Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

   

vamp



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

  • Microsoft Internet Security & Acceleration Server Home - сайт производителя

  • - необходимо посетить начиная работу с ISA Server

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
     
    Подробнее...
    • Всего записей: 121 | Зарегистр. 30-01-2002 | Отправлено: 16:46 10-04-2002 | Исправлено: Leonid_Z, 16:31 26-09-2005
    greenfox



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    PlanerX
    Цитата:
    так все таки при наличии ISA в качестве единственного шлюза нужно ли убрать его айпи из настроек в качестве дефолтового gateway, если мы не хотим иметь дело с SecureNAT клиентами?  
    нет, не нужно. При условии что на клиентах стоит fwc клиенты к исе будут подкл именно по fwc ... всё что будет лететь в обход ему - будет уже идти по секьюр-нату на ису. который она будет отбивать если включена авторизация.
     
    напишите как выглядят правила в файере... куда там конектяться клиенты по смтп-попу и т.д.


    ----------
    Три вещи вечны: смерть, налоги и потеря данных...
    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:03 10-08-2005
    PlanerX

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    напишите как выглядят правила в файере

     
    да вроде все просто:
     
    allow pop3 smtp from internal and localhost to externall always for all users
     
    в таком виде, если оставить прописанный шлюз, все пучком.
     
    ежели вот так:  
     
    allow pop3 smtp from internal and localhost to external always for domainname\user
     
    или  
     
    allow pop3 smtp from internal and localhost to external always for domainname\usergroup
     
    то пишет в логе denied connection
     
    *********************************************
    проверил только что - такая же ерунда и с мирандой - не дает доступа для domainname\user или domainname\usergroup при этом в логах как и для почты client usernamе не пишет. И  в сессиях ни одного firewall client. Тока SecureNAT и WebProxy
    Всего записей: 48 | Зарегистр. 21-09-2004 | Отправлено: 15:22 10-08-2005 | Исправлено: PlanerX, 15:28 10-08-2005
    greenfox



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    1. у вас аутглюк почтовая программа? Батом не пытались?
    2. куда конектяться проги - на внешний сервак илисвой почтовик (спрашиваю тк вы что-то говорили что у вас внутри сетки есть)
     
     
    Добавлено:

    Цитата:
    И  в сессиях ни одного firewall client. Тока SecureNAT и WebProxy
    а вот это странно... у вас он вообще стоит на клиентах? Он ручками прописан в настройках клиента? (там есть получать автоматом - попробуйте вручную написать - только полное доменное имя fqdn) В настройках исы стоит раздавать fqdn исы или netbios вариант? (должно быт fqdn)


    ----------
    Три вещи вечны: смерть, налоги и потеря данных...
    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:57 10-08-2005
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lamerok

    Цитата:
    открой доступ  из интернал  на локал  хост по порту 8080  

     
    не работает
    как такового порта 8080 в исе не определено, если его определить (как Proxy например)
    и внести в правило разрешающее из интренал в экстернал+локал хост всем, то на это правило в логах не будет ни одной записи
    зато появляются в прокси логах (в фаервол нет) то что я приводил в начале, отбрасывает пакет который идет с клиента на ip_isa:8080 (пишет что http, хотя я определил его как proxy) под анонимом с GET http://..... причем в нетворках указано что это из интернал в экстернал, хотя пакет адресован на ип исы
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:13 10-08-2005
    PlanerX

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Батом пытался - та же ерунда. Я ж говорю - тут дело не только в почтовых клиентах.  
    Все ломятся как SecureNat клиенты и ессно что они не авторизовываются.
    Клиент FWC стоит, сервер с ISA видится отлично, тестится, прописан как имякомпа.имядомена, то есть fqdn.
    Почтовые клиенты коннектятся на внешний сервера(хотя один из серверов и прописан во внутренней сети, коннектятся к нему по его внешнему айпишнику)
     
     
    Всего записей: 48 | Зарегистр. 21-09-2004 | Отправлено: 17:58 10-08-2005
    greenfox



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    PlanerX
    на мс -е есть утилита http://www.microsoft.com/downloads/details.aspx?FamilyId=F20F6267-273D-4870-B1E8-799B261B4786&displaylang=en
    скачайте и запустите тест на клиенте...

    ----------
    Три вещи вечны: смерть, налоги и потеря данных...
    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:02 10-08-2005
    PlanerX

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    C:\>fwctool PingServer
     
    FwcTool version 4.0.3439
    Firewall Client for ISA Server 2004 support tool
    Copyright (c) Microsoft Corporation. All rights reserved.
     
    Action:         Verify ISA Server connectivity
     
    Error:          Firewall Client Winsock providers are not installed properly
     
    Result:         The command failed and was not completed.
    Всего записей: 48 | Зарегистр. 21-09-2004 | Отправлено: 18:26 10-08-2005 | Исправлено: PlanerX, 18:27 10-08-2005
    greenfox



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    PlanerX
    у вас случаем не NOD32 Antivirus стоит на клиентах!?
    (http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=27;t=000050)
    (http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=27;t=000274)
    клиенты какие (xp_sp2!?)

    ----------
    Три вещи вечны: смерть, налоги и потеря данных...
    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:50 10-08-2005 | Исправлено: greenfox, 18:52 10-08-2005
    PlanerX

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    2 greenfox:
     
    Спасибо огромное за наводку! NOD32 и вправду стоит, но не в нем дело. И клиенты у меня win2000prof. Короче все решилось сносом и повторной установкой протокола TCP/IP на клиенте
     
    Ура!
     
    зы.оказывается, если firewall клиент работает, то значок у него в трее - с зелененькой в белом кружочке стрелочкой!
     
    еще раз спасибо!
     
     
    вот на всякий случай как должно быть:
       
     
    C:\>fwctool pingserver
     
    FwcTool version 4.0.3439
    Firewall Client for ISA Server 2004 support tool
    Copyright (c) Microsoft Corporation. All rights reserved.
     
    Action:         Verify ISA Server connectivity
     
        Firewall Client Windows Sockets 2 Service Provider:
     
            DLL Name:                  FwcWsp.dll
            DLL Version:               4.0.3439
            Client Protocol Version:   11
     
        Firewall Client Agent service:
     
            Firewall Client Agent service is responsive
     
        ISA Server:
     
            Firewall Server:           xxxxx.xxxx.xxx.xx
            Server address:            xx.xx.x.xxx
            Server Protocol Version:   11
            Control Channel ping:      OK
     
    Result:         The command completed successfully.
    Всего записей: 48 | Зарегистр. 21-09-2004 | Отправлено: 19:17 10-08-2005 | Исправлено: PlanerX, 19:21 10-08-2005
    ViktorVal



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    В чем может быть проблема?
     
    ISA 2004 ЕЕ подключена к нету через VPN.
     
    В ручную подключение к VPN проходит на ура.
     
    При установке автодилера ISA (соотв. вводится логин и пароль от прова) VPN не подключается. Потоянно происходит перенабор.
    Такое впечатление, что для подключения используется учетная запись компьютера (домена).
    Всего записей: 224 | Зарегистр. 06-10-2003 | Отправлено: 13:03 11-08-2005
    Lamerok



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Здорова, отцы!
     
    Кто нить настраивал VPN  коннект на ису используя EAP User Certificate Authentication?
     
    При попытке установить соединение выдается сообщение

    Цитата:
    Cannot  load dialog
    Error 798:A certificate could not be found that can be used with this Extensible Authentication Protocol.

    Сертификат  на Юзера храниться в local store на компе...
    Где он должен еще присутствовать?
    на isaserver.org есть статья как установить соединение site to site  используя сертификаты, а  как сделать для клиентов?
     
    Добавлено:
    ViktorVal
     у  меня лично так и не получилось обучить ису автодозвону. Проблему решил заменой adsl модема на роутер. Теперь он  сам  дозванивается , а на серваке только настройки  ip.
    p.s.  
    2000-я звонить умела....
     
    Добавлено:
    hardhearted
    кинь кусок лога чего у тебя там происзходит. Я посмотрЮ как у меня настроено.

    ----------
    Когда говоришь, что думаешь — думай что говоришь и не всегда говори то, что знаешь, но всегда знай, что говоришь. (c) ¯\_(ツ)_/¯
    Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 14:31 11-08-2005 | Исправлено: Lamerok, 15:10 11-08-2005
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lamerok

    Цитата:
    кинь кусок лога чего у тебя там происзходит. Я посмотрЮ как у меня настроено.

     
    я уже кидал в первой мессаге, повторяю, вот кусок из прокси логов (для краткости не все поля)
     
    192.168.0.15   anonymous        N  15:29:45.000  192.168.0.1     8080  http  Web Access Only  Failed   GET  http://forum.ru-board.com/forum.cgi?forum=8&show=40  
     
    192.168.0.15   anonymous        N  15:29:45.000  192.168.0.1     8080  http  Web Access Only  Denied   GET  http://forum.ru-board.com/forum.cgi?forum=8&show=40  
     
    192.168.0.15   DOMAIN\UserX  Y  15:29:51.000  65.75.176.229   80  http  Web Access Only  Allowed  GET  http://forum.ru-board.com/forum.cgi?forum=8&show=40  
     
    это при открытии любой странички, при это страница открылась, если последней записи не будет то не откроется, вот иногда последней не бывает (
     
    192.168.0.15 - клиент, 192.168.0.1 - isa server  
     
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:04 11-08-2005
    Aushkin

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У меня странность, где собака порылась понять не могу. Стоит Microsoft ISA Server 2004 St. SP1. Разрешаю для всех любой исходящий трафик, всё работает, почта бегает, в инет ходится, НО. Пробую зацепиться клиентом на защищенный фтп(SSL) и хрен
     Welcome to Core FTP, release ver 1.3c, build 1423.01 (U) -- © 2003-2005
    WinSock 2.0
    Mem -- 523,752 KB, Virt -- 2,097,024 KB
    Started on Friday August 12, 2005 at 04:07:AM
    Resolving ***-mos.ru...  
    Connect socket #408 to 195.*.*.*, port 21...
    220 *** FTP Ready.  
    AUTH TLS  
    550 Access is denied.  
    USER tmp  
    331 User name okay, need password.  
    PASS **********  
    530 Non-SSL access to this server is not permitted.  
    Waiting 5 of 5 seconds for retry #1...  
    ну и так же дальше.
    Отключаю сервисы ISA и проблема исчезает, клиент конектится, появляется предложение принять сертификат и далее конект на защищенный фтп.
    Кто-нибудь с такой проблемой сталкивался? Подскажите, куда тыкнуться.
    Заранее всем отозвавшимся большое спасибо.
    Всего записей: 387 | Зарегистр. 06-05-2004 | Отправлено: 04:14 12-08-2005
    Lamo



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Дамы и Господа, кто сталкивался с подобной проблемой прошу откликнуться
    1. Условия есть пограничный сервер на базе 2к3 с установленой ИСА 2004 Ст
    2. При снесенной ИСА в логах постоянно ошибка 1091 от Userenv,
    но это отдельная тема http://support.microsoft.com/default.aspx?scid=kb;en-us;823608  
    3. Стоит поднять ИСИк как тутже получаем еще и 1053 от тогоже Userenv
    "Не удалось определить имя пользователя или компьютера.
    (Сбой при удаленном вызове процедуры. Вызов не произведен. ).
    Обработка групповой политики прекращена."
    т.е. она что-то блокирует... как это разрешить?
    ставили правила такого порядка
    111   localhost to internal alluser  allow
    222   internal to localhost alluser allow
    толку нет... на другом теже правила и все ок :/
    + не дает удаленно администрировать себя-
    состояние правил показывает, а применить изменения
    не дает - "Сбой при удаленном вызове процедуры"
     
    внешний периметр пока не интересует-сетевой шнур выдернули
    надо разобраться с 1053
    Всего записей: 94 | Зарегистр. 24-03-2003 | Отправлено: 07:02 12-08-2005 | Исправлено: Lamo, 09:42 12-08-2005
    Lamerok



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    hardhearted
     
    попробуй написать нтакое правило
     
    allow all from dc to localhost
    в закладке from и to пропиши dc & localhost  
    т.е. открой весь трафик между контроллером домена и локал хостом в обе  стороны. и посмотри  что получится.

    ----------
    Когда говоришь, что думаешь — думай что говоришь и не всегда говори то, что знаешь, но всегда знай, что говоришь. (c) ¯\_(ツ)_/¯
    Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 10:55 12-08-2005
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lamerok
     
    не помогает,
    а вообще такие логи это нормально? я просто не знаю где еще проверить это, может у тебя тоже самое если включить прокси, integrated authentication и посмотреть что monitoring->logging пишет
    в микрософтовской книжке есть такая фразочка (MCSA/MCSE Self-Paced Traning Kit (Exam 70-350)) :
    Web Proxy clients do not automatically send authentication information
    to the ISA Server computer. By default, ISA Server requests credentials from a
    Web Proxy client only when processing a rule that restricts access based on a user set element.
     
    может эти логи и правильные, то есть клиент посылает сначала запрос на прокси без аутенфикации а потом когда иса его откинет и попросит, тогда уже клиент отправляет аутенфикацию?
     
    и еще я тут тока что заметил что периодические глюки с открыванием страниц (Error Code 502: Proxy error. The parameter is incorrect. (87)) часто совпадают с ошибкой логов (The Microsoft Firewall failed to log information to ODBC Data Source fwlogs, Table: FirewallLog, under User Name []. The ODBC Error description is: [State=01004][Error=0][Microsoft][ODBC SQL Server Driver]Fractional truncation [State=22001][Error=8152][Microsoft][ODBC SQL Server Driver][SQL Server]String or binary data would be truncated. [State=01000][Error=3621][Microsoft][ODBC SQL Server Driver][SQL Server]The statement has been terminated. .) может это и из-за этого.
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:58 12-08-2005
    rstar1979



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет!!!  
    на 76 странице я задавал вопрос  писал "isa 2000  сжирает паяти просто гору (taskmgr пишет 240 мб но на самом деле около 600)  
    Вопрос такой как можно уменьшить кол-во памяти сжираемой isa???"  
    так вот если кому интерестно решение этой проблемы так вот оно:
    "Саche Configuration - Advanced - Percentage of free memory to for use caching"
    уменьшаем с 50 процентов до...
    взято с http://www.isaserver.ru/ShowPost.aspx?PostID=665  
     
     
    Всего записей: 243 | Зарегистр. 08-12-2004 | Отправлено: 14:57 12-08-2005
    Lamerok



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    hardhearted
     
    Посмотрел у себя. У меня все как полагается  работает....
    anonymous только там где правила для all users
    у меня также стоит Integrated auth , fw client  настроен вручнуЮ.
     
    В одном месте у меня иса работает как  3 Leg Perimeter в другом как  edge firewall ( хотя я не думаЮ что в этом может быть дело)
    У меня откыто все между контроллером м  локалхостом в обе стороны. Это единственное правило , кот подходит под твоЮ ситуациЮ.
    Логи у меня кстати не  на скуль пишутся а на локалке обрабатываЮтся...
    назвел ряд вопросов:
    Это у тебя со всех клиентов или только с одного?
     
    Какие настройки ip на локалхосте ( не нужно конкретный ip)
    ip, subnet mask, dns AD
    def GW только на на внешнем инетерфейсе?
     
    у меня еще руками прописано правило на allow dns request на все подсети в обе стороны
     
     
    p.s. что бы я сделал на твоем месте: зная как работаЮт мелкософтовские продукты ( хотя к исе нареканий нет) я бы всЮ конфигурациЮ исы с нуля сделал. начиная с конфигурации сети. И самом конце работы ваизарда сказал блокировать весь трафик и настроил все правила с нуля.
    Кстати, к вопросу "с нуля" попробуй правило для начала это грохнуть, и создать заново.
    у меня пару раз кривели правила.....

    ----------
    Когда говоришь, что думаешь — думай что говоришь и не всегда говори то, что знаешь, но всегда знай, что говоришь. (c) ¯\_(ツ)_/¯
    Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 15:10 12-08-2005
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lamerok
    у меня fwclient не используется, только прокси (вернее используется но тока там где надо, таких немного)
    такое у меня со всех клиентов, но только когда иду через прокси, если я на машинах с fwclient отключаю прокси, то все гуд  (что понятно ибо пропадают первые две записи из того куска лога которые на локалхост 8080 остаются просто коннекты на сайты 80)
    на локал хосте настройки как обычно  
      на внутреннем  
    192.168.0.1/24
    гейта нет
    dns 192.168.0.3 (DC)
      на внешем  
    10.0.0.2/24
    гейт 10.0.0.1 (у меня два файрвола, второй циска которая просто натит)
    DNS 127.0.0.1 (стоит кеширующий dns на который форвардяться все запросы с DC и который сам форвардит все кроме внутренней зоны  на dns провайдера, а внутреннюю зону форвардит на DC, сам dc не может стучаться во вне ни под каким соусом)
     
    руками прописано правило allow dns from dc to localhost for all users
    системное правило соответственно allow dns from localhost to all networks for all users
     
      у клиента  
    192.168.0.x/24
    гейт 192.168.0.1
    dns 192.168.0.3 (dc)
    прокси в експлорере 192.168.0.1:8080
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:25 12-08-2005
    Lamerok



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    у меня fwclient не используется, только прокси  

     
    погоди.. я чет не понял...
    что значит "только прокси"?
     
    fw client нужен как раз для того чтобы аутентификацией заниматься. если у тебя на машине нет его тогда у тебя будет deny  на anonimous или прописывать  правила не для группы а для all users
     
    на счет dns я не понял.. вернее понял,  но зачем так сложно?  не проще ли на внешнем интерфейсе прописать dns провайдера?
     
    Короче...
    Ставь на ВСЕХ клиентах  fw client ( ставится через gpo на раз)  
    конфигурить его лучше все таки ручками.. с автоматической настройкой бываЮт глЮки. Руками надежнее.
     
    создаешь правила:
    Allow HTTP (admin access)
    Allow HTTP ( get only) *(optional)  
    Allow HTTP (limited post) *(optional)
     
    в исе создаешь одноименные группы туда загоняешь группы из AD
     
    если все таки у тебя будут проблемы с установкой и т.д  тогда пусти определенных Юзеров по ip ( я так  например сделал для админских машин и серверов).
    В этом случае тебе клиент не нужен. Все будет  работать директ конект.
     
    У меня в правилах на HTTP три протокола HTTP , HTTPS и  HTTP:8080
     
    По крайней мере попробуй хотя бы с одним клиентом так. И  помониторь в лога х че  там будет.  
    Чедес не бывает. У меня все работает ведь.
     
    good luck & good frag's


    ----------
    Когда говоришь, что думаешь — думай что говоришь и не всегда говори то, что знаешь, но всегда знай, что говоришь. (c) ¯\_(ツ)_/¯
    Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 17:50 12-08-2005
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)
    articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru