Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

   

vamp



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

  • Microsoft Internet Security & Acceleration Server Home - сайт производителя

  • - необходимо посетить начиная работу с ISA Server

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
     
    Подробнее...

  • Всего записей: 121 | Зарегистр. 30-01-2002 | Отправлено: 16:46 10-04-2002 | Исправлено: Leonid_Z, 16:31 26-09-2005
    zzzolegzzz



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Cuba

    Цитата:
    Может из этого списка можно что нить убрать лишнее?  
    Ну например оставить только рестарт fwsrv? или isactrl (кстати, что это такое?)

     
    Это не поможет, конкретно за соединения отвечает w3proxy, все остальное - "лишнее" так сказать ... ну еще может быть fwsrv - файерволл (если им пользуешься).
     
    Попробуй применять скрипты и при этом играться с рестартом сервисом (не все сразу. а в разных комбинациях) - может и откопаешь что, заодно тут напишешь - что получилось ...

    Всего записей: 980 | Зарегистр. 15-05-2002 | Отправлено: 13:32 09-02-2004
    Cuba



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ну что же.. я копался копался и вот к чему пришёл. Рестарт сервисов на самом деле не  
     
    помогает, а наоборот при рестарте все клиенты у которых были соединения с инетом  
     
    вылетают
    Опишу сам процесс удаленного управления иса сервером:
    1. Есть иса сервер под windows 2003 server. Стоит домен, сам сервер контролер домена и  
     
    соответственно гейт в инет.
    2. В этой же локалке есть компьютеры, с одного из них идут команды на открытия и  
     
    закрытия интернета на определенный айпи в локалке.
    Конкретнее:
    Есть комьютер с именем admin. На нём стоит программа psexec
    Определённая программа на этом компьютере выполняет команду:

    Код:
    c:\psexec\psexec.exe \\isaserver -u Administrator -p password cscript  
     
    c:\scripts\rulez.vbs %compname% Allow World

    В %compname% подставляется имя компьютера на котором нужно открыть инет. Точно такой же  
     
    скрипт выполняется для закрытия интернета, но вместо Allow стоит Deny.
     
    Итак, рассмотрим две ситуации:
    1. На компьютере админа выполняется скрипт. На экране иса-сервера появляется  
     
    окно с выполнением рестарта сервисов.
    Интернет в иса серваке открывается.
    2. На компьютере админа выполняется скрипт. На экране иса-сервера НЕ появляется  
     
    окно с выполнением рестарта сервисов. Т.е. файл наверное не выполнился до конца.
    Интернет в иса серваке НЕ открывается.
     
    P.S. На администраторском компьютере человек зашёл под правами Domain users !!
     
    Отсюдого следует, что:
    1. Возможно сервер не даёт выполнить команду пользователю так как не хватает прав. Однако странно иногда даёт а иногда не даёт. Наверное этот вариант отпадает.
    2. Есть проблемы в сети. Это я исключаю, так как считаю. что сетка работает на 100%, оборудование не глючит.
    3. Возможно есть проблемы с самим скриптом.
    4. Возможно есть что нить ещё.
     
    У кого нить есть идеи?

    Всего записей: 476 | Зарегистр. 15-07-2002 | Отправлено: 15:11 09-02-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Lamerok
    Через IP Packet Filters или Server Publishing Rules
     
    Cuba

    Цитата:
    как будет отображаться? как простая потеря пакетов или просто обрыв соединения в момент рестарта?  

    Сам уже догадался, что пойдет обрыв соединения и переподключение.
     

    Цитата:
    Может из этого списка можно что нить убрать лишнее? Ну например оставить только рестарт fwsrv? или isactrl  

    Зависит от того, что ты меняешь этими политиками.
     

    Цитата:
    (кстати, что это такое?)

    Это "низкоуровневые" названия сервисов ISA Server-а:
    Microsoft Firewall
    Microsoft ISA Server Control
    Microsoft Scheduled Cache Content Download
    Microsoft Web Proxy
     

    Цитата:
    Рестарт сервисов на самом деле не помогает

    В смысле правила не применяются???
     

    Цитата:
    сервер не даёт выполнить команду пользователю так как не хватает прав. Однако странно иногда даёт а иногда не даёт. Наверное этот вариант отпадает.

    1. Попробуй через пускать через telnet (может psexec некорректно обрабатывает системные переменные и/или т.п.)
    2. А вы паузу то выдерживаете при запуске скрипта для нескольких машин?
    А то сервисы стартовать не успевают, как вы их опять "валите".
    В таком случае, лучше их перезагрузку вынести из скрипта в батник,
    который пускать уже после, отдельной командой.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 16:16 09-02-2004 | Исправлено: JcVai, 16:22 09-02-2004
    Cuba



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    JcVai

    Цитата:
    В смысле правила не применяются???  

    Т.е. как я вверху и написалчто непонятно или скрипт не выполняется или иса сервер не принимает скрипт... т.е. просто в иса серваке не появляются новые правила и всё и в ком причина этого не понятно.

    Цитата:
    1. Попробуй через пускать через telnet (может psexec некорректно обрабатывает системные переменные и/или т.п.)  

    telnet на сколько я знаю не может автоматически скрипт выполнять... т.е. всё равно придёться ручками что-то вводить. А в psexec можно всё в командную строку вписать чтобы вопросов никаких не было. Или я ошибаюсь? telnet'ом ни разу не пользовался просто
     

    Цитата:
    2. А вы паузу то выдерживаете при запуске скрипта для нескольких машин?  
    А то сервисы стартовать не успевают, как вы их опять "валите".  
    В таком случае, лучше их перезагрузку вынести из скрипта в батник,  
    который пускать уже после, отдельной командой.

    Как я понял, перезагрузка сервисов не нужна для этого скрипта. Так как если при выполнении скрипта правило всё таки появилось, то перезагрузка не нужна, интернет всё таки открывается этому айпи.
     
    Т.е. цель такая, узнать в чём дело или в скрипте или в иса серваке. Ну если у кого то ещё какие идеи есть я токо рад буду их выслушать Как удалённо запустить скрипт для исы сервака Может и вправлу psexec "глючит"

    Всего записей: 476 | Зарегистр. 15-07-2002 | Отправлено: 11:44 10-02-2004
    Porolonchik



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Cuba

    Цитата:
    Как удалённо запустить скрипт для исы сервака  

    А не проще использовать возможности Terminal Server'а+Подключение к удалённому рабочему столу???

    Всего записей: 347 | Зарегистр. 18-02-2003 | Отправлено: 17:51 10-02-2004
    NEED



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Народ, а кто знает, как создавать плагины для исы? В смысле запрограммить я и сам могу. Нужно знать, как плагин подключить и как передаются данные из плагина и в плагин.

    Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 12:47 11-02-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    NEED
    В инсталяционном наборе есть sdk, где все основное расписано с примерами.
    Подключаются так:

    Код:
     
    /*++
       Copyright (c) 2000 Microsoft Corporation.  All rights reserved.
    --*/
    #import "msfpccom.tlb" rename_namespace("ISALIB") named_guids
    #include "msfpccom.h"
    // This will be the filter GUID.
    const char StrGuid[] = "{87F18571-C71D-4a2f-9111-9E0927A00B51}";
    // This is the filter's relative path to ISA root.
    // E.g. If ISA is in "\Program files\Microsoft ISA Server" Then
    // you should copy your WebResponseModifier.dll to
    // <ISA installation point>\WebResponseModifier.dll
    // (Typically <ISA installation point> will be \program files\isa)
    const char FilterRelativePath[] = "WebResponseModifier.dll";
    HRESULT RegisterWebFilter(bool fRegister);
    /////////////////////////////////////////////////////////////////////////////
    // DllRegisterServer - Adds entries to the system registry
    STDAPI DllRegisterServer(void)
    {
        HRESULT hr = RegisterWebFilter(true);
        return FAILED(hr) ? S_FALSE : S_OK;
    }
    /////////////////////////////////////////////////////////////////////////////
    // DllUnregisterServer - Removes entries from the system registry
    STDAPI DllUnregisterServer(void)
    {
        HRESULT hr = RegisterWebFilter(false);
        return hr;
    }
    static HRESULT RegisterWebFilter(bool fRegister)
    {
        HRESULT hr;
        // Get instance of filter admin object.
        hr = CoInitialize(NULL);
        if (FAILED(hr))
    {
    return hr;
    }
    else
    {
    ISALIB::IFPCPtr pIISA;
    hr = CoCreateInstance(
    CLSID_FPC,
    NULL,
    CLSCTX_SERVER,
    IID_IFPC,
    (void**)&pIISA);
    if (FAILED(hr))
    {
    CoUninitialize( );
    return hr;
    }
    ISALIB::IFPCArraysPtr pIISAArrs = pIISA->Arrays;
    ISALIB::IFPCArrayPtr pIISAArr =  pIISAArrs->GetContainingArray();
    ISALIB::IFPCExtensionsPtr pIExtensions =  pIISAArr->Extensions;
    ISALIB::IFPCWebFiltersPtr pWebFilters = pIExtensions->WebFilters;
    ISALIB::IFPCWebFilterPtr pFilter;
    if (fRegister)
    {
    _bstr_t bstr(StrGuid);
    try
    {
    pFilter =  pWebFilters->Add(bstr,"Web Filter",FilterRelativePath,ISALIB::fpcFilterPriority_Medium,ISALIB::fpcFilterDirectionBoth);
    pFilter->PutDescription("Filter Description");
    pFilter->PutVendor("Microsoft");
    pFilter->PutVersion("3.0");
    //  pFilter->PutEnabled(TRUE);
    }
    catch(_com_error& err)
    {
    if(err.Error() != HRESULT_FROM_WIN32(ERROR_ALREADY_EXISTS))
    {
    hr = E_FAIL;
    }
    }
     
    if (pFilter)
    {
    pFilter->Save();
    }
    }
    else
    {
    try
    {
     
    pWebFilters->Remove(StrGuid);
    }
    catch(_com_error& err)
    {
    if(err.Error() != HRESULT_FROM_WIN32(ERROR_FILE_NOT_FOUND))
    {
    hr = E_FAIL;
    }
    }
     
    }
    pWebFilters->Save();
    pWebFilters->Refresh();
     
    }
        CoUninitialize( );
        return hr;
    }
     


    Код:
     
    *********************************************************************
                              Web Filter Sample
    *********************************************************************
             (c)2000 Microsoft Corporation. All rights reserved.
    This sample Demonstrate how to register a Web Filter in ISA.
    NOTE:
     In order to register this sample you should compile it and then copy
     the dll to the <ISA installation point> (Typically <ISA installation point>
     will be \program files\Microsoft ISA Server).
     Then do: regsvr32 WebResponseModifier.dll.
     

     
    Добавлено
    Porolonchik

    Цитата:
    А не проще использовать возможности Terminal Server'а+Подключение к удалённому рабочему столу???

    Гораздо проще использовать стандартную оснастку для администрирования ISA Server-а на своей рабочей станции.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 14:57 11-02-2004
    Cuba



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Porolonchik

    Цитата:
    А не проще использовать возможности Terminal Server'а+Подключение к удалённому рабочему столу???

    Мне нужно автоматизировать это.
     
    Добавлено
    Странно, но вот из под админа ставит сейчас всегда, а вот из под другого нет
    Я же psexec админом захожу, под админом запускаю... в чём проблема то
    Может кто нить другую програмку посоветует?

    Всего записей: 476 | Зарегистр. 15-07-2002 | Отправлено: 06:08 12-02-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Cuba
    Создать набор правил на ISA и, используя оснастку,
    включать/выключать (если работа по расписанию не устраивает).

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 11:10 12-02-2004
    Trex



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ !
    у меня тут в соседнем топике проблемы и выяснилось что с ISA
    вот топик:
    http://forum.ru-board.com/topic.cgi?forum=8&topic=5845#1
    "Помогите люди добрые, сами мы не местные"@С

    Всего записей: 6469 | Зарегистр. 03-09-2001 | Отправлено: 18:49 12-02-2004
    Cuba



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    JcVai

    Цитата:
    Создать набор правил на ISA и, используя оснастку,  
    включать/выключать (если работа по расписанию не устраивает).

    не понял.
     
    Кто нить скажите почему скрипт в принце может то выполняться то нет?

    Всего записей: 476 | Зарегистр. 15-07-2002 | Отправлено: 21:26 12-02-2004
    GreatMouse



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    То ли не в ту ветку скинул я вопрос, то ли что...
     
    Помогите, плз, кто чем может...
     
    Есть сервер w2k+ISA 2000. К инету подцеплен при помощи ADSL USB модема. Кроме того, есть ещё два интерфейса Ethernet, один смотрит во внутреннюю сетку, другой пустой. Провайдер выделил 8 внешних статических ip адресов. Один из них прописан на модемном соединении. Свойства соединения позволяют прописать только один ip адрес. Далее. Есть у меня железка, которой нужен внешний ip адрес, отличающийся от того, который уже используется сервером. Теперь вопрос. Могу ли я использовать для неё свободный Ethernet на сервере? И, если да, то каким образом конфигурится контроллер и ISA? Ибо просто взять и прописать на Ethernete один ip, а на железке - другой несколько странно с точки зрения роутинга. Роутинг же только адреса сетей воспринимает, и интерфейсы, которые с ними работают. А вот чтобы маршрузизацию на конкретный ip адрес...  
     
    Заранее сенькс.

    Всего записей: 47 | Зарегистр. 19-08-2002 | Отправлено: 08:49 13-02-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Cuba

    Цитата:
    не понял.

    1. поставь себе на рабочую станцию оснастку для администрирования ISA.
    2. Заведи на все, выходящие в нет компы, правила и расписание для них.
    Каждый будет выходить в строго отведенное время. Если это не устраивает
    - можно просто либо изменять расписание (как делаю я), либо
    время работы указывать круглосуточное, а самому просто включать
    и выключать соответствующее правило.
     

    Цитата:
    Кто нить скажите почему скрипт в принце может то выполняться то нет?

    Телепаты в отпуске. Сравнивай "параметры среды" при успешном
    и неудачном запусках. Учти, что право на изменение праметров ISA Server-а
    по умолчанию имеют только локальные админы ОС, на которой он установлен.
     
    [b]GreatMouse

    Смотри в оснастке сервера Network Configuration-Routing.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 12:11 13-02-2004
    Cuba



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    JcVai

    Цитата:
    Телепаты в отпуске.  Сравнивай "параметры среды" при успешном  
    и неудачном запусках. Учти, что право на изменение праметров ISA Server-а  
    по умолчанию имеют только локальные админы ОС, на которой он установлен.  

    Воо !! вот это уже интересней... как это по-умолчанию изменить?
    а и всё равно странно... он то ставит из под power user то не ставит. Из под админа всегда ставит.

    Всего записей: 476 | Зарегистр. 15-07-2002 | Отправлено: 16:23 13-02-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Cuba

    Цитата:
    как это по-умолчанию изменить?

    В консоли, правой кнопкой на сервере, безопасность, "а дальше мать-природа поможет".  
     

    Цитата:
    он то ставит из под power user то не ставит

    Возможно фишка в том, что изменять можно как через консоль, так и через реестр.
    Плюс надо разобраться, читает ли сервер настройки только при старте
    или есть "периодический опрос".

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 11:09 16-02-2004
    Caviller

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет, народ!
     
    помогите решить следующую проблемку.
     
    вводная такая:
    1) в разделе разрешения: протоколов траффик http и https - всем иожно без ограничений.
    2) в разделе сайтов и содержания: аннонимусы запрещены; запрещающих правил нет, а есть только разрешения на нужный контекст для определенных групп пользователей; запрета на "дистинэйшен" тоже нет.
     
    проблема: у тех пользователей, которые имеют ограничения на контекст, не работают многие форумы, не пашет "аська" и т. п. Причем, даже если для у этих пользователей отметить все группы контекста как разрешенные, то проблема остается...
    Помогает только установка "разрешить весь контекст", но тогда ограничения летят к черту...
     
    ИМХО проблема в нехватке у ISA некороых доп. групп с соответствующим содержанием
     
    Помогите, пожалуйста, советами как решить эту проблему, не прибегая "запретным правилам"
     

    Всего записей: 2 | Зарегистр. 19-02-2003 | Отправлено: 15:49 16-02-2004
    Pantalone



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопросы:
    1) Можно ли и как поправить логи ISA? (девушка одна залетела с траффиком на сайтах знакомств, не поздоровится ей если не помогу..)
    2) Откуда Report берет инфу, ведь не из логов же, если вайлы логов из папки Log удалить, отчеты все равно формируются, да и сами логи не хранятся более 7 дней.
    3) Как узнать полный список сайтов на который лазил юзер? Вчера за вечер один кекс, якобы подрабатывающий после работы, угробил недельный траффик конторы. Начальство вздернет меня если не отчитаюсь подробно.
    Спасибо
    3) Еще в репорте фигурирует помимо юзеров просто IP адрес ххх.0.0.хх, который пожрал прилично траффика. Предполагаю что это апдейты, которые комп производил в этот день. Можно ли узнать где именно он апдейтился и что качал?

    Всего записей: 728 | Зарегистр. 16-02-2004 | Отправлено: 08:52 17-02-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Caviller
    Посмотри в направлении: Policy Elements -> Content Groups
    А с запретами намного проще... хотя и дольше.
     
    Pantalone
    1. Зависит от того, куда они складываются и прав у тебя на изменения там.
    Логи обычно кидаются либо в файлы, либо на sql-сервер.
     
    2. Логи+анализатор логов, либо заранее установленный фильтр,
    либо собственный обработчик.
     
    3. В логах все есть.
    И это могут быть не только обновления.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 10:10 17-02-2004
    Cuba



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ну наконец-то смог понять причину того почему не выполнялся скрипт удалённо.
    Вот что смог увидет ьв логах:

    Цитата:
    Couldn't access main:
    Multiple connections to a server or shared resource by the same user, using more
     than one user name, are not allowed. Disconnect all previous connections to the
     server or shared resource and try again..

     
    Итак теперь думаю решить проблему будет легче Хоть знаем причину
     
    Напомню, что запускается удаленно программа psexec из под прав:
    Локальный компьютер - power user
    Домен - domain user
     
    В строке запуска сам скрипт выполняется из под прав Domain Admins.
    А вот коннект к серверу получается из под того же Domain User !
    Сам сервер говорит что на шару только один коннект, и выкидывает пользователя.
    Итак как же мне указать на сервере, что определенным аккаунтам (из под кого запускается psexec) разрешается подключение к серверу больше чем один раз?


    Всего записей: 476 | Зарегистр. 15-07-2002 | Отправлено: 14:01 17-02-2004
    GreatMouse



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Pantalone
     
    1. Зависит от формата, в котором хранятся. Судя по всему, у тебя они в текстовом виде. Их править, конечно, можно, но толку, см п.2
     
    2. Ищешь файлы с расширением *.ils - обычно они кладутся в папку ISASummaries. В них и хранится инфа по общему траффику юзера, топ юзерс, топ сайтс и т.п. Формат специфический, стандартными средствами его не поправишь. Инфа из логов попадает туда, судя по всему, практически сразу. По-видимому, параллельно с логами.
     
    3. Список сайтов можешь посмотреть в логах. Самый простой вариант - открыть лог экселем и сортировать по юзеру.
    Да, кстати, за юзера ты боишься получить по шапке, а за барышню - нет? Дискриминация, однако...
     
    4. Ты выясни, что за комп с таким ip, да посмотри по логам. Возможно, у тебя разрешён анонимный прокси для всей твоей сетки, тогда тот комп мог и без логина в домене заходить.

    Всего записей: 47 | Зарегистр. 19-08-2002 | Отправлено: 16:01 17-02-2004
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)
    articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru