vamp Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Microsoft Internet Security & Acceleration Server Home - сайт производителя - необходимо посетить начиная работу с ISA Server IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи     Подробнее... Всего записей: 121 | Зарегистр. 30-01-2002 | Отправлено: 16:46 10-04-2002 | Исправлено: Leonid_Z, 16:31 26-09-2005

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Lamerok Цитата: погоди.. я чет не понял...   что значит "только прокси"?   то есть клиенты никаким раком в инет кроме как через прокси не попадут Цитата: fw client нужен как раз для того чтобы аутентификацией заниматься. IE 6.0 в легкую проходит integrated authentication на прокси (миранда кстати тоже) а fwclient нужен чтобы аутенфикацию проходили те проги которые не поддерживают integrated либо вообще никакой либо не умеют через прокси ходить (например всякие манагеры закачек в большинстве не пройдут аутенфикацию, или например в игрушки по инету не поиграешь) а если в IE отключить прокси то конечно без fwclient будет только аноним поэтому если клиентам ничего кроме web через IE не нужно то и ацсдшуте тоже не нужен правило у меня для клиентов одно allow http, https,ftp from internal to external for authenticated users пара машин (админских) работают через fwclient (чтоб не только http юзать) еще пару сервачков на определенные сервера ходят анонимно (WSUS исходящая почта антивирус апдейт и интернет банк клиент) для них отдельные правила   вопрос то как раз не стоит почему deny на anonymous, так и должно быть, вопрос в том откуда в логах береться этот anonymous, а после него уже появляется нормальный юзер, если это специфика работы аутенфикации на прокси тогда ладно, тогда надо искать истинную причину периодических error 502, а если появление этого в логах ненормально, тогда вернулись к началу. появляется это только когда IE настроен на работу через ПРОКСИ, даже если на этом компе стоит fwclient (в этом случае fwclient не работает, то есть IE сам проходит аутенфикацию без помощи fwclient) Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:12 12-08-2005

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Lamerok чтоб понятней было приведу кусок monitor->logging на исе включен прокси слушается 8080 правило web access: allow http,https,ftp from internal to external for authenticated users на http протоколе включен web proxy filter (при отключении ничего не менялось) на клиенте стоит fwclient настроенный вручную, в IE 6 вручную настроена прокси на ису открываем www.ya.ru (проще отследить когда никаких левых баннеров и картинок) и закрываем експрорер как из исовой ммс скопипастить я не знаю поэтому скриншоты сделал )   вот когда в IE включена прокси (fwclient при этом может быть включен или выключен, все равно одно и тоже) : http://7ka.mipt.ru/~dnikitin/Proxy.JPG в третьей строчке в destination ip может быть ип исы (192.168.0.1) значит взято из кэша либо ип www.ya.ru (213.180.204.8) значит не из кэша, все остальное одинаковое в обоих случаях.   теперь отключаем прокси и идем через fwclient (который естественно включен ) http://7ka.mipt.ru/~dnikitin/FWClient.JPG тут конечно ни о каком кэше речи не идет все ходиться напрямую     Добавлено: еще кстати фишка, если человек ходит не через прокси а через fwclient то в логах в destination host и в url вместо доменного имени тока ип, меня сами логи то не смущают (так и должно быть) но в этом случае не срабатывают сигнатуры в url (например "http://ad." для блокировки банеров и рекламы), а когда через прокси то все ок Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:37 13-08-2005

NEED Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Народ, что-то я не могу понять, почему у меня не работает доступ к серваку через VPN. Стоит Иса 2000 Ентерпрайз со всеми апдейтами, по VPN к компу подключиться можно, но ни один пакет вовнутрь не проходит. Прописал на Исе, что адрес VPN-подсети является локальным в LAT, а оно все-равно никак. Мне присваивается адрес 192.168.253.2, у VPN-сервера адрес 192.168.253.1. В LAT есть запись 192.168.253.0-192.168.253.255. Куда копать? Такую конфигурацию настраивал уже не раз и никогда проблем не было. Сервер - Windows Server 2003 SP1, ISA 2000 SP2. Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 19:49 13-08-2005

Lamerok Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted  короче проверил тока что у себя. fw вклЮчен в настройках ie стоят настройки прокси. при обращении на www.ya.ru  анонимусов нет. только доменные пользователи в логах. при отклЮчении  в ie настроек прокси, при обращении на www.ya.ru  тоже самое что и в первом тесте, т.е. аутентификация работает как полагается.   Цитата: вопрос в том откуда в логах береться этот anonymous пока остается открытым...   имхо это какой то плаваЮщий гЛЮк.... пока ничего в голову не приходит , кроме как снести вообще fwclient..... Правила пересезоздавать пробовал?   Цитата: если человек ходит не через прокси а через fwclient то в логах в destination host и в url вместо доменного имени тока ип   аналогично. ---------- Когда говоришь, что думаешь — думай что говоришь и не всегда говори то, что знаешь, но всегда знай, что говоришь. (c) ¯\_(ツ)_/¯ Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 11:44 15-08-2005

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Lamerok это правило пересоздавал, таже фишка fwclient тут не при делах, такое же и с других компов, на которых его нет вообще Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 12:51 15-08-2005

rstar1979 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Привет подскажите может кто подключал к  isa 2000  sql2000. После подключения появились ошибки 11000 и 11001 и вдобавок немогу убрать некоторые столбцы (ну ненужно мне знать proxyname). по поводу ошибок сделал как описано в http://support.microsoft.com/default.aspx?scid=kb;ru;836828#XSLTH3132121123120121120120 но эффека непоследовало... Всего записей: 243 | Зарегистр. 08-12-2004 | Отправлено: 16:19 15-08-2005

NEED Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: http://support.microsoft.com/?kbid=897651   говорят, еще помогает замена ipnat.sys на до-сервиспаковый вариант   Никто не знает, де можно этот патчик взять, а то в МС обращаться не очень хочется. Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 17:15 15-08-2005

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rstar1979  столбцы убирать нельзя, isa вообще не сможет писать логи (2004 точно), но можно редизайнить таблицу и скажем уменьшить размер записи с 255 до 1 символа, база станет намного меньше Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 12:57 17-08-2005

rstar1979 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Так вроде прям в исе можно указать что писать а что нет... в sql оставил как есть так isa несмотря на то что я явно указал неписать - пишет... причем не все столбцы т.е. некоторые непишет а некоторые пишет... вот. короче хер его.... а насчет редизайнить попробую а то уже 3 гига база это за 2 недели... Всего записей: 243 | Зарегистр. 08-12-2004 | Отправлено: 13:24 17-08-2005

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rstar1979 фишка в том что если ты кажешь что например писать url не надо то иса все равно в базу отправляет полную инфу, просто вместо url пошлет пустую строку которая в базе будет как  2048 пробелов ) и поэтому если иса отправляя полную строку (некоторые столбцы которой пустые) обнаружит в в таблице некоторых столбцов нет то она сообщит об ошибке записи в лог и успешно зашатданит файрвол и заблокирует весь трафик (поведение по умолчанию) насчет редизайна, будь поосторожней, я после редизайна столкнулся с ошибкой в логах The Microsoft Firewall failed to log information to ODBC Data Source fwlogs, Table: FirewallLog, under User Name []. The ODBC Error description is: [State=01004][Error=0][Microsoft][ODBC SQL Server Driver]Fractional truncation [State=22001][Error=8152][Microsoft][ODBC SQL Server Driver][SQL Server]String or binary data would be truncated. [State=01000][Error=3621][Microsoft][ODBC SQL Server Driver][SQL Server]The statement has been terminated. .   которая повторяется постоянно (раз в полчаса-час) как с файрвол так и с прокси логами, и из за этого (кажеться) иса впадает на 2-3 мин в ступор (в инет не пускает выдает еррор 502 инкорект параметр 87). Из-за редизайна это или нет еще не выяснил, поэтому если ты у себя такое обнаружишь то верни дизайн базы и сообще в форуме. Цитата: а то уже 3 гига база это за 2 недели...   у меня за 2.5 недели после редизайна (который уменьшил базу в 3-4 раза) уже 8.5 гига кстати огранич размер логов базы (LDF файлов) есть мнение что журнал транзакций большим держать в случае исы нет необходимости, а он разрастается большим Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:49 17-08-2005

rstar1979 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted ок буду пробовать спасибо!! Всего записей: 243 | Зарегистр. 08-12-2004 | Отправлено: 17:29 17-08-2005

PRiM Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Такая проблема. Стоит ISA EE 2004, требование аунтификации. А WSUS на сайт микрософа для скачивания апдейтов все время ломиться под АНОНИМУСОМ. Естественно ISA его посылает сразу. Еще когда прописываю у WSUS в СИНХРОНИЗАЦИИ прокси и юзера с паролем, синхронизация не проходит. С пустыми полями - проходит! Можно как-нибудь в ИСЕ требовать аунтификацию у отдельных компов, а у других разрешать анонимуса? ---------- Чтобы дойти до цели, надо идти! Всего записей: 2252 | Зарегистр. 28-03-2003 | Отправлено: 10:32 18-08-2005

rstar1979 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PRiM У меня иса 2000  так вот когда стоит пароль синхронизация проходит, а вот скачивание - нет... а вообще можно указать ходить без пароля с такого-то адреса... ну в 2000 исе так точно Всего записей: 243 | Зарегистр. 08-12-2004 | Отправлено: 11:05 18-08-2005

PRiM Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору rstar1979 У меня синхронизация проходит без прокси и пароля, а вот скачивание - фиг. Вот меня и интересует как задать заходить под анонимусом с такого-то адреса. ---------- Чтобы дойти до цели, надо идти! Всего записей: 2252 | Зарегистр. 28-03-2003 | Отправлено: 11:18 18-08-2005

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PRiM Цитата: Можно как-нибудь в ИСЕ требовать аунтификацию у отдельных компов, а у других разрешать анонимуса? легко   перед правилами требующими аутенфикацию ставишь правило allow http,https from wsusserver to microsoft for all users чтобы не гонять трафик через прокси проще будет сделать nat для этого сервака у меня например так и сделано севрваку разрешен анонимный доступ по ftp http https на скачивание апдейтов с микрософта и симантека и сделано правило нат этого сервака на эти сайты. естественно когда ходишь через нат нет смысла использовать прокси. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:27 18-08-2005

PRiM Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted У меня и так стоит for all users на всех правилах. А в свойствах Web Filter стоит требовать аунтификацию!   Добавлено: А как сделать NAT ? Я вроде шлюз прописал. ---------- Чтобы дойти до цели, надо идти! Всего записей: 2252 | Зарегистр. 28-03-2003 | Отправлено: 11:31 18-08-2005

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору кто подскажет как резать поля в логах исы фишка такая что иса посылает в логи поле url длинной 2048 символов (типа если какой нить идиот наберет в яндексе длинную строку поиска да еще на русском) и все ок, то есть она режет более длинные строки сама (в IE такое ограничение, а вот в netscape явных ограничений нет как и в rfc). я решил что мне и такие строки не надо и захотел обрезать (редизайн базы) до скажем 1024, но иса все равно отправляет поле длинной 2048 и если у кого то url будет больше 1024 то sql сервер кидает ису и дисконнектит ее. Вопрос как исе сказать что все url отныне обрезаем до 1024 и посылаем в лог? (размер базы сраза становиться гораздо меньше, если грамотно редизайнить то в 4-5 раз, да и  трафик с исы на sql сервак меньше станет)   Добавлено: PRiM Цитата: А как сделать NAT ? Я вроде шлюз прописал. опаньки ) в консольки исы configuration->networks->network rules там создаешь новое правило в котором пишешь в source сервак твой в destination адреса откуда качаешь апдейты и говоришь nat (nfv всего два вида правил nat и route) Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:40 18-08-2005

MCT Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted   Цитата: в консольки исы configuration->networks->network rules там создаешь новое правило в котором пишешь в source сервак твой в destination адреса откуда качаешь апдейты и говоришь nat (nfv всего два вида правил nat и route)   Ты сам пробовал то, о чем говоришь ?   configuration->networks->network rules - это правила для СЕТЕЙ !!!     А если ты требуешь аутентификацию, то доступ будет разрешен только аутент. пользователям, внезависимости от того, что ты там в правилах напишешь.   Можно сделать по другому. Требовать аунт. снять, создать два правила. Одно для серваков (по ip, и для all users), после него второе правило для юзерей (вся лок. сеть и для all auth. users). Всего записей: 52 | Зарегистр. 31-07-2005 | Отправлено: 12:41 18-08-2005 | Исправлено: MCT, 12:41 18-08-2005

PRiM Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору MCT Мне снимать галку никак нельзя, иначе трафик квота трафик юзеров считать не сможет.   Пробовал создать новую сеть с одним единственным серваком, но там надо слишком много новых правил прописать, чтобы заработало все. ---------- Чтобы дойти до цели, надо идти! Всего записей: 2252 | Зарегистр. 28-03-2003 | Отправлено: 14:10 18-08-2005

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)

articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование