Sergey21102
так не ставь msde
так не ставь msde
» Microsoft ISA Server 2006/2004/2000 (Часть II)
hardhearted
Так при инсталяции ISA2006 она (ISA) меня про MSDE вообще ничего не спрашивала
Так при инсталяции ISA2006 она (ISA) меня про MSDE вообще ничего не спрашивала
Sergey21102
быть того не может
там должен быть пунктик про msde, в 2004 это называлось типа advanced logging
быть того не может
там должен быть пунктик про msde, в 2004 это называлось типа advanced logging
Сам нашел и другим подарю: Сохраняешь ето в файл sqlmemorylimit.sql и кидаешь в корень С
USE master
EXEC sp_configure 'show advanced options', 1
RECONFIGURE WITH OVERRIDE
USE master
EXEC sp_configure 'max server memory (MB)', 64
RECONFIGURE WITH OVERRIDE
USE master
EXEC sp_configure 'show advanced options', 0
RECONFIGURE WITH OVERRIDE
Далее "Выполнить":
osql -E -S servername\MSFW -i c:\sqlmemorylimit.sql
т.е устанавливаешь предел на использование памяти MSDE
А иначе сервис пухнет , видел такие цифры, что непонятно как оно вообще работало.
USE master
EXEC sp_configure 'show advanced options', 1
RECONFIGURE WITH OVERRIDE
USE master
EXEC sp_configure 'max server memory (MB)', 64
RECONFIGURE WITH OVERRIDE
USE master
EXEC sp_configure 'show advanced options', 0
RECONFIGURE WITH OVERRIDE
Далее "Выполнить":
osql -E -S servername\MSFW -i c:\sqlmemorylimit.sql
т.е устанавливаешь предел на использование памяти MSDE
А иначе сервис пухнет , видел такие цифры, что непонятно как оно вообще работало.
Каким образом можно поменять интервал проверки в "Средства проверки подключения?" ISA2006
Мда, MSDE, сочувствую. Я его вообще не использую, или текстовухой, или в SQL 
Сервер SS03 (192.168.0.90) --- ISA 2004 (192.168.0.14/65.133.134.135) --- Клиент (65.32.45.12)
Нужно установить соединение с сервера (с порта меньше 1023) к порту клиента 514. Инициируем соединение от сервера. Иса принимает соединение от сервера 192.168.0.90:1023 ---> 65.32.45.12:514, натит его и устанавливает соединение с клиентом 65.133.134.135:1118 ---> 65.32.45.12:514, ПО на клиенте видит, что диапазон портов некорректен и разрывает соединение. Подскажете пожалуйста, как можно запретить ИСЕ использовать порты по своему усмотрению, нужно
чтобы исходящий пакет имел номер порта равный максимум 1023. Заранее спасибо.
Нужно установить соединение с сервера (с порта меньше 1023) к порту клиента 514. Инициируем соединение от сервера. Иса принимает соединение от сервера 192.168.0.90:1023 ---> 65.32.45.12:514, натит его и устанавливает соединение с клиентом 65.133.134.135:1118 ---> 65.32.45.12:514, ПО на клиенте видит, что диапазон портов некорректен и разрывает соединение. Подскажете пожалуйста, как можно запретить ИСЕ использовать порты по своему усмотрению, нужно
чтобы исходящий пакет имел номер порта равный максимум 1023. Заранее спасибо.
Damon78
ну можно попробовать в правиле на вкладке protocols указать ports, хотя я сомневаюсь что это повлияет на nat, это ограничение работает на клиентов (с каких портов можно создавать коннект) и врядли оно сработает на nat. Если не поможет то через nat никак, это для nat норма, потому как внутри сетки много клиентов и если они будут с одного порта коннекты открывать то подерутся.
ну можно попробовать в правиле на вкладке protocols указать ports, хотя я сомневаюсь что это повлияет на nat, это ограничение работает на клиентов (с каких портов можно создавать коннект) и врядли оно сработает на nat. Если не поможет то через nat никак, это для nat норма, потому как внутри сетки много клиентов и если они будут с одного порта коннекты открывать то подерутся.
Народ а как можно организовать доступ к опубликованному сайту по ssl если в ИИС ssl не включен, хочется чтобы пользователи из внешки по ssl шли до моей исы а дальше иса передавала пакеты на наш сервер IIS но что-то не работает такая конфа!
hardhearted Правило ограничивает, а не указывает с какого порта выпускать за периметр. Потом мне не нужно чтобы клиенты коннектились на один порт или выходили с него, мне нужно чтобы при однократном соединении сервера с клиентом, ИСА не заменяла порт исходящего пакета! Насколько я знаю такая функция называется port mapping.
Damon78
ты походу ничего не понял, эта фича ограничивает диапазон ИСХОДЯЩИХ портов дозволенных этим правилом, я сразу сказал что врядли тебе эта штука пригодится.
port mapping в исе не существует как термин, есть только публикация серверов, но она тебе не нужна. то что ты хочешь сделать на исе сделать нельзя.
ты походу ничего не понял, эта фича ограничивает диапазон ИСХОДЯЩИХ портов дозволенных этим правилом, я сразу сказал что врядли тебе эта штука пригодится.
port mapping в исе не существует как термин, есть только публикация серверов, но она тебе не нужна. то что ты хочешь сделать на исе сделать нельзя.
hardhearted
А мне не подскажешь, проблемка двумя постами выше!
А мне не подскажешь, проблемка двумя постами выше!
IceFusion
не подскажу, никогда ssl не публиковал
не подскажу, никогда ssl не публиковал
Так вот дело в том, что сам сайт не SSL а опубликовать его надо через SSL/ Надо чтобы к Исе подключались по SSL, а она в свою очередь делала редирект на 80 порт внутреннего серва уже без SSL, это вообще возможно или нет?
IceFusion
В правиле публикации , на вкладке про мост, есть галочки на какие порты перенаправлять запрос. поставь только на 80 и все
В правиле публикации , на вкладке про мост, есть галочки на какие порты перенаправлять запрос. поставь только на 80 и все
Возникла проблема. Поставили железку Planet VIP-400fs. Прилада для VoIP. Создал для нее протоколы по порту 1720 на входящие и исходящие и UDP c 35500 по 35530 send&recive и recive&send. Сделал публикацию железки с ее IP по 1720 и UDP и правило для нее по тем же портам. В результате получилось, что я могу позвонить и звук идет в обе стороны. А при входящем звонке я ничего не слышу, а меня слышат прекрасно. По логам в ISA вижу, что по UDP портам на входящем соединении идет ошибка "failed connection attempt". Как с ней бороться и что это за ошибка.
moomy
Попробуй в правиле публикации на закладке To выставить Requests appear to come from the ISA Server computer.
Попробуй в правиле публикации на закладке To выставить Requests appear to come from the ISA Server computer.
To All
Есть неплохая программа WebDrive (http://www.southrivertech.com/ или у нас в варезнике), с помощью которой можно подключить ресурс ftp как обычный сетевой диск. (Собственно для чего она мне и нужна)
Проблема заключается в слудующем:
В исе есть правило разрешающее ftp из internal в external, прописанна группа из AD. Когда пытаюсь с помощью WebDrive коннектиться к ftp серверу в логах вижу следующее -
Destination Port 21, Protocol - Outgoing Traffic (TCP), потом денайд конекшн с ссылкой на default rule, result code 0x800733f5, client username - пишет имя_моего_компа$.
Тут же создаю соединение с ftp в обычном тотал коммандере, в логах вижу следующее-
Destination Port 21, Protocol - FTP (по названию правила),Initiated Connection, rule - FTP, client username - пишет уже имя юзера домен\юзер и все нормально соединяется....
Эта программа висит как процесс webdrive.exe, никаких запрещающих правил в Firewall Client Settings не стоит....
Не могу сообразить в чем дело... Это как-нибудь решаемо?
P.S. на этом компе стоит Firewall Client
Есть неплохая программа WebDrive (http://www.southrivertech.com/ или у нас в варезнике), с помощью которой можно подключить ресурс ftp как обычный сетевой диск. (Собственно для чего она мне и нужна)
Проблема заключается в слудующем:
В исе есть правило разрешающее ftp из internal в external, прописанна группа из AD. Когда пытаюсь с помощью WebDrive коннектиться к ftp серверу в логах вижу следующее -
Destination Port 21, Protocol - Outgoing Traffic (TCP), потом денайд конекшн с ссылкой на default rule, result code 0x800733f5, client username - пишет имя_моего_компа$.
Тут же создаю соединение с ftp в обычном тотал коммандере, в логах вижу следующее-
Destination Port 21, Protocol - FTP (по названию правила),Initiated Connection, rule - FTP, client username - пишет уже имя юзера домен\юзер и все нормально соединяется....
Эта программа висит как процесс webdrive.exe, никаких запрещающих правил в Firewall Client Settings не стоит....
Не могу сообразить в чем дело... Это как-нибудь решаемо?
P.S. на этом компе стоит Firewall Client
AvvNtl
А можно поподробнее, я делал именно так как ты и написал, но не работает!
А можно поподробнее, я делал именно так как ты и написал, но не работает!
Asker80
Спасибо. Помогло.
Спасибо. Помогло.
IceFusion
Подробнее... Хм. Вы лучше напишите , что вы сделали, чтобы опубликовать сервер. А мы всем народом поможем надеюсь подсказать , что вы сделали неверно или не доделали. Так пожалуй будет лучше. А весь процес можно посмотреть в доке (см шапку). Обычные ошибки в этом случае - неправильно назначенный сертификот и не настроенный DNS.
Удачи.
Подробнее... Хм. Вы лучше напишите , что вы сделали, чтобы опубликовать сервер. А мы всем народом поможем надеюсь подсказать , что вы сделали неверно или не доделали. Так пожалуй будет лучше. А весь процес можно посмотреть в доке (см шапку). Обычные ошибки в этом случае - неправильно назначенный сертификот и не настроенный DNS.
Удачи.
IceFusion
Цитата:
Читать все
Насколько я понимаю тебя должен интересовать первый вариант. Cтало быть настроить можно. Как - вопрос второй.
Касаемо второго вопроса
How to publish a Web site on a computer that is running ISA Server 2006 or ISA Server 2004
Publishing Web Servers Using ISA Server 2004
Цитата:
Web Publishing over an HTTPS Connection
When you use secure Web publishing rules to publish an internal Web server through ISA Server, client requests for the Web server arrive at the ISA Server computer over an HTTPS connection. They are forwarded (bridged) from ISA Server to the published Web server. You can choose to:
• Forward HTTPS requests to the published Web server over HTTP. In this scenario, ISA Server authenticates to the client making the request using an SSL server certificate. An SSL certificate is required on the ISA Server computer only.
• Forward HTTPS requests to the published Web server over HTTPS. This is the more secure configuration, preserving HTTPS throughout the connection. In this scenario, ISA Server authenticates to the requesting client using an SSL server certificate, and the published Web server authenticates to the ISA Server computer using an SSL server certificate. A certificate is required on both the ISA Server computer and on the published Web server.
Читать все
Насколько я понимаю тебя должен интересовать первый вариант. Cтало быть настроить можно. Как - вопрос второй.
Касаемо второго вопроса
How to publish a Web site on a computer that is running ISA Server 2006 or ISA Server 2004
Publishing Web Servers Using ISA Server 2004
To All
Помнится вот тут я задавал вопрос, на него мне ответили все нормально работает (спаисбо Refugee и hardhearted).
Вопрос в следующем -
Как сделать так чтобы установив три vpn соединения сразу, можно было запускать сразу три сеанса rdp? Тоесть сейчас я могу установить сразу три соединения, но залезть по rdp одновременно на три разных терминальных сервера (тоесть по одному серверу в каждой удаленной сети, 3 сети 3 сервера) не получается, только на один. Куда рыть?
Помнится вот тут я задавал вопрос, на него мне ответили все нормально работает (спаисбо Refugee и hardhearted
). Вопрос в следующем -
Как сделать так чтобы установив три vpn соединения сразу, можно было запускать сразу три сеанса rdp? Тоесть сейчас я могу установить сразу три соединения, но залезть по rdp одновременно на три разных терминальных сервера (тоесть по одному серверу в каждой удаленной сети, 3 сети 3 сервера) не получается, только на один. Куда рыть?
kazavo4ka
ipconfig /all и route print после установки всех трех впн в студию
ipconfig /all и route print после установки всех трех впн в студию
Есть локальная сеть с выходом в Internet и с сервером.
На нем стоит Win 2000 Server и Isa 2000 Standart в Integrated режиме.
На нем также стоит FTP сервер.
Клиенты в локуальной сети, обычные Snat (FireWall клиенты не стоят) .
Нужно:
1. Чтобы при попытке соедимиться к северу через DameWare или Remote Admin c какого - нибудь компьютера из сети (локальный IP) , соединение проходило только с тех IP, которые разрешены на сервере (то есть в ISA) ;
2. При попытке входа на общий ресурс (shared folder) , находящийся на сервере, получалось его открыть только с того IP локальной сети, который разрешен, даже, если имя пользователя и пароль были правильно введены;
3. Чтобы FTP сервер был виден вовне, сейчас вроде правила публикации настроены, но изнутри виден, снаружи нет.
На нем стоит Win 2000 Server и Isa 2000 Standart в Integrated режиме.
На нем также стоит FTP сервер.
Клиенты в локуальной сети, обычные Snat (FireWall клиенты не стоят) .
Нужно:
1. Чтобы при попытке соедимиться к северу через DameWare или Remote Admin c какого - нибудь компьютера из сети (локальный IP) , соединение проходило только с тех IP, которые разрешены на сервере (то есть в ISA) ;
2. При попытке входа на общий ресурс (shared folder) , находящийся на сервере, получалось его открыть только с того IP локальной сети, который разрешен, даже, если имя пользователя и пароль были правильно введены;
3. Чтобы FTP сервер был виден вовне, сейчас вроде правила публикации настроены, но изнутри виден, снаружи нет.
Vxd2000
1. ИМХО это легче настроить в клиенте DameWare. Вот только не помню точно есть у него такое или нет. Помню, что настройки у него достаточно обширные. Как вариант, подрезать порты по которым сервер слушает.
2. Сложно будет реализовать, потому как может получиться, что необходимо будет зарезать служебные порты и протоколы, без которых будут проблемы в работе станции с сервером. Возможно ошибаюсь.
3. Достаточно разрешить хождение FTP-протокола их External на Localhost
1. ИМХО это легче настроить в клиенте DameWare. Вот только не помню точно есть у него такое или нет. Помню, что настройки у него достаточно обширные. Как вариант, подрезать порты по которым сервер слушает.
2. Сложно будет реализовать, потому как может получиться, что необходимо будет зарезать служебные порты и протоколы, без которых будут проблемы в работе станции с сервером. Возможно ошибаюсь.
3. Достаточно разрешить хождение FTP-протокола их External на Localhost
Vxd2000
enver
1. Резать протоколы данных прог согласно IP источника обращения.
2. Ничего сложного, режем NetBIOS Session и NetBIOS Datagram. Кажись, больше ничего не надо. Возможно, хватить лишь убить NetBIOS Session. Проверьте.
ЗЫ: При этом сервер будет виден в Сетевом Окружении, т.к. за это отвечает протокол NetBIOS NS (NameService), плюс в случае домена список лежит на PDC, который является мастер-браузером, а ему-то по-любому надо связь оставить.
3. Согласен с enver, и правила публикации снеси, не нужны они тебе
enver
1. Резать протоколы данных прог согласно IP источника обращения.
2. Ничего сложного, режем NetBIOS Session и NetBIOS Datagram. Кажись, больше ничего не надо. Возможно, хватить лишь убить NetBIOS Session. Проверьте.
ЗЫ: При этом сервер будет виден в Сетевом Окружении, т.к. за это отвечает протокол NetBIOS NS (NameService), плюс в случае домена список лежит на PDC, который является мастер-браузером, а ему-то по-любому надо связь оставить.
3. Согласен с enver, и правила публикации снеси, не нужны они тебе
Народ! Как настроить ISA2004, чтобы на клиентском браузере в настройках прокси выставлялись такие настройки:
-галочка "один прокси сервер для всех протоколов" снята;
- адрес прокси везде одинаковый, а вот порты в соответствии с настройками исы, то есть
HTTP-8080
Sequre 8443 и т.д.
Предполагается что у клиента стоит файервол-клиент. и возможно использование WPAD.
Как я не изголялся все равно ставит галку "один прокси сервер для всех протоколов"...
-галочка "один прокси сервер для всех протоколов" снята;
- адрес прокси везде одинаковый, а вот порты в соответствии с настройками исы, то есть
HTTP-8080
Sequre 8443 и т.д.
Предполагается что у клиента стоит файервол-клиент. и возможно использование WPAD.
Как я не изголялся все равно ставит галку "один прокси сервер для всех протоколов"...
AvvNtl
через доменные политики, или скриты автоконфигурации
через доменные политики, или скриты автоконфигурации
hardhearted
Через политики у меня настроено сейчас, но это не всегда бывает удобно ... (отдельный разговор)
И при установке файрврол клиента через опять же политики, эта зараза по умолчанию высталяет галку "Включить автоматическую настройку вебобозреваеля" - все сбивается. Отсюда вопрос как от этого избавится?
Да через скрипты это хорошо, но как изменить скрипт по умолчанию от исы(который по большому счету должен учитывать эти настойки сервера автоматом) я нигде не нашел. И как их писать тоже.
Вот в тексте array.Script исы содержится такое
~~~~~~~~~~~~~
DirectNames=new MakeNames();
cDirectNames=6;
HttpPort="8080";
cNodes=1;
function MakeProxies(){...............
~~~~~~~~~~~~~
очень подозреваю что, здесь как то можно указать про 8443, но где про это прочитать не нашел.
В доке предлагается ставить этот новый скрипт на какой-нибудь веб-сервер, а лишних сущностей из за этого плодить не хочется... В общем грутсно это все...
Через политики у меня настроено сейчас, но это не всегда бывает удобно ... (отдельный разговор)
И при установке файрврол клиента через опять же политики, эта зараза по умолчанию высталяет галку "Включить автоматическую настройку вебобозреваеля" - все сбивается. Отсюда вопрос как от этого избавится?
Да через скрипты это хорошо, но как изменить скрипт по умолчанию от исы(который по большому счету должен учитывать эти настойки сервера автоматом) я нигде не нашел. И как их писать тоже.
Вот в тексте array.Script исы содержится такое
~~~~~~~~~~~~~
DirectNames=new MakeNames();
cDirectNames=6;
HttpPort="8080";
cNodes=1;
function MakeProxies(){...............
~~~~~~~~~~~~~
очень подозреваю что, здесь как то можно указать про 8443, но где про это прочитать не нашел.
В доке предлагается ставить этот новый скрипт на какой-нибудь веб-сервер, а лишних сущностей из за этого плодить не хочется... В общем грутсно это все...
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.