Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
<<< Предыдущая часть этой темы

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
    продолжение шапки..
    • Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007
    greenfox



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    PIL123
    ещё как вариант попросить программера прикрутить возможность работы программы через скажем сокс 5-й с соот-й возможностью авторизации

    ----------
    Три вещи вечны: смерть, налоги и потеря данных...
    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 13:38 27-08-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    greenfox
    у исы нет socks5 с аутенфикацией (в экзамплах к sdk есть фильтр socks5 но без поддержки аутенфикации), а socks4 без аутенфикации идет
    так что проще всего писать проги под винду по человечески )
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:15 27-08-2007
    greenfox



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    тогда "ик"

    ----------
    Три вещи вечны: смерть, налоги и потеря данных...
    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:32 27-08-2007
    Alkatraz

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа, такой вопрос - имеется сервер на котором крутится SQL, так-же имеется машина на котором стоит ISA2006, машина эта имеет доступ как во внутреннюю сеть, так и связь с внешней "дружественной" сетью через АДСЛ, в этой самой дружественной сети так-же имеется машина на которой крутится SQL, возможно ли средствами ИСА реализовать редирект запросов с SQL внутренней сети в дружественную? Из дружественной сети в нашу редирект запросов путем сервер рпблишинга работает, в обратную сторону тем же способом реализовать редирект неудается...
    Всего записей: 57 | Зарегистр. 18-09-2006 | Отправлено: 17:24 27-08-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alkatraz
    а что значит редирект? иса вообще ничего никуда не редиректит, трафик либо простое пропускающиее правило либо паблишинг
    можно просто разрешить sql протокол с твоего сервака на соседний.
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:23 27-08-2007
    Alkatraz

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Это значит что наш SQL сервер не видит соседней сети, она доступна только машине с исой, паблишинг компа с соседней сети сделать не выходит - в логах идет ошибка, такой способ проходит ток в случае когда их сервак стучится к нашему, а вот как сделать в обратную сторону - в этом-то и вопрос. Я так понял что ИСА не может делать паблишинг машин, находящихся вне зоны внутренней сети...
    Всего записей: 57 | Зарегистр. 18-09-2006 | Отправлено: 12:55 28-08-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alkatraz

    Цитата:
    а вот как сделать в обратную сторону

    а смысл? ты пробовал читать про ису что нить, в особенности для чего нужен паблишинг вообще?
    паблишинг нужен чтобы открыть для внешних клиентов то что иса прячет за nat, потому как из принципов работы nat к внутренним сервакам по их адресу обратиться никак нельзя. паблишинг в обратную сторону сделать нельзя, просто потому что он нафиг никому не нужен )
    в твоем случае тебе надо изнутри наружу, в этом проблем никаких нет, делаешь обычное правило файрвола со своего сервака на нужный внешний и обращаешься к нему по ЕГО адресу а не по адресу исы.
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:50 28-08-2007
    roman nelish

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Создал site-to-site в главном офисе и в филиале, делал все мастером, прописал везде статичный пул адресов, адреса не чем не пересакаются, на обоих концах разные. 2 сервера ISA Server 2006 Standart. Соединение установленно, в мониторинге отображается, что подключен 1 клиент, на обоих концах, но даже сервера не пингуются. Правила сама создала ИСА, разрешен весь трафик в обе стороны.  
    В Event View отображаются ошибки на обоих сторонах:
     
    Event ID: 21265
    Source: Microsoft Firewall
     
    The routing table for the network adapter tengizvpn includes IP address ranges that are not defined in the array-level network tengizvpn, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network. The following IP address ranges will be dropped as spoofed: External:192.168.1.0-192.168.1.255;
     
     
    Event ID: 14147
    Source: Microsoft Firewall
     
    ISA Server detected routes through the network adapter Inet that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.1.0-192.168.1.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
     
    Добавлял эти адреса в VPN сети на обоих концах, тогда ошибки пропадали, но все равно никто никого не пингует, проделывал все идентично на каждой стороне.
    Помогите люди добрые.
    Всего записей: 8 | Зарегистр. 03-05-2007 | Отправлено: 15:56 28-08-2007
    web1984



    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Подскажите кто-нибудь.... второй месяц бьюсь головой об стенку)  
    Есть ISA server 2006 standart Windows 2003 server.
    192.168.22.0 - внутрення сеть  
    193.233.132.0 - внешняя
    Сервер имеет внутренний и внешний адрес.
    Планируеться организовать внутри VPN с адресами локальной сети и внешней сети. Пул адресов локальной сети vpn сделал внутри ISA 10.0.0.0, а адреса внешний сети, при подключении через vpn, задаються через AD (входящие звонки-использование статических адресов).Внешние адреса будут маршрутизировать, а локальные натироваться.
     
    Проблема в том что при подключении через vpn к серверу. Все клиенты с локальными и внешними адресами входят сразу в группу VPN клиентов. Я пробовал создавать дополнительную группу с адресами внешней и локальной сети(так ругаеться ещё что адреса входят в пул адресов vpn). Как разбить эту группу на две, для построение в firewall нужных каждой сети политик?
     
    И ещё один вопрос. Когда подключаешься по vpn с внешним адресом(включена маршрутизация) при простомотре странице трафик(http) идет через прокси(в просмотре сеанов влючаеться сразу клиент для прокси). Как сделать, только чтобы локальным адресам трафик проксировался, а внешним отдельно?
    Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 15:58 28-08-2007 | Исправлено: web1984, 16:00 28-08-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    web1984
    vpn clients это не группа а network (почитай книгу и уясни разницу), причем специальный, туда автоматом вносятся все впн клиенты
    правила можно писать не на network а на subnet, которые можешь создать сам.
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:32 28-08-2007
    turkmen

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    кофнигурация такова  
    вин2к3 + иса 2006  
    натом для впн клиентов из локальной сети предоставляется инет  
    статичные айпи 192,168,0,2-192,168,0,100  
    пару правил работает все нормально  
    проблемы следующие  
     
    1)как ребутишь серв происходит следующее..  
    начинает тормозить интернет  
    еще особенность при пинге сервера из сети  
    первый пинг большой 3к мс следующие пинги ровно  
    пока не ребутнешь пару раз сервис мс файервол все тормозит...  
    2)нужно перебросить пару внешний портов на клиенты  
    делаю публиш нон веб сервер протокол на статичный айпи впн клиента.  
    все работает. но как дисконнектиться впн клиент порт перестает перебрасываться  
    влогах пишет только что  
    "Description: The server publishing rule wed failed. A session cannot be created for the server 192.168.1.97:22. Error location 325.2016.5.0.5720.100. Verify that the published server is accessible.  
    The failure is due to error: 0xc0040001"  
     
     
     
     
     
    Всего записей: 50 | Зарегистр. 26-02-2006 | Отправлено: 18:27 28-08-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    turkmen
    1) посмотри алерты и логи винды
    2) ну а что же ты хотел, отпаблишенный клиент же отключился о чем тебе иса успешно и сообщила, что мол паблишинг не прошел ибо нет сервака.  
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 19:57 28-08-2007
    turkmen

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    turkmen  
    1) посмотри алерты и логи винды  
    2) ну а что же ты хотел, отпаблишенный клиент же отключился о чем тебе иса успешно и сообщила, что мол паблишинг не прошел ибо нет сервака.  

    1) в логах по теме ничего нет  
    загрузки процессор тожа =(
    2) но когда впн клиент подклчюается снова публишинг снова не перекидывает...
    Всего записей: 50 | Зарегистр. 26-02-2006 | Отправлено: 01:14 29-08-2007
    web1984



    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    vpn clients это не группа а network (почитай книгу и уясни разницу)

    Не подскажешь, где можно скачать хорошую книгу по ISA 2006?
     
     
    Я вот в этой статье нашел как редактировать http фильтр
    http://www.isadocs.ru/articles/configuring-isa-server-2006-http-filter.html
     
    Там написано
     
    Для настройки HTTP-фильтра щелкните правой кнопкой по правилу, содержащему определение протокола HTTP, и выберите из контекстного меню пункт Configure HTTP
     
    А если у меня нет такого меня Configure HTTP. Там только свойства где указана dll. и так в каждом фильтре нет никаких настроек. В чём может быть проблема?
     
    Через два часа копания в нете нашёл другой путь, если экране поставить правило с http, там всё присутствует. Но везде пишут в оснвном, что делают через web filters
    Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 08:26 29-08-2007 | Исправлено: web1984, 11:51 29-08-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    web1984
    качай шиндера по 2004 исе, это почти одно и тоже, разница минимальна в паре пунктов

    Цитата:
    Для настройки HTTP-фильтра щелкните правой кнопкой по правилу, содержащему определение протокола HTTP, и выберите из контекстного меню пункт Configure HTTP  

    тебе же русским по белому написали что щелкать нужно ПО ПРАВИЛУ с HTTP, то есть то что ты назвал "другим путем", а в web filters фильтры только глобально включают и выключают, если читать не умеешь внимательно то авторы не виноваты.
    ps смеялсо долго, "два часа копания в инете", мне без копания в первый раз хватило просто нажать правой кнопкой на правило и посмотреть чисто из природного любопытства какие там есть пунктики
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:16 29-08-2007
    Haik1979



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день всем
    Есть небольшой вопрос о переходе
     
    У меня работает керио только вот сохранение его статистики мне не нравиться да и не знаеш когда и как комп лопнет  
     
    в связи с этим ищу программу маршрутизации и биллинга  в одном лице  
     
    возможно ли это с помощью ISA 2006 и если да то как логировать не все что проходит по логам фильтра правил а только ие которые мне необходимы  
    например логи клиентов которые запрашивают интернет  
     
    Заранее спосибо
     
     
    Всего записей: 110 | Зарегистр. 26-10-2005 | Отправлено: 16:50 29-08-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Haik1979
    ты сам то понял что написал?
    во первых иса это не маршрутизатор
    во вторых логировать или нет определяется правилом, если на правиле стоит галочка что логи по нему будут если нет то нет
    в третьих открыл бы офсайт и почитал бы что такое иса и что она умеет
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:19 29-08-2007
    Haik1979



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
     
    Спосибо за совет уже успел  
    как я понял иса не занимаеться маршрутами соединений Спосибо буду искать другой продукт
    Всего записей: 110 | Зарегистр. 26-10-2005 | Отправлено: 18:22 29-08-2007
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Haik1979

    Цитата:
    маршрутами соединений  

    интересно что ты имел под этим ввиду ))))
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 19:08 29-08-2007
    nastrip



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Подскажите, а то теряюсь в догадках. Перешел с ISA 2000 на ису 2006. Все прекрасно, да не все.    
       
    Перестали грузиться бездисковые станции. Соответственно RIS не работает.  
       
    Станции посылают PXE запрос на DHCP сервер. Получить ответ не могут и выдают сообщение-  
       
    PXE-E51: ProxyDHCP server did not reply to request on port 4011  
       
    Как разрешить стациям запросы по  порту 4011  UDP?


    Цитата:
    Подскажите, а то теряюсь в догадках. Перешел с ISA 2000 на ису 2006. Все прекрасно, да не все.    
       
    Перестали грузиться бездисковые станции. Соответственно RIS не работает.  
       
    Станции посылают PXE запрос на DHCP сервер. Получить ответ не могут и выдают сообщение-  
       
    PXE-E51: ProxyDHCP server did not reply to request on port 4011  
       
    Как разрешить стациям запросы по  порту 4011  UDP?

     
    Была такая же трабла пока не зашел в системную политику и не вырубил DHCP в ИСА попробуй так
    Всего записей: 77 | Зарегистр. 17-11-2006 | Отправлено: 21:34 29-08-2007
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)
    emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru