emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части этой темы: 1 + 2 + 3 Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   Варез Miсrosoft Forefront TMG (ISA)   Назначение и применение сабжа.. Продолжение шапки.. НАСТОЯТЕЛЬНАЯ ПРОСЬБА ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ. // текущий бэкап шапки.. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016

igrmik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ph5 Чтобы видеть и понять  в чем проблема, надо видеть настройки Вашей ИСы. Что естественно не возможно. А правило, которое отфильтровывало трафик к серверам ТИМа совершенно не причем. Всего записей: 360 | Зарегистр. 17-01-2006 | Отправлено: 13:10 16-01-2013

igrmik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Andryuha То что вы сделали, это вообще не панацея. Это так себе для галочки, что вы что-то сделали.     Добавлено: Если кто другой не выложит, я завтра часиков в 13 по Москве выложу Всего записей: 360 | Зарегистр. 17-01-2006 | Отправлено: 01:06 17-01-2013

Andryuha Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору igrmik Ок, буду ждать. Делал минут за 10 до моего поста, в это время уже особо и не думается ) Всего записей: 1235 | Зарегистр. 27-07-2001 | Отправлено: 01:17 17-01-2013

igrmik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ваш способ решения не позволит никому в сети открыть выше перечисленные сайты, в том числе и вам. Да и редактирование DNS зон не нужное и не правильное дело.   Все надо делать только на ИСе, где можно наклепать разных правил, для разных ситуаций и разных групп пользователей. И например разрешать юзерам пользоваться соцсетями в не рабочее время. Просто заблокировать DNS соцсетей не решает проблему, .к. некоторые юзеры после закрытия им соц.сетей, начинают активно искать в поисковиках решение данной проблемы и находят их ИП адреса или анонимайзеры предоставляемые разными сервисами, таким как http://nezayti.ru/.     Я у себя сделал так. На ИСЕ в Network Objects создал Domain Name Set - со следующим содержимым  список соц.сетей В основном правиле, там где вы разрешаете НТТП доступ всем ко всему интернету, нажимаете правую кнопку мыши и выбираете Configure HTTP  и   вкладка Signatures и создаете там такие правила   картинки После чего для тех лиц, к которым вы примените такую политику доступ к соцсетям будет закрыт. Ну и не мешало бы подобные мероприятия подкреплять официально, т.е приказом по организации. Всего записей: 360 | Зарегистр. 17-01-2006 | Отправлено: 13:54 17-01-2013 | Исправлено: igrmik, 13:56 17-01-2013

Andryuha Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору igrmik Цитата: В основном правиле, там где вы разрешаете НТТП доступ всем ко всему интернету, нажимаете правую кнопку мыши и выбираете Configure HTTP  и   вкладка Signatures и создаете там такие правила   Не нашёл в ISA 2004 такого     Добавлено: igrmik Вроде, прокатило только с Domain Name Set из Вашего списка. Спасибо ! Если кому нужен, могу в формате xml для импорта в ISA кинуть.   Всего записей: 1235 | Зарегистр. 27-07-2001 | Отправлено: 19:11 17-01-2013

igrmik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Andryuha Если у вас SBS и все настройки ИСЫ ставили не вручную, то оно называется SBS HTTP Allow xml практически у каждого свой, могу скинуть скрипт который обрабатывает текстовый файл и загоняет его в новй DNS в ИСЕ Всего записей: 360 | Зарегистр. 17-01-2006 | Отправлено: 21:45 17-01-2013

igrmik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Andryuha тогда любое правило где разрешен HTTP трафик Всего записей: 360 | Зарегистр. 17-01-2006 | Отправлено: 23:58 17-01-2013

Andryuha Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору igrmik Нет там такой возможности Похоже, где-то поломалось. HTTP фильтр включен, но в правилах я не могу его настраивать. Только FTP и RPC. Всего записей: 1235 | Зарегистр. 27-07-2001 | Отправлено: 01:05 18-01-2013

igrmik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Andryuha если нужна будет помощь пишите в ПМ Всего записей: 360 | Зарегистр. 17-01-2006 | Отправлено: 04:00 18-01-2013

War Child Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Поставил в виртуальной среде ISA 2006, в целях тестирования. Собственно проблема: правила, задаваемые в "Политиках межсетевого экрана", применяются для клиента ну о-очень долго, например правило блокировки трафика http, для клиентской машины, может сработать спустя 5-10 минут. HTTP взял для примера, такая ситуация с любыми правилами. Собственно иногда парадоксальная ситуация - трафик для ПК явно заблокирован правилом на ISA,  а пинг через ISA во внешнюю сеть идет и странички браузера открываются. Это нормальная ситуация для ISA? Кто использует данный продукт на практике, прошу прокомментировать. Всего записей: 35 | Зарегистр. 25-07-2006 | Отправлено: 16:17 18-01-2013

igrmik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору War Child Цитата: Собственно иногда парадоксальная ситуация Все зависит от последовательности применения правил, есть такая колонка Order, самая первая. Так вот если у вас сначала идет блокировка например, определенных ресурсов, а потом разрешение всех и вся, то естественно будет применено последнее правило. Всегда надо разрешать минимум, и даже нормой считается, считать небезопасной внутреннюю (локальную) сеть, и не разрешать весь трафик между компьютерами лвс и к ИСАе серверу. Цитата: ну о-очень долго 1. проверить кеширование 2. есть в настройках тайм-аут применения политик. если не знаете где смотреть, чуток позже скажу Добавлено: Andryuha, War Child тут почитайте http://itdoc.com.ua/2009/02/ponimanie-obrabotki-prava-dostupa-isa-2004/ Добавлено: War Child если установлен FWC клиент, можно сразу применить политику на клиентском компе. открыть из трея FWC, нажать Test либо Detect, а потом Apply http://img410.imageshack.us/img410/7118/fwclnt.jpg Всего записей: 360 | Зарегистр. 17-01-2006 | Отправлено: 17:57 18-01-2013 | Исправлено: igrmik, 18:15 18-01-2013

War Child Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: есть в настройках тайм-аут применения политик   Предполагаю что опция "Проверять наличие обновлений на сервере хранилища настроек"? Поставил там 15 сек.   Цитата: не разрешать весь трафик между компьютерами лвс и к ИСАе серверу   Как раз ситуация обратная - трафик явно запрещен правилом, а связь с хостами за пределами ISA все равно есть (пинг идет, web страницы открываются). Спустя 5-10 минут правило все-таки срабатывает и связь прерывается. Если снова сделать разрешающее правило, то с точностью наоборjт - связи нет 5-10 минут, потом правило срабатывает и связь появляется. Предполагаю что дело в виртуализации сервера и подсети, в которую смотрит сервер и клиентский ПК (сделано все в целях тестирования не на реальном железе, а средствами VMWare). Собственно вопрос, такое "неторопливое" реагирование на обработку политик это глюк конкретно моей ISA, или в реальной сети вновь созданные правила для ISA так же применяются спустя несколько минут? Поясню - до этого сталкивался в основном с аппаратными файерволлами и kerio, там правила отрабатываются моментально, к примеру, запретил ICMP протокол для клиента, и ping  с него тут же прервался. Всего записей: 35 | Зарегистр. 25-07-2006 | Отправлено: 18:26 18-01-2013

igrmik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору War Child Цитата: Проверять наличие обновлений на сервере хранилища настроек http://www.isaserver.org/tutorials/ISA-Server-2006-Installing-Enterprise-Edition-beta-Unihomed-Workgroup-Configuration-Post-Installation.html да имеено она. Но так часто стоит ставить только, на начальном этапе, тестировании. в дальнейшем, поставить на макс. значение.     Добавлено: Цитата: аппаратными файерволлами для них естественно моментально, с керио не знаю. не работал. Цитата: виртуализации сервера и подсети не обязательно. главное настроить на клиенте ИП шлюза, ДНС и настройки в обозревателях прописать правильные. и результат будет срабатывать практически моментально.     Всего записей: 360 | Зарегистр. 17-01-2006 | Отправлено: 18:30 18-01-2013

War Child Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Главное настроить на клиенте ИП шлюза, ДНС и настройки в обозревателях прописать правильные. и результат будет срабатывать практически моментально.     С сетевыми настройками все в порядке, подозреваю что дело все таки в виртуализации. Попробую поставить ISA на реальное железо. Изменилась ситуация с применением политик или нет - отпишусь. igrmik спасибо за советы! Всего записей: 35 | Зарегистр. 25-07-2006 | Отправлено: 18:43 18-01-2013

venom177 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Коллеги, доброго дня. Уже не знаю куда копать. Может кто сталкивался с такой проблемой.   Есть у нас Citrix, стоит он за ISA 2006. Была авторизация по eToken ключам. Временно убрали, для пролонгации ключей. Включи авторизацию по доменным аккаунтам. И вот с windows 7 (и то не со всех) и windows 8 не проходит авторизация на ISA,появляется окно для авторизации, но логин и пароль не воспринимается. Появляется ошибка 401, якобы не прошел авторизацию. С клиентский машин на Win XP таких проблем нет. Всего записей: 3 | Зарегистр. 11-10-2010 | Отправлено: 16:54 21-01-2013

SergeyMark Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору venom177 Цитата: Может кто сталкивался с такой проблемой. Сталкивался. К ISA Server это отношения не имеет. Дело в том, что Citrix и служба SCardSVR, которая нужна eToken, не совместимы. Пришлось создать два батника, один останавливает эту службу, для работы с Citrix, а другой запускает, для работы с eToken. Вывел на рабочий стол ярлычки и назвал их соответсвенно. Всего записей: 1336 | Зарегистр. 29-09-2004 | Отправлено: 09:45 22-01-2013

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование