» Microsoft ISA Server 2006/2004/2000 (Часть II)

Bugriy
mmc консоль - иса сервер - configuration - networks - internal (или та сеть к которой подкл комп) - правой педалью на ней - свойства - web proxy - auhentication

greenfox
Да я в курсе, галку я там выставил. Проблема в том что юзеры ломятся как гости домена.

вывести комп в отдельную сеть и для этой сети установить basic аутентификацию и поставить "require all users to authenticate"

drros
А разве можно сделать сеть из одного айпи адреса? А ничего что этот адрес уже относится к другой сети - internal?

можно и из 1
тогда не использовать "Internal" (это ведь всего лишь предопределённый набор сетей), а обращаться непосредственно по именам сетей

То есть создать 2 сети, в одну забить айпи адреса всех компов кроме того который будет по basic авторизовываться а в другую - именно его? Тогда можно просто для basic сети включить только авторизацию basic - тут по любому будет табличка выскакивать.

Это не выход, потому что придётся все правила переделывать. А как вообще происходит basic аутентификация? Если пользователь запустил эксплорер и был отклонён всеми правилами, то у него будет запрошен пароль или пароль будет спрошен при первом же deny? Просто я создал правило специально для этого пользователя.
Allow http from comp.domain.local to external condition username. Где username - учётка в домене. В результате по этому правилу пользователь получает deny и табличка с запросом пароля у него не выскакивает.

Как сделать так чтоб в инет могли выйти пользователи только с компов входящих в домен?

истользуй правила с авторизацией

Nitrox
если это мне то конкретнее можно
например пользователь домена садится за комп который в домен не входит, в ИЕ пробивает ходить ч/з прокси, у его появится окошко введите имя и пароль и сервак его пропустит т.к. это пользователь домена

Andrey1901
Предлагаю сделать свой Network Set или Computer Set и разрешить поход в инет только с него.

Здорова, отцы!
Вопрос такой: кто нить прикручивал на Исе 2004 VPN по EAP?
По MS Chap v2 аутентификация проходит, а по EAP нет... грит юзернейм или пассворд неправильный. 691 егог одним словом.
Есть мысли?

All
вопрос всем компетентным камрадам: есть в 2004 исе стандартный шаблон для Cytrix-a. Создаю правило Form Internal to External, Local Host for All Users. Казалось бы у всех должен клиент ICA пахать тока в путь. Но не тут-то было. Там в шаблоне стоит примари коннектион какой-то порт TCP (точно не помню, но нечто типа 1349) + секондари 1604 UDP Send Recieve. Вот не пашет ни фига у усеров клиенты, пока я не создаю отдельное точно такое же правило, где в примари коннектион пишу 1604 UDP Send Recieve. Не срабатывает, в общем, секондари коннектион. Что это? Глюк исы? И чем лечится?

Для ИСЫ обязательно на все машины надо ставит Firewall клиентов или через прокси, нельзя ли чтобы он как Winroute работал, я не понял пока как его настроить вот сжу читаю, но подробного фака "пошагового" по настройке как у Winroute нету, еще я не нашел там сетевых интерфейсов, мса что сам определяет к какому интерфейсу что подключено??? Где можно найти фак для первой настройки?

IceFusion
Что значит как в Winroute? В нем тоже через прокси. А если хошь по IP, то и пиши его в поле From правила.
по интерфейсам - в Networks, Network Sets все лежит. ИСА определяет интерфейс по подсети, к которой он принадлежит. На первый взгляд непривычно, но вполне удобно.

Всем доброго времени суток.

Кто-нибудь настраивал программу Dipost ?

Дело в том, что она не работает не под каким предлогом.


Цитата:

Оставляем FWC На машине у клиента(по умолчанию он правильно настроен и работает)
на машине иса General - configuration-defain Firewall Client Settings -Application Settings
там добавляем DIPOST и ставим disaible=1.
Далее идём в firewall policy - network object- computers создаём
1.BUH (указываем IP машины бухгалтера с которго запускается дипост)
2.DIPOST (Указываем ip сервер дипост куды коннектится наша програмулина)
далее создаём правило в firewall policy
name:ALLOW_DIPOST
action:ALLOW
protocols:pop3,smpt,telnet
From:buh
to:Dipost (здесь можно указать External, но так секьюрнее)
Condition:all users
Нажимаем эпле...
Да и самое главное это правило должно стоять перед правилом которое,
разрешает коонектится авторизованным юзерам к почте по POP3 и SMTP.
Объяснять думаю не стоит.

Всё сделал как написано, проверил несколько раз.

Нид хелп.

IceFusion

Цитата:

Для ИСЫ обязательно на все машины надо ставит Firewall клиентов

нет конечно. В шапке доки есть соотв где объясн разница между клиентами... + иса какая 2004?
Цитата:

одробного фака "пошагового" по настройке как у Winroute нету

в шапку смотри...

angelweb
клиентов апдейтил после конфигурирования исы? (изменения сами собой не сразу в силу вступают) Что логи кажут...? Далее поиск по топику тут и на isaserver.ru - там эту программу тоже "обсасывали"

angelweb

Цитата:

General - configuration-defain Firewall Client Settings -Application Settings
там добавляем DIPOST и ставим disaible=1

забей туда ещё disableex=1

Появилась проблема - на ISA Server 2000 перестали публиковаться любые правила.
Пример:
Делаю правило:
1) Server Publishing Rules - New
2) Имя - Pop3/Imap
3) IP-address INT/EXT
4) POP3 server/IMAP4 server
5) Any request
6) Finish
....
7) ISA Error. ISA server cannot save the new object/
Error 0x80040345
There is already a rule that defines a mapping for the external port and IP address specified.

Делал правило для входящих соединений с Exchange'м из инета. Сначала думал, что где-то конфликт портов, но потом случайно понял, что невозможно опубликовать любые сервера(их в списке штук 15-20...).

В чем загвоздка? Как снова включить возможность публикации?

drros
Объясни, зачем надо отключать FWC для некоторых приложений. У меня почему-то глюки с FWC - некоторые приложения наотрез отказываются соединяться с интернетом если активен FWC, например, Warcraft 3. Отключаешь FWC и сразу идёт коннект. Это как то связано со строкой disable в конфиге?

drros

Цитата:

забей туда ещё disableex=1

Не работает.

Решение

Создать правило на исе,которое будет редеректить входящие соеденения на 23 -> на ip серверов Diposta.
В настройках Dipost telnet серверу указать ip ISA .

angelweb
да disableex тут не причём, эт я затупил.
а ты всё по инструкции делал?
а в самом дипосте всё нормально настроено?
на каких местах правила DIPOST и разрешающее smtp/pop3 для остальных пользователей?


Цитата:

Создать правило на исе,которое будет редеректить входящие соеденения на 23 -> на ip серверов Diposta. В настройках Dipost telnet серверу указать ip ISA .

т.е. опубликовать внешний сервер внутри сети? это теоритически или ты так и сделал?

Bugriy
для приложений неработающих с FWC и сделана "disable". Т.е. для тех кто умеет работать через Web Proxy.

drros

Цитата:

а ты всё по инструкции делал?

естественно

Цитата:

а в самом дипосте всё нормально настроено?

по иструкции

Цитата:

на каких местах правила DIPOST и разрешающее smtp/pop3 для остальных пользователей?

пользователи не пользуются smtp/pop3 - вывод (порядок правила для дипоста менял,перезапускал службу на серваке - никакого результата)

Цитата:

т.е. опубликовать внешний сервер внутри сети? это теоритически или ты так и сделал?

Так сделал.

Захотел я вот сделать доступ в инет пользователям через VPN для того чтобы считать траффик который они тратят и ограничиваь их, как это сделать стандартными средствами Server 2003 или же с помощью ISA???

angelweb
а что в логах после этого?

Можно ли в ISA резать скорость передачи данных из интернета для конкретных групп или пользователей?

drros

Цитата:

Firewall service started.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

А что он должен ещё говорить ? *)

bsd ipf к примеру тоже так умеет )))

angelweb
гы гы )
я про то что происходит в Monitoring -> Logging когда ты пытаешься дипостом тыркнуться?
или уже всё нормально?

Palza
средствами самой иса (2004) нет
поиск по теме подскажет другие решения

Palza
Последние беты Traffiс Quota могут.

Ну как сделать доступ в интернет через VPN???