Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

   

vamp



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

  • Microsoft Internet Security & Acceleration Server Home - сайт производителя

  • - необходимо посетить начиная работу с ISA Server

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
     
    Подробнее...

  • Всего записей: 121 | Зарегистр. 30-01-2002 | Отправлено: 16:46 10-04-2002 | Исправлено: Leonid_Z, 16:31 26-09-2005
    st23



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    NEED
    Твое первое и так понятно, что можно и так и эдак иначе бы у меня вопрос и не возник если бы был один вариант установки.
     
    С твоим вторым полностью согласен но еще остается вариант со вторичным доменом, который не берет права с основново домена, а тащит свои учетные записи, плюс настройка доверий между  доменами и впринципе работать должно, но это осьминог какой-то получается.
     
    Насчет четвертого хм... совет конечно интересный, и я и без него знаю что второй нужен только это зависит от финансов которые не выделяются.
     
    Хм... AS ну правильно только SS нажо еще встаит поискать, а AD под руками валяется, так что мог бы и не умничать.
     
    Вобщем из того что ты написал делаю вывод: Поствить ИСУ без домена просто на вторую тачку которая входит в сеть, так?

    Всего записей: 66 | Зарегистр. 16-06-2004 | Отправлено: 08:35 04-10-2004
    Laurent

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Стоит ISA Server 2000 SP2 на контроллере домена под управлением 2003 Server, и кладет свои логи в SQL Server 2000 SP3. К несчастью, стоит куча еще другой гадости - Терминальные службы Citrix Metaframe, Apache, FTP-server, DHCP, и прочее, прочее )))
     
    При загрузке не применяются пакетные фильтры и/или не запускаются службы ИСЫ, кладущие логи в SQL. Напрашивается мнение, что ISA стартует до SQL Server, и после безуспешной попытки положить что-то в лог через System DSN, не запускает службу, должную логиться в SQL....
     
    Поэтому, вопрос - как настроить зависимости служб, или же, если кто сталкивался, подскажите, как избежать сих печальных последствий.
     
    Добавлено
    st23
     
    Идеальный вариант:
     
    1. Два сервера - контроллера домена. Для надежности .
    2. Еще один сервер, НЕ контроллер домена - под ису.
    3. Сервер на котором стоит ИСА включить в домен, но не делать контроллером домена. При этом в полисях можно будет использовать учетные записи пользователей домена, но при этом, учетные записи с паролями НЕ будут храниться на сервере с исой.
     
    ЕСЛИ НЕ ПРАВ - ПОПРАВЬТЕ
     
    Мой путь более экстремальный )) Поскольку в распоряжении только два сервака, приходится из двух зол выбирать - либо один контроллер домена и один сервак с исой, либо два контроллера домена и на одном из них иса.  
     
    Безопаснее извне но менее надежно с точки зрения отказоустойчивости AD поставить один контроллер домена и один сервер с исой.
     
    Мне в силу причин пришлось выбрать второй вариант.
     
    NEED
     
    Насчет равноправности - оно конечно так, но не совсем... Существует такое понятие как мастер операций )) Так что о полной равноправности все равно говорить не приходится.
     
    Насчет двух контроллеров - у меня в сетках филиалов по 5-9 машин ))) Не жирно ли два контроллера на них вешать?

    Всего записей: 94 | Зарегистр. 04-06-2004 | Отправлено: 09:18 05-10-2004 | Исправлено: Laurent, 09:58 05-10-2004
    NEED



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    st23
    Сервак включаешь в домен, но не делаешь его контроллером домена. На него ставишь ИСУ.
     
    Laurent
    Это конечно твое дело, но у меня на филиале 3 компа. 2 из них выполняют функции контроллеров домена. При этом рабочая машинка только одна. На серваках никто не работает кроме меня в терминале, если что настроить нужно.
     
    По твоему вопросу. Посмотри, какой сервис не стартует, поставь в его свойствах на закладке Recovery First failure и т.д. Restart the service. Ну и так далее. Сам разберешься, все просто, как дети в школу.

    Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 10:37 05-10-2004 | Исправлено: NEED, 10:41 05-10-2004
    RandomUser



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А кто нибудь публиковал Citrix MF3 на серваке windowsserver2003 за исой 2004-ой??? если да просьб стукнуть в пм а то чаго-то у меня не хотит никак...или тут отписать какие настройки для этого нужны... WEB от цитрикса опубликован намано а вот приложения не запускаются ошибка - There IS no Citrix Metaframe Server configured on the specified adress.

    Всего записей: 586 | Зарегистр. 12-02-2004 | Отправлено: 16:41 05-10-2004
    id83

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Товарищи, скажите мне пожалуйста, как мне в исе2000 заблокировать для пользователей слова sex и games, ни как не могу найти, где это можно прописать.
    Дайте хинтец.

    Всего записей: 259 | Зарегистр. 20-05-2003 | Отправлено: 09:59 06-10-2004
    NEED



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    RandomUser
    Я не публиковал. У меня другой подход - юзер подключается по VPN, а потом идет туда, куда ему надо. Плюсы - защищенный канал, доступность всех портов компа, к которому нужно подключиться, нужно только роутинги настроить правильно. Минус - та же доступность ко всем портам компа, то есть можно хватануть вирусяку. Выход из ситуации в создании DMZ для VPN-подключений.
     
    id83
    В принципе твоя проблема решаема, но не без помощи сторонних прог. Поможет LanGuard for ISA server. Прога в принципе рульная (пробовал пару лет назад) но кое-какие вещи мне не понравились. Хотя, если основательно подойти к настройке...
     
    Если я в чем-то не прав - поправьте меня.

    Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 11:10 06-10-2004
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    у кого были глюки с 2004? А то у меня что-то она режет smtp на разрешающем(!!!!!) правиле! блин...

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 11:23 06-10-2004
    NEED



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    greenfox
    Где-то читал инфу по этому вопросу. Там вроде SMTP фильтр в ISA не знает команду AUTH. По-этому ее просто нужно добавить.

    Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 11:53 06-10-2004
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    NEED

    Цитата:
    Где-то читал инфу по этому вопросу. Там вроде SMTP фильтр в ISA не знает команду AUTH. По-этому ее просто нужно добавить.
    это команда есть... проверил... да я и фильтр отключал, не помогает... конючит и всё - у меня в фильре пакетном только одно запрещ правтло - дефолтовое, сомое последнее, а иса режет то на первом то на втором, которые разрешаюшие!!!! Как такое может быть!? вот парюсь сижу...

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 12:04 06-10-2004
    Damnien



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    id83
    Попробуй SurfControl - она, вроде, может...
     
    ALL
     
    А вот у меня проблема -  
    при подключении удалённого клиента по RRAS и попытке залезть в инет isa2000 режет его.. В логах фаервола

    Цитата:
    2004-10-0600:00:19  192.168.1.200  255.255.255.255  Udp  137 137  BLOCKED  ***.***.***.***

    Где 192.168.1.200 - адрес моего сервера, который присваевается серверу RRAS.
    Как бороть? Тупо открыть, посчитав, что 255.255.255.255 - это удалённый комп?
     
    При этом почта через MDaemon, который на этом сервере крутится,  работает нормально...
     
    Добавлено
    vamp
     
    Порт для клиентов меняется - правой кнопкой на сервер в консоли isa-свойтсва-outgoing web requests...

    Всего записей: 693 | Зарегистр. 04-05-2003 | Отправлено: 11:19 07-10-2004 | Исправлено: Damnien, 11:32 07-10-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Damnien

    Цитата:
    2004-10-0600:00:19  192.168.1.200  255.255.255.255  Udp  137 137  BLOCKED  ***.***.***.***  


    Цитата:
    Где 192.168.1.200 - адрес моего сервера, который присваевается серверу RRAS.  
    Как бороть? Тупо открыть, посчитав, что 255.255.255.255 - это удалённый комп?

    Вообще то данная запись логов не имеет отношения к пропусканию в и-нет.
    Если RAS поднят на сервере с ISA, то стоит попробовать добавить его адреса в LAT и разрешить dns lookup с сервера.
    Кроме того, стоит проверить таблицу роутинга на сервере и настройки браузера (прокси) у клиента.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 13:19 07-10-2004 | Исправлено: JcVai, 13:19 07-10-2004
    Damnien



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JcVai
    В lat добавлено сразу было...  
    Интерестно то, что isa даже не откликается на запросы на этот интерфейс... При этом с двумя другими, которые в два сегмента сети смотрят - всё в порядке...
    у клиента - всё ок...
    а на серваке что должно быть? имеется ввиду таблица видов или isa?

    Всего записей: 693 | Зарегистр. 04-05-2003 | Отправлено: 11:53 08-10-2004
    EzhickATwork

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Что ставить " с нуля" для небольшой сетки (будет порядка 10 компов, сейчас - 5) 2000 или 2004 версию? Сейчас стоит винроут, но он задолбал...

    Всего записей: 37 | Зарегистр. 07-06-2004 | Отправлено: 10:51 11-10-2004
    Laurent

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую... Не пинайте ногами, знаю, что ковыряться доллго, кто знает - ответьте...
     
    Имею филиал, в нем стоит иса 2000, домен, к примеру, М107. Имею головной офис, в нем своя локальная сеть, домен, к примеру, К78.... Хочу перенаправлять весь трафик из филиала с доменом М107 на ису в главном офисе(на вебпрокси), домен К78, для того, чтобы через исовый веб-прокси в главном офисе проходил весь веб-трафик филиала.
     
    Возможно ли такое, и в общих чертах, что надо будет сделать? Самыми общими словами, типа того, просто ли можно будет ограничиться указанием в исе филиала upstream-ISA ?

    Всего записей: 94 | Зарегистр. 04-06-2004 | Отправлено: 11:23 11-10-2004
    Refugee

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Damnien
    RAS клиенты не работают через ISA 2000, если RRAS сервер на том же компе. Ставь Firewall client пользователю, или используй SOCKS, или переходи ISA2004, или разноси RRAS и ISA на разные машины

    Всего записей: 513 | Зарегистр. 31-03-2004 | Отправлено: 20:30 11-10-2004
    Damnien



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Refugee
    Firewall client ставил - то ж самое...
    Млин... Ладно, сделаем через одно место... Влепим рядышком с isa  другой маленький  
    проксик... В связи с этим - какой попроще? Безо всяких там NATов, фаеров, и проч...

    ----------
    - Джек, что ты можешь сделать за деньги?
    - За деньги? Я могу сделать... Всё.

    Всего записей: 693 | Зарегистр. 04-05-2003 | Отправлено: 09:13 12-10-2004 | Исправлено: Damnien, 09:14 12-10-2004
    JcVai



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Damnien
    Проверь, что бы у клиента был настроен прокси в браузере (адрес:порт) и, соответственно, что бы он авторизировался с учеткой "домен\аккаунт", если доступ через них.
     
    EzhickATwork
    Без разницы - смотри по фичам, но мне 2004 не нравится.
     
    Laurent
    Нужно указать в роутинге upstream и в свойствах внешнего сетевого интерфейса прописать адрес ISA главного офиса гейтом по умолчанию.
    Тогда весь трафик будет идти через "K78".
    Кста, не забудь разрешить данный трафик на ISA в "К78".
     
    Если нужно роутить только траффик, идущий через http-прокси,
    то достаточно просто upstream.
     
    Refugee
    При нужной заточке конечностей - все работает и на одном сервере.

    Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 10:39 12-10-2004 | Исправлено: JcVai, 10:43 12-10-2004
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    у кого были глюки с 2004? А то у меня что-то она режет smtp на разрешающем(!!!!!) правиле! блин...
    нашёл вроде... у него (почтовика) шлюз был прописан так же иса2004 - поменял на гейт главный - заработал нормально вроде...
     
    Кстати вопрос в догонку, как лучше эксчендж в инет пустить - секьюр-нат или FWC - при условии что он не опубликован (те только наружу отсылает)!?

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 11:28 12-10-2004 | Исправлено: greenfox, 11:29 12-10-2004
    Refugee

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JcVai

    Цитата:
    При нужной заточке конечностей - все работает и на одном сервере.

     
    Рецепт в студию, пожалуйста

    Всего записей: 513 | Зарегистр. 31-03-2004 | Отправлено: 13:03 13-10-2004
    Laurent

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JcVai - Спасибо, попробую.
     
    Вопрос ко всем..
     
    Имеет место быть следующая ситуация http://steinelural.ru/netmap.jpg
     
    Необходимо организовать доступ рабочей станции на складе к веб-серверам.
     
    В главном офисе стоит сервак с ISA Server, который слушает Outgoing Web Requests на порте 8080. На складе стоит рабочая станция, которая находится за файрволом сторонней организации, у которой арендуется склад. Рабочей станции на складе файрволом сторонней организации разрешено ходить только по 25 и 110 портам.
     
    Возникает идея - использовать прокси, слушающий запросы на 110 порте, в данном случае, ISA Server в главном офисе. Ладно, фиг с ним, если бы порт 8080 был доступен машине на складе, опубликовал бы его на ISA Server и все. А вот можно ли сделать так, чтобы запрос от машины на складе шел на ису, на порт 110, а она бы перенаправляла его не на локальный айпишник сервера, порт 110, а на 8080?
     
    Используется 2000 ИСА. Какая ситуация в 2004 ИСЕ? Такая же?

    Всего записей: 94 | Зарегистр. 04-06-2004 | Отправлено: 16:05 14-10-2004 | Исправлено: Laurent, 16:11 14-10-2004
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)
    articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru