Laurent
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox
Ага, вчера только отсоединился от инета, полез опять в ИСУ, и доперло...  Собственно, это все и сподвигло начеркать описание...
ISA SERVER 2004 (ТОЛЬКО)
ОСОБЕННОСТИ конфигурирования ведения логов в базе Microsoft SQL (НЕ MSDE!)
Конфигурирование ведения логов ISA Server 2004 в MS SQL Server имеет некоторые отличия от ISA Server 2000... и довольно неожиданные...
Итак, приступим...:
1. Создаем в MS SQL базу (к примеру, с именем 'ISA') и таблицы для логов ISA Server. Скрипты для создания таблиц находятся в папке с установленным ISA Server. В отличие от ISA 2000, их всего 2, а не 3… Этот шаг я подробно не объясняю, все по аналогии с ISA 2000.
2. Создаем в MS SQL пользователя для ведения логов ISA server (SQL enterprise manager - "ВАШ_SQL_SERVER" - Security - Logins). Я создал пользователя ISA. Дайте ему возможность писать в базу, где у вас будут храниться логи… у меня эта база называется так же как и пользователь, ISA…. По этому рецепту SQL сервер должен находиться в смешанном режиме аутентификации WINDOWS + SQL. Как заставить ISA Server проходить Windows-аутентификацию, я не придумал. Почему - написано ниже…
2. Создаем System DSN: Start – Programs – Administrative Tools – Data Sources(ODBC), вкладка System DSN.
Если в создаваемом нами System DSN мы выберем Windows Authentication, ISA Server будет ломиться как пользователь NT AUTHORITY\NETWORK SERVICE, как я понял по ошибке в журнале событий…. Если не так – поправьте, мои контакты – ниже.
В данном примере для вышеописанного случая я пытался войти как пользователь домена MY-DOMAIN\Administrator. Вот то, что можно увидеть в журнале событий:
Цитата:
The Microsoft Firewall was unable to open ODBC Data Source ISA, Table: FirewallLog, under User Name [MY-DOMAIN\Administrator]. The ODBC Error description is: [State=28000][Error=18456][Microsoft][ODBC SQL Server Driver][SQL Server]Login failed for user 'NT AUTHORITY\NETWORK SERVICE'.
|
А вот что по этому поводу в помощи пишет Майкрософт, привожу кусок помощи на английском:
If you configure the DSN to use Windows authentication, grant appropriate access to the ISA Server computer. Note that in this case, credentials configured in ISA Server Management's logging properties are ignored for the specific log.
Честно говоря, до меня так и не дошло, где какой доступ дать, чтобы использовать Windows NT Authentication….ЕСЛИ РАЗБЕРЕТЕСЬ – обязательно отпишите!!!
Поэтому пошел по другому пути – воспользовался SQL Authentication… задал пользователя isa, задал пароль. Выбрал базу по умолчанию (в моем случае – ‘ISA’)…
Протестировал, источник данных доступен (Test Data Source)… Если тест не пройден, проверьте, правильно ли вы завели пользователя в SQL Server и дали необходимые права для записи.
3. ВНИМАНИЕ! ГРАБЛИ!!! ) Мало прописать пользователя и пароль в System DSN, его же надо прописать еще и в конфиге лог-файлов в ISA Server. )))
4. Разрешаем ISA Server’у писать логи в SQL:
ISA Management – Firewall Policy – Tasks - System Policy Tasks – Edit System Policy – Logging – Remote Logging (SQL). Ставим галочку Enable, на вкладке ‘To’ смотрим, чтобы SQL Server находился в пределах доступных сетей… У меня он на том же сервере, что и ISA Server, поэтому, добавил Local Host, исключил Internal.
ПОСЛЕСЛОВИЕ
Простите за безграмотный русский… Если что-то непонятно – поясню…
ВОПРОСЫ, ПОЖЕЛАНИЯ, ЗАМЕЧЕНИЯ, а также, если кто-то разберется с Windows-аутентификацией и правами, присылайте все на ICQ 100170641 или на почту r66[бобик]inbox[точка]ru.
PS: Кстати, очень полезно будет почитать статью на www.isaserver.org о том, что делать, когда в качестве хранилища логов используется SQL Server, и как избежать остановки ISA Server в случае невозможности записи логов в базу данных SQL. Могу перевести… Пишите…
PPS: Извините, что так сумбурно... болею...  (( |
Всего записей: 94 | Зарегистр. 04-06-2004 | Отправлено: 08:56 03-11-2004 | Исправлено: Laurent, 10:58 03-11-2004 |
|
