Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     
    Назначение и применение сабжа..
    Продолжение шапки..
    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.
    // текущий бэкап шапки..
    • Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    igrmik



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ploom
    Цитата:
    в браузер вбил проксю - ип исы и всё заработало, что это за изврат то? =)  

    не изврат а нормальная работа ПО
     
    Добавлено:
    если б поставили шлюзом по умолчанию сервер с ИСой, то прокси в браузер можно было не добавлять
    Всего записей: 360 | Зарегистр. 17-01-2006 | Отправлено: 15:22 21-02-2013 | Исправлено: igrmik, 15:23 21-02-2013
    T_Railer

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    постоянно ошибка 101 вылазит, и 324 достало уже
    что делать??? 2004я ИСА
    Всего записей: 68 | Зарегистр. 02-04-2004 | Отправлено: 09:05 26-02-2013
    iliytch



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте.  
    В одном из китайских офисов, стоит Forefront TMG.  
    Очень сильно тормозит доступ в интернет.  
    Судя по логам, почти все компьютеры в сети активно шлют пустые UDP пакеты в экстернал.  
    SendReceive UDP Traffic  
    Send only UDP Traffic  
    Кроме того, проскакивают, такие-же записи о UDP из внешней сети. Все внешние IP адреса принадлежат местному провайдеру.  
    В отчётах регулярно мигает имя хоста 163data.com.cn  
    В логах ошибки:  
    NON-TCP Sessions from one IP address limit exceeded  
    Concurrent TCP connections from one IP address limit exceeded  
    При этом все машины неоднократно проверялись на наличие вирусов. Всё чисто.  
     
    Что это может быть?
    Всего записей: 4 | Зарегистр. 21-11-2007 | Отправлено: 07:14 05-03-2013
    anton04



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iliytch
     
    Ну так увеличьте лимит TCP соединений с одно адреса, Вам же нормальным "русским" языком там написано!
     
    Может быть кто-то в нутри сети балуется торрентами вот и происходит такое, к тому же в логах должно быть исходный IP (внутренний) у которого происходит данная байда. И ещё обычно и лимита подключений исключают сервера (правда это если совсем не хочется разбираться с этой превентивной системой защиты).
    Всего записей: 2805 | Зарегистр. 14-06-2006 | Отправлено: 10:39 05-03-2013
    iliytch



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Я увеличил количество одновременных соединений, ошибка пропадает, но это не помогает.
    Проблема не в том, что TMG ругается на большое количество соединений.
    Проблема в том, что при этом наблюдаются жуткие тормоза.
    Всего записей: 4 | Зарегистр. 21-11-2007 | Отправлено: 11:39 05-03-2013
    anton04



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iliytch
     

    Цитата:
    Проблема не в том, что TMG ругается на большое количество соединений.  
     Проблема в том, что при этом наблюдаются жуткие тормоза.

     
    А это всё взаимосвязано, т.к. TMG не может открыть ещё одну сессию, она текущий запрос ставит в ожидание и когда другая сессия закрывается она берёт и начинает обрабатывать что у неё в ожидании и т.д. до бесконечности. Вот это и есть Ваши "тормоза"
    Всего записей: 2805 | Зарегистр. 14-06-2006 | Отправлено: 15:00 06-03-2013
    Raz0rnsk

    Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Граждане, столкнулся с задачей построения отказоустойчивого tmg, ранее с tmg не работал.  
     
    Собрал для теста лабу из 3 виртуалкок под VMware ESX и поставил windows server 2008 r2 standart с одного образа, настраивал одинаково. Прописал свободные статические IP из диапазона 10.100.2.*. Ввел в домен. Установил все обновления на сервер, установил роли и отдельно сетевое балансирование для nlb. Поставил tmg 2010 enterprise без sp, пока что. На 2 узла - диспетчер+службы tmg, на 1 узел - emc (для управления массивами). Создал на узле с емс массив и перенес политику с сейчас работающего tmg. Присоединил к массиву 2 узла - все ок. Пинги между всеми узлами ходят, с сервера рулится все. Включаю балансирование сетевого трафика через tmg(указываю виртуальный IP из этого же диапазона - 10.100.2.135), очень долго применяется настройки на узлах, в итоге, в диспетчерах на узлах массива показывает что балансирование работает, а вот на сервере управления показывает, что невозможно подключиться к одному из узлов (около одного из узлов загорается восклицальный знак).  
     
    Причем, пинги с этого проблемного узла до другого узла ходят, а на сервер управления нет и с сервера емс до него пинги не ходят, а до другого узла нормально. И если я со своей машины пингую проблемный узел, то все ок!  
     
    Если же на сервере управления выключить балансировку, то через какое-то время пинги на проблемный узел начинают ходить с сервера емс (управления) и обратно.  
     
    Гуглил много, много чего перепробовал, уже не знаю что делать. Создал даже разрешающее правило, чтобы весь трафик от этих 3-х узлов ходил к этим 3-м узлам по всем протоколам. Не помогло. Не могу понять, почему отваливается связь лишь с одним из узлов, когда с другим все ок. Пробовал сносить ОС и настраивать все с 0. То же самое все...
     
     Уже думаю попробовать поставить на все узлы сервис-паки на tmg? Прошу совета и помощи.
    Всего записей: 338 | Зарегистр. 26-10-2007 | Отправлено: 17:51 11-03-2013
    Leon1978

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    нужен совет по TMG, как добавить группы из домена для создания правил доступа в интернет. (TMG не в домене)  
    1) Настроил LDAP server по этому линку http://technet.microsoft.com/en-us/library/dd440987.aspx  
    2) Создаю пользователя Full_Int из ldap server sets выбираю свой сет который настроил в 1 шаге, прописываю группу которая в домене Full_Int, жму ок, просит аутентификацию ввел учетку админа домена(какие права для учетки нужны?), все ок.  
    3) Создаю правило Full_Int, разрешить, весь исходящий, инспекция да, из внутри во внешку, кому удаляю всем пользователям, добавляю Full_Int, жму далее и тут выходит окошко, the authentication method (LDAP), selected for user set Full_Int is not valid for an access rule. The rule cannot be saved until you change the authentication method or select different user set.  
     
    Вопрос
    1) Нужно ли еще дополнительно что то настраивать?
    2) Какие права нужно учетки для пункта 2?
    3) Где ошибка у меня? Или подскажите куда дальше копать то?  
     
    Заранее спасибо!
    Всего записей: 342 | Зарегистр. 03-09-2005 | Отправлено: 11:27 13-03-2013
    sever6159

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток!
    В качестве шлюза установлен ISA Server 2004 (Small Business Server 2003 SP2). В один распрекрасный момент началось странное: когда пытаешься открыть сайт с https (почту mail.ru, gmail.com etc.) интернет начинает тормозить, долго-долго грузится, в итоге может страницу откроет, или же, внимание, интерфейс самого сайта, а не браузера, сообщит, что нет соединения с интернетом. Если одновременно пытаться открыть другие сайты, неважно какие, они тоже перестают открываться, на этапе соединения зависают, хотя до открытия какого-нибудь https сайта, все замечательно работало. В итоге приходится перезапускать браузер или ждать некоторое время, что опять-таки помогает до открытия какого-нибудь https сайта. Порой, очень редко, проблема пропадает ненадолго. Перепробованы многие браузеры, более-менее терпимо работает только IE8. Интересно, что на самом шлюзе, и за шлюзом все прекрасно функционирует. Пробовал поиграться правилами, убирал для определенного пользователя и компьютера в ISA и AD все ограничения, не помогает.
    Иногда появляется еще одна проблема, может взаимосвязаны. С первого раза сайт не грузится. Любой. То есть сайт находится в интернете, заголовок страницы загружается и на этом все. Обновляешь страницу - загружается.
    Хотя бы в какую сторону копать, подскажите, пожалуйста
    Всего записей: 7 | Зарегистр. 15-06-2010 | Отправлено: 11:32 14-03-2013
    Leon1978

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    прочитал здесь
    http://www.forefront-tmg.ru/tmg/general_configuration/using-ldap-radius-authentication/
    Не забудьте, что можно использовать наборы пользователей LDAP только в сценариях обратного прокси (reverse Proxy) в форме правил публикации веб-сервера.
    То есть в правилах доступа нельзя их получается использовать?
    Тогда как можно ограничить доступ пользователям, только по IP адресам?
    Всего записей: 342 | Зарегистр. 03-09-2005 | Отправлено: 07:47 19-03-2013
    Leon1978

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Так есть какое-нибудь решение? Для использования пользователей AD в TMG?
    Всего записей: 342 | Зарегистр. 03-09-2005 | Отправлено: 16:27 26-03-2013
    MrRussel



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток, товарисчи! Суть: есть windows 2003 server sp2, решили с напарником поставить ISA firewall. столкнулись с проблемой - клиент не обнаруживает сервер в автоматическом режиме. Если все ручками настроить - работать будет. Но это не дело - к каждому компу подойди да настрой. а потом если упадет че - заново настраивать. Подскажите хотяб, в каком направлении копать?
    Всего записей: 4 | Зарегистр. 27-03-2013 | Отправлено: 07:17 27-03-2013
    SergeyMark



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Так есть какое-нибудь решение? Для использования пользователей AD в TMG?

    Есть. Простое. Загнать TMG в домен.
     
    Добавлено:
    MrRussel

    Цитата:
    Подскажите хотяб, в каком направлении копать?

    Поставить на компьютеры ISA-клиент, можно вручную, можно через политики домена.
    Всего записей: 1336 | Зарегистр. 29-09-2004 | Отправлено: 09:19 28-03-2013
    MrRussel



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    [q][/q]
    Решено. Путем снятия галочки "авторизация на самом isa сервере". чем это черевато- не знаю. но пока работает. оказалось, что isa 2004 не запилена под все версии винды, начиная с xp sp3.
    SergeyMark вы меня видимо неверно поняли. FWC на юзерских компах уже стоит.
    Всего записей: 4 | Зарегистр. 27-03-2013 | Отправлено: 05:29 29-03-2013
    Leon1978

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    SergeyMark
    Вопрос что будет если настроенный TMG загнать в домен, настройки останутся? Или нужно выгрузить настройки а потом их загрузить?
    Всего записей: 342 | Зарегистр. 03-09-2005 | Отправлено: 10:38 29-03-2013
    SergeyMark



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Leon1978

    Цитата:
    Вопрос что будет если настроенный TMG загнать в домен, настройки останутся? Или нужно выгрузить настройки а потом их загрузить?

    Вы же все равно собирались настраивить доступ для доменных пользователей? Настройки придется исправлять или создавать новые. Пару раз пытался разруливать со старыми настройками, тратил кучу времени. Со временем перестал пытаться использовать старые настройки. Проще и быстрее создать новые. А вот backup сервера, перед началом всех манипуляций, сделать нужно обязательно. "Откатитесь" назад, если что-то пойдет не так.
    Всего записей: 1336 | Зарегистр. 29-09-2004 | Отправлено: 14:39 29-03-2013
    greenfox



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    MrRussel
    http://technet.microsoft.com/en-us/library/cc302643.aspx
    http://technet.microsoft.com/en-us/library/cc713344.aspx
    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:19 08-04-2013
    kURONO



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток.
    TMG в домене.
    Нужно чтобы у определенных доменных пользователей работало icq.
    Создана глобальная группа, в которую добавлены пользователи, эта группа добавлена в группы TMG (icqUsers).
     
    Создаю правило доступа:протокол - icq 2000, откуда - внутренняя сетка, куда внешняя сетка, условие - указываю группу IcqUsers. В итоге icq не пашет, меняю группу на все пользователи и icq начинает работать.
    В какую сторону смотреть?  
    Всего записей: 133 | Зарегистр. 14-12-2006 | Отправлено: 20:51 27-05-2013
    wwladimir



    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kURONO
    Думаю, в  сторону способа авторизации доменных пользователей-у них ISA-клиент установлен?
    (хотя, может в TMG что по другому... у меня isa2006)
    Сначала почитать- чем отличаются типы клиентов ISA:
    -SecureNAT
    -Firewall
    -Web Proxy
     
    В консоли в "наблюдение"-"ведение журнала" выбирайте свое правило и смотрите.
    Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 22:08 27-05-2013 | Исправлено: wwladimir, 22:10 27-05-2013
    SergeyMark



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kURONO

    Цитата:
    Создана глобальная группа, в которую добавлены пользователи, эта группа добавлена в группы TMG (icqUsers).

    В группе icqUsers на TMG, долны быть выбраны пользователи домена, а не доменная группа.
    Разрешить нужно два протокола: icq 2000 и icq.
    Всего записей: 1336 | Зарегистр. 29-09-2004 | Отправлено: 08:39 28-05-2013
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru