emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору <<< Предыдущая часть этой темы Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   продолжение шапки.. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007

Tim2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору фуф, со своей проблемой разобрался, открыв отдельным правилом 1723 и 47 протоколы   Angoim днс, дхцп открой. а проксю каг указываеж? порт 8080 ? Всего записей: 860 | Зарегистр. 07-11-2006 | Отправлено: 07:25 16-11-2007

DiZka Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ помогите... поставил ISA 2006 (инет прямой ип - локалка) вроде как настроил... щас политика такая лишь бы настроить чтоб юзеры не орли а патом детально настраивать.... Настроил HTTP инет пашет аська тоже пашет единственное пока не могу заставить работать почту POP/SMTP не принимает и не отправляет почту с mail.ru ну и соответственно с других ящиков... Авторизации щас пока нет еще не разбирался.... Все правил щас: Все пользователи   На клиентах не стоит Firewall Client как я понял он не нужен...   Делю правило Протоколы DNS POP3 SMTP Откуда: Внутрення Локальный компьютер Куда Внешняя Условия: Все пользователи     ПОчему не хочет проверять отправлять почту?... Очень надо сделать юзера съедят щас Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 10:25 16-11-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DiZka нат между internal и external включил клиенты ису как шлюз по умолчанию используют? в логи то глядеть пробовал? Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 23:03 17-11-2007

dimbat Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Господа, подскажите. Достаточно старая проблема с невозможностью многих антивирей обновляться через иса-клиент. Наткнулся на более-менее грамотное объяснение на isaserver.ru, что мол апдейт из-под системной учетки лезет, вот иса и игнорирует. Пробовал с помощью FwcCreds.exe задавать для нужных процессов локальную учетку. Прописывается, но не помогает. Закачку вручную апдейтов, создание внутреннего сервера апдейта, подъема внутренней прокси не предлагайте. Понятно, что это всё работает, но моим нескольким тысячам пользователей это не объяснишь. Расскажите, кто-нибудь нашел решение и если да, то ссылок по-больше Заранее спасибо. ---------- In Search We Trust Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 19:40 18-11-2007

se111 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dimbat а Вы не пробовали в System Allowed Sites (помоему так называется) , ну туда где windowsupdate.microsoft.com прописан, добавить сайты обновлений антивирусов, тогда их дожно пускать без авторизации.   Добавлено: тот что в System Policy Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 19:55 18-11-2007

dimbat Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору se111 Так по логам нет никаких отсечек исы, т.е. симантековский ливапдейт например, как-будто и не смотрит в сторону клиента исы. Либо стучится, но этих запросов не понимает клиент, хз как объяснить. Потом у нас на майкрософт автоматом тоже не ходят, иначе тысячи забаненными станут по понятным причинам Используем всус.     Добавлено: А если поставить прокси, смотрящую на себя, то все работает - прокси стучит клиенту, клиент исе, иса пропускает запрос от приложения "Прокси", который прошел авторизацию. Чую - близко ответ, но так и не разобрался. Да и у многих такая проблема. ---------- In Search We Trust Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 21:04 18-11-2007 | Исправлено: dimbat, 21:11 18-11-2007

se111 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dimbat ну очень странно тогда получается.   я понял что если в IE указать файл который хочет Symantec то он скачется. Какое правило на иса применяется? я полагаю не то правило которое разрешает обновлять антивирус. а нету ли правила которое запрещает обновляться, если не пройдена авторизация?   вот тут интересным моментом является то, что ты говоришь, что в логах всё чисто т.е. имеется ввиду, что авторизация в обоих случаях успешна? а правило при авторизации в обоих случаях(успешном и неуспешном) одно и то же?       Добавлено: и забыл спросить после того как ты воспользовался FwcCred ты не забыл ForceCredentials=1 в application.ini поставить? Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 21:23 18-11-2007

dimbat Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору se111 Ты не понял, не приходит НИКАКОГО запроса к исе от ливапдейта. Если бы в лог писалось, что аксес денайд или еще чего, то проще было бы. Тупо иса-клиент не принимает запрос как-будто, ну и соответственно не шлет его дальше серверу.   Правила достаточно свободны, могу конечно перечислить, но работает всё, кроме апдейтов антивирей. Как-будто какой-то неизвеcтный исе протокол. Кстати, как организовано обновление у симантика или каспера, нода? Какие протоколы, по каким портам и тд, подскажите.   Добавлено: Цитата: ты не забыл ForceCredentials=1 в application.ini поставить? Ставил конечно ---------- In Search We Trust Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 21:39 18-11-2007 | Исправлено: dimbat, 01:36 19-11-2007

ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dimbat какой антивирус используется? Цитата: как организовано обновление у симантика централизовано. ---------- Absit invidia verbo Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:42 18-11-2007 | Исправлено: ShriEkeR, 21:42 18-11-2007

dimbat Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ShriEkeR Цитата: какой антивирус используется? Я вроде, более чем подробно, расписал несколькими постами выше. ---------- In Search We Trust Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 21:47 18-11-2007

se111 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dimbat ну тогда 99% что не тот процесс указан с помошью FwcCred отследи процесс с помощью например tcpview.exe и process explorer от sysinternals (нане Microsoft) и ForceCredentials=1 в application.ini - и будет всё тип топ. Цитата: для нужных процессов локальную учетку - нужно указывать текущего пользователя (это на всякий случай уточняю т.к. я не понял что значит "локальная учетка")   Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 21:51 18-11-2007 | Исправлено: se111, 21:52 18-11-2007

dimbat Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору se111 Всё это уже делал неоднократно, для разных процессов. Прописывал под доменную учетку, под локальную, службы перегружал, ключ в ини прописывал... Не то это! Хоть и самое подходящее. Тут загвоздка именно в клиенте исы. Через впн соединение иса прекрасно пропускает апдейты, через свой же клиент - нет.   P.S. Иса 2006 энтерпрайз, клиент самый последний с майкрософта.   Добавлено: Шаманства, как раньше, в разделе настроек клиента на сервере иса, уже не помогают. Было как-то, выручала пропись Lucoms~1.exe в исключения, но это пару лет назад, да и то, чтобы этот симантик поставить, процесс просто вис, когда иса-клиент запущен был. Но это фиксили на антивире потом симантековцы. Это я для примера написал, что мол тоже эти варианты проверял. Но опять же, это самое близкое к решению проблемы. Может как раз там что-то еще прописать, но вот что - это вопрос Я поэтому про протоколы и порты спрашивал. ---------- In Search We Trust Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 21:57 18-11-2007 | Исправлено: dimbat, 22:14 18-11-2007

se111 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dimbat ну у меня один раз была похожая ситуация, но какой там антивирь не пускало я уже не помню - давно было. точно помню, что для fwccred я использовал доменную учетку текущего\активного пользователя и была проблема, что на windowsupdate тоже не пускало так помогло не для wuauclt.exe прописать авторизацию, а для svchost.exe  и плюс ко всему пришлось добавить правило в котором не All Authenticated, а All Users только после этих танцев с бубном всё заработало. - больше собственно подсказать ничего не смогу т.к. если это не поможет то тогда только в support.   Цитата: Как-будто какой-то неизветный исе протокол. Кстати, как организовано обновление у симантика или каспера, нода? В логах была бы запись типа Unidentified Protocol, пришлось бы тогда просто сделать лписание для этого протокола. А протоколы и антивирусов обычные, HTTP и FTP. Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 22:11 18-11-2007

dimbat Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору se111 Цитата: All Users   Это не вариант совсем. Потом, до авторизации не доходит, не сработает в данном случае. И опять же - по впн, при тех же правилах, всё ок. Тут настройки в клиентском разделе сервера править надо (наверное). Засада в общем ---------- In Search We Trust Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 22:20 18-11-2007 | Исправлено: dimbat, 22:22 18-11-2007

HomoLogicus Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dimbat   Да. у меня точь в точь такая же байда, только с почтовым серваком. В общем как я понял это глюк файрвол-клиента (не работает FwcCred) и мелкомягким нет до этого никакого дела.  Причем, если долго мучится назначая - убираяя права через FwcCred,  в конце концов может и получится (а можен и нет). В общем шаманство сплошное.   Всего записей: 28 | Зарегистр. 12-07-2005 | Отправлено: 10:12 19-11-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dimbat не смог прочесть все что тут написали, но общий смысл  проблемы понял системную учетку на исе аутенфицировать нельзя, там просто нельзя вписать в правилах и группах домен\имякомпа$, об этом я кстати на isaserver.ru писал неоднократно, во всех доках и хелпах написано тоже самое не уверен что fwccred в этом случае поможет, сам я этим не пользовался но есть подозрение что credentials сохраняется для того юзера что его вписал, хотя не тестил сам самый просто вариант, для таких прог и обновлений открывать доступ анонимно и не мучаться. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:15 19-11-2007

dimbat Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Цитата: для таких прог и обновлений открывать доступ анонимно и не мучаться Тогда перестанет учитываться трафик с этих приложений, да и вообще полезут все, кому не лень (даже те, которым инет и не положен вовсе). А так да, не спорю.   По FwcCred, допустим на примере Симантика: На сервере исы, в разделе клиента Lucoms~1 disable=0 на машине клиента FwcCred lucoms~1.exe /s логин домен пароль В апликейшн.ини на машине клиента ForceCredentials=1 Ну и разные вариации вокруг оного.... Вроде всё как в мануалах, но - нифига не работает. Возможно HomoLogicus прав, косяк клиента как такового, хз. Да и логи какие-то странные в момент апдейта - то вообще нет, то есть от анонимуса, но обращение не на внешний адрес, а на внутренний Исы. Клиент живет какой-то своей жизнью, мне лично непонятной Но других причин НЕобновления антивирей, кроме как из-за авторизации, даже представить себе не могу.   ---------- In Search We Trust Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 15:36 19-11-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dimbat еще один устал повторять: учите разницу между авторизацией и аутенфикацией пускать то надо не на все сайты а тока на нужные, которые юзерам не нужны вовсе. клиент живет обычной жизнью, просто надо понимать как Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:45 19-11-2007

dimbat Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Цитата: пускать то надо не на все сайты а тока на нужные Я разве по-другому написал? Впрочем, неважно... Вопрос был, в том ли направлении я копаю, почему на практике не работает то, что должно в теории? ---------- In Search We Trust Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 19:51 19-11-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dimbat Цитата: почему на практике не работает то, что должно в теории?   а с чего ты взял что в теории это должно работать? Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:16 20-11-2007

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование