Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
<<< Предыдущая часть этой темы

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
    продолжение шапки..
    • Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    xhangmanx
    на всю исашную ветку в реестре дай права себе и все
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:00 10-07-2007
    xhangmanx



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    в реестре... это как?
    я дал права папке и дочерним папкам консоль запустилась ругнулась что нет прав ... жмшь continue и там все пусто!
    Всего записей: 90 | Зарегистр. 10-01-2007 | Отправлено: 20:01 10-07-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    xhangmanx
    к какой еще папке?
    я говрю нужны права к ее хранилищу настроек, у исы 2004/2006 starndard (ent не юзал) весь конфиг в реестре
    права наи папку с исой не имеют значения вообще
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 20:43 10-07-2007
    xhangmanx



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    опиши пожайлуста как что сделать
    а то ваще не пойму как в реестре на ису себе права дать
    зы у меня стандарт
    Всего записей: 90 | Зарегистр. 10-01-2007 | Отправлено: 20:58 10-07-2007
    davinchi9



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    xhangmanx
       
    на все ветки которые начинаются на "isastg_*" дай разрешения также как это делается для папок для нового юзега...
    Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 09:29 11-07-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    davinchi9
    xhangmanx
    у 2004 standard все находится в одной ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc
    и найти это можно абсолютно ничего не понмая в исе, достаточно просто заглянуть в реестр
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:44 11-07-2007
    Rx1600

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lypky
     
    Я ж написал, что ровно неделю живет, потом пегегружать приходится.
    Если же ждать до упора, то доходит до того, что команда shutdown -r -m \\имя_сервера
    говорит о недостатке ресурсов и не выполняется.
    Приходится пешком идти.
     
    На сайте Microsoft есть описание проблемы
     
    "The Web Proxy filter failed to create a network socket because there are no available ports on this computer. ISA Server already reset the maximal port number to 65535. Make sure this is the value at HKLM\System\CurrentControlSet\Services\TcpIp\Parameters\MaxUsePort and restart the computer to apply this change."
     
    но только для ISA 2000. А у меня и на 2004 и на 2006 то же. Пробовал рекомендации - не помогает.
     
    Вообще, если сидит там 2-5 пользователей - проблем нет. По статистике ISA, как число запросов превышает 12-15 тыс/час, сразу все ползет.
     
    Может, дистрибутив кривой?
     
    Всем
    Просьба посмотреть, сколько запросов в час максимум по отчетам показывает ISA. И сколько у кого юзверей через нее вообще подключено.
    Всего записей: 20 | Зарегистр. 28-06-2007 | Отправлено: 22:05 11-07-2007
    iknow



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Таки наверно такого вопроса еще небыло - а всеже - можно ли натянуть ISA на Windows XP ? ...такое вот редкостное извращение
    Всего записей: 673 | Зарегистр. 21-09-2005 | Отправлено: 10:09 13-07-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iknow
    нельзя и это хорошо
    ps а натягивают резиновые изделия на одно место
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:29 13-07-2007
    zubastiy

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброе утро.
    Как безопасно опубликовать терминальный сервер?
    Мыслю опубликовать сервер согласно правилу
    Create New Server Publishing rule ->name rule -> ip терминального сервера ->protocol RDP - TServer --> ip (external) внешний адрес подключаемого клиента.
     
    Насколько это будет безопасно? Имеет ли смысл изменять порт по умолчанию на какой нить другой?
    Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 13:45 13-07-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zubastiy
    в визарде создания правила публикации нельзя указать внешний адрес клиента, там указывается network который надо слушать, адреса клиентов это никак не ограничивает, для этого надо уже в созданном правиле править вкладку from.
    порт лучше поменять потому как иса сама слушает стандартный порт, собственно смена порта на безопасность не влияет.
    вопли по поводу безопасности это просто детская паранойя, в твоем случае все держится на имени и пароле, если они держаться в секрете то все ок. а если хочешь безопасность то это vpn по l2tp с сертификатами и никакой публикации.
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:12 13-07-2007
    zubastiy

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    hardhearted
    ты демонстрируешь весьма глубокие познания исы, откуда столько знаний, просто опыт или учился где то?

    Цитата:
    в визарде создания правила публикации нельзя указать внешний адрес клиента, там указывается network  

    угу, именно так и сделал для теста, просто решил пропустить действие
     
     

    Цитата:
    вопли по поводу безопасности это просто детская паранойя, в твоем случае все держится на имени и пароле, если они держаться в секрете то все ок

    вот меня и интересует безопасность передаваемого логина-пароля - не могут ли теоретические злоумышленики перехаватить мой траффик в момент соединия и распотрошить его на предмет вытаскивания логина пароля? Или поставить уровень шифрования высокий в настройках терминала и на этом успокоится?
     

    Цитата:
    а если хочешь безопасность то это vpn по l2tp с сертификатами и никакой публикации.

    не очень хочется заморачиватся с впн и сертификацией ибо цель подключения мелкая работа на терминальном сервере (юзеров сбросить или спулер печати пнуть) имхо для таких операций впн не нужен вовсе я же не буду пересылать данные суперважности.
     
    Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 15:08 13-07-2007 | Исправлено: zubastiy, 15:16 13-07-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zubastiy

    Цитата:
    ты демонстрируешь весьма глубокие познания исы, откуда столько знаний, просто опыт или учился где то?

    нигде не учился и собственно много с ней не работал, как поставил в спешке два года назад standard так и стоит, а многих вещей на исе вообще ни разу не делал. просто надо внимательней читать что пишет интерфейс, смотреть хелп иногда и главное думать головой
     
    насчет того что могут злоумышленники а что ничего сказать не могу,  я не очень глубоко знаю их методы и то как шифруется трафик в rdp.
    но кстати впн удобнее в этом случае обычной публикации, во первых когда много серверов то можно на любой из них терминалится и не надо публиковать кучу портов или лазить на все через один. чтобы не мучаться с сертификатами можно поднять обычный pptp vpn.
    ps еще польза от впн, когда домашний комп находится в домовой сети и не имеет внешнего ип то мона оставлять его включенным, поднять впн и идти на работу, а с работу по личным надобностям лазить на свой домашний комп
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:43 13-07-2007
    zubastiy

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    главное думать головой

    да, мозг всегда решает проблемы
     
    про впн еще подумаю, в случае "серых ip" будет явно необходим.
     
     
    вопрос о ssl-tunnel , чтоб его так.
     
    созданы правила -  
     
    запрет всех протоколов для неаунтифицированных пользователей.
     
    all open для определенной группы пользователей.
     
    разрешить http и https для второй группы  
     
     
    при заходе на некоторые странички (citibank.ru gmail.com) включается защищенное соединение ssl-tunel на 443 порт
     
    если для первой группы - все хорошо, сайты открываются, то для второй группы ...  
     
    иса пишет 12202 The ISA Server denied the specified Uniform Resource Locator (URL).  
    смотрю по логам - неустанавливает соединение по ssl-tunel ибо анонимус
     
    создаю правило доступа - все протоколы из интернал к проблемному сайту и аунтифицированные пользователи.
     
    все прекрасно работает. в логах пишет протокол SSl-tunel разрешен и вперед.
     
    как следствие лезу добавить протокол ssl-tunel для пользователей второй группы.... и нет его  
     
     
    куда глядеть?!!
     
    Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 18:01 13-07-2007
    weerkostya



    Full Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    zubastiy пароль в процессе подключения rdp клиента никак перехватить не получится, там достаточно надежная криптография (если параметры сервера не изменялиь от дефолтных)
    но вот публикация сервера терминалов - штука мало полезная и с точки зрения безопасности - дыра в системе
    причина сего события очень проста. если сервер терминалов смотрит куда то внаружу - на него очень просто организовать ддос атаку. т.е. некий жлоумышленик тупо открывает 1000 одновременных сеансов. в систему он, очевидно, не войдет. но вот для открытия каждого сеанса требуется не менее 10Мб оперативной пмяти. таким образом 1000 одновременных сеансов приведут с большой вероятностью к остановке сервера по причине нехватки памяти.  это отностся к серверам терминалов версии 5 и ниже, т.е. вин2003 и ниже. в лонгхорне немного поумнее сделано уже - там есть возможность предварительной проверки имени\пароля до открытия сеанса.
     
    по этой причине классически испольуется именно впн, так как атаку на впн сервер организовать, очевидно, сложнее.
    Всего записей: 406 | Зарегистр. 20-10-2004 | Отправлено: 06:22 14-07-2007
    zubastiy

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    weerkostya
    а если указан только 1 ip с которых можно осуществлять rdp соединение?
    все остальные соединения просто будут отбрасывать еще до авторизации.
    Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 12:13 14-07-2007
    zubastiy

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    может закинуть в топик - решение потребления памяти процессом SQL для isa2004 (насколько я понимаю и в 2006 такая же фигня) http://support.microsoft.com/kb/909636 - собсно само решение.
    Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 19:24 15-07-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zubastiy
    только надо уточнять что это относится к MSDE а не к нормальному sql
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:54 16-07-2007
    zubastiy

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    на нормальном sql энтерпрайз манагер прекрасно управляет распределением памяти
    там действительно нет необходимости в этих скриптах
    Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 12:47 16-07-2007
    vlazari



    Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    zubastiy
    Да по-любому vpn лучше, удобнее и безопасней на порядок чем обычная публикация. Клиент VPN, который подключился по умолчанию прав никаких не имеет, т.е. ничего сдлеать не может. Открываешь ему доступ к необходимому ресурсу и всё.
    Всего записей: 243 | Зарегистр. 20-09-2005 | Отправлено: 15:10 16-07-2007
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)
    emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru