Проискал весь форум и 64 страницы этого топика - не нашел ничего толком.
     
    Амбула: W2003+AD+ISA2004. На исе подняты политики файрвола, прокси не используется. На машинах установлен ISA Firewall Client, соединение с ISA работает. По описанию, в этом случае все пакеты, проходящие через файрвол ISA, должны ассоциироваться с именем залогиненного пользователя. На деле такого не происходит, юзер на пакетах пуст, соответственно, фильтрация по пользователю тоже не работает.
     
    Где грабли?

    Всего записей: 54 | Зарегистр. 02-02-2004 | Отправлено: 11:51 18-03-2005
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    rsmike

    Цитата:
    Где грабли?
    выход всем разрешён или опред пользователям!? Если всем - то авторизации и не будет... смотри в правила свои...
     

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 11:59 18-03-2005
    rsmike



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Часть правил разрешают выход для All Users, часть для некоторых.
    Получается, если правило для всех, пакет уйдет в логи анонимным?

    Всего записей: 54 | Зарегистр. 02-02-2004 | Отправлено: 12:58 18-03-2005
    AD_MAX



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    greenfox спасибо буду думать как быть дальше.

    Всего записей: 20 | Зарегистр. 10-11-2004 | Отправлено: 13:05 18-03-2005
    XAN

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AD_MAX
    ISA тут вообще не причем.  
    1. Ставь свитчи в локльную сеть. А еще есть тулза от мелкософта против снифферов.
    hxxp://download.microsoft.com/download/7/2/6/7262f637-81db-4d18-ab90-97984699d3bf/promqryui.exe
     
    2. Еще забери права локального админа у них. Сделай юзерами.
    3. Запрети политикой запуска GiveMeToo (через хеш exe файла). Тут даже переимнование не поможет и права админа.  
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    4. Используй политики IPsec. Трафик внутри локалки будет зашифрован для выбранных ПК. Снифак увидит шифрованный пакет. )))
    Только не путать с впн. Там и заголовок шифруется, а тут только тело пакета.

    Всего записей: 271 | Зарегистр. 03-09-2004 | Отправлено: 13:10 18-03-2005 | Исправлено: XAN, 16:56 12-04-2005
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    rsmike

    Цитата:
    Часть правил разрешают выход для All Users, часть для некоторых.  
    Получается, если правило для всех, пакет уйдет в логи анонимным?
    авторизация пользователя иса затребует если правило, на котором завис пакет не для всех, а для только для группы какой-то... а если для всех - то и авторизация не нужна - пакеты и так выпустят... можно конечно поставить галку "требовать всегда авторизацию", но проще всё же всех в группу какую-н выделить...

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 13:12 18-03-2005
    Ne0N

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    XAN
    13:10 18-03-2005
    Цитата:
    1. Ставь свитчи в локльную сеть.

    GMT и в локалке построенной на свитчах отлично работает...

    Цитата:
    2. Еще забери права локального админа у них. Сделай юзерами.

    и чем это поможет от прослушивания трафа?

    Цитата:
    3. Запрети политикой запуска GiveMeToo (через хеш exe файла).

    GMT не едиснтвенная программа подобного плана...

    Всего записей: 2336 | Зарегистр. 14-12-2002 | Отправлено: 13:25 18-03-2005
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ne0N

    Цитата:
    GMT и в локалке построенной на свитчах отлично работает...  
    каким образом!?
    Цитата:
    и чем это поможет от прослушивания трафа?
    человек не сможет установить левый софт, такой как сниффер.. не 100% гарантия, но всё же...
    Цитата:
    GMT не едиснтвенная программа подобного плана...
    не единственная, но занеся то штук 5-6 выбора то уже и не будет...
     
     

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 13:30 18-03-2005
    AD_MAX



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    XAN
    Спасибо за ответ сейчас попробую прогу эту качнуть,а по поводу свича вопрос поднимал уже давно пока начальство не считает нужным тратить деньги, но я думаю что теперь я аргументирую свою просьбу как надо.
    Еще раз спасибо!
     
    Добавлено:
    XAN
    Еще проблемма в том что я не могу отобрать у него право админа ему как бы с выше это разрешено, а прога это как то не понятно работает, ладно буду думать, я думал что существует прога которая запрещает работу этих снифферов по конкретному порту или портам.

    Всего записей: 20 | Зарегистр. 10-11-2004 | Отправлено: 13:33 18-03-2005
    Ne0N

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    greenfox
    13:30 18-03-2005
    Цитата:
    каким образом!?

    цитата с сайта производителя:

    Цитата:
      Новая версия Give Me Too 2.4.0:
    • добавлена возможность перехвата dial-up (модемного) трафика;  
    • добавлена возможность перехвата трафика в коммутируемых сетях (сетях построенных на свитчах);  
    • исправлено несколько ошибок;  
    • сделаны косметические изменения


    Цитата:
    человек не сможет установить левый софт, такой как сниффер.. не 100% гарантия, но всё же...

    не всему софту требуется установка...

    Цитата:
    не единственная, но занеся то штук 5-6 выбора то уже и не будет...

    тут ты прав...

    Всего записей: 2336 | Зарегистр. 14-12-2002 | Отправлено: 13:52 18-03-2005
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)
    articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru