Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
<<< Предыдущая часть этой темы

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     

    продолжение шапки..

  • Всего записей: 11820 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007
    PIL123



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    У меня вопрос по VPN доступу по L2TP/IPSec.
     
    Для соединения с сервером по этому протоколу необходим установленный сертификат компьютера на стороне VPN клиента. При этом, проблем с коннектом компов из домена нет, т.к. этот самый сертификат раздаётся автоматически через GPO. А вот как быть, если машина не в домене и никакого сертификата на ней нет - как нужно его установить? Как правильно настроить доступ к сети по VPN только через L2TP/IPSec?

    Всего записей: 818 | Зарегистр. 25-06-2003 | Отправлено: 22:50 10-03-2007
    Dmakc

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Имеется W2K3 Server c  установленным на него ISA Server Standard 2006.
    Кроме того, на этой машине по воле случая пришлось поставить сервер терминалов, необходимый для доступа пользователей в интернет через маршрутизатор во в другом сегменте сети организации. При этом в этом сегменте люди пользуются NetBios с разрешенным гостевым доступом.
     
    В связи с этим появился вопрос - можно-ли для определенных локальных пользователей (пользователей терминальных сеансов) с помощью ISA запретить доступ через NetBios к хостам из определенной подсети?
     
    Я пробовал создать группу пользователей и правило, которое бы запрещало доступ для этой группы пользователей от Localhost в заданный сегмент. Но, что странно, при этом пропадает доступ не только для заданной группы пользователей, но и для всех остальных, включая администраторов. Т.е. создается впечатление, что ISA не может идентифицировать локальных пользователей, работающих с сетевыми ресурсами через NetBIOS. Или я что-то не так делаю?
     
    PS: Или возможны другие способы запрещения доступа к NetBIOS для определенных пользователей? Ищу уже третий день, но ничего стоящего не нашел.

    Всего записей: 14 | Зарегистр. 28-11-2004 | Отправлено: 00:00 11-03-2007
    PIL123



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Наличие бесперебойного Интернета бизнес критично для компании - для этих целей компания пользуется усоугами нескольких провайдеров. Гейтом в компании служит Microsoft ISA Server 2006 Enterprise Edition, и, честно говоря, на мой взгляд, является слабым звеном между локальной сетью компани и Интернетом. Подскажите, пожалуйста, как можно резервировать это слабое звено? Вроде краем глаза где в ИСЕ видел возможности кластеризации её.

    Всего записей: 818 | Зарегистр. 25-06-2003 | Отправлено: 02:41 11-03-2007
    simapupkin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, а то теряюсь в догадках. Перешел с ISA 2000 на ису 2006. Все прекрасно, да не все.    
       
    Перестали грузиться бездисковые станции. Соответственно RIS не работает.  
       
    Станции посылают PXE запрос на DHCP сервер. Получить ответ не могут и выдают сообщение-  
       
    PXE-E51: ProxyDHCP server did not reply to request on port 4011  
       
    Как разрешить стациям запросы по  порту 4011  UDP?  

    Всего записей: 41 | Зарегистр. 28-04-2005 | Отправлено: 19:44 11-03-2007
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vicwanderer
    а как у тебя исы видят друг друга?
     
     
    Добавлено:
    PIL123
    через веб интерфейс, описано в любой книге или статье про l2tp
     
    Добавлено:
    Dmakc
    интересно а как по твоему юзера аутенфикацию проходить будут? почитай какие типы клиентов поддерживают аутенфикацию пользователей, а потом этот бред пиши
     
    Добавлено:
    PIL123
    две исы в array
     
    Добавлено:
    simapupkin
    создай правило разрешающее этот протокол.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:50 12-03-2007
    simapupkin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    simapupkin  
    создай правило разрешающее этот протокол.

     
    PXE-E51: ProxyDHCP server did not reply to request on port 4011  
     
    Создал 2 првила:
    протокол UDP:4011 прием/ответ
     
    откуда - везде
    куда - локальный компьютер
     
    откуда - локальный компьютер
    куда -  внутренняя.
     
    пользователи - все  
     
    И безрезультатно.
     
    Интересно то, что с такой ошибкой вылетают только станции с PXE загрузкой которые грузят ораз из RIS. Другие с ємулятором бутрома, получают IP (у них резервирование в ДХЦП) и имя файла для загрузки. А дальше - висят. Не могут образ скачать.  
     
    Где копать?
     
    Еще вопросик - где отключить клиентов SNAT, а оставить доcтуп в инет только клиентам WEBproxy?
     
     
     
     
     
     

    Всего записей: 41 | Зарегистр. 28-04-2005 | Отправлено: 14:17 12-03-2007 | Исправлено: simapupkin, 14:34 12-03-2007
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    simapupkin

    Цитата:
    Еще вопросик - где отключить клиентов SNAT, а оставить доcтуп в инет только клиентам WEBproxy?  

    нигде, можешь запретить nat как таковой но клиенты всегда будут

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:44 12-03-2007
    NikolaPitersky



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ помогите пожалуйста!
    Не работает активация windows xp oem через isa 2004
    комп подключается по dhcp не в домене, при этом инет работает отлично

    Всего записей: 39 | Зарегистр. 09-09-2005 | Отправлено: 14:48 12-03-2007
    simapupkin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    simapupkin  
     
    Цитата:Еще вопросик - где отключить клиентов SNAT, а оставить доcтуп в инет только клиентам WEBproxy?  
     
     
    нигде, можешь запретить nat как таковой но клиенты всегда будут  

     
    Тоесть клиенты SNAT всегда смогут ехать в инет без настроек прокси в броузере? прикол!
     
    Значится все решаем через аудентификацию?

    Всего записей: 41 | Зарегистр. 28-04-2005 | Отправлено: 14:58 12-03-2007
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    simapupkin
    ты сначала напиши что ты конкретно хочешь, а потом глупости пиши
    само выражение отключить snat клиентов означает вытащить у них провод из сетевухи
    если ты хочешь именно веб трафик пустить только через прокси (чтобы без настроек про) то запрети "transparent http", как это сделать есть на офсайте. но в monitoring->sessions snat rlbtyns будут всегда, это так должно быть и это вовсе не означает что кто то лезет в инет мимо прокси

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:07 12-03-2007
    simapupkin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    simapupkin  
    ты сначала напиши что ты конкретно хочешь, а потом глупости пиши  
    само выражение отключить snat клиентов означает вытащить у них провод из сетевухи  

     
    Есть локальная сеть с локальным веб сервером.  
    Задача (так оно было до переезад на с 2000 на ISA 2006) - рабочим станциям у которых в броузере не прописан прокси сервер, не дать выхода в интернет, но дать доступ к локальному сайту.  
    Локальный сайт опубликован на внешнем интерфейсе ISA. Значится сделав правило запрещающее порт 80 для всего исходящего трафика из интранет в интернет, мы закроем достут к сайту.  

     

    Всего записей: 41 | Зарегистр. 28-04-2005 | Отправлено: 18:04 12-03-2007
    vlazari



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Вопрос для спецов, любителей ISA 2004, ISA 2006 & RRAS VPN. Не люблю я настройки VPN в ISA 2004-2006. Пользуюсь средствами Routing and Remote Access в Windows Server 2003. На ISA 2000 у меня всё прекрасно работало. С переходом на ISA 2004 очень удивился, что RRAS VPN нельзя использовать, только встроенные в ISA. Недавно перешёл на ISA 2006 и обнаружил что там RRAS работает независимо от ISA (помню в ISA 2004 при отключении встроенного VPN  - сразу отрубался RRAS). Так ли это, действительно ли Microsoft решили что многим этот способ больше подходит... Можно ли этим пользоваться? Жду ваших комментариев. Также прошу написать кто чем пользуется для VPN.

    Всего записей: 243 | Зарегистр. 20-09-2005 | Отправлено: 18:50 12-03-2007
    vicwanderer

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted,
    "а как у тебя исы видят друг друга? " так они и не видят. Пинги со шлюза1 на шлюз2 не проходят. Трейсы со шлюза1 на шлюз2  уходят через другую сетевую карту, а именно через 192.168.44.2/30. Хотя должны идти через 192.168.113.22/30.
    Как это исправить?
     

    Всего записей: 545 | Зарегистр. 25-12-2005 | Отправлено: 19:19 12-03-2007
    Dmakc

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted

    Цитата:
    интересно а как по твоему юзера аутенфикацию проходить будут?

     
    С моей точки зрения, пользователи аутентифицировавшиеся при входе в систему (при локальном входе на сервер с ISA) прошли аутентификацию и обладают идентификаторами пользователя/группы - т.е. их трафик можно идентифицировать и должна существовать возможность управлять этим трафиком. Но опыт показывает, что хотя для трафика от обычных приложений это так, но для трафика от системных служб (в т.ч. и сетевых) это не так. Или я что-то не правильно понимаю?
     

    Цитата:
    почитай какие типы клиентов поддерживают аутенфикацию пользователей, а потом этот бред пиши

     
    Прошу прощения, но я ничего не утверждал, а лишь задал вопрос. Если я не правильно его задал - поправьте и я буду благодарен. В противном случае любое высказывание можно с известной долей уверенности называть бредом и стоять на своем. Вот только толку в этом мало...

    Всего записей: 14 | Зарегистр. 28-11-2004 | Отправлено: 20:27 12-03-2007
    Asker80



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    С моей точки зрения, пользователи аутентифицировавшиеся при входе в систему (при локальном входе на сервер с ISA) прошли аутентификацию и обладают идентификаторами пользователя/группы - т.е. их трафик можно идентифицировать и должна существовать возможность управлять этим трафиком. Но опыт показывает, что хотя для трафика от обычных приложений это так, но для трафика от системных служб (в т.ч. и сетевых) это не так.  

    Бред. Обычные приложения, это что, браузер? Аутентификация возможна либо для WebProxy клиентов, либо для FWC клиентов. Все. В первом случае это только Web трафик, во втором требуется установить FWC на клиентских машинах.
    За подробностями отсылаю к мануалам, а то слишком много придется объяснять.  
    Аутентификация возможна в рамках какого-то протокола, определяющего/поддерживающего данный тип аутентификации. Протокол - это часть трафика вообще. Так сказать, одно заключено в другое, а другое в третье. Принцип матрешки (очень грубо и приближенно, но идея, надеюсь, ясна?). А в твоем представлении все наоборот

    Всего записей: 482 | Зарегистр. 29-08-2005 | Отправлено: 07:42 13-03-2007 | Исправлено: Asker80, 07:49 13-03-2007
    vicwanderer

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа, ну и где товарищи которые распинались что ИСА это суперкорпоративный фаервол? Пока что помощь в настройке ВПН мне пытается оказать только hardhearted.
    За что ему отдельное спасибо.  
    Если надо ipconfig, tracert или route print вы говорите - выложу.

    Всего записей: 545 | Зарегистр. 25-12-2005 | Отправлено: 10:57 13-03-2007
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    simapupkin
    давай не будем путать исходящий и входящий трафик, опубликованный сайт это уже входящий трафик, и запретив "прозрачный" http ты не испортишь свою публикацию.
    заставить юзать только прокси для веб трафика можно требя способами
    1. пропускать веб только для аутенфицированных пользователей и при этом не ставить fwc на компы
    2. вообщек отключить nat между сетями (если есть службы которые должны идти в инет то не катит)
    3. запретить "transparent" http
     
    Dmakc
    написал полнейший бред, с чего ты взял что авторизация и аутенфикация в домене позволит тебе аутенфицировать весь трафик? это соверншенно разные и независимые вещи то что ты в домене получаешь тикет это не значит что он для всего подходит, этот тикет нужен только для работы в домене по некоторым протоколам. Аутенфикация юзера в случае исы совсем другое и поддерживается только тремя видами клиентов
    1 proxy (требуется настройка в приложении) , как частный случай веб прокси которым является иса, хотя можно поставить и левые socks5 прокси. работает конечно же только для програм которые умеют ходить через прокси.
    2. firewall client, в принципе его работа  основана на winsocks, то есть действует почти как прокси, его задача перехватывать трафик от приложений и кидать на ису вместе информацией об аутенфикации(это его главная и наверное единственная польза). работает только для трафика tcp/udp
    3. vpn client, с ним все понятно, весь трафик идущий по vpn каналу считается трафиком идущим от юзера который этот канал установил. таким образом аутенфицируется любой тип трафика способный работать через впн.
    в случае когда юзера сидят на исе тебе ни один из типов клиентов не годиться для netbios трафика и это вполне очевидно (fwc на ису ставить нельзя).
     
    Добавлено:
    vicwanderer
    а ты маршруты написал на исе что в другой офис надо через другой интерфейс ходить? все куда через третий интерфейс идет трафик надо включить в отдельный, третий, network.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:39 13-03-2007
    dandy2000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не бейте сразу...
     
    Как заставить ИСУ 2004 пускать Counter Strike в нет?
     
    Пытался порты открывать - ничего не изменилось (((

    Всего записей: 1443 | Зарегистр. 15-01-2003 | Отправлено: 15:29 13-03-2007
    simapupkin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    simapupkin  
    давай не будем путать исходящий и входящий трафик, опубликованный сайт это уже входящий трафик, и запретив "прозрачный" http ты не испортишь свою публикацию.
     
    Публикацию не испорчу. Только клиенты SNAT не будут иметь к нему доступ. Так как линк и IP у него одинаковый, что снаружи то и изнутри. Проверял!  
     
     

    Цитата:
    заставить юзать только прокси для веб трафика можно требя способами  
     
    Неvножrо не на то ответ. У меня в инет ехали все клиенты webproxy, а к локальному сайту доступ для snat и webproxy.  
     

    Цитата:
    1. пропускать веб только для аутенфицированных пользователей и при этом не ставить fwc на компы
     
    Дык я выше и писал - что все решаем аудентификацией.  
    А fwc у меня и не получится - Linux однако.  
     

    Цитата:
    2. вообщек отключить nat между сетями (если есть службы которые должны идти в инет то не катит)  
     
    Полность согласен. Не катит.  
     

    Цитата:
    3. запретить "transparent" http
     
    Я так понял, ты про это  
    http://support.microsoft.com/?kbid=884505  
    У меня есть пару ресурсов которые не допускают использование прокси.  
     
    По мне так выпускать всех через аудентификацию и не парить себе и окружающим мозги.

    Всего записей: 41 | Зарегистр. 28-04-2005 | Отправлено: 16:16 13-03-2007
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)
    emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru