Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
<<< Предыдущая часть этой темы

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
    продолжение шапки..
    • Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007
    Tornado777



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Orange Goblin
     
     
    Возможны три причины:
    1.Не работает SQL-Server (как проверить не знаю)
    2. Закрыт порт (проверить telnet 192.168.0.2 1433, если соединиться значит всё ок)
    3. Неправильный пользователь или пароль
    Всего записей: 20 | Зарегистр. 05-03-2007 | Отправлено: 10:32 15-04-2008
    andrey99999

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ помогите разобраться с настройкой NLB кластера из 2ух isa2006Ent и switch flooding
     
    Конфиг сети  
    1. Контроллер домена win2003ent 10.0.0.253  
    2. 70 машин  
    3. Шлюз в интернет win2003std Isa2006Ent lan 10.0.0.254 wan 10.0.1.254  
    4. Активное сетевое оборудование на цисках  
     
    Есть вторая машина Isa2006Ent lan 10.0.0.252 wan 10.0.1.253, поднимаем кластер с vip(virtual ip) 10.0.0.251. Вычитал  
    что при двух MACах с одним IP начинается Switch flooding. Там же предлагалось три решения  
    1. Отсечка свитчом или хабом (говорят не помогает)  
    2. Настройка NLB кластера в multicast mode и прописка нестандартного MACа на всех цисках.  
    3. Отсечка роутером (сейчас есть только Zyxel p334wt потом заменим на другой).  
    Я выбрал 3 способ. Подскажите сетевые настройки контроллера домена, isa шлюза (который  
    получается в другой подсетке) и роутера.  
     
    да еще есть роутер циска 1700 серии можно ли с его помощью сделать отсечку
    Всего записей: 34 | Зарегистр. 14-01-2007 | Отправлено: 11:42 16-04-2008
    Booklet

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги, вот такая непонятка...
    В целях борьбы с тунеллированием вот что сделал:
    1. новое Access Rule
    2. Deny
    3. All outbound traffic
    4. All Protected Networks  
    5. Ввожу название New Domain Name Set - "антитуннель"
    6. добавляю туда сайты типа httptunnel.com и *.httptunnel.com
     
    Применяю новый конфиг...
    В итоге умирает весь инет, - не ходит почта, пинги... Странички, ессно, не открываются...  

    вот как так?
    Всего записей: 741 | Зарегистр. 09-03-2006 | Отправлено: 16:22 16-04-2008 | Исправлено: Booklet, 16:24 16-04-2008
    erve

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Люди, такая проблема! ISA 2006
    Сеть предприятия 10.16.1.0-10.16.1.255
    Корпоративные сети 10.16.2.0-10.16.2.255
    10.16.3.0-10.16.3.255
    10.16.4.0-10.16.4.255
    10.16.5.0-10.16.5.255
    10.16.6.0-10.16.6.255
    т.е. трафик в этих сетях как внутренний должен быть
    Пускаю пинги на 15.1.1.1 или иду на сайт в диапазоне IP до 16.1.1.1 вкл (www.hp.com)
    ISA пинги определяет как пинги во внутреннюю сеть, на сайт не пускает, соотнося его к правилу доступа к корпоративной сети. Отключая правило доступа для корпоративной сети соотносит сайт к другому правилу, которое тоже никакого отношения не имеет к нему (запрет доступа на определенные сервера).
    Что за фигня???
    Всего записей: 91 | Зарегистр. 28-08-2006 | Отправлено: 17:00 16-04-2008 | Исправлено: erve, 17:03 16-04-2008
    demondeimos

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ, подскажите где копать по поводу вот этой ошибки:  
     
    Failed Connection Attempt Server 15.04.2008 15:47:43  
    Log type: Web Proxy (Forward)  
    Status: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.  
    Rule: SBS Outbound Access Rule  
    Source: Internal ( 192.168.0.126:0)  
    Destination: External ( 207.46.192.254:443)  
    Request: www.microsoft.com:443  
    Filter information: Req ID: 111e11d4  
    Protocol: SSL-tunnel  
    User: tester  
     
    Эта ошибка вылазит каждый раз когда пытаешся зайти на сайт виндофсапйдейт или проверить винду на лицензионность: виндавс апйдейт естественно не работает, проверка на валидность тожжж.  
     
    правилом сейчас разрешен весь трафф с компа в и-нет
     
    ставил и первым и ниже ставил - результат один: при попытке попасть на виндовсапдейт, соединиться с мсн, проверить винду на валидность: вылетает вышеописанная ошибка.
     
    Вот ошибка при попытке проапдейтится с самого сервака:
     
    Failed Connection Attempt SERVER 17.04.2008 8:41:24  
    Log type: Web Proxy (Forward)  
    Status: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.  
    Rule: Allow HTTP/HTTPS requests from ISA Server to specified sites  
    Source: Local Host ( 192.168.0.2:0)  
    Destination: External ( 65.55.184.29:443)  
    Request: www.update.microsoft.com:443  
    Filter information: Req ID: 1cec9eaa  
    Protocol: SSL-tunnel  
     
     
    мне нравится то, что ИСА трафф блокирует правилом, которое является системным и его, этот трафф, разрешает.
     
    пы.сы: прокси в эксплорере можно включать, отключать - не помогает.
    на локальной машине(первая ошибка) можно ставить FWклиента, можно не ставить - результат один и тот же.
     
    пы.сы. MS ISA 2004 sp3
    есть, конечно, идея что снести надо сп3 и поставить сп2... но это на крайний случай
     
    Добавлено:
    пы.сы.2. пробовал включать разную авторизацию: не помогает.
    Всего записей: 268 | Зарегистр. 17-06-2006 | Отправлено: 06:02 17-04-2008
    Nolik

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день,
     
    Подскажите решаема ли такая карта в иса 2004?
     
    Хотелось бы иметь две подсети в диапазоне например
     
    А - 192.168.16.10-100 и Б - 192.168.16.101-111
     
    причем чтобы А ходила через прокси и с авторизацией, Б на прямую без прокси, такое возможно сделать?
    Всего записей: 234 | Зарегистр. 19-04-2003 | Отправлено: 11:13 17-04-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Nolik
    а в чем проблема? создаешь два subnet (ну то что у тебя написано сабнетом назвать нельзя, но address range вполне прокатит), для одних(А) делаешь неанонимное правило для вторых(Б) анонимное, все тупо и банально...
     
    erve
    научись правильно задавать вопрос, например посторонним людям совершенно непонятна разница между "Сеть предприятия" и "Корпоративные сети", что это ? как они определены в исе? где находятся и как связаны?
    скорее всего просто напросто неправильно настроена топология в исе или правила
     
    Booklet
    а в логах что?
     
    Добавлено:
    andrey99999
    интересно какое это имеет отношение к настройке исы? она "отсечками" не занимается, не ее это дело
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 01:53 18-04-2008
    erve

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    [q][/q]
    Есть сеть предприятия 10.16.1.х. есть удаленные офисы, которые связаны с помощью vpn-тоннелей 10.16.2.x ... 10.16.6.x
    Конфигурация/Сети  
    Внутренняя 10.16.1.0-255 + Корпоративные сети (10.16.2.0-255 и т.д.)
     
    Т.е. ко внутренней относятся именно эти диапазоны.
     
    В исе стоят правила Разрешать весь исходящий трафик всем в эти сети.
    Иду на www.hp.com.
    Отклоняется по правилу "Разрешить сервера"
    (в правиле - Разрешить хождение по HTTP из внутренней сети на Определенные сервера (прописаны URL) группе пользователей).  Причем идем почему-то из внутренней сети во внутреннюю.
    Отключаю правило - Идет запрет по правилу Доступа к одной из корпор. сетей. Причем снова Внутренняя-внутренняя.
    Отключаю - Отклоняется по правилу доступа к другой групе серверов. И снова Внутренняя-внутренняя.
     
    Вот и вопрос - с какого перепугу www.hp.com 15.x.y.z стал относиться у меня ко внутренним?
    Куда копать-то?
    Всего записей: 91 | Зарегистр. 28-08-2006 | Отправлено: 12:04 18-04-2008
    Vxd2000



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос давний: авторизация в Isa 2004/2006 по MAC+IP.
    У кого - нибудь получилось ?
    Всего записей: 1121 | Зарегистр. 14-11-2002 | Отправлено: 14:38 18-04-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Vxd2000
    по маку у исы никогда авторизации не было, нет и не будет, потому что это никому не нужно
     
    erve
    ну как я уже говорил у тебя просто сети неправильно настроены, а как - ты не пишешь упорно
    впн между офисами на чем сделан? в internal что вписано? "корпоративные сети" куда вписаны? шлюз по умолчанию куда прописан?
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:00 19-04-2008
    Vxd2000



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted, хотелось бы полюбопытствовать, почему не нужно ?
    Всего записей: 1121 | Зарегистр. 14-11-2002 | Отправлено: 15:25 19-04-2008
    andrey99999

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    Так я спрашиваю не про это, а как настроить ISA если он в подсетке отличающейся от подсетки контроллера домена, а на внутреннем интерфейсе у него (ISA) нельзя указывать шлюз.
    Всего записей: 34 | Зарегистр. 14-01-2007 | Отправлено: 23:38 19-04-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    andrey99999
    в начальном посте не было сказано что они в разных подсетях, и если посмотреть на ипшники то больше похоже на одну подсеть. не вижу никакой проблемы, команду route add -p в винде никто не отменял, в самой исе практически ничего настраивать не надо, разве что не забыть указать все нужные подсетки в internal...
     
    Vxd2000
    потому что иса позиционируется как корпоративный файрвол+прокси, а значит такая чушь как авторизация по маку, квотирование, шейпирование и т.д. исе не нужны, так как в нормальных корпоративных сетях это не используется (ну возможно шейпирование, и то для обеспечения качества отдельных сервисов а не для того чтобы ущемить простых смертных юзеров)
    и потом ип и мак поменять не составляет труда, так что особо его контролить на роутере нет смысла.
    мак работает на втором уровне, поэтому контроль маков (например в домовых и кампусных сетях) обычно держат на свичах
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 00:33 20-04-2008
    erve

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    [/q][q]erve  
    ну как я уже говорил у тебя просто сети неправильно настроены, а как - ты не пишешь упорно  
    впн между офисами на чем сделан? в internal что вписано? "корпоративные сети" куда вписаны? шлюз по умолчанию куда прописан?

     
    Вот же ж...
    впн-ы поднимают железки dlink di-804hv
    internal (внутренняя сеть я так понял) 10.16.1.0-10.16.1.255. В Internal же вписаны и корпоративные сети.  
    Шлюз по умолчанию - 193.x.y.z
     
    Вот все что идет на 15.x.y.z 16.x.y.z d в любые подести ДО 17.x.y.z типа считается внутренним трафиком.
    Всего записей: 91 | Зарегистр. 28-08-2006 | Отправлено: 11:28 21-04-2008
    kusebo



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Имеется Сервер, на котором установлен ISA server 2006 с тремя интерфейсами:  
    1 - Интернет (DSL модем в режиме bridge)  
    2 - для связи с удаленными офисами по VPN через интернет (DSL модем в режиме bridge)  
    3 - локальная сеть  
    Все IP адреса (по всем интерфейсам) статические.  
    С настройкой интернет и локальной сети более-менее понятно, а вот как правильно указать чтобы VPN соединение шло именно через интерфейс №2 понять не могу.  
    Помогите, pls, правильно сделать настройки.
    Всего записей: 56 | Зарегистр. 09-01-2003 | Отправлено: 16:32 21-04-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    erve
    налицо явный косяк где то )
     
    kusebo
    а че там непонятного то? раз отдельный интерфейс то делаешь отдельный network, вписываешь туда все сети и адреса куда через этот интерфейс ходить надо, ну и в винде не забываем про маршруты.
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 21:07 21-04-2008
    kusebo



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ... ну и в винде не забываем про маршруты

    Про вот это можно поподробней?
    Всего записей: 56 | Зарегистр. 09-01-2003 | Отправлено: 05:12 22-04-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kusebo
    ну такое спрашивать вообще стыдно, набираем route /? и все
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:06 22-04-2008
    kusebo



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ну такое спрашивать вообще стыдно, набираем route /? и все

     
    Вообще-то спрашивать никогда стыдно не было. Мне вот не понятно как разрулить два шлюза (на внешние интерфейсы), как назначить шлюз основным.
    Всего записей: 56 | Зарегистр. 09-01-2003 | Отправлено: 11:20 22-04-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kusebo
    мда, почитай что нить про маршрутизацию. знакомо понятие маршрут? в курсе что кроме шлюза по умолчанию бывают другие маршруты, которые не по умолчанию?
    по умолчанию это тот который применяется для трафика не попавшего ни под какой другой маршрут, если у тебя есть еще один шлюз на через который надо ходить в определнные места то можно это конкретно и написать в таблицу маршрутизации
    вообще маршрутизация к исе не имеет никакого отношения
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:26 22-04-2008
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)
    emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru