Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
<<< Предыдущая часть этой темы

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
    продолжение шапки..
    • Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007
    T0m0

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ! Кто подскажет как правильно настроить правило в ISA 2004  чтобы компьютеры внутри локалки могли активировать лицензионный Win XP?  
     
    Все что я нашел:
    http://support.microsoft.com/kb/291983
     
    Windows Product Activation uses the following ports:  
    80 - HTTP
    443 - HTTPS  
    MORE INFORMATION
    For Windows Product Activation to succeed, configure firewalls or other devices that are between the client and the Internet to allow traffic to pass over ports 80, and 443.
     
    You can use Microsoft Internet Explorer or other Internet browsers to test connectivity through these ports.
     
    To test whether port 80 is open: 1. Open Internet Explorer.Type http://www.microsoft.com:80 in the Address bar, and then press ENTER.  
    2. Type http://www.microsoft.com:80 in the Address bar, and then press ENTER.  
    To test whether port 443 is open: 1. Open Internet Explorer.Type https://www.microsoft.com:443 in the Address bar, and then press ENTER.  
    2. Type https://www.microsoft.com:443 in the Address bar, and then press ENTER.  
    If you can access the Microsoft Web site each time, ports 80 and 443 are accessible.
     
    If your browser displays an error message such as "connection timed out," the corresponding port may be blocked.  
     
    Эти порты открыти и работают.
     
    в логах иса пишет:
     
    Original Client IP    Client Agent    Authenticated Client    Service    Referring Server    Destination Host Name    Transport    HTTP Method    MIME Type    Object Source    Source Proxy    Destination Proxy    Bidirectional    Client Host Name    Filter Information    Network Interface    Raw IP Header    Raw Payload    GMT Log Time    Source Port    Processing Time    Bytes Sent    Bytes Received    Cache Information    Error Information    Log Time    Client IP    Destination IP    Destination Port    Protocol    Action    Rule    Result Code    HTTP Status Code    Client Username    Source Network    Destination Network    URL    Server Name    Log Record Type
    0.0.0.0    Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.1)    No    Proxy        wpa.one.microsoft.com    TCP    GET            -    -        -        -    -    -    22.10.2007 8:46:00    0    500    4513    158    0x4    0x0    22.10.2007 12:46:00    192.168.0.2    192.168.0.1    3128    http    Denied Connection    internet        12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.     anonymous    Internal    External    http://wpa.one.microsoft.com/    EST-S-PX1    Web Proxy Filter
     
     
     
    Вероятно что то в способе авторизации.
     
    Нашел еще один линк
    http://technet.microsoft.com/en-us/library/bb490216.aspx
     
    Вообщем я в правиле в distanetion прописал  
    http://go.microsoft.com/*  
    https://sls.microsoft.com/*  
    https://sls.microsoft.com:443  
    http://crl.microsoft.com/pki/crl/products/MicrosoftRootAuthority.crl  
    http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl  
    http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl  
    http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl  
    http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl  
     
     
    Может дело в типе аутентификации? почему то пишет что не firewall filter а web proxy.
     
    Как можно настроить чтобы иса пропускала активацию XP? кто как делал?
    Всего записей: 3 | Зарегистр. 19-09-2007 | Отправлено: 13:07 22-10-2007
    Newsalli

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите, пожалуйста!!
    Из уже работающей сети без ISA сервера необходимо построить следующюю сеть:
    ISP---------ISA-----switch---LAN
                     |
                 D-link
                     |
                  DMZ
    Проблема в том, что ISA не видит адреса, находящиеся за D-Link/ Может я что-то упустила???
    Всего записей: 11 | Зарегистр. 22-10-2007 | Отправлено: 13:49 22-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    T0m0
    у тебя клиенты аутенфикацию не проходят, в логах светится анонимус
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:14 22-10-2007
    FaustOVO



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Newsalli
    Если у тебя только 2 сетевухи на борту то у тебя то же что у меня Если нет то не знаю
    http://www.isadocs.ru/articles/Network-Behind-A-Network.html
    как это делал я может кто поправит
    1. на ISA сервере настраиваешь маршрутизацию
    2. создаешьв subnet-ы в toolbox NetworkObjects
    3. создаешь в networks сеть (я назвал периметр) туда вбухиваешь свои подсети
    4. в Network Rules создаешь правило что туда - сюда - NAT (почему - реально не понимаю должно быть роут по идее )
    5. Делаешь правила доступа в полисях.
    Всего записей: 306 | Зарегистр. 10-01-2007 | Отправлено: 14:37 22-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Newsalli
    а что ты уже построила?
    для твоей топологии надо три интерфейса и должно быть соответственно три network на исе
     
    Добавлено:
    FaustOVO
    неправильно
    если у тебя две сетевухи то и network'ов должно быть два, об этом в том документе и написано.
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:37 22-10-2007
    T0m0

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    у тебя клиенты аутенфикацию не проходят, в логах светится анонимус

    У меня аутентификация "integrated"
    т.е. в интернет эксплорере пользователи аутентифицируются на основе учетной записи под которой они залогинились на комп. Причем интернет соответсвенно работает.
     
    При активации Виндус спрашивает адрес и порт прокси, но не спрашивает логин и пароль. Что нужно изменить? что нужно прописать в правиле исы, чтобы она пускала??
    Всего записей: 3 | Зарегистр. 19-09-2007 | Отправлено: 14:53 22-10-2007
    FaustOVO



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    Ну во всяком случае у меня щас все работает а вот как правильно сделать мне никто не сказал - зато пропали всякие алерты
    Всего записей: 306 | Зарегистр. 10-01-2007 | Отправлено: 15:03 22-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    T0m0
    никогда винду не активировал
    скорее всего не умеет эта служба проходить аутенфикацию
    поставь анонимное правило
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:03 22-10-2007 | Исправлено: hardhearted, 15:14 22-10-2007
    Newsalli

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    у меня три сетевых карты: WAN? LAN и DMZ.
    Всего записей: 11 | Зарегистр. 22-10-2007 | Отправлено: 15:16 22-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Newsalli
    ну тогда все просто
    wan - external, lan - internal, dmz - dmz
    первые две сетки настраиваются стандартно, а в network dmz включешь все сети которые должны быть доступны через эту сетевуху, то есть сетку между исой и длинком и все сетки что за длинком
    ну если длинк в режиме роутера то на исе пишешь route add для всех сеток в которые надо через длинк попадать
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:30 22-10-2007
    FaustOVO



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    Ну а если все же 2 сетевухи LAN и WAN? тогда как правильно?
    Всего записей: 306 | Зарегистр. 10-01-2007 | Отправлено: 15:59 22-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FaustOVO
    тогда все будет зависеть от того куда ты эту dmz хочешь засунуть, либо это будет у тебя часть internal либо часть external
    но в этом случае будет только два network
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:25 22-10-2007
    FaustOVO



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    Internal - но если его запихнуть в internal - то будет ругань на спуффинг.
    Всего записей: 306 | Зарегистр. 10-01-2007 | Отправлено: 16:44 22-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FaustOVO
    а роутинг кто прописывать будет?
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:50 22-10-2007
    FaustOVO



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Роутинг прописан в том то и дело
    Всего записей: 306 | Зарегистр. 10-01-2007 | Отправлено: 17:19 22-10-2007
    T0m0

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    T0m0  
    никогда винду не активировал  
    скорее всего не умеет эта служба проходить аутенфикацию  
    поставь анонимное правило

     
    Правило стоит для All users
    Галочка Require all users to authenticate снята
     
    Как профиксить ?
    Как заставить виндус активироваться через ISA?
    Всего записей: 3 | Зарегистр. 19-09-2007 | Отправлено: 17:35 22-10-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FaustOVO
    смотря где и как прописан
    например у тебя есть твоя сетка (internal), есть внешний мир (external) и есть некая левая сетка, в которую можно попасть через роутер находящийся в internal и имеющий адрес из internal. эту левую сетку ты пишешь в internal и на исе пишешь маршрут в нее через этот роутер. аналогичные маршруты надо написать на всех хостах на которые будут лазить из той левой сетки, иначе tcp stateful filter ругнется, и правильно сделает: из левой сетки начинают соединение с компом из твоей локалки, этот пакет с роутера пойдет напрямую на комп минуя ису (что верно, роутер то в твоей локалке, незачем через ису гонять если можно напрямую), но твой комп, если ты маршрут не напишешь, про роутер не в курсе, и пошлет ответ через ису, иса увидит что ответ пришел и запроса то не было, вот и ругнется. об этом кстати в той статье все написано.
     
    T0m0
    твои логи говорят что иса запросила аутенфикацию
    у тебя только анонимное правило или другие есть?
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:37 22-10-2007
    Newsalli

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
     

    Цитата:
    ну если длинк в режиме роутера то на исе пишешь route add для всех сеток в которые надо через длинк попадать

    напишите поподробнее, где и как прописать.
    сама я пробовала в командной строке прописать route add -p *.*.*.* (ip сети) mask *.*.*.*  *.*.*.*(ip длинка)
    Всего записей: 11 | Зарегистр. 22-10-2007 | Отправлено: 08:34 23-10-2007
    FaustOVO



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    все это замечательно кроме одного  
    У меня этих подсетей 10 штук, всего где то 200 устройств - устанешь прописывать
    К Цыске у меня доступа нет она у прова стоит, он услуги предоставляет по комутации.
    Если подробнее
     
    ISP------------------------------
                                  |  ISA   |
    LAN---------Router-------------
                       |  
                    DMZ  
     
    Lan - 192.168.0.0/255.255.255.254
    DMZ - 192.168.8.0-192.168.24.0 (c разрывами)
    ISA - 192.168.0.2
     
    Router из нутри каждой подсети 192.168.подсеть.254
    из лана роутер - 192.168.1.254
     
    Вот
     
    Добавлено:
    Newsalli
    Наверно проще запустить оснастку маршрутизация и удаленный доступ и там уже внести, заодно проверишь что маршрутизация поднята
    Всего записей: 306 | Зарегистр. 10-01-2007 | Отправлено: 10:19 23-10-2007
    Newsalli

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FaustOVO
    где ее запускать?? Я новичок, все изучаю сама, так что напишите подробнее.
    Всего записей: 11 | Зарегистр. 22-10-2007 | Отправлено: 10:35 23-10-2007
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)
    emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru