» Microsoft ISA Server 2006/2004/2000 (Часть II)

Соединение надо настраивать вручную это один вариант.
другой настраивать вызов по требованию через RRAS

kazavo4ka
любая сторонняя звонилка тебя спасет ...я лично предпочитаю nncron - гениальная вещь

Всё разобрался

Через regedit убрал это левое правило

Но вообще-то вопрос !!!!!!!!!!!!

Необходимо из локальной сети по RDP подключиться к удаленному компу.
На ISA 2 сетевухи: 1 смотрит в локалку, 2 смоторит в инет. На клиенте стоит Microsoft Firewall Client.

Создал Protocol RDP:
primary connections:3402 tcp outbound
secondary connections: 1025-5000 tcp inbound; 1025-5000 udp recieve send.

Создал Firewall Policy Rule RemDesktop:
Allow; All Outbound traffic; From All Networks(and local host); To All Networks(and local host); All users.

Создал Network Rule(NAT), разрешающее маршрутизацию между локалкой и инетом.

В логе следующее:
SERVER 2006-10-10    10:02:55    TCP    192.168.x.x:4727    195.x.x.x:3402    192.168.x.x     Internal    External    Failed    0x8007274c     RemDesktop    RDP     0    0    0    0    21078    21078    test\user    mstsc.exe:3:5.0    2011    61549

"secondary connections: 1025-5000 tcp inbound; 1025-5000 udp recieve send" это че за бредятина такая? rdp работает тока по одному порту (по умолчанию tcp 3389)
ты уверен что на другом конце слушается именно 3402 порт?

Кто щупал 2006 ИСУ?
Тут поставил, все настроил, а аська не работает,хотя правила сделал все как надо. То же самое делал в 2004 - работало. А именно, ситуация такая...
Сервак с ИСА смотрит в нет, на нем стоит модем на диал-ин.
Звоню с другого офиса на модем, соединяется. Там для этого сделал 2 правила:
1) ВПН >Разрешить>Весь исходящий>ВПН клиенты>Внутренняя, Локальный компьютер>Все пользователи
2) Инет>Разрешить>http,ftp,icq200>ВПН клиенты>Внешняя>Прошедшие проверку
Все работает кроме ICQ .
Стоит еще 2004 ИСА на ней то же самое сделал - заработало.
Где я ступил подскажите плиз... В чем косяк?

AlexRNeos
иса не баба, че ее щупать ))
а вся проблема в логах

в логах нет ничего, точнее есть но не совсем то.
Чуть позже кину кусочек лога.

AlexRNeos

Цитата:

Инет>Разрешить>http,ftp,icq200>

я ещё и icq (просто) добавляю + ещё socks - через него аська стабильней работает.

firewall client используешь? в нём тоже настройки для icq можно покрутить

hardheartedпрогнал по неопытности. спасибо
ничего больше не трогал, и вдруг заработало

в логах нет ничего, точнее есть но не совсем то.
Чуть позже кину кусочек лога.

Вопрос у гуру.

Ситуация следующая. Поставил MS ISA 2004 для теста. Создал правило для работы и столкнулся со следующим. Машинка перестала видеть локальный WSUS. Делаю следующее wuauclt /detectnow и смотрю логи исы, и что же вижу ? Интернет работает замечательно, в System policy добавил Allowed Sites - локальный домен и сам IP адрес, на котором висит wsus. Дальше затык, чуствую что необходимо какое-то правило, но не догоняю. Да ISA настроена на принудительную авторизацию (стоит крыжик - recuire all users to authenticate). Теперь вопрос подскажите правило, необходимое для того, чтобы машина с исой могла бы достукиваться до локального WSUS'а.

#Fields: c-ip    cs-username    c-agent    date    time    s-computername    cs-referred    r-host    r-ip    r-port    time-taken    cs-bytes    sc-bytes    cs-protocol    s-operation    cs-uri    s-object-source    sc-status    rule    FilterInfo    cs-Network    sc-Network    error-info    action
192.168.66.215    anonymous    Windows-Update-Agent    2006-10-11    00:14:45    SIGMA3    -    -    192.168.67.86    80    1    854    2256    -    POST    /SimpleAuthWebService/SimpleAuth.asmx    -    12202    -    -    Internal    -    0x200    Denied
192.168.66.215    anonymous    Windows-Update-Agent    2006-10-11    00:26:32    SIGMA3    -    -    192.168.67.86    80    1    854    2256    -    POST    /SimpleAuthWebService/SimpleAuth.asmx    -    12202    -    -    Internal    -    0x200    Denied

MSerg
а что скажет браузер на исе если в нем набрать http://ip_wsus/wsusadmin ?

Аааа.
Все разобрался. Невнимательно смотрел лог. Там ясно сказано Internal, а я в правиле сделал All networks (source), когда принудительно добавил Internal - все сразу забегало.

P.S. переработался

MSerg
вообще то иса это не internal и не external это local host, отдельная сеть
а вот destination у тебя internal

Кажется нашел причину, почему у меня ICQ по VPN не работает
вот с VPN клиента ipconfig
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.5.107
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.5.107
DNS-серверы . . . . . . . . . . . : 192.168.5.10
Никак не могу понять почему шлюзом и IP является одно и тоже.
На сколько я знаю (хотя могу и ошибаться) но шлюзом должно стоять 0.0.0.0
И как это исправить?

AlexRNeos
ошибаешься причем в корне
сеть 0.0.0.0 означает маршрут по умолчанию, и выглядит в route print примерно так
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.15 10
и внизу еще есть почти та же самая строка
Default Gateway: 192.168.0.1
то есть шлюзом по имолчанию тут служит 192.168.0.1
в случае выхода в инет через впн шлюзом по умолчанию становится (если галка в настройках подключения стоит) собственно твой ип которые ты при подключении получаешь

Странно, почему при подключении к прову по диал-ап шлюзом высвечивается 0.0.0.0 ?
И потом, у меня сервак рядом стоит точно такой же, единственное отличие - версия ИСЫ.
На нем 2004 стоит с теми же настройками что и 2006. И на 2004 все работает. И при ВПН шлюзом на нем (ИСА2004)ставиться 0.0.0.0 .....
Что то я никак въехать не могу...

Опубликовал Exchange2k3SP2 на ISA2k4SP2. Настроил OWA и столкнулся с проблемой:

При подключении к OWA через прокси, много раз спрашивает пароль из-за галки - Требовать аунтификации.

На лисенере порта, я ее снял - поэтому извне табличка один раз появляется.
Внутри оставил, но прописал сайт с эксченджем в настройках ИЕ (не использовать прокси для локальных адресов).

Но осталась одна маленькая проблема. Есть второй офис. И из второго офиса ИСА (ИСА также как маршрутизатор) ни в какую не пускает на внутрисетевой эксчендж (ошибка 403). А если через инет заходить - пароль выскакивает много раз.
Сижу и думаю, какое ей правило, блин, нужно. Вроде все прописано, а в мониторинге закрывает сессию, т.к. юзер не может авторизоваться.
Ошибка:
Error Code: 403 Forbidden. The ISA Server denied the specified Uniform Resource Locator (URL). (12202)

господа! помогите если кто-то сталкивался с подобной ситуацией:
есть сервак ИСА2004. на ней три NIC. один из них смотрит на офис (172.27.х.х). некоторые клиенты в офисной сети были настроены на прокси (ип сетевухи смотрящей на офис). Firewall Agent не стоит. все работало как часы. в понедельник ИЕ на клиентах некоторых стал выдавать при попытке открытия любой странички в инете "The ISA server denied specified URL (12202).". Какой тако денайд если никаких ограничений ни в URL SETS ни в Domain Sets нету ? логи ниже:

0.0.0.0    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)    No    Proxy    SERVER03        www.microsoft.com    TCP    GET            -    -        -        -    -    -    0    1    4311    391        12202 The ISA Server denied the specified Uniform Resource Locator (URL).     0x0    0x0    Web Proxy Filter    12.10.2006 16:18:00    172.27.1.3    80    http    Denied Connection    Default rule    172.27.0.34    anonymous    Internal    External    http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

т.е. видно что запрет исходит от Default Rule но на целых пять правил выше есть правило которое разрешает доступ по любом протоколу от Internal к External. и с какого он обращается в логах к локальной машине-прокси а не непосредственно в External сеть ?

На счет конкретной ошибки - точно не скажу, но была подобная ситуация - глючил сетевой интерфейс (один из внешних). Отключала ISA одну из внутренних подсеток от интернета. Помогли удаление/установка драйверов сетевой карты глючного интерфейса.

Установил ISA2006 RUS, поигрался и решил всетаки английскую. Вопрос - достаточно-ли просто снести RUS и установить ENG или полностью переустановить сервер (Win2003EE)

Для ISA2004

Инстал: \\ISA-SERVER\mspclnt\setup.exe /v"SERVER_NAME_OR_IP=ISA-SERVER ENABLE_AUTO_DETECT=0 REFRESH_WEB_PROXY=1 /qn"

Деинсталл: MsiExec.exe /X {199B7F78-69B7-47C5-8D4B-A3ED1391FB6B} /qn

Полностью сносит ее. Попробуй, может для 2006 тоже прокатит.
А это деинсталл для ISA2000
MsiExec.exe /X {8C7A59A8-9ABE-459A-9A93-08C281A4A264} /qn

Antdik
Кстати, а чем 2006RUS не понравилась?
Просто поставил у себя ее, в результате не могу настроить ICQ через dial-in на серваке.
На 2004 без проблем работало.

to AlexRNeos
Немного непривычно с русским интерфейсом после 2000 и 2004.
Немогу настроить работу с банками и QIP. Сейчас в рабочем режиме стоит ISA2000 и ни каких проблем. Еще на одном компе ISA2004 и MDaemon - все чудненько, а здесь ну никак. Хочу посмотреть на ENG 2006 (чем черт не шутит, может траблы из-за языковой локализации). Здесь где-то проскакивало замечание по поводу лок версий от мелкомягких.

Всем доброго дня.
Стоит ISA 2004. Есть правило:
Имя: Инет
Действие: Разрешить
Протоколы: Весь исходящий трафик
Откуда: Internal + Localhost
Куда: External
Пользователи: All Authenticated Users + Системная и сетевая служба

Ситуация:
Если заходить в инет с любого компьютера, то всё нормально, авторизация проходит.
А вот есть с компьютера на котором стоит ISA-Server, то в логах при доступе к внешним ресурсам указывается anonymous. Я так понимаю, что не проходит авторизация.
А нужно чтобы указывало кто заходил и куда. Может кто подскажет решение?

Зарание благодарен.

Antdik
Значит не только у меня проблема с QIP на ISA2006 RUS....
Тоже никак не могу настроить.Точнее из локалки настроил. Но у меня на серваке стоит модем и разрешены входящие. Из другого офиза звоню, все соединяется сайты и ФТП работают, а вот QIP не хочет. Фигня какая то. Причем telnet login.icq.com 5190 коннектиться . А вот QIP не хочет. Ощущение что рубиться на уровне приложений...

stas999
а прокси выставлен?

Выставлен где?
В Обозревателе выставлено всё...
В правилах сети тоже...
Не работает только с машины с ИСА-сервером

stas999
В настройках самого Localhost на закладке Webproxy (если мне не изменяет память) поставиь галку и пропиши порт. Этот же порт должен быть прописан в браузере и адрес прокси сервера в браузере должен быть 127.0.0.1 или адрес внутреннего инетрфейса

Добрый день.
Буду очень признателен в помощи следующей проблемки!

Каким образом в ISA Server 2006 Rus настроить разрешения в пользовании Интернетом только пользователям из ActiveDirectory?

И совсем уж дилетантский вопрос Какие правила надо настраивать, чтобы был у всех авторизованных пользователей Интернет (на основе НАТ)?

Я настроил правила в межсетевом экране
1. Внутренняя сеть + Внешняя = Внутренняя + Внешняя
2. Внутренняя сеть + Локальный компьютер = Внутренняя сеть + Локальный компьютер

Вроде работает, правильно или нет?

Политики предприятия и массивы вообще не настраивал, и вообще с трудом представляю для чего они...

Заранее благодарен за ответы (кроме RTFM)!