emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части этой темы: 1 + 2 + 3 Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   Варез Miсrosoft Forefront TMG (ISA)   Назначение и применение сабжа.. Продолжение шапки.. НАСТОЯТЕЛЬНАЯ ПРОСЬБА ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ. // текущий бэкап шапки.. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016

se111 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору MrEugene Цитата: "играюсь" с этой штукой,  сделал под ESX server три виртуальных сервера, долго реагирует на изменение/отмену правил. например создал правило, пингую с одного сервера шлюз на котором установлен ISA, пингуется, отключаю правило, применяю, всё равно пингуется, проходит штук 50 -70 пингов, пока перестаёт пинговаться. очень неудобно. так и должно быть? особенность у ISA такая или что-то другое? это особенность. связанная с рекомендуемыми требованиями к железу. После того как для Windows 2003 вышел SP2 особенность стала чуть чуть дольше длиться.   sergiologino посмотри не отключена ли галочка на сетевом адаптере "File And Printer Sharing".   greenfox использовать надо публикацию. первый способ имеет правило иногда не срабатывать, в часных случаях когда требует для 1 ip перекинуть на dmz , а для всех остальных например на  другой , при том что порт и source совпадают. Теоретически зависит высоты расположения в policy, но на практике это не так. именно в 2006. в 2004 всё работает как положено. ---------- создание сайтов Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 13:47 20-11-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору se111 пост не совсем понятен ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 14:11 20-11-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Цитата: закрыть по максимуму согласно стратегии "один октрытый порт одна лишняя дырка"(с) если днс порт не слушает значит дырки нет Цитата: Мне казалось там маршруты прописаны ...   все верно, представь что у тебя на внешнем интерфейсе несколько ипшников из разных сеток, или вообще несколько интерфейсов с разными ипшниками исходящий ипшник берется согласно роутингу, в зависимости от того в какую сетку надо попасть (0,0,0,0 то есть по умолчанию, тоже считай сетка, будет использоваться первый ипшник с которого виден шлюз по умолчанию) просто я написал общий принцип, в твоем примитивном случае: несколько ип из одной подсетке на одном внешнем интерфейсе с одним маршрутом по умолчанию - да, так и будет: первый ип по списку. nat относится к тому же исходящему трафику, для него все это справедливо так по умолчанию работают все роутеры, но некоторые умеют менять это поведение rras умеет задавать конкретный адрес для nat  для отдельных источников, но с весьма сильными ограничениями. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:17 20-11-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AndrewShan попробуй пересоздать кэш (выключить, удалить файл, включить) срок хранения отчетов настраивается там же в отчетах Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:11 20-11-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Цитата: если днс порт не слушает значит дырки нет это из области веры... По твоему если открыть ряд портов на исе, на которых ничего не висит то и как бы ничего страшного. Однако по факту страются по максимуму всё закрыть ещё на уровне файера. Что логично хотя бы по причинам перестраховки (+ откуда ты знаешь что там M$ накодила в этом днс сервере? может сервис что-н с пакетами делает... ты что дамп программы делал? Нет... вот что бы не терзать себя "смутными сомнениями" принято всё закрывать что не нужно, что бы до хост-машины по минимуму доходило...) Цитата: исходящий ипшник берется согласно роутингу, в зависимости от того в какую сетку надо попасть (0,0,0,0 то есть по умолчанию, тоже считай сетка, будет использоваться первый ипшник с которого виден шлюз по умолчанию) просто я написал общий принцип, в твоем примитивном случае: несколько ип из одной подсетке на одном внешнем интерфейсе с одним маршрутом по умолчанию - да, так и будет: первый ип по списку. nat относится к тому же исходящему трафику, для него все это справедливо   это понял - гейт в данном случает отвечает от имени ip соот-го интерфейса. Логично конечно. Вопрос был ес-но как он уже на интерфейсе выбирает Вот интересно в первую очередь может ли ИСА (или она на основании rras-а) менять ip и драть не первый в списке а другой? И может ли она натить не по одному ip а по нескольким? (читал на форумах что ответ в целом нет, но всё же спрашиваю...) ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:14 20-11-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Цитата: откуда ты знаешь что там M$ накодила в этом днс сервере? откуда ты знаешь что таже самая ms накодила в исе   Цитата: Вот интересно в первую очередь может ли ИСА (или она на основании rras-а) менять ip и драть не первый в списке а другой? И может ли она натить не по одному ip а по нескольким? иса вообще ничего не может, она не была роутером и не будет, роутингом она не занимается, ипшниками тоже, и натом она не занимается. это все виндовые обязанности, что умеет винда с ррасом то и будет. дело исы работать фаером. сетевые правила просто определяют отношения между сетевыми обьектами (nat или route) но не определяют ни адресов ни маршрутов. а использовать другой ип нет ничего проще - поставь его первым и радуйся ) по нескольким ип rras умеет только статический nat Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:12 20-11-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Цитата: откуда ты знаешь что таже самая ms накодила в исе в моём варианте на пути пакета встанет только "непонятно как написанная" ИСА, в твоём варианте - оба "чудесных" продукта Цитата: а использовать другой ип нет ничего проще - поставь его первым и радуйся ) по нескольким ип rras умеет только статический nat не понял - можно ли скажем из 3-х ip на внешнем интерфейсе исы 2 задействовать для организации SNAT-а (скажем выделить 2 сервера под DMZ), а 3-й использовать под маскарадинг всех остальных хостов внутри лок.сетки? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:25 20-11-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Цитата: не понял - можно ли скажем из 3-х ip на внешнем интерфейсе исы 2 задействовать для организации SNAT-а (скажем выделить 2 сервера под DMZ), а 3-й использовать под маскарадинг всех остальных хостов внутри лок.сетки? черезе rras вроде бы можно, однозначное соответствие 1 внутренний - 1 внешний и есть статический нат в нормальной терминологии Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:30 20-11-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted а вместе в комплексе и что бы иса работала нормально? (т.е. 2 SNATа организовать и один маскарадинг на внеш инт исы?) Вроде на isaserver.org читал что не может это иса, правда тогда 2004 версия была ... ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:34 20-11-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox залезь в ррас в раздел нат и поройся, эт овопрос уже не этого раздела, иса тут не причем. 2004 и 2006 очень мало чем отличаются, а по части роутинга вообще не отличаются - у них его нет и не было, и в ближайшее время не будет   zzmeioka111 причина в мозге, в головном у проксей всегда так пишется, просто надо смотреть на это с правильной стороны received это не то что посылает клиент, а т очто получает прокся от клиента ) ps полезн очитать маны и книжки Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:24 21-11-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору minin отличная идея, ты в курсе сколько это будет стоить? может тогда каждому компу в локалке поставить по исе впридачу? тогда уж проще купить одну циску за жалкие 500 баксов и она это все разрулит без проблем Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:26 21-11-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted minin ясно, спс. Мне проще будет роутер на фряхе сделать ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:36 21-11-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору minin Цитата: А поддержка Exchange? NTLM-auth? И т.д., и т.п. а что не так с exchange? опублимковать его owa можно на чем угодно и вообще задача была про роутинг, если надо сохранить и то и другое то можно циску поставить вместе с исой, тандемом, достаточно распространенная конфигурация. Цитата: ISA 2006 Std  $2500   это ты погорячился, 1400-1500 + 700 на винду Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:52 23-11-2008

DogEatGod Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Установил ИСА2006 на контроллер домена и теперь не могу ввести в домен новых пользователей - блокируется LDAP. С DHCP разобрался, открыл правило, а с LDAP немогу. Наверняка не я первый борюсь с проблемой, подскажите статью плз! Прошу ногами не пинать, я знаю что категорически не рекомендуется ставить ISA на DC, но сервер в конторе единственный, второго не будет НИКОГДА и выпросить нереально. Да и никто не пойдет на такие расходы... Всего записей: 93 | Зарегистр. 01-03-2002 | Отправлено: 15:26 23-11-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование