а при подключении из внутренней сети такого не наблюдается?
» Microsoft ISA Server 2006/2004/2000 (Часть II)
Из внутренней то же самое, если через проксю заходить.
Когда подрубаюсь из дома пароль спрашивают много раз. Если первый раз ввести, а второй раз нажать отмена, а затем обновить. То заходишь в ящик.
Похоже, что это иса.
Когда подрубаюсь из дома пароль спрашивают много раз. Если первый раз ввести, а второй раз нажать отмена, а затем обновить. То заходишь в ящик.
Похоже, что это иса.
а в логах ISA при этом что-то ложит?
Опытные братцы-кролики, подскажите, плиз, а какой тип логов знает пресловутый wrspy? Ну, в чём надо логи вести, чтобы он их анализировать мог. А то в IAM Free нету возможности формирования отчётов 
А так хочется....
А так хочется....Ситуация следующая, есть ISA 2004 EE + sp2. И решил я недавно перевести логи на SQL 2000 + sp3. К делу конечно не относится, но sql стоит на другом серваке. Просматриваю я значит логи и фаервольный и проксевый, а там вместо айпишников в колонках типа: ClientIP, SourceIP и т.д.- указывается набор цифр. Решил посмотреть скрипт которым таблички создавались (брал из папки с установленной исой) там на этих колонках параметр bigint стоит, так вот в чем думаю дело и изменил на varchar, эффект оказался тем же. Причем в результате поисков и экспереметов удалось выяснить как эта цифра, что вместо айпишника показывается, получается. Даже нашел вот такую статейку на микрософте [more=How to convert an IP address from the firewall log into a dotted IP address in Internet Security and Acceleration Server 2004]http://support.microsoft.com/kb/891223/en-us[/more]. Но дело это не меняет т.к. я хочу что бы у меня сразу в нужной колонке привычного вида айпишник показывался. Кто может чего подсказать?
Цитата:
wrspy
это что? я думал что тут обсуждают ISA Server... или я что-то недопонял?
Не подскажите модно ли как-нибудь восстановить пароль на сохраненную конфигурацию ISA Server 2004 или саму конфигурацую выципить из файла отката. А то захотел перестаить ISA на другой компьютер, сохранил конфу, вроде вел пароль 12345678. Поставил на другой компьютер, а там ISA говорит, что пароль не правильный. Много уж настроек руками вбивать. HELP.
ну какой-то "ломатель" ты врятли найдешь
а что нельзя еще раз экспортировать конфигурацию на исходном сервере?
а что нельзя еще раз экспортировать конфигурацию на исходном сервере?
Cтоит простейшая задача - объединить филиалы (их три) и головной офис (в дальнейшем под словом "офис" понимать как головной офис, так и филиалы) компании в единую сеть, используя VPN, т.е. межсайтовое соединение. Каждый офис в т.ч. и головной имеет небольшое количество рабочих станций (до 10), по 2 сервера, которые я предполагаю разделить по ролям следующим образом:
Контроллер домена
Брандмауэр на базе ISA 2004 (ну он же разумеется будет и VPN-сервером)
В этой связи у меня есть несколько вопросов:
1. Могу ли я во всех офисах использовать одну подсеть (например: 192.168.0.Х 255.255.255.0), выдавая при этом в каждом офисе TCP/IP настройки из своего, диапазона адресов, неперекрывающихся друг с другом. Т.е., например Головной офис компании получает IP-адреса в диапазоне от 192.168.0.1 до 192.168.0.20; Филиал 1 получает IP-адреса в диапазоне от 192.168.0.21 до 192.168.0.40; Филиал 2 получает IP-адреса в диапазоне от 192.168.0.41 до 192.168.0.60 и т.д. Или же необходимо каждый офис разводить в свою подсеть типа: 192.168.0.X; 192.168.1.X и т.д.? И как вообще будет идеалогически правильно реализовать эту задачу?
2. VPN соединение мне необходимо в основном потому, что необходима синхронизация между головным офисом и филиалами некой базы данных. Однако будут ли при этом доступны сетевые ресурсы Филиала 1 Филиалу 2, ну и наоборот? В идеале хочется видеть всю локальную сеть, так сказать "как на ладони", чтобы у неинформированного человека даже не появлялось мысли о том, что компьютеры в сетевом окружении территориально удалены друг от друга! Кстати, будут ли в "Сетевом окружении" появляться ВСЕ компьютеры вне зависимости от их территориального месторасположения, ведь, насколько я знаю компьютеры в сетевом окружении появляются на основании широковещательных пакетов, а они через VPN-ы по идее не должны проходить?
3. Какая должна быть аппаратная конфигурация ISA, в том смысле, что достаточно ли двух сетевых интерфейсов (IN, OUT) для налаживания работы межсайтового VPN или же нет. И существует ли какая-нибудь разница между необходимой аппаратной конфигурацией ISA-сервера в головном офисе и филиалах?
Вроде пока всё
Спасибо за Ваше терпение в прочтении столь длинного списка вопросов и не пинайте сильно, пожалуйста.
Контроллер домена
Брандмауэр на базе ISA 2004 (ну он же разумеется будет и VPN-сервером)
В этой связи у меня есть несколько вопросов:
1. Могу ли я во всех офисах использовать одну подсеть (например: 192.168.0.Х 255.255.255.0), выдавая при этом в каждом офисе TCP/IP настройки из своего, диапазона адресов, неперекрывающихся друг с другом. Т.е., например Головной офис компании получает IP-адреса в диапазоне от 192.168.0.1 до 192.168.0.20; Филиал 1 получает IP-адреса в диапазоне от 192.168.0.21 до 192.168.0.40; Филиал 2 получает IP-адреса в диапазоне от 192.168.0.41 до 192.168.0.60 и т.д. Или же необходимо каждый офис разводить в свою подсеть типа: 192.168.0.X; 192.168.1.X и т.д.? И как вообще будет идеалогически правильно реализовать эту задачу?
2. VPN соединение мне необходимо в основном потому, что необходима синхронизация между головным офисом и филиалами некой базы данных. Однако будут ли при этом доступны сетевые ресурсы Филиала 1 Филиалу 2, ну и наоборот? В идеале хочется видеть всю локальную сеть, так сказать "как на ладони", чтобы у неинформированного человека даже не появлялось мысли о том, что компьютеры в сетевом окружении территориально удалены друг от друга! Кстати, будут ли в "Сетевом окружении" появляться ВСЕ компьютеры вне зависимости от их территориального месторасположения, ведь, насколько я знаю компьютеры в сетевом окружении появляются на основании широковещательных пакетов, а они через VPN-ы по идее не должны проходить?
3. Какая должна быть аппаратная конфигурация ISA, в том смысле, что достаточно ли двух сетевых интерфейсов (IN, OUT) для налаживания работы межсайтового VPN или же нет. И существует ли какая-нибудь разница между необходимой аппаратной конфигурацией ISA-сервера в головном офисе и филиалах?
Вроде пока всё
Спасибо за Ваше терпение в прочтении столь длинного списка вопросов и не пинайте сильно, пожалуйста.PIL123
1. Думаю, что очень возможно, но придется сделать немного иначе... тебе просто надо будет назначить разные маски, например:
ip: 192.168.0.1 mask:255.255.255.240 = 192.168.0.1-192.168.0.14
ip: 192.168.0.16 mask:255.255.255.240 = 192.168.0.17-192.168.0.30
...
а иначе рабочие станции не будут слать пакеты на шлюз и будут пытаться искать их в локальном сегменте
2.
Цитата:
все зависит от того как ты пропишешь правила, возможны как односторонние так и двусторонние "взаимоотношения"
Цитата:
не знаю, вот и проверим
3.
Цитата:
вполне... для этого должно быть минимум 2 интерфейса
Цитата:
если на серверах предполагается "проживание" только ISA Server(что крайне рекмендую), то конфигурации ничем отличаться не будут
1. Думаю, что очень возможно, но придется сделать немного иначе... тебе просто надо будет назначить разные маски, например:
ip: 192.168.0.1 mask:255.255.255.240 = 192.168.0.1-192.168.0.14
ip: 192.168.0.16 mask:255.255.255.240 = 192.168.0.17-192.168.0.30
...
а иначе рабочие станции не будут слать пакеты на шлюз и будут пытаться искать их в локальном сегменте
2.
Цитата:
будут ли при этом доступны сетевые ресурсы Филиала 1 Филиалу 2, ну и наоборот?
все зависит от того как ты пропишешь правила, возможны как односторонние так и двусторонние "взаимоотношения"
Цитата:
будут ли в "Сетевом окружении" появляться ВСЕ компьютеры вне зависимости от их территориального месторасположения
не знаю, вот и проверим
3.
Цитата:
достаточно ли двух сетевых интерфейсов (IN, OUT) для налаживания работы межсайтового VPN или же нет
вполне... для этого должно быть минимум 2 интерфейса
Цитата:
существует ли какая-нибудь разница между необходимой аппаратной конфигурацией ISA-сервера в головном офисе и филиалах?
если на серверах предполагается "проживание" только ISA Server(что крайне рекмендую), то конфигурации ничем отличаться не будут
PIL123
1. Нельзя, как сказал выше enver подсети должны быть разные, можно 192.168.0.х разбить на более мелкие подсети, или юзать вообще разные подсети С, смысл от этого не поменяется. А самое главное зачем тебе одна подсеть ?
2. будут, можно между филиалами поднять свои VPN или просто маршрутизировать все между филиалами через головной офис. Чтобы всю сеть было видно полезно Wins поднять.
1. Нельзя, как сказал выше enver подсети должны быть разные, можно 192.168.0.х разбить на более мелкие подсети, или юзать вообще разные подсети С, смысл от этого не поменяется. А самое главное зачем тебе одна подсеть ?
2. будут, можно между филиалами поднять свои VPN или просто маршрутизировать все между филиалами через головной офис. Чтобы всю сеть было видно полезно Wins поднять.
Цитата:
А самое главное зачем тебе одна подсеть ?
видать ему так больше нравится
мне например было удобнее сделать, как предлагает господин hardhearted, каждую сеть класса С
чем хорошо?
знаешь, что все твои ISA Server под адресами 192.168.*.1
знаешь, что 192.168.1.* - это западная губерния, 192.168.2.* - столичные ... и т.д.
но на самом деле это все не принципиально, важнее вот что... если поставить на одном из серверов, например в головном офисе, Enterprise Edition, то можно будет централизовано управлять всеми серверами... сам не пробовал, но знаю, что это одно из преимуществ Enterprise Edition
Цитата:
централизовано управлять всеми серверами
это на каждом из серверов должна стоять Enterprise Edition. Стандарт не впихнёшь в Array.
Цитата:
ну какой-то "ломатель" ты врятли найдешь
а что нельзя еще раз экспортировать конфигурацию на исходном сервере?
В том то и дело, что его уже нет.
Добрый день.
Подскажите, существует ли инструмент для более гибкого управления настройками кеша для ISA? Хотелось бы указывать, какие типы файлов кешировать, какие нет.
Подскажите, существует ли инструмент для более гибкого управления настройками кеша для ISA? Хотелось бы указывать, какие типы файлов кешировать, какие нет.
Помогите срочно, пожалуйста
W2k3 + ISA2000
Первое дело:
В ISA есть набор правил (Protocol rules), их не много штук 6
они работаю исправно,
но при ИЗМЕНЕНИИ их, например (добавление пользователей, протоколов)
Эти "изменения" не вступают в силу
что это может быть?
Второй вопрос:
в ISA есть IP Packet Filter там их штук 15,
есть фильтр для RDP,
раньше он разрешал доступ по rdp только для одно IP
затем возникла необходимость разрешить ещё один IP
НО новый Фильтр "RDP2" так как и Protocol rules игнорируется
Поэтому пришлось сделать For All, временно надеюсь.
Все спасибо.
W2k3 + ISA2000
Первое дело:
В ISA есть набор правил (Protocol rules), их не много штук 6
они работаю исправно,
но при ИЗМЕНЕНИИ их, например (добавление пользователей, протоколов)
Эти "изменения" не вступают в силу
что это может быть?
Второй вопрос:
в ISA есть IP Packet Filter там их штук 15,
есть фильтр для RDP,
раньше он разрешал доступ по rdp только для одно IP
затем возникла необходимость разрешить ещё один IP
НО новый Фильтр "RDP2" так как и Protocol rules игнорируется
Поэтому пришлось сделать For All, временно надеюсь.
Все спасибо.
Добрый день!
Помогите, пожалуйста настроить ИСУ 2004:
Есть удаленные точка на которой стоит Web Камера
подключаешься через веб интерфейс мимо ИСЫ - все работает и показывает.
камера работает по трем портам 5001, 5002 и 5003 через веб интерфейс.
А если через ИСУ то HTTP страница открывается а окошко в ней с видео нет - появляется отдельное окошко с надписью Faild to connect server
Помогите, пожалуйста настроить ИСУ 2004:
Есть удаленные точка на которой стоит Web Камера
подключаешься через веб интерфейс мимо ИСЫ - все работает и показывает.
камера работает по трем портам 5001, 5002 и 5003 через веб интерфейс.
А если через ИСУ то HTTP страница открывается а окошко в ней с видео нет - появляется отдельное окошко с надписью Faild to connect server
ShriEkeR
это не то что хотел увидеть zubastiy - цитата с майкрософта: The CacheDir Tool accesses information about the contents of the ISA Server 2004 cache. You can use this tool to view the current (real-time) contents of the cache, to create a file that lists the contents of the cache at a particular time, and to mark items as obsolete so that they will not be served from the cache.
zubastiy
AFAIK инструментов для этого нет
это не то что хотел увидеть zubastiy - цитата с майкрософта: The CacheDir Tool accesses information about the contents of the ISA Server 2004 cache. You can use this tool to view the current (real-time) contents of the cache, to create a file that lists the contents of the cache at a particular time, and to mark items as obsolete so that they will not be served from the cache.
zubastiy
AFAIK инструментов для этого нет
Добрый день.
Есть ISA 2004 Std., три подсети, которые в настройках ISA объеденены в Network set. Создано правило разрешить весь исходящий траффик для этого Network set. Имеется правило разрешающее выход в Интернет конкретным пользователям, которые ходят туда без прокси, при помощи NAT.
Всё нормально работает, но при попытке войти на внутренний IIS сервер (стоит там же, где и ISA) выдаёт ошибку
Цитата:
В чём проблема? Как сделать, чтобы любой пользователь локально ходил на прямую? И ещё: этот фильтр ведь не является кэширующим элементом?
Есть ISA 2004 Std., три подсети, которые в настройках ISA объеденены в Network set. Создано правило разрешить весь исходящий траффик для этого Network set. Имеется правило разрешающее выход в Интернет конкретным пользователям, которые ходят туда без прокси, при помощи NAT.
Всё нормально работает, но при попытке войти на внутренний IIS сервер (стоит там же, где и ISA) выдаёт ошибку
Цитата:
Error Code: 403 Forbidden. The ISA Server denied the specified Uniform Resource Locator (URL). (12202)Если в HTTP протоколе отключить Web proxy filter, тогда заходит. Равно как, если активировать прокси сервер. Но опять же не заходит при выствленной галочке "Обходить прокси для локальных адресов".
В чём проблема? Как сделать, чтобы любой пользователь локально ходил на прямую? И ещё: этот фильтр ведь не является кэширующим элементом?
smf
Цитата:
Опубликован ли в Firewall Policy?
Цитата:
на внутренний IIS сервер (стоит там же, где и ISA)
Опубликован ли в Firewall Policy?
Публиковать надо обязательно?
Если обратиться к этой цитате из справки IIS:
Цитата:
Добавлено:
Причём в журнале, когда пишется строчка о запрещении соединения в графе протокол -- пусто, HTTP метод -- GET, также пусто в Source network и Destination network.
Если обратиться к этой цитате из справки IIS:
Цитата:
Microsoft Internet Security and Acceleration (ISA) Server 2004 uses server publishing to process incoming requests to internal servers, such as File Transfer Protocol (FTP) servers, Structured Query Language (SQL) servers, and others.то надо сказать, что на том же сервере стоит SQL server и с ним всё нормально.
Добавлено:
Причём в журнале, когда пишется строчка о запрещении соединения в графе протокол -- пусто, HTTP метод -- GET, также пусто в Source network и Destination network.
ребят, помогите, пожалуйста: как настроить выход в инет через диала с помощью ISA 2004 Enterprise SP2? чего-то я никак не могу понять
посмотрела мануал Тома Шнайдера, там вообще не нашла про настройки дозвона по диалапу. Нашла здесь в ЧаВо вот это:
Q.Как настроить ISA Standart на DialUp по вызову - очень просто.
A. Имеем W2kServerSP2rus + ISA server Standart ed. (без SP1 не было времени поставить )) Никакого RRAS не устанавливаем. Создаём удалённое соединение, назовём его Internet, в СВОЙСТВАХ параметры набора номера убираем всё кроме Отображения хода подключения, на вкладке Безопасность - небезопасный пароль или Дополнительно но ничего там не менять. В ISE в DialUp Entries указываем Internet, DiulUp Network Accaunt - тут указываем логин и пароль которые даёт провайдер, Домен оставляем пустым. Всё ISA настроен. Ну а теперь тот самый камень, при щелчке на удалённом компе по значке IE модем начинает звонить и обрывает связь. Почему? Лезем в WINNT\System32\ras, там видим Router. Щёлкаем на нём, выскакивает окно с выбором удалённого соединения (в моём случае Internet) нажимаем звонить и что видим: имя пользователя какое угодно но не то что дал провайдер. Изменяем на правильное значение, соответственно пароль тоже. Убираем лишние галки. Я настроил там также как и в удалённом соединении. Снова пробуем IE с удалённой машины и приходит rules forever. That's all. На это у меня ушло два месяца. А сколько людей отказалось от ISA из за такой мелочи.
подумала - вот оно! - наконец, наступит мне щастье, но... иса по-прежнему бьет ошибку
в логах винды снова пишется
Цитата :
Тип события: Предупреждение
Источник события: Microsoft Firewall
Категория события: Отсутствует
Код события: 14142
Дата: 03.08.2006
Время: 8:51:02
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
The dial-up network connection Internet failed. The error description is: Системе не удалось найти запись телефонной книги для этого подключения.. The error code shown in the data area of the event properties is specific to the Routing and Remote Access service.
выбираю ручками в "сетевых подключениях" винды соответствующую запись диалапа - все подключается на "ура", а иса не хотит
зараза такая чего ж ему не хватает-то
правда, когда я лезу в "Specify Dial-Up Preferences", то в настройках "Dial-up account" пароль, конечно, не вижу, но видно, что его длина меньше того, что я задавала... да и указанный чаво, насколько я поняла, относится к 2000-й исе.
посмотрела мануал Тома Шнайдера, там вообще не нашла про настройки дозвона по диалапу. Нашла здесь в ЧаВо вот это:
Q.Как настроить ISA Standart на DialUp по вызову - очень просто.
A. Имеем W2kServerSP2rus + ISA server Standart ed. (без SP1 не было времени поставить )) Никакого RRAS не устанавливаем. Создаём удалённое соединение, назовём его Internet, в СВОЙСТВАХ параметры набора номера убираем всё кроме Отображения хода подключения, на вкладке Безопасность - небезопасный пароль или Дополнительно но ничего там не менять. В ISE в DialUp Entries указываем Internet, DiulUp Network Accaunt - тут указываем логин и пароль которые даёт провайдер, Домен оставляем пустым. Всё ISA настроен. Ну а теперь тот самый камень, при щелчке на удалённом компе по значке IE модем начинает звонить и обрывает связь. Почему? Лезем в WINNT\System32\ras, там видим Router. Щёлкаем на нём, выскакивает окно с выбором удалённого соединения (в моём случае Internet) нажимаем звонить и что видим: имя пользователя какое угодно но не то что дал провайдер. Изменяем на правильное значение, соответственно пароль тоже. Убираем лишние галки. Я настроил там также как и в удалённом соединении. Снова пробуем IE с удалённой машины и приходит rules forever. That's all. На это у меня ушло два месяца. А сколько людей отказалось от ISA из за такой мелочи.
подумала - вот оно! - наконец, наступит мне щастье, но... иса по-прежнему бьет ошибку
в логах винды снова пишется
Цитата :
Тип события: Предупреждение
Источник события: Microsoft Firewall
Категория события: Отсутствует
Код события: 14142
Дата: 03.08.2006
Время: 8:51:02
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
The dial-up network connection Internet failed. The error description is: Системе не удалось найти запись телефонной книги для этого подключения.. The error code shown in the data area of the event properties is specific to the Routing and Remote Access service.
выбираю ручками в "сетевых подключениях" винды соответствующую запись диалапа - все подключается на "ура", а иса не хотит
зараза такая чего ж ему не хватает-то
правда, когда я лезу в "Specify Dial-Up Preferences", то в настройках "Dial-up account" пароль, конечно, не вижу, но видно, что его длина меньше того, что я задавала... да и указанный чаво, насколько я поняла, относится к 2000-й исе.
Никто случаем не переводил(не находил) пользовательские HTML сообщения об ошибках на русском языке? (те что выдает ISA, лежат в \ErrorHtmls).
А то нигде не нашёл. Видимо все слишком ленивые, чтоб самим переводить.
А то нигде не нашёл. Видимо все слишком ленивые, чтоб самим переводить.
Господа, столкнулся с проблемой: при роутинге между сетями не видятся компьютеры в соседнем сетвом сегменте, хотя все находятся в одном домене
как решить проблему?
как решить проблему?
Поделитесь если кто достал хотфикс описанный здесь
http://support.microsoft.com/kb/920716
а то найти не могу хотя он опубликован в июне
http://support.microsoft.com/kb/920716
а то найти не могу хотя он опубликован в июне
xxlsuper
>>сюда<<
>>сюда<<
че-то я не могу найти весомой причины переходить на ISA Server 2006... убедите меня кто-нибудь
Проблема решена.
Как оказалось ISA разрешал соединение, а вот Web proxy фильтр требовал аутентификации. Поэтому в логах всегда было три строчки:
Открытие HTTP-соединения -- разершено;
Запрещён HTTP-метод GET пользователем anonymous;
Закрытие HTTP-соединения -- разрешено.
Решилось всё это отменой требования для всех пользователей аутентифицироваться в свойствах сети на вкладке "Web Proxy".
Как оказалось ISA разрешал соединение, а вот Web proxy фильтр требовал аутентификации. Поэтому в логах всегда было три строчки:
Открытие HTTP-соединения -- разершено;
Запрещён HTTP-метод GET пользователем anonymous;
Закрытие HTTP-соединения -- разрешено.
Решилось всё это отменой требования для всех пользователей аутентифицироваться в свойствах сети на вкладке "Web Proxy".
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.