» Microsoft ISA Server 2006/2004/2000 (Часть II)

столкнулся с проблемкой:

есть альтернативный прокси для части пользователей сети. для них в групповой политике прописал настойки на этот прокси сервер в IE.
у этих пользователей также увстановлен клиент firewall и он сбрасыват настройки прокси для IE, получаемые через групповую политику.
в ИСЕ убрал галочку (которая там стояла) настраивать прокси на клиентах, ресультат половинчатый - ИСА в качестве прокси уже не прописыватся, но настройки из групповой политики сбрасыватся все равно.

подскажите, как заставить клиента firewall не изменять настройки IE?

Xless
в настройках самих клиентов у юзеров убрать галку на вкладке web browser

greenfox

Короче внутренняя сеть 192.168.1.0-192.168.1.255
Правило 1: Разрешить траффик из Local в External пользователи которым мона все
правило 2: Разрешить ICQ2000, SMTP, POP из Local в External All Users

IceFusion
Ну постедовательность правил какая? Может, они у тебя взаимоисключающие получаются. У меня, например, секондари коннекшн не пашет, если оно UDP... Глюк на глюке.

Добавлено:
IceFusion
Не будет работать Первое правило надо создавать From Internal to Local Host&External Allow "твои протоколы" for All Users. Второе - Allow ICQ2000, SMTP, POP from Internal to Local Host&External for "Твои привелигированные усеры". И как-то непонятно ты описал свои правила Ну если что-то там не так понял, то ты поправь.

Короче все так как ты и сказал!!! Я скрин не могу сделать, а то что с локалки к хосту ИСЫ трафик должен идти, это естественно идет!!!!

kaskad
IceFusion
господа! вы в заблуждение вводите народ..

1) какие еще локал хосты в разрешениях на выход?
правило должно быть оформлено как Internal - External.. доступ к хосту исы нужен тока админам.. и то оно и так будет доступно если админская машина про менеджменте прописана..

2) у исы есть определенная система анализа правил
1. Анонимусы - запрет
2. Анонинусы - доступ
3. Авторизованные - запрет
4. Авторизованные - доступ

3) Если нужно открыть аську и тд авторизованным только то

1. Создаем запрещающее правило для аськи и тд для анонимусов ИСКЛЮЧАЯ авторизованных
2. Создаем разрешающее правило для авторизованных на доступ..

4) если нужно чтобы небыло http у неавторизованных (тобишь SecureNat)
создаем запрещающее правило для HTTP/HTTPS для всех исключая авторизованных

ну а дальше надо обязать всех авторизироваться каким либо заданным методом...

Када я про Local писал, имел ввиду Internal, еще один какой-то баг обнаружился, комп с исй в домене находится, но почему то када я хочу содать группы пользователей, то не могу выбирать из доменных, тока из пользователей Хоста ИСЫ в чем проблема? еще иногда пишет что мол нет домена такого при входе, перезайду и нормал!!! Добавил в список внутренних сетей свой домен, не помогло!
Анонимусы - это All Users?
Аську и почту нужно открыть всем, а вот HTTP FTP только избранным!!!!

Помогите пожалуйста кто нибудь!!!

Задача на ISA Server 2000 открыть доступ для игры Counter Strike (HalfLife) версии 1.5???

У меня в Protocol Rules есть группа с разрешением всего трафика ....
Как я понимаю надо еще создать IP Packet Filters и добавить в Police Elements --> Protocol Difinitions - протоколы....

Если не трудно подробнее а не так --- открой те то порты и все будет пучком --- я знаю какие порты но практически ничего не получается!!!

По пунктам пожалуйста...

IceFusion
а у тебя в network rules чтоит правило NAT между internal и external& без этого secureNAT точно никуда не выйдут что бы ты не писал в firewall policy

Все там стоит как было по умолчанию, они до создания новых правил нормально ходили, и вчера вообще всё упало, весь вечер восстанавливал! Кажется Керио винРут поудобнее будет

IceFusion
ну надо смотреть все правила firewall policy, network rules, логи и возможно алерты.

ход действий такой??
создаю правило
Разрешаю ICQ, POP, SMTP for All Users
Разрешаю HTTP, HTTPS, FTP, FTPS for "Пользователи которым мона HTTP"..... так ведь??
У меня половина офиа SecureNAT клиенты им всем тока ася нужна, а вот тем у кого firewall client надо разрешить всё!!!! Тока так как я это описал выше не получилося!!!

логи в студию, без логов решать проблему все равно что отвечать на незаданный вопрос

Мне кажется что у меня большие проблемы с этой ИСОй Так как я не нашел там логов, в ВинРуте все гораздо проще ) Ну ладно а сам ход действий которые я описал правильный?

ну логов не найти это конечно уже запущенный случай.

Там мона репорт создать, я его создал!

Комп с ISA в домене находится, но почему-то када я хочу содать группы пользователей, то не могу выбирать из доменных, тока из пользователей Хоста ИСЫ в чем проблема?

IceFusion
причем тут репорт, я говорю логи, а не репорт

а что пишет когда ты пробуешь выбрать из доменных юзеров?

Там есть кнопка размещение, какда на нее нажимаешь по идее должно быть видно Локальный комп и каталог AD но вот каталога AD там вообще нету.....

IceFusion


Цитата:

У меня половина офиа SecureNAT клиенты им всем тока ася нужна, а вот тем у кого firewall client надо разрешить всё!!!! Тока так как я это описал выше не получилося!!!

А я всем зарядил FC и ограничиваю правилами только конкретных юзеров...

Да вот проблема он не может из каталога пользователей добавлять, теперь появился там AD но када нажимаю на кнопку дополнительно в меню добавления Юзеров, он ругается и Говорит мо "Сервер не работоспособен"

IceFusion

Цитата:

Да вот проблема он не может из каталога пользователей добавлять, теперь появился там AD но када нажимаю на кнопку дополнительно в меню добавления Юзеров, он ругается и Говорит мо "Сервер не работоспособен"

погляди в логах нет ли проблем с обращением исы к контроллеру

IceFusion

А ты в политиках по умолчанию прицепил рулиться по AD???

А до установки Исы ящик в домен входил нормально???

если комп с исой до установки исы был в домене, то при установке иса сама должна себе дать доступ на internal+контроллеры (если такие есть не только в интернал) по ldap, kerberos, cifs и rpc

Разрешения вроде все даны, я даже комп AD туда забил чтобы по LDAP трафик шел.... все по умолчанию настроено... В общем до этого када добавить хотел пользователей в Размещении ничего не было кроме локального хоста, сеня включил VPN и отключил его, Глобальный каталог появился но при обращении говорит что "Сервер не рабоспособен"...
Комп был в домене до установки ИСЫ, но есть подозрение что я ИСУ с локальной учетной записи админа установил..... Говорите чтобы посмотрел в логах, а там они естя вообще, как до них добраться..... Да еще в окне Мониторинга Есть окошечько "Connectiviti" Там есть пункты AD, DNS, DHCP и там везде написано что Not configured, это очем??? Еще я по книжке Шиндлера с внешнего интерфейса убрал адреса ДНС серверов, и инет пропал вообще, вернул на место заработало, я что-то не пойму, что за туфту нам Шиндлер гонит у него там черным по белому написано сол не указывать адреса ДНС серверов на внешнем интерфейсе.... И еще я установил 1-ый и 2-ой сервис паки.... Проблема не решается, почему он не общается с контроллером ломена для меня остается загадкой, сам домен нормально фунциклирует, может комп выгнать из домена и заново его туда загнать?

IceFusion
мда это уже клиника, я бы советовал из книг не выдергивать одно предложение, а читать более основательно, иначе лучше вообще не читать. Шиндлер сказал что ису надо настроить на внутренние днс, у которых в свою очередь стоят форвардерами внешние (ну и последнему дураку понятно что внутренним серверам днс надо открыть доступ наружу по 53 портам tcp/udp). Логи в реалтайм можно поглядеть в monitoring->logging там же можно настроить куда они будут складываться.
connectivity нужен для настройки что то типа проверок, то есть можно настроить для разных серваков и сайтов проверку доступности, тогда иса будет проверять с каким то интервалом по нужным протокалам досутпность того или иного узла и писать в алерты в случае чего. Вообще у исы интуитивно понятный графический интерфейс, уж там что то не найти и не разобраться очень сложно, к тому же там хороший (положительная черта мелкомягких) хелп.

ситуация в которой сам никак не могу разобраться -
что есть:
домен на Win 2003 (10.1.1.1 - 10.1.2.255), в инет смотрит машина с Isa 2004 Ent (два интерфейса - 10.1.1.2 и внешний 81.24.x.x), подключение к провайдеру через радиоканал
что надо - так получается, что в сети локальной сети провайдера есть несколько машин, которые нужно авторизовывать и пускать через нашу ису (их адреса - 10.10.х.х). Т.е. получается странная картина - иса должна проверять и выпускать в инет ряд компов, подключенных к ВНЕШНЕЙ сетевой карте... Машины замечательно пингуются, и с помощью правил пропускаются во внутреннюю сеть... работает удаленный рабочий стол... но в инет не пускаются ... ИСА пишет что-то вроде IP PACKET DROPPED ((

вроде как такие проблемы должны решаться с помощью создания network'ов и их свойств и рулесов... но при создании в ИСЕ любой сети с этими машинами - пинг и вся связь отваливается - ИСА не может их найти. Это понятно почему... но непонятно что делать)
Короче - как в ИСЕ разрешить веб прокси для ряда ВНЕШНИХ компьютеров?

andreshirshov4
для external нельзя такое сделать. Правильный варианты : каким либо образом включить их в интернал, например через отдельный роутер или поставить еще один интерфейс и выделить в отдельную сеть и повесить ее на этот интерфейс

У меня все открыто и Forwarding тоже включен!

Добавлено:

Цитата:

monitoring->logging там же можно настроить куда они будут складываться.

Там была кнопка Start quene и короче началось, видно это и есть тот самый лог!!! Может мне ИСУ заново переустановить?

IceFusion
это не совсем лог, лог гораздо больше инфы несет, это место где можно видет в реалтайм что куда и зачем, то есть почти логи но тока не со всеми полями но для траблшутинга самое то. а насчет переустановки: есть ли смысл? мож сначала поизучать получше?

Ну что там изучать, то? Я все принципе её работы знаю, знаю что нужно разрешить, только меня фильтры бесят, я вот не понимаю нах они нужны там!!! ИДНС адрес я убирал, и знал что делаю, я заранее пересылку настроил, но не получилося!!! Вы не думайте что я с бухты барахты начал это делать!

Добавлено:
И вообще у меня из внутренней сетки весь трафик разрешен, а почему в таком случае еще и для ДНС надо порты открывать? Они и так открыты ведь...

Добавлено:
В общем разберуся, тока не пойму чего она с AD не взаимодействует!

С ДНСкой я намудрил просто не прописал на внутреннем интерфейсе адрес внутреннего ДНС сервака, и с AD он стал взаимодействовать, в систем полисях поковырялся и все тип топ стало, все права разрулил, все заработало.... УРА УРА УРА, я знал что я все правильно делаю, там просто глюк какой то был
Еще вопрос как можно сделать редирект на файл с расширением htm при http запросе от клиентов котрым не разрешен HTTP, думал старничку замутить с надписью "Не доросли до HTTP "....