Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

   

vamp



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

  • Microsoft Internet Security & Acceleration Server Home - сайт производителя

  • - необходимо посетить начиная работу с ISA Server

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
     
    Подробнее...

  • Всего записей: 121 | Зарегистр. 30-01-2002 | Отправлено: 16:46 10-04-2002 | Исправлено: Leonid_Z, 16:31 26-09-2005
    InFrom



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос по MS ISA Server 2004 beta (кто юзал):
     
    Поставил, настроил, вроде всё o.k. Однако не даёт покоя то, что при коннекте к любому FTP хосту коннект происходит, принимается login/pass, но потом при попытки directory list сразу происходит connection lost А с самой машины, на которой ISA стоит всё нормально. Как не меня настройки, не прописывал forewall фильтры - ничего не помогает. Даже для теста отрубил кэширование FTP, всё равно. Кто подскажет, в чём фишка кроется?

    Всего записей: 44 | Зарегистр. 24-03-2004 | Отправлено: 20:47 02-05-2004
    Eric Lazzy



    Главный мент
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ! ISA это сервер? Мне сказали шо эт неплохой фаервол. Это одно и то же или одно часть другого?

    ----------
    лень - двигатель прогресса ©

    Всего записей: 7920 | Зарегистр. 01-11-2003 | Отправлено: 20:18 06-05-2004
    Leonid_Z



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Eric Lazzy

    Цитата:
    ISA это сервер? Мне сказали шо эт неплохой фаервол. Это одно и то же или одно часть другого?

    Это серверная программа, выросшая из MS Proxy. При установке - три варианта на выбор: прокси, фаервол и прокси+фаервол. Хороший фаервол, пока что не слыхал, чтоб его где-нибудь прошибли, тем более там где сам настраивал  В шапке много ссылок по теме.

    Всего записей: 917 | Зарегистр. 26-01-2002 | Отправлено: 21:24 06-05-2004
    Eric Lazzy



    Главный мент
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Leonid_Z
    Пасиба!

    ----------
    лень - двигатель прогресса ©

    Всего записей: 7920 | Зарегистр. 01-11-2003 | Отправлено: 21:30 06-05-2004
    temp123

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Товарищи, помогите.  
    Ситуция такая: захожу mIRCoм на irc.dal.net.ru сижу 2-10 минуты(всегда по разному) и коннект рвется, притом что Mirc не риагирует на разрыв связи до тех пор пока сам что нибудь не попытаешся написать или выполнить другие действия. Ковыряю ису и так и эдак уже месяц, и не понимаю почему не пашет. На уровне пакетов сделал правила для моего ип, чтоб исходящий и входящий по протоколам icmp и tcp и один хрен рвет соединение... могу предположить что сам irc.dal.net.ru проверяет меня на живучесть и почему то иса ему показывает кукиш вместо протянутой лапы... на уровне приложений тоже разрешено все что можно...  
     
    Посоветуйте где по вашему мнению может скрываться проблемма?
     
    Заранее, спасибо!

    Всего записей: 81 | Зарегистр. 22-04-2004 | Отправлено: 13:41 07-05-2004
    Pantalone



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ISA Server 2004 кто-нибудь пробовал?
    Как оно? Есть что полезное или лучше на настроенной старой сидеть пока?
     
    Добавлено
    При отключении контроллера домена, ISA тоже отрубилась, вернее перестала контролировать трафик и напустила на комп тучу вирусов. Кто-нибудь сталкивался с такими фокусами?

    Всего записей: 728 | Зарегистр. 16-02-2004 | Отправлено: 08:24 12-05-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Pantalone

    Цитата:
    ISA Server 2004 кто-нибудь пробовал?  
    Как оно?

    Мне не понравилось, но дождусь релиза и еще раз посмотрю...
     

    Цитата:
    При отключении контроллера домена, ISA тоже отрубилась, вернее перестала контролировать трафик  

    Если авторизация шла через этот единственный dc, то это и ожидалось.
     

    Цитата:
    напустила на комп тучу вирусов.

    А вот это, имхо, ерунда.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 08:52 12-05-2004
    Pantalone



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JcVai
    Да, но не логичнее было бы завретить трафик всем при пропадании контроллера? А не наоборот открыть всем качай-нехочу.
    Так при любом сбое контроллера у меня фактически будет зиять дыра в инет.
    Есть резервный контроллер, но как ISA настроить на него?
    В смысле чтобы сама переключалась на резервный.

    Всего записей: 728 | Зарегистр. 16-02-2004 | Отправлено: 09:14 12-05-2004 | Исправлено: Pantalone, 09:24 12-05-2004
    kibkalo



    Убью Билла
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Pantalone - Контроллеров должно быть несколько, причем (имхо) все должны быть глобальными каталогами (если сеть физически одна) - тогда нет проблем.
    Про вирусы - тут твои руки, а не иса У меня ни одна из вирусных эпидемий этого года внутрь сети не прошла..

    Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 10:07 12-05-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Pantalone
    В дополнение к сказанному kibkalo:

    Цитата:
    Да, но не логичнее было бы завретить трафик всем при пропадании контроллера? А не наоборот открыть всем качай-нехочу

    А именно так при соответствующей настройке и происходит: если юзер не может авторизироваться - его не пускает.
     

    Цитата:
    Так при любом сбое контроллера у меня фактически будет зиять дыра в инет.

    Как настроишь... судя по всему, сбой dc - не причина.
     

    Цитата:
    Есть резервный контроллер, но как ISA настроить на него?

    Сам должен автоматом, если все настроено и работает нормально.
     
    Добавлено
    Да, и проверь у себя связанные с ISA сервисы. Возможно дело в них.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 10:38 12-05-2004
    Pantalone



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JcVai
    Правила настроены правильно. А именно разрешен любой трафик в обе стороны только для пользователей домема. Шлюз стоит на отдельном компе, на нем никто не работает. Причем стоял свежий антивирус на тот момент как вирь пролез. Дык вот как на этот комп попал Sasser тогда не пойму, если только ISA не стопорнулась. Заплатки от него на тот момент не стояло, но ISA-то на что? Грешил на то что контроллер домена перегружал, примерно в это же время и вирь появился, может совпадение, но откуда тогда?
     
    JcVai
    Что именно в связанных сервисах проверить? Все запущены и работают.
     
    На выходных попробую еще раз воспроизвести ситуацию с пропаданием контроллера, помню, когда я его перегружал я задизаблил все правила на ISA и очень удивлялся почему же меня с моего компа до сих пор от инета не отрубает, видать все же дело с отсутствием контроллера связано, инет у меня не отрубился, хотя правила были задизаблены, но контроллер был в дауне, и тут наверняка и вирь подоспел.

    Всего записей: 728 | Зарегистр. 16-02-2004 | Отправлено: 10:59 12-05-2004 | Исправлено: Pantalone, 11:00 12-05-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Pantalone

    Цитата:
    Дык вот как на этот комп попал Sasser тогда не пойму, если только ISA не стопорнулась.

    Легко - из локалки.
     

    Цитата:
    Грешил на то что контроллер домена перегружал, примерно в это же время и вирь появился, может совпадение, но откуда тогда?

    О!!! Вот что называется "ближе к телу"!
     

    Цитата:
    Что именно в связанных сервисах проверить?

    С какими привилегиями стартуют.
     

    Цитата:
    когда я его перегружал я задизаблил все правила на ISA и очень удивлялся почему же меня с моего компа до сих пор от инета не отрубает,

    А ты не пробовал прервать сессию? ISA уже установленные сессии, афайк, не отрубает - это надо делать вручную.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 11:18 12-05-2004
    shokmega



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ а подскажите вот какую вещь.
    Начальник хочет чтобы поставил на оба контроллера домена ISA. Мол ему сказали что в нем хороший фаэрволл и все.. инет раздавать и организовывать при этом не нужно, интернетом занимается отдельный сервак. Просто хочет чтобы максимально обезопасить сервера и чтоб по сети не видны были всем. Не проще ли тогда выбрать какой-нить фаэрвол и реализовать это, что лучше сделать, подскажите?

    Всего записей: 449 | Зарегистр. 15-12-2003 | Отправлено: 14:31 12-05-2004
    Pantalone



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JcVai
    В локалке Sasser быть не мог, в локалку-то он как по твоему попадет если не через инет? Свое победное шествие он начинает со шлюза. Если не ошибаюсь.
     
    Я и говорю что появления виря совпало с перегрузкой контроллера, но как этот механизм сработал?
     
    Насчет прерывания установленных сессий - ерунда, все итак работает, по крайней мере у меня. Например если я щас задизаблю правила на ISA, то чекунд через 30-60 открытая у меня страничка при обновлении запросит пароль. Хотя до этого момента она еще некоторое время будет работать и обновляться нормально. К этим задержкам в изменениях правил у исы я уже привык.
     
    Не понял о каких привелегиях связанных сервисов ты говоришь?
     
    shokmega
    Пошли своего начальника в мягкой форме, админ кто ты или он? "ему сказали" не катит, тебе решать как ограничивать доступ, а не ему и ISA тут вообще никаким местом к контроллеру не привинчивается, все разруливается на уровне прав учетных записей.

    Всего записей: 728 | Зарегистр. 16-02-2004 | Отправлено: 15:24 12-05-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Pantalone

    Цитата:
    В локалке Sasser быть не мог, в локалку-то он как по твоему попадет если не через инет? Свое победное шествие он начинает со шлюза. Если не ошибаюсь.

    А что мешает мне, например как пользователю твоей локалки, открыть зараженное письмо/страничку - заражение пойдет с моего компа.
     

    Цитата:
    Насчет прерывания установленных сессий - ерунда, все итак работает, по крайней мере у меня. Например если я щас задизаблю правила на ISA, то чекунд через 30-60 открытая у меня страничка при обновлении запросит пароль.

    А это и будет новая сессия. (http запрос get)
     

    Цитата:
    Не понял о каких привелегиях связанных сервисов ты говоришь?

    Права скоторыми запускаются сервисы ISA и те, от которых он зависит.
     

    Цитата:
    "ему сказали" не катит, тебе решать как ограничивать доступ, а не ему и ISA тут вообще никаким местом к контроллеру не привинчивается, все разруливается на уровне прав учетных записей.

    Гм-м-м... тебе повезло, что у тебя не такой начальник как я...
    Замучался бы доказывать вышесказанное.
     
    shokmega

    Цитата:
    Просто хочет чтобы максимально обезопасить сервера и чтоб по сети не видны были всем. Не проще ли тогда выбрать какой-нить фаэрвол и реализовать это, что лучше сделать, подскажите?

    Если хорошо разбираешься в своей работе, то решай исходя из действительных задач.
    Да, поставив ISA на DC можно его хорошо защитить, но то же самое можно сделать и средствами самой ОС через IP-фильтрацию, политики и т.п.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 08:24 13-05-2004
    Pantalone



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JcVai

    Цитата:
    А что мешает мне, например как пользователю твоей локалки, открыть зараженное письмо/страничку - заражение пойдет с моего компа.  

    Ну Sasser работает по другому, он проникает в комп через уязвимость, а не через письма, поэтому появиться в первую очередь он мог только на шлюзе.
     

    Цитата:
    Права скоторыми запускаются сервисы ISA и те, от которых он зависит.  

    Запускаются от имени системной учетной записи.
     

    Цитата:
    Гм-м-м... тебе повезло, что у тебя не такой начальник как я...  
    Замучался бы доказывать вышесказанное.  

    Нет, ну а зачем ISA для этого дела использовать? Сам же говоришь  

    Цитата:
    то же самое можно сделать и средствами самой ОС через IP-фильтрацию, политики и т.п.

     
     
    Добавлено
    Off: хорошая штука - цитаты

    Всего записей: 728 | Зарегистр. 16-02-2004 | Отправлено: 09:38 13-05-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Pantalone

    Цитата:
    Ну Sasser работает по другому, он проникает в комп через уязвимость, а не через письма,  

    Тебе прислать письмецо, которое при открытии его оутлуком активизирует
    на компе зараненее выбранный код?
     

    Цитата:
    поэтому появиться в первую очередь он мог только на шлюзе.

    А что мешает ему "ударить" скозь шлюз?
     
     

    Цитата:
    Запускаются от имени системной учетной записи

    Значит ISA у тебя должен стартовать и корректно работать вне зависимости от DC.
    (если конечно используется stand-alone режим)
     

    Цитата:
    Нет, ну а зачем ISA для этого дела использовать? Сам же говоришь  


    Цитата:
    решай исходя из действительных задач

    Читать нужно впервую очередь то, что хотел сказать автор.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 11:25 13-05-2004 | Исправлено: JcVai, 11:27 13-05-2004
    Pantalone



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JcVai
    Уел меня по полной программе Такой я разэтакий и чайник в квадрате
     
    Зачем мне Sasser присылать, когда речь идет о стандартном проникновении?
    Говорю же на шлюзе он появился, потому что больше ни на одном компе его не обнаружилось.
     

    Цитата:
    А что мешает ему "ударить" скозь шлюз?  

    Это как? Вряд ли такое возможно. Хотя... Если только порты по которым он лупит открыты в ISA.
     

    Цитата:
    если конечно используется stand-alone режим

    Нет, все-таки я чайник, можно уточнить что это за режим?

    Всего записей: 728 | Зарегистр. 16-02-2004 | Отправлено: 18:57 13-05-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Pantalone

    Цитата:
    Такой я разэтакий и чайник в квадрате  

    Дык, дерзай и дорастешь до кофейника в кубе. ))
     

    Цитата:
    на шлюзе он появился, потому что больше ни на одном компе его не обнаружилось.

    Если ISA был отключен и система не пропатчена - то возможно,
    хотя не забывай, что из локалки атаковать намного проще...
    Блин, в оффтоп сваливаемся.
     

    Цитата:
    можно уточнить что это за режим?

    При установке сервера ты выбираешь режим работы (не путать с функциональностью):
    array или stand-alone. Первый вариант предназначен для объединения ряда ISA-серверов и часть конфигурации хранится в AD, второй - просто отдельный сервер,
    берущий настройки из реестра локальной ОС.
     
    Добавлено
    Кстати, из второго режима сервер можно поднять до первого, но не наоборот.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 08:10 14-05-2004
    shokmega



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Если хорошо разбираешься в своей работе, то решай исходя из действительных задач. Да, поставив ISA на DC можно его хорошо защитить, но то же самое можно сделать и средствами самой ОС через IP-фильтрацию, политики и т.п.

     
    Хорошо, спасибо, воспользуюсь советом, а то его бредовые мысли уже замучили. Сказал сделать доверительные отношения между доменами, а теперь хочет контроллеры как-то спрятать =)

    Всего записей: 449 | Зарегистр. 15-12-2003 | Отправлено: 12:05 15-05-2004
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)
    articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru