emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части этой темы: 1 + 2 + 3 Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   Варез Miсrosoft Forefront TMG (ISA)   Назначение и применение сабжа.. Продолжение шапки.. НАСТОЯТЕЛЬНАЯ ПРОСЬБА ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ. // текущий бэкап шапки.. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016

Johny_x3mal Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Привет всем, с Понедельником, дай Бог, чтоб он пролетел по скорее )     Так вот, по настройкам: На FWC нужны след настройки: 1. Сервер задан вручную - 192.168.3.1 2. Вкл автоматическую настройку веб-обозревателя Вот и всё, в принципе.   Вот тут ещё один фикус вышел . После установки и настройки клиента с установленной галкой - авто настройки браузеров - Mozila перестала открывать странички, т.е. полоностью её блочить стало - ставлю галку "вручную настроить проскси" и всё начинает работать, только вот интересно - а перехватывает трафик FWC при этом?    Может у кого есть готовое решение задачки? ----- Цитата: для работы icq и outlook не всегда требуется прописывать прокси (зависит от правил на isa)   Мне надо, что бы всё проходило через аутентификацию - что бы в статистике не вылазил anonymous Всего записей: 222 | Зарегистр. 07-09-2005 | Отправлено: 09:30 07-09-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Johny_x3mal не путай fwc и прокси, это совершенно разные и никак не связанные клиенты. прокси трафик fwc не трогает вообще. единственное сто может fwc это принудительно настроить прокси в IE, но к трафику это отношения не имеет, просто дополнительная галочка для удобства, которой многие и не пользуются (настроить браузер через политику или autodiscovery гораздо удобнее)   по настройкам все просто - либо настраиваешь autodiscovery (два щелчка мышью) либо меняешь настройки в ini файликах fwc, найти их и младенец может, в профайле юзера или all users в application data   а что ты собрался настраивать в icq и тем более в outlook? Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 10:46 07-09-2009

DalayLamer Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Johny_x3mal Т.Шиндер в помощь, для начала ну и хотелось бы увидеть правило, разрешающее инет для внутренней сети (в firewall policy), а также проверку аутентификации (networks->internal->internal properties-> web proxy -> authentification). а дальше уже можно предметно говорить о готовых решениях. Всего записей: 367 | Зарегистр. 19-10-2005 | Отправлено: 22:17 07-09-2009

exileness Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ребята помогите ламеру !!!   я тут в исе плутаю уже неделю, у меня раньше была 2 зонная система, и все работало, неделю назад сделал 3-х зонную и ДМЗ, и сразу пошли косяки:   Description: The routing table for the network adapter LAN_TB includes IP address ranges that are not defined in the array-level network Internal, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network. The following IP address ranges will be dropped as spoofed: External:10.20.0.0-10.20.0.0,10.20.1.255-10.20.1.255;   ISA Server detected routes through the network adapter LAN_TB that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 10.1.2.0-10.1.2.255,10.20.2.0-10.20.2.2,10.20.2.4-10.20.2.254,10.20.30.2-10.20.30.2,10.52.2.2-10.52.2.2,172.25.24.0-172.252.24.255,192.168.226.10-192.168.226.20,192.168.253.11-192.168.253.11;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.   The routing table for the network adapter WAN includes IP address ranges that are not defined in the array-level network External, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network. The following IP address ranges will be dropped as spoofed: Internal:10.1.2.0-10.1.2.255,10.20.2.0-10.20.2.2,10.20.2.4-10.20.2.254,10.20.30.2-10.20.30.2,10.52.2.2-10.52.2.2,172.25.24.0-172.252.24.255,192.168.226.10-192.168.226.20,192.168.253.11-192.168.253.11;   ISA Server detected routes through the network adapter WAN that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 10.20.0.0-10.20.0.0,10.20.1.255-10.20.1.255,10.255.255.255-10.255.255.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.   подскажите, кто сможет, как тут разобраться ??? Всего записей: 6 | Зарегистр. 10-07-2008 | Отправлено: 11:36 08-09-2009

Johny_x3mal Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: а что ты собрался настраивать в icq и тем более в outlook? Настройки прокси прописывать, автоматом   Цитата: ну и хотелось бы увидеть правило, разрешающее инет для внутренней сети (в firewall policy) А что там на правило смотреть? пока так: лок хост, вн. сеть -> внеш - протоколы HTTP, HTTPs и прочие - все пользователи (единственное, что сделал правила отдельно для Веб, почты и асек всяких.   Цитата: а также проверку аутентификации (networks->internal->internal properties-> web proxy -> authentification) А тут ты меня озадачил... Незнаю даж чего написать. Аутентификации сейчас вообще никакой нет, хочу завязать на уровне доменного пользователя.   Добавлено: Цитата: не путай fwc и прокси про клиента прокси не нашел инфо, дай плиз ссылку.   Добавлено: Цитата: либо меняешь настройки в ini файликах fwc А тут я прям чего - то тупанул Спс, наставил на путь истинный Всего записей: 222 | Зарегистр. 07-09-2005 | Отправлено: 12:32 08-09-2009

champa Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Доброго времени суток, Господа! Такая вот ситуация! Сейчас в организации используется интернет предоставленный провайдером. Для прокси был выбран Kerio. Дак вот это всё хорошо, инет раздавался без особых проблем. Сейчас планово переходим на инет предоставляемый головным офисом, скажем так. Дак вот они используют ИСУ. Пришли к нам поставили клиента, все настроили => инет есть, на той машине (назовем её АРМ), в которую воткнут шнурок. А чтобы для других юзеров был инет, то и для них нать завести клиентов с переименованием машин и прочим. Меня, канешно это не устраивает. Дак вот вопрос: инет, который я получаю посредством клинта  с машины АРМ, можно как-то разделить на всю сеть? Про ИСУ познания отсутствуют. Заранее спасибо! если что спрашивайте. Извиняюсь, если не туда запостил! Всего записей: 281 | Зарегистр. 05-03-2007 | Отправлено: 14:37 08-09-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору champa что то я не понял, а причем тут иса?   Johny_x3mal почитай что ли матчасть - зачем тебе прописывать прокси в icq и outlook (впервые слышу что аутлук может работать через прокси) если ты ставишь fwc ?   Цитата: про клиента прокси не нашел инфо, дай плиз ссылку прокси клиент это любое приложение у которой в настройках прописана прокси. инфы на офсайте гигабайты, и книг тоже несколько штук написано, того же шиндера например.   exileness все очень просто, иса тебе вполне четко говорит что у тебя банально неправильно настроены networks и/или интерфейсы   Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 21:55 08-09-2009

exileness Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted все очень просто, иса тебе вполне четко говорит что у тебя банально неправильно настроены networks и/или интерфейсы   возможно я тут напутал что-то, а может сможете подсказать литературу или статью по настройке 3-х зонных систем на иссе, а то настроить надо, а ни фига не получается ... заранее спасибо !!! Всего записей: 6 | Зарегистр. 10-07-2008 | Отправлено: 16:24 09-09-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору exileness 3 зоны, 4 зоны, n зон, ничем не отличаются от двух зон ) литературы полно, в том же шиндере или ноэле есть главы про настройку. да и в инете полно таких статей, тока непонятно зачем они Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 21:04 09-09-2009

DalayLamer Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Johny_x3mal при правиле from Internal to External HTTP/HTTPS/ICQ2000/etc. for All Users и аська и outlook будут работать и так, при условии что при установке fwc был выбран ISA server вручную (не думаю, что autodiscovery отстроено как надо, для включения автоопределения на клиенте ) в самих программах (их настройках) прокси и аутентификацию автоматом прописать не удастся (если конечно не будет какойто самосборный пакет установки с записью в реестр всех нужных параметров). как правильно заметил hardhearted можно править ini файл у fwc. Всего записей: 367 | Зарегистр. 19-10-2005 | Отправлено: 21:38 09-09-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DalayLamer Johny_x3mal да что вы привязались к fwc и прокси, это абсолютно разные сервисы и через них работают абсолютно разные клиенты, между собой они не пересекаются в принципе. если приложение работает через прокси то fwc ему не нужно, и наоборот. outlook как почтовый клиент не работает через прокси в принципе, потому что слава богу ни у кого не хватило ума гонять smtp через http прокси у аськи могут быть проблемы с аутенфикацией на прокси, если разрешена только integrated, потому как аську писали криворукие и поддержки ntlm и kerberos у нее не было (может сейчас и появилось, я не в курсе) если написать правило для all users то никому ни прокси ни fwc не нужны, приложения смогут ходить анонимно как securenat клиент без дополнительных настроек. вообще не вижу проблемы - поставить автонастройку у всех клиентов (и fwc и браузерах) и настроить ее, в хелпе исы это действие описано в два нажатия мышью. и все будет хорошо - те проги что умеют работать через прокси будут ходить через прокси (браузеры например), а те что не умеют или которым это не надо (например аськам всяким http прокси больше вредна чем полезна, из-за специфики соединения) будут работать через fwc читайте наконец матчасть там все очень четко описано Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:27 10-09-2009

DalayLamer Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted тут Johny_x3mal поставил вопрос какпрописывать настройки прокси (т.е. использовать режим прокси или web-прокси на ISA) и в то же время "автоматом", что возможно подразумевало использование fw-клиента, который перенаправлял бы трафик на ISA. ну и Шиндера я привел с самого начала, чтоб была основа для понимания работы ISA. Всего записей: 367 | Зарегистр. 19-10-2005 | Отправлено: 13:28 10-09-2009

DalayLamer Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору turbov1 вариант 1. возьми у оператора (провайдера) второй внешний ip и публикуй сервисы на разных адресах. не забудь добавить в зону dns соответствующие записи. вариант 2. можешь еще опубликовать сервисы на разных портах (на внешнем интерфейсе), а в правиле трафик будет направляться куда надо. Всего записей: 367 | Зарегистр. 19-10-2005 | Отправлено: 16:25 12-09-2009

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору turbov1   Не работал с OWA, и не понятно какой web сервер используется, но почему бы не использовать http протокол для сайта, а https для OWA ? или не создать домен 3 уровня и назвать его, к примеру owa.мой-сайт.ru или мой-сайт.ru/owa Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 16:54 12-09-2009

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору turbov1 либо на разных ип, либо по правильному - сайты можно публиковать на разных именах, при одному ип и порту Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:59 12-09-2009

DalayLamer Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору turbov1 опубликуй OWA на 443 порту, а web-сервер пусть на 80 сидит.   подрбнее с картинками тут: hххp://www.isaserver.org/tutorials/Using-2006-ISA-Firewall-RC-Publish-OWA-Sites-Part1.html Всего записей: 367 | Зарегистр. 19-10-2005 | Отправлено: 18:39 12-09-2009 | Исправлено: DalayLamer, 18:40 12-09-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование