» Microsoft ISA Server 2006/2004/2000 (Часть II)

iknow
на закладке Options. Переключатель Persistent connection.

PRiM
пост с сайта http://blogs.isaserver.org/shinder/2006/03/
здесь http://groups.google.com/group/microsoft.public.isa/browse_thread/thread/d67121cb1c7ebe8a/47675fccdae36369%2347675fccdae36369 полная версия переписки.
___
This post refers to an interesting problem regarding the "no available ports" error sometimes seen on hammered ISA firewalls. The first post describes the ISA firewall admin’s problem and the second post describes a possible solution.

===============================

Every six weeks or so, I have had a strange problem that only happens to one of two ISA 2004 servers. It starts loosing connectivity slowly and then crashes completely. We have to restart the server and then everything is fine.

Since the last crash, I was able to log that I have actually run out of sockets. Is there a fix?

The Web Proxy filter failed to create a network socket because there are no available ports on this computer. ISA Server already reset the maximal port number to 65535. Make sure this is the value at HKLM\System\CurrentControlSet\Services\TcpIp\Parameters\MaxUsePort and restart the computer to apply this change.

I do have that registry setting. Am I running out of sockets? Any explanation?

=================================

May be a solution for this problem.

Try lowering the TcpTimedWaitDelay to 30, which means that the connections will stay in TIMED_WAIT state for only 30 seconds instead of 240. This lowers the chance of the same port being reused by TCP.

Here are a couple of links about the matter:
http://www.winguides.com/registry/display.php/878/
http://technet2.microsoft.com/WindowsServer/en/Library/38b8bf76-b7d3-473c-84e8-e657c0c619d11033.mspx

This is Ori Yosef’s [MSFT] solution, from microsoft.public.isa (msnews.microsoft.com NNTP server)

I tried it, and my ISA Server worked without any errors more then 5 day’s.
___

ShriEkeR

...извини - но я действительно не понимаю где .... в " Configuration / General / Specify Dial-Up Preferences " ...там нет такой вкладки Options ... извини еще раз...

iknow
попробуем по порядку:
Routing and Remote Access - YourServer (local) - Network Interfaces - YourDemandDialInterface - Properties - Options.

Извините если слехка не в тему:
стоит ISA 2003
в инет пускаем тех кто входит в группу Web users
стоит Трафик квота 2.0 beta
распределенны квоты на юзеров (минималка 50 мегабайт)

задача:
если на юзера нет квоты не пускать его в Инет, или давать минимум.

не кто не подскажет как зделать такое?

Timon_Crazy

Цитата:

если на юзера нет квоты не пускать его в Инет, или давать минимум

1. Ставишь квоту на членов группы Web users в 50 МБ (минимум по твоим словам)
2. Ставишь квоты "привилигированным" пользователям из этой группы
Все. пункт 2 имеет приоритет перед пунктом 1.

прикупил шеф бук с WIN XP Home edition SP2.

ставлю клиента. http летает безпроблем. почтовые клиенты - ошибка сокета 10050, и клиент вывешивает "cannot autentificate with ISA server..."

руками бью telnet ... 110 результат тот же

комп хоть не в домене, но юзер прописан с правами админа домена.

firewall на буке вырублен.

какие мысли джентельмены?

мысль одна
Home Edition не поддерживает необходимый тип autentificate

без SP2 работало

BR0NC0
а поставить pro никак? имхо геморра будет меньше. хоум вообще в плане сетевом укоцана как не знаю что.

обидно, 98-я работает а эта фигня косячит до невозможности
выделил ее в отдельный нетворк поставил basic autentification
непроканало... >

Добавлено:
Я В ШОКЕ
SMTP ходит без проблем!
autentification для него работает а для pop3 нет!
мистика...

Есть офис, на борту Win2003Server + ISAServer2004. Хочу из дома управлять удаленно, через инет сервером. Ниразу этого не настраивал, а еще проблема в том что айпишники динамические. Посоветовали почитать www.dyndns.org Но понел плохо как все это организовать. Буду очень признателен, если кто-нибудь направит по сылкам где все разжеванно или сам чего подскажет

armanim
ИП внешний динамический? или какой?

ip внешний, динамический, реальный (не серый)

armanim
тохда тебе действительно дорога на www.dyndns.org.
принцип работы: создаешь у них аккаунт. выбираешь имя в любом из предоставляемых доменных имен. у себя на сервере устанавливаешь их софт, который с заданным интервалом сканит ИП твоего сервера, и отсылает эту информацию на сервер dydns. и твой сервер будет всегда виден в интернете через имя которое ты выбрал. просто dns будет хостится у dydns.

имхо, лучше взять статический ИП у прова если такое позволительно, зарегить себе нормальное доменное имя для своей конторы и вытворять что угодно и как угодно. хоть ни от кого не будешь зависим.

Цитата:

тохда тебе действительно дорога на www.dyndns.org

С другой стороны, если не охота возится с динднс и сервак не перегружается часто, то можешь просто запомнить выданный тебе ip и обращаться к нему. Тем более, что по истечении срока аренды DHCP-сервер провайдера скорее всего выдаст твоему серваку этот же ip. Если перезагрузишь сервер, то просто глянь новый ip перед тем как пойти домой.
А вообще MrKiT правильно тебе говорит, переходи на тарифный план со статическим ip - жить будет легче

Спасиба за советы, но айпишники выдаются динамически и постояно разные, статические адреса пров на данном тарифе пока что не выдает, а сервер находится в другом городе. Вчера полночи пытался настроить VPN (и PPTP и L2TP) на ИСЕ, вроде все по инструкции делал, сервер из инета пингуется, но подключится к нему не удается ОШибка 800 вылазит, смотрю монитор исы там даже намека никакого на то что кто то пытается конектится из вне. Может кто даст стандартный конфиг системных правил, а то я по началу некоторые удалил, думаю может из-за этого

armanim
VPN фактически поднимается не на ISA, а на RRAS. ISA только правила открывает для себя...

В документации к ISA2004 написано что раньше в 2000 нужно было куда то еще в оснастки ползать (маршрутизация вроде и еще чего то), а в 2004 типа это все делается только в оснастке исы, я сделал все как написано, но не работает

Господа с развитием спутникового инета, думаю пришло время обобщить наши знания по этому вопросу.

armanim
Надо отдельным правилом прописать доступ по VPN на сервер для локалхоста.
И именно не для всего исходящего траффика а конкретно для PPTP или L2TP.

устанавливаю ису сервер 2000 на вин2000серв.
В системе две сетевухи: одна с адресом 192.168.0.1 , другая 192.168.1.1.. маска везде 255.255.255.0 (ни на одной не подключен сетевой кабель). Комп пока что не введен в домен (но будет).
Дошел до настройки таблицы локальных адресов. вписываю адреса: 192/168/0/1 192/168/1/255 - добавить - ок. Она мне пишет: : Таблица локальных адресов должна содержать хотябы один ип адрес Исы сервера. В чем проблема? вроде ж содержит все

Дак я даже создавал правило - разрешить все туда и сюда для локалхост и интернал Нифига не получается

Добавлено:
Reznikoff мне кажется т.к. у тебя еще комп не в сети, то у него адрес 127.0.0.1 (Localhost) а этого адреса нету в списке LAT, потому и ругается

armanim
истину глаголишь. добавил 127 адрес и пошло далее

Добавлено:
а как лучше: сначала ввести тачку в домен а потом установить ису (всеравно локально) или сначала установить ису а потом ввести тачку в домен?

Добавлено:
Could Not Initialize ISA Server Settings после установки. читаю мелкософтовский хелп по этой проблеме (http://support.microsoft.com/?id=811085)
"Navigate to the following registry subkey:
HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography"
у меня вобще отсутсвует вкладка Cryptography.

В сервисах есть сервис Microsoft isa server control
но она не стартует и пишет: Дочерняя служба не существует или была отмечена для удаления.
Больше там исовских служб нет. а на сколько я помню штуки две там должно быть.
Удалятся тоже не хотит. Первая ошибка: "A command line option has been used, which is valid only in Maintance mode."
Вторая ошибка "Setup was unable to read config/ information from the first section of the setup file"

Завтра буду сначала вводить в домен а потом устанавливать ису.

Я создавал сначало домен, настраивал его, потом за ИСУ брался
Народ кто может мне скинуть на мыло конфиг стандартных системных правил Очень не охото переустанавливать ИСУ

Добавлено:
Зашел в оснастку RRAS (маршрутизация и удаленный доступ к сети) включил мар-ию. К серверу стало конентится, доходит до момента - регистрация компьютера в сети и вылазит такая ошибка:

При регистрации компьютера в сети ошибка вылезла - TCP/IP протокол сообщает об ошибке 736: Удаленный компьютер завершил работу протокола управления

Добавлено:
Усе заработало Попарился, но заработло Тока страно что все пришлось вручную включать в консоле RRAS (служба мар-ии вообще была отключена), хотя в книге ИСЫ написано что она автомат. все сделает сама никуда лезти не надо Глюк вообщем

Ребят, а можно как-нить в исе разрешить юзверям ходить на определённые FTP и HTTPS сайты? Просто URL Sets срабатывают ТОЛЬКО для HTTP.

MrKiT

В том-то и дело, что во вкладку From можно впихнуть только сетевые сеты.. но эт ладно.. работает и так нормально.

У меня теперь такой вопрос возник: как ограничить контент посещаемых ресурсов для отдельных пользователей? К примеру, перекрыть всем возможность отображения фоток, скачку mp3 и avi и т.п.?

ccna

Цитата:

как ограничить контент посещаемых ресурсов для отдельных пользователей?

Создать правило для этих пользователей

Щёлкнуть по созданному правилу правой кнопкой -- configure http

Так же создать правило основаное на url sets с действием deny

ccna

Цитата:

как ограничить контент

Я делал так:
1. Создаешь блокирующее правило из Internal в External для заданных пользователей.
2. В свойствах правила выбираешь Content Types к которым должно применяться это правило.
2а. Если нужно создаешь еще и свой тип контента.
3. Ставишь это правило выше всех HTTP.

ccna
Firewall Policy - Toolbox - Content Types - создаешь новый или используешь имеющиеся
Создаешь правило - Deny - From Internal - to External -Content Types (select Content Types) - Users (нужных юзеров)

Спасибо всем огромное! Все сделал, все работает.