» Microsoft ISA Server 2006/2004/2000 (Часть II)

alexps
копают в огороде, ковыряют пальцем в носу )
а тебе надо книжки умные читать )
route print
ipconfig /all
и настройку всех network в исе (достаточно прописанных в них адресов) в студию тогда разберемся, а без инфы тебе никто ничем не поможет, телепаты это миф, хотя некоторые наивно полагают что они в отпуске

Цитата:

Подскажите какие есть варианты для исы 2000 подключить второго провайдера
(как резерв на случай падения основного канала)

мне тут подсказали что поидее может помочь смена основного шлюза
кто скажет поможет и если поможет то как это можно сделать в автомате??

поидее может помочь RainConnect, только он совсем не бесплатный.

rstar1979
ну можно тупо проверять доступность шлюза и в случае недоступности тупо батником или скриптом менять маршрут

hardhearted
типа add route в батник???

hardhearted
Менял, когда правило создавал, нажатием на кнопку Ports. Как создать протокол не знаю, подскажите, будьте добры.

zeroandy
бугага, ты когда кнопку ports нажимал ты читал что там пишут? почитай очень познавательно
а создавать легко, заходишь в protocols и жмешь new (можно прямо в правиле когда добавляешь протоколы)
надеюсь как на кнопки мышки нажимать обьяснять не надо ?
ps когда же люди научатся пользоваться кнопкой help и книги читать

hardhearted
Когда нажимаю - я всегда читаю. Не думал, что простой вопрос вызовет столько негатива. Когда понадобится консультация по пользованию мышкой, обращусь к тебе непременно.

zeroandy
а где там негатив, просто читать надо внимательнее и тогда таких глупых (а не простых) вопросов будет намного меньше

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 16 76 9d c3 ff ...... Intel(R) PRO/1000 MT Network Connection
0x10004 ...00 16 76 9d c3 fe ...... Intel(R) PRO/1000 PM Network Connection
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 83.174.173.1 83.174.173.2 1
10.0.0.0 255.0.0.0 10.7.19.1 10.7.19.1 10
10.0.0.0 255.255.255.0 10.0.1.2 10.7.19.1 1
10.7.19.1 255.255.255.255 127.0.0.1 127.0.0.1 10
10.255.255.255 255.255.255.255 10.7.19.1 10.7.19.1 10
83.174.204.0 255.255.255.252 83.174.173.2 83.174.173.2 1
83.174.173.2 255.255.255.255 127.0.0.1 127.0.0.1 1
83.255.255.255 255.255.255.255 83.174.2.2 83.174.173.2 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.7.19.1 10.7.19.1 10
224.0.0.0 240.0.0.0 83.174.173.2 83.174.173.2 1
255.255.255.255 255.255.255.255 10.7.19.1 10.7.19.1 1
255.255.255.255 255.255.255.255 83.174.173.2 83.174.173.2 1
Основной шлюз: 83.174.173.1
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.0.0.0 255.255.255.0 10.0.1.2 1



Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : S1
Основной DNS-суффикс . . . . . . : BASHMEDSTEKLO.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да
Порядок просмотра суффиксов DNS . : BASHMEDSTEKLO.local

Локальная сеть - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Физический адрес. . . . . . . . . : 00-16-76-9D-C3-FF
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.7.19.1
Маска подсети . . . . . . . . . . : 255.0.0.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.7.19.1
Основной WINS-сервер . . . . . . : 10.7.19.1

Интернет - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection
Физический адрес. . . . . . . . . : 00-16-76-9D-C3-FE
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 83.174.173.2
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 83.174.173.1
DNS-серверы . . . . . . . . . . . : 83.174.192.227

alexps
Тебя, кажеться, еще просили список всех подсетей, прописанных в network ИСА...
Там, судя по всему, твоя "Локальная сеть" (10.7.19.0/255.0.0.0) и не прописана. ИСА считает поэтому, что у тебя есть две "внешних" подсети и ни одной назначенной, как "локальная"...
Найди себе книжку по ISA2004 хотя бы в рунете, была где-то в эл.виде...

alexps

Цитата:

10.0.0.0 255.255.255.0 10.0.1.2 10.7.19.1 1

это что еще за фигня?
ps книга http://c-books.info/books/news5.php/2006/01/28/isa-server-2004-2.html

Народ а какой можете посоветовать хороший антивирь для ISA чтобы не тормозил инет после установки... чтобы проверял pop smtp http ftp ну и чтобы с обновление проблем не было.

Следущий то ли глюк, то ли незнание ИСЫ добивает мои последние мозговые клетки....

Стоит ИСА 2004 вроде пропатченная сп2. После попытки опубликовать на ней комп из внутренней сети по порту ssh, и удаления этой попытки полностью вырубился инет только локалхосте (то есть на компе с ИСОЙ). Причем все остальные протоколы работают (qip, ftp,....), а вот HTTP судя по логам режется web proxy filter. Выдается стандартная ошибка в обозревателе 403 Forbidden. The ISA Server denied the specified Uniform Resource Locator (URL). (12202)
И ведь работало же раньше, до эксперемента! Помогите кто чем может!!!

ЗЫ. И еще вопросик, хотя понимаю что это не головоломка, просто еще не начал разбираться (просьба не убивать ):
Как в ИСЕ сделать что бы писался в логах и отчетах клиент юзер найм (то бишь не только клиентские айпишники, но еще и логины, причем желательно все, не только доменные (много нотбуков)) и чтобы урл (destination host) писался не айпишником а соответсвующим ему именем из ДНС? Заранее спасибо, можно просто ткнуть где искать (в Шиндлере я пока не нашел....).

dimmt66
про инет с локалхоста смотри логи и настройки, телепатов нет
в логах имя юзера будет когда трафик идет аутенфицированный а не анонимный, то есть нужно требовать аутенфикацию на прокси (или можно правила для писать с указанием аутенфицированных юзеров)
в url и desthost пишется имя хоста только когда юзер идет через прокси, если идет как securenat или fwc то будут ип. есть левый фильтр (завется loghostname, небесплатный) который будет писать url в прокси логах даже если юзер не юзает прокси.

спасибо за оперативность, hardhearted!
глюк в том, что все настройки должны быть правильными, так как работали еще недели три назад и абсолютно не менялись. Инет был как у сети, так и локал хоста. Теперь же, после попытки публикации (но не на 80-м порту) он режется только у хоста. Вот, привожу лог, сорри за его размер, вырезал все что пусто. Мне из него видно только, что режется веб фильтром. Но почему он стал резать, зачем?

PS. Правило all дает инет, фтп и пр для internal net и для local host....

Original Client IP    Client Agent    Service    Transport    Source Port
172.21.14.9            TCP    6155
0.0.0.0    Mozilla/5.0 (Windows; U; Windows NT 5.2; ru; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8    Proxy    TCP    0
172.21.14.9            TCP    6155


Processing Time    Bytes Sent    Bytes Received    Cache Information    Error Information    Destination Host Name    Server Name    Client Username
0    0    0    0x0    0x0        INT    
1    2243    390    0x0    0x0    213.180.204.8    INT    anonymous
16    0    2243    0x0    0x0        INT    


Log Time    Client IP    Destination IP    Destination Port    Protocol
11.12.2006 14:11    172.21.14.9    213.180.204.8    80    HTTP
11.12.2006 14:11    172.21.14.9    213.180.204.8    80    http
11.12.2006 14:11    172.21.14.9    213.180.204.8    80    HTTP


Action    Rule
Initiated Connection    Allow HTTP/HTTPS requests from ISA Server to specified sites
Denied Connection    all
Closed Connection    Allow HTTP/HTTPS requests from ISA Server to specified sites



Result Code    HTTP Status Code
0x0     
    12202 The ISA Server denied the specified Uniform Resource Locator (URL).
0x80074e24 FWX_E_CONNECTION_KILLED    



Source Network    Destination Network    Log Record Type    HTTP Method
Local Host    External    Firewall    -
Local Host    External    Web Proxy Filter    GET
Local Host    External    Firewall    -

Уважаемый 2 all =)
не подскажете как разрешитьдостаточно простую и тривиальную задачку =>
ДАНО:
есть небольшой домен, в нем есть несколько серваков втом числе и почтовый, и также стоит ISA 2006 на win2k3 sp1.
ТРЕБУЕТСЯ:
некоторым пользователям очень хочется забирать почту своим OUTLOOKом не только с внутреннего почтовика, но и также с внешних бесплатных почтовых серверов ( ну например mail.ru , yandex.ru и т.д.) ГДЕ и КАК настраивается это правило в ИСЕ 2006 ???
или может я просто не внимательно смотрел и чтото проглядел???

(если вопрос уже решали - ткните в меня ссылкой чтобы прочитать об этом, потому как перелапачивать 70 страниц только текущей темы из-за небольшого вопроса, очень сложно=)

спасибо завнимание.

P.S.firewall client не установлен на пользовательские машины

Ткнуть носом? HELP читайте, люди. ISA не для любителей, это понятно? Как мне надоели ГЛУПЫЕ вопросы.

Цитата:

Ткнуть носом? HELP читайте, люди. ISA не для любителей, это понятно? Как мне надоели ГЛУПЫЕ вопросы.

без паники!!! vlazari!!! решение проблемы уже практически найдено!

Это проблема? ))))))

comeon
Самое простое решение - на клиентах ИСУ шлюзом и ДНСом пропиши.

Добавлено:
Вот я все не могу решить проблему с OWA на Эксчендже 2003СП2.
ИСА 2004 СП2.
Из одной внутренней сети - могу заходить на OWA, из другой - не могу. По логам видно, что не может пройти аунтификацию (стоит галочка требовать аунтификацию), но в первой же сети все нормально работает.
Может системное правило какое надо подрулить?

vlazari
это задача =)))

PRiM
можно конечно и так - но лучше по моему делать так, как советует некто Томас Ш. ( хзкто такой но на вид дядька умный =) в очках!)

http://forums.isaserver.org/m_250013700/tm.htm - вот тут идет обсуждение его статьи

а тут адаптированный вариант на русском той самой статьи - http://www.r1pc.ru/content/view/227/53/
P.S. у тебя задача немного в другом ( "с наружи" попасть "внутрь", а у меня "изнутри" "наружу" не хотели)

Если бы ты прочитал книжку Томаса Шиндера про ISA 2004 - у тебя бы не возникло таких вопросов, и ты бы не тратил драгоценное время на поиски информации, которая лежит перед носом. А 2006 - честноговоря, единственное чего я ожидал от неё - это усовершенствование VPN (чтобы было похожим на RRAS 2003). И возможность работы с двумя внешними IP, независимо. Но, ни того ни другого нет, да и врядли будет.

vlazari
сорри за флуд но прямо лучи зла от тебя исходят..аж вот прям чувствую как они расходятся во все стороны.

Не поверишь, но ты не первый кто мне об этом говорит. Извени, просто у меня такая работа.

вопрос есть:
хочется поставить 2004(2006) триал стандарт, с последующим покупкой исы, так вот - как потом сделать не триал и сохранить все настройки без переустановки? Раньше триал никогда не ставил.

А тут не то?

ВСЕ настройки переносятся нормально (импорт-экспорт). Единственно, если у тебя несколько ARRAY members, ну, в общем почитай - вопрос поднимался. Упс, у тебя стандарт - тогда всё без проблем - экспорт, потом импорт. В принципе, даже если ты обновишься до 2006, тоже всё перенесётся правильно...

Есть компы которые работают удаленно через интернет по VPN. ISA ser 2004 не дает доступ на регистрацию в домене, этих компьютеров. Кто знает какие порты и протоколы нужно открыть для регистрации в домене, подскажите плизз

kknd80

Цитата:

А тут не то?

немного не то
vlazari

Цитата:

ВСЕ настройки переносятся нормально (импорт-экспорт).

т.е. я правильно понимаю - после того как я куплю ису, надо будет сделать экспорт с триала, потом удалить его, поставить купленную версию и в нее импорт, так?