emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору <<< Предыдущая часть этой темы Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   продолжение шапки.. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007

Kumarych Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Наверно, глупый вопрос, но я что-то застрял Есть ISA 2004. Ставлю Кэш... Все работает. Но как сделать так, чтобы определенные юзера (или по логину или по ip-адресу) лезли в инет минуя кэш ? В правилах нет что-то такого. Есть только Exception для сайтов, которые не будут кешироваться... Всего записей: 23 | Зарегистр. 05-04-2008 | Отправлено: 22:50 14-05-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kumarych стандартными методами никак из нестандартных есть один: например создать для этого юзера или ip отдельное правило где разреши transparent http (tcp порт 80 тока web фильтр на него не ставить) и запрети ему стандартный http, ну и проксю из браузера убрать Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 23:41 15-05-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору posseru 1) во первых не весь трафик локальный, wsus же синхронизируется с microsoft, во вторых эти репорты настолько убоги что лучше ими даже не пользоваться 2) либо в правилах где то косяки либо в браузерах, надо смотреть логи 3) конечно нормально, даже обьяснять не надо почему Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:44 18-05-2008

posseru Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Спасибо за ответы. По первому вопросу буду искать удобный анализатор логов. По остальным понятно всё.   Ещё один вопрос. Поднял на ISA сервере VPN L2TP. Настроил авторизацию через домен и выбрал группу VPN users, которой разрешён доступ. Не пускало до тех пор, пока в свойствах юзера в оснастке "AD users and computers" не поменял "Remote access permission" на вкладке "Dial-in" с Deny на Allow. По-моему на предыдущей работе этого не нужно было делать, достаточно было выбрать в ISA группу, которой разрешено входить на VPN-сервер и добавить пользователя в эту группу. Где-нибудь это настраивается? Всего записей: 19 | Зарегистр. 20-10-2006 | Отправлено: 13:40 19-05-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору posseru Цитата: Не пускало до тех пор, пока в свойствах юзера в оснастке "AD users and computers" не поменял "Remote access permission" на вкладке "Dial-in" с Deny на Allow. видимо на пред работе у тебя была нормальная ad где по умолчанию на этой вкладке стоит пункт "Control access through Remote Access Policy", то есть rras решает кого пускать а кого нет Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 20:27 19-05-2008

ITeXPert Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вопрос по разрешению торрент траффика через ISA Server. Есть оный в редакции Enterprise версии 2006. Поставил все апдейты и увидел такой прикол, если раньше все норм работало, то сейчас у меня в логах кучу Failed Connection Attempt. При этом торрент тянет нормально, но в Инете полазить нереально, скорость как на модеме. До установки все было норм. Не помогает даже ограничение скорости скачки в самом uTorrent Всего записей: 476 | Зарегистр. 29-11-2004 | Отправлено: 22:29 19-05-2008

pavel chistyakov Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору user5nov Цитата: Народ, подскажите плиз. Ну есть ли в нём полноценный порт маппинг? МОре всего перечитал так и не нашёл ответа. Кто-то пишет что есть, кто-то что нет. Хрен поймешь.     порт маппинг есть в понимании публикации серверов. Т.е. тебе надо чтоб из внешней сети к тебе стучались на конкретный порт компа с isa server, он это принимал, и пересылал на другой комп.  во внутренней (защищенной) зоне на конкретный ip.         Добавлено: user5nov     Цитата: Нужна такая весчь: из внутренней сети стучимся прогой, которая будет коннектиться по порту 5555 на ису, иса перенаправляет его на внешний (инет) сервак на порт 6666? винроуте и юзергейт позволяют это делать. А вот публикацие в исе я так и несмог этого добится. плиз подскажите.   ну дак и стучись прогой на внешний сервак по порту 6666. А в исе создай правило, чтоб она твоего клиента пропускала по нужному тебе протоколу на нужный сервак.   Всего записей: 37 | Зарегистр. 14-12-2005 | Отправлено: 11:46 20-05-2008

admt Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день!   Помоги решить проблему с настройкой двух ISA Server 2006 и ДМЗ? Суть такова Две ИСЫ 2006 одна внешняя Иса (в домен не входит) с двумя интерфесами один смотрит в инет второй в зону ДМЗ и внутряння ИСА (входит в домен) два интерфейса один смотрин в локальную сеть второй в зону ДМЗ, в ДМЗ расположены два севркака. -На внутренней Исе сетевые правила установлены так Между ЛАН и Интернетов НАТ, между ЛАН и ДМЗ маршрутизация, сделано для того что бы пользователи локалки ходили в ДМЗ и в логах отражалось их имя и IP адреса а в инет буду выходить через внешнюю ИСУ под адресом внутренней ИСЫ правильно ли так??? -Затем на внутреней исе сделаны правила доступа по группам для различных пользователей свои протоколы, а также опублекован почтовый сервак который стоит в Локалке...на внешней исе такие же правила делать или не заработает так потому что между этими ИСА стоит отношения НАТ может лучше поставить Маршрут???? -Какую адресацию лучше сделать в зоне ДМЗ (у меня щас 10.0.1.Х) что порекомендуете??? -Кто вообще настроивал ДМЗ с двумя ИСАми и как все это реализованно???? -Если создавать на обоих ИСАх правила Всем все разрешено то инет работает а если по тем правилам что созданны для различных групп то инет не работает??? -И еще вопрос как на внутренней исе правильно указать что все запросы во Внешнюю сеть передаются в внешнюю ису? (Я сделал веб-цепочку) или можно как то подругому??? Спасибо! Всего записей: 6 | Зарегистр. 21-09-2006 | Отправлено: 14:55 20-05-2008

Markes Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору W2K3 SP2, ISA2006 St. WAN-интерфейс смотрит в инет через интерфейс на циске, LAN -  в сеть соответственно.   x.x.x.x, y.y.y.y - IP адреса DNS серверов провайдера, которые указаны как DNS на WAN-интерфейсе. z.z.z.z - IP адрес WAN интерфейса. Есть AD, на других серверах поднят внутренний DNS, IP адреса серверов указаны на LAN интерфейсе.   На сервере с ISA постоянно валится Event 11164. Смысл ясен, но как сделать, чтобы прекратились попытки данной регистрации?     Цитата: The system failed to register host (A) resource records (RRs) for network adapter with settings:      Adapter Name : {EEF2FC3B-BD9D-49D5-AE07-....}    Host Name : isa    Primary Domain Suffix : domain-name.ru    DNS server list :          x.x.x.x, y.y.y.y    Sent update to server : <?>    IP Address(es) :      z.z.z.z    The reason the system could not register these RRs was because either (a) the DNS server does not support the DNS dynamic update protocol, or (b) the authoritative zone for the specified DNS domain name does not accept dynamic updates.    To register the DNS host (A) resource records using the specific DNS domain name and IP addresses for this adapter, contact your DNS server or network systems administrator.   Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 15:34 20-05-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору user5nov Цитата: Нужна такая весчь: из внутренней сети стучимся прогой, которая будет коннектиться по порту 5555 на ису, иса перенаправляет его на внешний (инет) сервак на порт 6666?   вообще так нельзя, хотя некоторые в форумах уверяли что типа делали. самое непонятное за каким болтом этот идиотизм нужен?   posseru так и есть, этот пункт есть только в 2003 домене   admt вообще непонятно зачем тебе две исы и такая схема, дорого и не нужно во-первых это не форум блондинок - достаточно ставить один знак "7" во-вторых полезно читать книжку, там такой случай рассмотрен, и много других глупых и банальных вопросов тоже. в-третьих, по порядку - не знаю в каких логах ты хочешь добиться ип и имен пользователей, на внутренней исе ипшники будут всегда, имена тока если трафик аутенфицируется, поэтому непонятно зачем тебе там route, хотя и nat тоже непонятно зачем, и вообще непонятно зачем там вторая иса - откуда у тебя между исами nat если ты сам писал что между lan и dmz стоит route? непонятно зачем на внешней исе делать такие правила если они уже есть на внутренней, к тому же если между сетями nat и внешняя не в домене то откуда она будет смотреть пользователей? - адресацию делай любую, если нет внешних адресов то ставь любые приватные, та же 10я сеть сойдет если ни с кем не пересекается, в твоем случае они все бессмысленны - кто то да настраивал, тот же Шиндер например, а реализовано это все элементарно, только надо сначала четко определиться зачем оно - если не работает по юзерам значит не работает аутенфикация, на внешней в твоем случае она скорее всего и не будет работать, на внутренней все стандартно - легко, внешняя иса должна быть просто шлюзом по умолчанию в настройках внешнего интерфейса у внутренней, web chaining тоже рабоатть будет но только для web proxy трафика   Markes все банально и написано во всех букварях, если иса в домене то никаких тупых dns провайдера на внешнем интерфейсе, только внутренние доменные dns на внутреннем интерфейсе, и соответственно разрешить этим внутренним dns серверам посылать запросы наружу. вопрос вообще к исе отношения не имеет.   atelgero а сможешь внятно обьяснить зачем тебе аж 4(!!!) прокси да еще на разных платформах стояли сквиды, так и стояли бы, зачем тебе понадобились еще две исы enterprise? каждая стоит около 6К баксов, да еще так бездарно их использовать: "с одним интерфейсом", в такой конфигурации это не иса это никчемная и недоделанная прокся а твой ключевой вопрос вообще по сквидам а не по исе, хотя на исах можешь выставить шлюзом или через web chaining так чтобы каждая иса посылала трафик на "свою сквиду" Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 22:03 20-05-2008

admt Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору  hardhearted   -вообще непонятно зачем тебе две исы и такая схема, дорого и не нужно >>Две ИСЫ нужны для того что бы общедоступные Веб-серваки выделить в отдельный защищенный сегмент сети, что бы внешние пользователи имели доступ только в ДМЗ (где эти серваки и находяться) но не в локалку еще там планируется скоро в ДМЗ поставить и Exchange server. Один Веб-сервак служит для внесения инормации в том числе и конфиденциальной и Авторизации внешних пользователей, а веб-севис служит для связи с SQL-сервером с БДкоторый стоит в локалке, оба сервака используют всего два порта, поэтому если злоумышленик захватит этит серваки то зайти в локальную сеть а уж тембоолее на DC не сможет т.к. для атаки ему дано всего два порта, и они очень жестко контролируется на исах так и отдельным ПО на этих серверах -во-первых это не форум блондинок - достаточно ставить один знак "7"   >>Извините, просто дурная привычка ставить много "7" -во-вторых полезно читать книжку, там такой случай рассмотрен, и много других глупых и банальных вопросов тоже.   >>Шиндера я читал и не один раз и знаю как настраивать одну ису, но с настройкой ДМЗ никогда не сталкивался, очень много тонкостей. -в-третьих, по порядку   - не знаю в каких логах ты хочешь добиться ип и имен пользователей, на внутренней исе ипшники будут всегда, имена тока если трафик аутенфицируется, поэтому непонятно зачем тебе там route, хотя и nat тоже непонятно зачем, и вообще непонятно зачем там вторая иса >логи будут вестись на Веб-серваке где будет указан имя пользователя и его IP-адрес т.к. по правилам не все юзеры локалки могут ходить в инет, но могут ходить в ДМЗ на Веб-сервак и плюс почта, а некоторым только в инет но не в ДМЗ . На внутренней ИСЕ доваблена сеть ДМЗ и правило сетевое ДМЗ Internal - маршрут и правило Доспут к Интерснету - НАТ - откуда у тебя между исами nat если ты сам писал что между lan и dmz стоит route?   >> потому что Создана сеть ДМЗ и route а между Исами правило НАТ по умалчанию, сама ИСа это делает в шаблонах. -непонятно зачем на внешней исе делать такие правила если они уже есть на внутренней, к тому же если между сетями nat и внешняя не в домене то откуда она будет смотреть пользователей?   >>Внешняя ИСА будет проверять пользователей через RADIUS-сервер А вот теперь про НАТ между ИСАми, на Внутр Исе есть правила публикации протоколов и портов напривем для клиентов сети VipNet там протокол UDP а порт 55777 настроен мапинг портов с компа в локалке во внешнюю сеть и обратно, с одно исой все просто получается а с двумя как, получается на первйю ису приходит пакеты UDP по порту 55777 с локаольного компа с адресов 192.168.55.55 а на вторую ису придет такой же пакет но с адресом уже внутренней исы т.е. 10.0.1.Х следовательно на внешней нужно создавать правила для тех же портов и протоколов как на внутренеей только ставя IP адрес внутренней ИСЫ, я думаю так.!? - адресацию делай любую, если нет внешних адресов то ставь любые приватные, та же 10я сеть сойдет если ни с кем не пересекается, в твоем случае они все бессмысленны   >> всмысле есть внешний адрес? имеете в виду внешний IP адрес который нам выдал провайдер? - кто то да настраивал, тот же Шиндер например, а реализовано это все элементарно, только надо сначала четко определиться зачем оно   >>да у него есть статья по реализации ДМЗ с двумя ИСАми и сделано там все также как и у меня только правила доступа у него всем и все (вот статья по этому поводу h2tp://3w.isadocs.ru/articles/detail.php?ID=17986&phrase_id=582732 - если не работает по юзерам значит не работает аутенфикация, на внешней в твоем случае она скорее всего и не будет работать, на внутренней все стандартно   >>втом то и дело что не проходит на внутренней исе а почему не понятно...стоит встроенная аутентификация пользоватлей. ? - легко, внешняя иса должна быть просто шлюзом по умолчанию в настройках внешнего интерфейса у внутренней, web chaining тоже рабоатть будет но только для web proxy трафика   >>в принципе так и должно если на внешнем интерфейсе внутренней ИСЫ указан шлюз внешней ИСЫ то пересылка будет без лишних манипуляция Всего записей: 6 | Зарегистр. 21-09-2006 | Отправлено: 11:39 21-05-2008 | Исправлено: admt, 11:52 21-05-2008

darkomen Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Как посмотреть загрузку канала пользователями в исе? какие счетчики добавить в перфоманс монитор? Всего записей: 272 | Зарегистр. 26-08-2003 | Отправлено: 18:43 22-05-2008

ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору darkomen никак. никакие. использовать, например, Bandwidth Splitter. ---------- Absit invidia verbo Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 10:59 23-05-2008

Vanil Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Привет всем. Hardhearted в частности )   У меня вопрос по ISA 2006 и Checkpoint NG У нас стоит ISA. На другой стороне Checkpoint. Из нашей сети группа (назовем ее groupFromISA) создает vpn соединение к Удаленному серверу (ServerCP) и успешно работает. Вся группа имеет статические IP.   На ISA сервере к тому же еще есть vpn site-to-site и еще клиенты коннектятся через vpn к местной локальной сети.   У меня стоит задача выделить и посчитать траффик именно группы groupFromISA.   Для нее было изначально правило Rule_groupFromISA Allow all - outbound traffic  - from [groupFromISA(статические IP адреса)] - External   В ходе анализа логов (использую Internet Access Monitor) выяснилось что по правилу Rule_groupFromISA эта группа ходила в инет. Но трафик "виден" только до того момента как пользователь коннектится к ServerCP (Мне так кажется во всяком случае). Потом по моему предположению трафик идет непосредственно от ISA сервера.   hardhearted уже с месяц назад отвечал мне на вопрос про "непонятное" правило РАЗРЕШАЮЩЕЕ трафик от ISA сервера   (я тогда не могла понять что это вообще)   Теперь я предполагаю что это и есть трафик в тоннеле vpn   НО что самое удивительное - это HTTP!!! по времени (а groupFromISA начинает свою работу в 4 часа дня) - совпадает по внешним IP откуда идет трафик (а он в основном входящий) - тоже похоже - это не .ru. тоже специфика   В общем вопрос   как же такое может быть - vpn а трафик виден как http возможно ли это? Всего записей: 20 | Зарегистр. 11-12-2006 | Отправлено: 16:45 26-05-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование