Возможно ли настроить ISA Server так, чтобы http трафик считался более приоритетным по сравнению с ftp, в том смысле, что если нет http трафика в сети, то разрешить ftp занять всю ширину канала, а если http есть, то урезать ftp до заданного значения?
» Microsoft ISA Server 2006/2004/2000 (Часть II)
есть мегамагазин http://utkonos.ru/
есть клиентский софт, который позволяет делать заказы -
http://www2.utkonos.com/v129/InstallWithoutPhotos.zip
есть w2k3-r2-isa2006 с этим софтом. Софт законнектиться не может с сервером (даже до запроса пин-кода не доходит).
Раньше стояла xpprosp2 + Kerio Winroute6. Там помогло отключение трафик-инспектора. Его крючило от того, что с 80 портом сервера прога работала не по HTTP, а по своему протоколу.
Я попробовал сделать тоже самое на ISA - но облом.
Сделал свой протокол на 80 порту (чтоб HTTP анализатор вырубить), убрал всякие кэши, фильтры. Не помогает.
Есть какие то общие подходы к выяснению что не так? По логам коннект устанавливается успешно.
есть клиентский софт, который позволяет делать заказы -
http://www2.utkonos.com/v129/InstallWithoutPhotos.zip
есть w2k3-r2-isa2006 с этим софтом. Софт законнектиться не может с сервером (даже до запроса пин-кода не доходит).
Раньше стояла xpprosp2 + Kerio Winroute6. Там помогло отключение трафик-инспектора. Его крючило от того, что с 80 портом сервера прога работала не по HTTP, а по своему протоколу.
Я попробовал сделать тоже самое на ISA - но облом.
Сделал свой протокол на 80 порту (чтоб HTTP анализатор вырубить), убрал всякие кэши, фильтры. Не помогает.
Есть какие то общие подходы к выяснению что не так? По логам коннект устанавливается успешно.
haha0
нет
aik3
попробуй снять с http протокола web filter
нет
aik3
попробуй снять с http протокола web filter
hardhearted
Ну так адрес клиент получает нормальный, из моей подсетки, а в Консоли DHCP в разделе Арендованные адреса, этих адресов не видно!
Ну так адрес клиент получает нормальный, из моей подсетки, а в Консоли DHCP в разделе Арендованные адреса, этих адресов не видно!
есть сервер, который в инет ходит через VPN. как заставить ISA при старте коннектиться автоматом и поддерживать соединение в рабочем состоянии?
как просто ей сообщить о соединении и его свойствах - я нашел, но надо автодозвон.
пока сторонним скриптом с rasdial пользуюсь, но хочется прямого решения
hardhearted
создание отдельного правила для заданных серверов + отключение webproxy - помогло, tnx!
как просто ей сообщить о соединении и его свойствах - я нашел, но надо автодозвон.
пока сторонним скриптом с rasdial пользуюсь, но хочется прямого решения
hardhearted
создание отдельного правила для заданных серверов + отключение webproxy - помогло, tnx!
aik3
В параметрах соединения в винде выставить "Число повторений набора номера" и "Интервал между повторениями", "Время простоя до разъединения".
В параметрах соединения в винде выставить "Число повторений набора номера" и "Интервал между повторениями", "Время простоя до разъединения".
up
Добавлено:
ИСУ 2006 кто нибуть ставил, в чем отличия от 2004 ?
Добавлено:
ИСУ 2006 кто нибуть ставил, в чем отличия от 2004 ?
kazavo4ka
Цитата:
неа, при таком раскладе иногда перестает работать этот VPN вовсе пока ISA не перестартуешь. и начальный дозвон средствами RAS не сделаешь.
Цитата:
В параметрах соединения в винде выставить "Число повторений набора номера" и "Интервал между повторениями", "Время простоя до разъединения".
неа, при таком раскладе иногда перестает работать этот VPN вовсе пока ISA не перестартуешь. и начальный дозвон средствами RAS не сделаешь.
aik3
Шиндеры (рус) 338 стр
Цитата:
Шиндеры (рус) 338 стр
Цитата:
ПРЕДУПРЕЖДЕНИЕ При использовании коммутируемых VPN-подключе-
ний иногда наблюдаются проблемы с брандмауэром ISA и автоматическим
набором. В ряде случаев оказывается, что коммутируемое соединение не
выполняет автоматического набора. В такой ситуации нужно вручную ус-
тановить VPN-подключение и настроить его так, чтобы при разрыве соедине-
ния происходил автоматический повторный набор. С аналоговыми модем-
ными соединениями таких проблем не бывает.
kazavo4ka
Цитата:
Ха. Настроено, но - не перезванивает. Видимо, если VPN гейтвей (у меня PPTP) не доступен, то оно не считает нужным перезванивать.
В общем, заряжу скрипт типа while(1){if (0 != ping aha.ru){while(0 != ping aha.ru) rasdial xxx}}
Ну т.е. заставить ISA это делать - невозможно, так?
Кстати, а как быть с тем, что выдаваемый по VPN IP адрес (один и тот же) не воспринимается ISA как Localhost? Видно по файрвольному логу что так случается.
Цитата:
aik3
Шиндеры (рус) 338 стр
Цитата:
ПРЕДУПРЕЖДЕНИЕ При использовании коммутируемых VPN-подключе-
ний иногда наблюдаются проблемы с брандмауэром ISA и автоматическим
набором. В ряде случаев оказывается, что коммутируемое соединение не
выполняет автоматического набора. В такой ситуации нужно вручную ус-
тановить VPN-подключение и настроить его так, чтобы при разрыве соедине-
ния происходил автоматический повторный набор. С аналоговыми модем-
ными соединениями таких проблем не бывает.
Ха. Настроено, но - не перезванивает. Видимо, если VPN гейтвей (у меня PPTP) не доступен, то оно не считает нужным перезванивать.
В общем, заряжу скрипт типа while(1){if (0 != ping aha.ru){while(0 != ping aha.ru) rasdial xxx}}
Ну т.е. заставить ISA это делать - невозможно, так?
Кстати, а как быть с тем, что выдаваемый по VPN IP адрес (один и тот же) не воспринимается ISA как Localhost? Видно по файрвольному логу что так случается.
kazavo4ka
Цитата:
а в 2006 такая проблема есть?
Цитата:
aik3
Шиндеры (рус) 338 стр
Цитата:
ПРЕДУПРЕЖДЕНИЕ При использовании коммутируемых VPN-подключе-
ний иногда наблюдаются проблемы с брандмауэром ISA и автоматическим
набором. В ряде случаев оказывается, что коммутируемое соединение не
выполняет автоматического набора. В такой ситуации нужно вручную ус-
тановить VPN-подключение и настроить его так, чтобы при разрыве соедине-
ния происходил автоматический повторный набор. С аналоговыми модем-
ными соединениями таких проблем не бывает.
а в 2006 такая проблема есть?
tiaf
Цитата:
да, с завидной регулярностью
Цитата:
kazavo4ka
Цитата:
aik3
Шиндеры (рус) 338 стр
Цитата:
ПРЕДУПРЕЖДЕНИЕ При использовании коммутируемых VPN-подключе-
ний иногда наблюдаются проблемы с брандмауэром ISA и автоматическим
набором. В ряде случаев оказывается, что коммутируемое соединение не
выполняет автоматического набора. В такой ситуации нужно вручную ус-
тановить VPN-подключение и настроить его так, чтобы при разрыве соедине-
ния происходил автоматический повторный набор. С аналоговыми модем-
ными соединениями таких проблем не бывает.
а в 2006 такая проблема есть?
да, с завидной регулярностью
как в исе 2004 настроить чтобы в месяц например группе выдавалось 100мб?.
ISA 2006 RU на 2003 сервере
Пока не перзапустишь службу межсетевого экрана, Exchange нормально не стартует! Что может быть?
Пока не перзапустишь службу межсетевого экрана, Exchange нормально не стартует! Что может быть?
Хочу чтобы снаружи к исе подключались только пользователи имеющие сертификат.... не только для VPN а вообще на весь траффик и на доступ к внутренним WWW серверам и т.д. знаю что это можно устроить через политики безопасности IPSec... может кто пробовал организовать такое! Нужно только для соединенй снаружи!
Есть у меня сетка за исой, преподаватели в которой хотят отключать ученикам доступ в интернет по HTTP на время своих занятий. Давать им доступ к консоли исы и объяснять как это делается - не вариант. Ибо некоторые преподы пребывают в состоянии старческой эйфории.
Лучше всего, чтобы препод заходил на некоторую веб-страничку (у нас есть маленький веб-сервер в аудитории с сервисом "пожелания для администратора" и прочей фигней =) ), выбирал в выпадающем списке имя группы пользователей и нажимал на пимпу вкл/выкл, после чего в исе включалось/выключалось соответсвующее правило.
Искал по разным местам среди плагинов и скриптов. Подходящих вещей не нашел (кроме разве что ISA SDK
- но это на самый крайний случай (если осилю, конечно) )
Есть идеи, как можно организовать такую вещь?
Лучше всего, чтобы препод заходил на некоторую веб-страничку (у нас есть маленький веб-сервер в аудитории с сервисом "пожелания для администратора" и прочей фигней =) ), выбирал в выпадающем списке имя группы пользователей и нажимал на пимпу вкл/выкл, после чего в исе включалось/выключалось соответсвующее правило.
Искал по разным местам среди плагинов и скриптов. Подходящих вещей не нашел (кроме разве что ISA SDK
- но это на самый крайний случай (если осилю, конечно) ) Есть идеи, как можно организовать такую вещь?
SaDFromSpb
в исе есть функция на неделю..с 8 например до 6 вечера чтобы инет был...включи ее
в исе есть функция на неделю..с 8 например до 6 вечера чтобы инет был...включи ее
BlackFox
Знаю я про нее. Тут все гораздо сложнее. Им интернет иногда нужен иногда нет. Часто группам нужно отрубать инет только на время проведения контрольных.
Знаю я про нее. Тут все гораздо сложнее. Им интернет иногда нужен иногда нет. Часто группам нужно отрубать инет только на время проведения контрольных.
BlackFox
с помощью исы вообще никак, нет на ней ни квотирования ни шейпинга, тока левыми эддонами, например Bandwidth Splitter умеет.
SaDFromSpb
ну плагины для такого маразма врядли кто то выпускал, можешь сам написать, на обычном vbs написать скрипт аля включить/выключить правило или добавить/убрать группу на исе проще простого. для выполнения скрипта нужны права на исе.
с помощью исы вообще никак, нет на ней ни квотирования ни шейпинга, тока левыми эддонами, например Bandwidth Splitter умеет.
SaDFromSpb
ну плагины для такого маразма врядли кто то выпускал, можешь сам написать, на обычном vbs написать скрипт аля включить/выключить правило или добавить/убрать группу на исе проще простого. для выполнения скрипта нужны права на исе.
hardhearted
Таки на обычном vbs? Хм... ну ладно, покопаем, как это делается...
Таки на обычном vbs? Хм... ну ладно, покопаем, как это делается...
SaDFromSpb
на vbs на исе можно сделать почти все
)
на vbs на исе можно сделать почти все
)Привет всем. Стоит иса 2006 инт. Наткнулся на такую неприятную феньку- команда PING не авторизуется файрволл клиентом. То есть если в разрешающем пинг правиле стоит "все пользователи" , то все хорошо пингуется. , но если зависит от авторизации - нет . На хосте клиента файрволл-клиент стоит, а в логах исы при пингах имя пользователя пусто. Хотя если туда же куда делаешь пинг полесть например телнетом, то правило благополучно пропускает и в логах виден пользователь.
Ето что - фича такая или у меня с руками что то? Как это подедить?
Ето что - фича такая или у меня с руками что то? Как это подедить?
AvvNtl
приплыли
это еще с 2000 и 2004 исы было.
все потому что надо доки читать, там русским по белому написано что fwc работает только для tcp и udp, а icmp он не будет аутенфицировать
ps найди нормальный словарь с терминами и разберись в чем разница авторизации и аутенфикации.
приплыли
это еще с 2000 и 2004 исы было.
все потому что надо доки читать, там русским по белому написано что fwc работает только для tcp и udp, а icmp он не будет аутенфицировать
ps найди нормальный словарь с терминами и разберись в чем разница авторизации и аутенфикации.
hardhearted
Спасибо за ответ. Как раз с исы 2000 на иса2006 перехожу. Конечно в хелпе прописано что типа "все винсок" начиная с иса2000 а может и раньше (не сообразил что нет там icmp), но поведение иса2000 было другое - я тогда прописал разр-ее правило для админов по всем протоколам и все пинги идут (сейчас так работает). А теперь гляжу нет - в иса2006 для пингов отдельное правило нужно для всех пользователей. Отсюда и непонятки возникли
p.s.: мог бы к словам то особо не придираться - вечером письмецо писалось А о чем шла речь по моему понятно было...
Спасибо за ответ. Как раз с исы 2000 на иса2006 перехожу. Конечно в хелпе прописано что типа "все винсок" начиная с иса2000 а может и раньше (не сообразил что нет там icmp), но поведение иса2000 было другое - я тогда прописал разр-ее правило для админов по всем протоколам и все пинги идут (сейчас так работает). А теперь гляжу нет - в иса2006 для пингов отдельное правило нужно для всех пользователей. Отсюда и непонятки возникли
p.s.: мог бы к словам то особо не придираться - вечером письмецо писалось
А о чем шла речь по моему понятно было...Помогите с ISA 2006
После смены ISA 2004 на 2006 пошли проблемы.
Я использую две сети LAN и Stream. Стри как деманд дайл. У меня есть таблица роутинга для LAN и она прописана на шлюзе через route -p
Все работало на 2004. После поднятия 2006 пошел такой баг. Чтобы забраться на шлюз удаленно я использую бесплатный DDNS. то есть при присвоении адреса от стрима через DHCP интерфейсу дозвона ADSL системная служба No-ip стучит о новом адресе. У стрима есть особенность они меняют адрес принудительно один раз в 24 часа. Так вот после смены адреса тулза не может достучаться до сервера, чтобы сообщить о новом адресе.
Зато если зайти на сервер и отключить дайлап коннект и оно подключиться снова (подключается автоматом), то обновление в DDNS заработает. Почему так ?? это глюк 2006 иса ? или я чего то не понял.
После смены ISA 2004 на 2006 пошли проблемы.
Я использую две сети LAN и Stream. Стри как деманд дайл. У меня есть таблица роутинга для LAN и она прописана на шлюзе через route -p
Все работало на 2004. После поднятия 2006 пошел такой баг. Чтобы забраться на шлюз удаленно я использую бесплатный DDNS. то есть при присвоении адреса от стрима через DHCP интерфейсу дозвона ADSL системная служба No-ip стучит о новом адресе. У стрима есть особенность они меняют адрес принудительно один раз в 24 часа. Так вот после смены адреса тулза не может достучаться до сервера, чтобы сообщить о новом адресе.
Зато если зайти на сервер и отключить дайлап коннект и оно подключиться снова (подключается автоматом), то обновление в DDNS заработает. Почему так ?? это глюк 2006 иса ? или я чего то не понял.
XAN
Может быть и глюк....
Я на 2006 никак не могу ICQ завести через VPN. А на 2004 работало без проблем.
Видимо сыровата она еще...
Может быть и глюк....
Я на 2006 никак не могу ICQ завести через VPN. А на 2004 работало без проблем.
Видимо сыровата она еще...
AlexRNeos
послать бы ее нафиг и откатиться назад на 2004... блин пусть доделывают.
Народ не ставьте пока 2006. Сырая слишком.
послать бы ее нафиг и откатиться назад на 2004... блин пусть доделывают.
Народ не ставьте пока 2006. Сырая слишком.
столкнулся с такой проблемой: как и в исе 2004,в 2006й создал правило для открытия народу доступ к внешним фтп. И вот не понятно чо происходит: при конекте фтп-клиентами (сажем, тотал командэр) они конектятся на какой-либо фтп (пусть на ftp.oracle.com) и получают ошибки:
200 OK
ISA Server: extended error message
200 Switching to ASCII mode
500 Illegal PORT command
Чего с этим делать?
Помница в иса2004 были "проблемы" другого плана - на фтп пускало,но закачивать ничего нельзя был. "лечилось" убиранием птички "read only" в св-вах фтп. А тут даже никаких св-в у фтп и нету-то... О как... куда-то вс поубирали...а весить дистриб стал в 3 раза больше
200 OK
ISA Server: extended error message
200 Switching to ASCII mode
500 Illegal PORT command
Чего с этим делать?
Помница в иса2004 были "проблемы" другого плана - на фтп пускало,но закачивать ничего нельзя был. "лечилось" убиранием птички "read only" в св-вах фтп. А тут даже никаких св-в у фтп и нету-то... О как... куда-то вс поубирали...а весить дистриб стал в 3 раза больше
askaev
Цитата:
наверняка поможет использовать на клиенте passive режим ftp.
вероятно, можно заставить ISA выпускать наружу клиентов с активным режимом, но не знаю как.
Цитата:
500 Illegal PORT command
Чего с этим делать?
наверняка поможет использовать на клиенте passive режим ftp.
вероятно, можно заставить ISA выпускать наружу клиентов с активным режимом, но не знаю как.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.