Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     
    Назначение и применение сабжа..
    Продолжение шапки..
    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.
    // текущий бэкап шапки..
    • Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    davinchi9



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BULLDOG
    hardhearted
    суммируя вышесказанное могу сделать вывод, что  при такой конфигурации можно разделить задачи которые будет выполнять аппаратный фаер и программый? или полностью разделить не получится, т.е. трафик будет проходить одни и теже проверки на обоих фаерах? скажется ли это на производительности?
    Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 13:50 07-10-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Tim2000
    и не должно быть никого
    должен быть маршрут в 0,0,0,0 0,0,0,0
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:53 07-10-2008
    BULLDOG



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    davinchi9
    Разделять можно как угодно, для кого-то шлюзом указать аппарат, а для кого-то ИСУ. Скорость передачи пакетов, естественно, снизится, но вот скорость открытия веб-страниц увеличится за счет кэширования. Да незаметно ничего будет, если компьютер под ИСУ нормальный выделить.
    Всего записей: 387 | Зарегистр. 29-08-2003 | Отправлено: 15:44 07-10-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    davinchi9
    вообще обычно аппаратную железку ставят не как фаер а как роутер с функцией минимального файрвола, ибо иса роутером не является вообще, а винда как роутер примитивна до ужаса, в то же время роутеры типа циско умеют очень многое. кстати говоря те же циско раньше разделяла железки на роутеры и фаеры.
    а смысл двойного фаера чаще всего один: внешний фильтрует трафик идущий снаружи, а внутренний фильтрует то что идет изнутри наружу (ограничивать юзеров и т.д.), между ними чаще всего находится DMZ.
    по скорости тяжело что либо сказать, зависит от железа, настроек и нагрузки: чем больше правил фильтрации и самих фильтров тем сильнее требуется железка.
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:10 07-10-2008
    davinchi9



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BULLDOG
    hardhearted
    огромное спасибо за разъяснения!
    Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 17:47 07-10-2008
    NetFisher



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, на сервере W2003 установлена ISA2004, вопрос - повлияет ли как то на работу ISA поднятие (или удаление) роли сервера  как сервера приложений?
     
    Всего записей: 9 | Зарегистр. 13-02-2006 | Отправлено: 06:08 08-10-2008
    davinchi9



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Если на ИСЕ используется кеширование имеет ли смысл использовать временные файлы интернета на клиенте ил иих можно совсем отключить, т.к. заметил что всякая зараза только там и скапливается?
    Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 09:08 08-10-2008
    Tim2000



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    hardhearted

    Цитата:
    и не должно быть никого  
    должен быть маршрут в 0,0,0,0 0,0,0,0  

    есть такой!
    выявил особенность появления ошибок - у меня инет переподключается каждые 2 часа, вот именно в момент переподключения, т.е. отсутствия инета, появляются эти ошибки..
    что делать ума не прилажу(((
    Всего записей: 860 | Зарегистр. 07-11-2006 | Отправлено: 09:54 08-10-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Tim2000
    теряется линк? или ипшний получаешь от провайдера динамически? тогда это нормально, в этот момент винда теряет линк или адрес, и соответственно шлюз по умолчанию, вот иса и ругается
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:44 08-10-2008
    IlyaSwan

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет всем! Народ, модераторы, не ругайте, если подобная тема уже поднималась. Просто времени мало, чтобы перелопачивать топики, и не уверен, что найду.
    Ситуация. Имеем ISA Server 2004 Std и двух ISP. Доступ некоторых компьютеров ко "второму" Интернету организован через шлюз ZyWall, который имееет внутренний ip (192.168.33.116) из той же подсети, что и внутр. интерфейс ISA (192.168.33.5). Шлюз для этих компов назначается DHCP-сервером. При включенном клиенте брандмауэра (служба firewall client agent) на машине инет идет через ISA (это "первый" интернет), что не есть гуд, при выключенном - через ZyWall, но при этом, очевидно, весь биллинг, построенный на ISA, летит к черту.
    Так вот ВОПРОС: возможно ли при включенном клиенте ISA Server выходить в инет через второй шлюз. В книге Шиндера ничего такого не нашел, Гуглом пока тоже.
    P.S. Включенный агент нужен, сами понимаете, для того, чтобы работали правила ISA, и учет трафа вести.
    Всего записей: 86 | Зарегистр. 27-06-2007 | Отправлено: 11:47 08-10-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    davinchi9
    не путай кеширование и временные файлы, разные вещи, лучше оставить и то и то
    NetFisher
    на работу исы врядли повлияет, а вот иса на новый сервис еще как повлияет. на нее не рекомендуется стваить контроллер, ексчендж, и крайне не рекомендуется ставить сервер терминалов и т.д.
    и вообще на нее ничего лучше не ставить
     
    Добавлено:
    IlyaSwan
    ты сам то понял что написал? как иса будет учитывать трафик клиентов которые должны ходить не через ису?
    ты знаешь что такое FWC и для чего он нужен?
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:52 08-10-2008
    Tim2000



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    тут дело то в другом, ошибки идут на 2 ника - In и Out
    In смотрит внутрь - сеть 10,10,10,0
    Out смотрит наружу на прова - сеть 192,168,1,0 (мой адрес 192,168,1,31 статический)
    Инет получаю по ВПН.
    я и понять не могу почему иса ругается на какие-то непонятные вообще сети..
    Всего записей: 860 | Зарегистр. 07-11-2006 | Отправлено: 11:59 08-10-2008
    IlyaSwan

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted

    Цитата:
    ты знаешь что такое FWC и для чего он нужен?

    Цитата (с.344 последний абзац книги Шиндеров по ISA 2004):
    "...Клиент брандмауэра настраивается с именем или IP-адресом брандмауэра ISA. Программное обеспечение клиента брандмауэра перехватывает все TCP- и UDP-соединения, выполняемые приложениями Winsock, с компьютером клиента брандмауэра и отправляет их напрямую на IP-адрес приемника клиента брандмауэра на интерфейсе брандмауэра ISA, т. е. в той же сети, в которой находится компьютер клиента брандмауэра".  
    Я в ИСЕ не очень силен, но предполагал наличие каких-либо недокум возможностей, хитростей, почему на форум и обратился.
    Т.е. считаешь, что в принципе так сделать невозможно, как я писал выше.
    Всего записей: 86 | Зарегистр. 27-06-2007 | Отправлено: 13:33 08-10-2008
    hardhearted



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Tim2000да почему же непонятные то, вполне понятные и определенные сети, они определены в external
    IlyaSwan
    правильно, fwc килдает трафик на ису а иса дальше, тебе как раз эт оне нужно, тебе нужно чтобы трафик шел на зивол, поэтому fwc тебе на этих компах не нужен
    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:01 08-10-2008
    davinchi9



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted

    Цитата:
    не путай кеширование и временные файлы, разные вещи, лучше оставить и то и то

    временные файлы интернета тот же кеш, только объекты в нем храятся в открытом виде, дольше и для каждого пользователя отдельно и локально на компе, поэтому не стоит их отключать?
    Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 15:14 08-10-2008 | Исправлено: davinchi9, 15:18 08-10-2008
    eap

    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Что я неправильно делаю для открытия портов???
    Получил в наследство ISA 2004. Все настроено, больше года без вопросов проработал. Понадобилось настроить бухгалтеру новый банк-клиент Промсвязьбанка. Для него нужно открыть 80, 9080 и 9443 порты. Запускаю ISA Managment.
    Policy Elements -> Protocol Definition -> Создать -> Definition... -> и определяю 9080, 9443 протоколы на вход и выход и 80 - на вход  (80 на выход уже определен)
    Access Polity -> Protocol Rules -> и в правиле для всех пользователей ставлю галки напротив новых протоколов.
    Захожу на сайт банка http://filials.payment.ru/?enter , устанавливается Java, запускаю Получение сертификата - и процесс остается в состоянии моргающего зеленого глаза и надписи "Получение списка филиалов".  
    Техподдержка банка - "По вопросам настройки корпоративных прокси не консультируем. Моргающий зеленый глаз - это у вас не открыт 9080 порт" Пробую сделать то же под доменным администратором, которому в ISA открыт весь трафик. Результат тот же.
    Подключаю комп напрямую к Инету - все естественно работает.
    Быстро ответ найти в Инете не смог, а читать Шиндера я уже пробовал. Это на долго.
    Помогите пожалуйста запустить этого ... Банк-Клиента через ISA!!!
    Всего записей: 2837 | Зарегистр. 23-11-2006 | Отправлено: 17:21 09-10-2008
    fl1pp3r



    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eap
    А если для _http://filials.payment.ru/?enter этого сайта по нужным портам создать правило без аутентификации, для All users? И вопрос, Firewall клиенты стоят?

    ----------
    Не можешь изменить ситуацию, измени отношение к ней.
    Всего записей: 446 | Зарегистр. 22-11-2004 | Отправлено: 17:48 09-10-2008
    eap

    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Клиенты стоят. Без включенного клиента внешнюю почту Аутлук забрать не может
    Да я черта лысого готов создать, лишь бы работало. Я не знаю, как
    Всего записей: 2837 | Зарегистр. 23-11-2006 | Отправлено: 17:57 09-10-2008
    fl1pp3r



    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    У меня под таким правилом банк-клиенты работают. Правда без фаервол клиентов. Попробуй на одном компе снести и по такому правилу пустить.

    ----------
    Не можешь изменить ситуацию, измени отношение к ней.
    Всего записей: 446 | Зарегистр. 22-11-2004 | Отправлено: 18:02 09-10-2008
    eap

    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    У меня под таким правилом банк-клиенты работают. Правда без фаервол клиентов. Попробуй на одном компе снести и по такому правилу пустить.

    Под каким правилом? Как его создать?  
    У меня, оказывается, 2000 ISA!!!
    Всего записей: 2837 | Зарегистр. 23-11-2006 | Отправлено: 18:09 09-10-2008 | Исправлено: eap, 18:12 09-10-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru