» Microsoft ISA Server 2006/2004/2000 (Часть II)

Alex_H_aka_RAT

Цитата:

http://rapidshare.com/files/15789948/ErrorHtmls.rar.html

Спасибо.

Вопрос по сабжу. Сеть класса C, workgroup, домена нет. Сервер с двумя интерфейсами (в сеть и в инет). ISA 2006. FWC не используется. Вопрос по авторицации пользователей.
Завожу локальных пользователей на серевере с ISA.
В настрйоках Web Proxy указываю вид авторизации - Basic. Ставлю галку - "Require all users to authenticate". На правиле разрешающем http, указываю заведённых пользователей. При доступе к web пользователь вводит логи, пароль - всё ОК.

Вопроса 2:

1) Можно ли при таком расскладе как-то защитить нешифруемые пароли, передаваемые по сети (Basic)?
2) Как заблокировать возможность с клиентских машин использовать прокси в софте типа ptp-клиентов и прочих?

KernelPanic
логи смотри внимательно
Markes
1) basic изначально подразумевает никакой защиты, юзай другие методы, или можно попробовать замутить ipsec между клиентами и исой
2) можно блокироать по сигнатурам в поле клиент агент (в книге шиндлера есть пример для msn messenger)

hardhearted

Цитата:

basic изначально подразумевает никакой защиты, юзай другие методы

Хочется использовать аккаунты именно с сервера с ISA. Что можно кроме Basic использовать?..

Цитата:

можно блокироать по сигнатурам в поле клиент агент (в книге шиндлера есть пример для msn messenger)

Я читал. Неужеле нет варианта попроще? Софта - море, для каждого умучаешься блокировать.

Всем здравствуйте.
Помогите разгадать такую фичу:

Есть два офиса меджу ними VPN - туннель через IPsec.
С одной стороны Dlink DFL-200, с другой ISA 2006.
Все вроде нормально и даже работать можно, НО иногда (2-5 раз в день) вся эта бадяга падает. Восстанавливаеся либо сама через 10-20 мин (не всегда), либо при перезагрузке Dlink + ISA 2006 (disable --> enable IPsec).
По началу падала каждые 5 мин, но затем увеличил время ключа:
Networks -->IPSec xxxx Propertis -->Connection -->IPsec setting
Gnerate a new key every: 84600
- стала падать 2-5 раз в день

Если есть у кого мысли какие - поделитесь плз

Markes
ну а что ты хотел, кроме строки клиент агент ну или некоторых специфичных заголовков исе больше ничего клиент не передает, так уж устроена работа прокси и вообще tcp/ip. если хочешь то поставь на каждый комп какой нить фаер персональный в котором запрети всем прогам кроме нужных ходить в инет )

hardhearted
Да понятно, что tcp/ip и почий rtfm. Думал, что есть более простые движение в необходимую сторону. Интересно кто-ниубдь пробовал перектыть самый популярный софт?

Markes
теоретические варианты перекрытия на стороне сервака я тебе сказал, ну еще можно перекрывать левые порты, но многие сайты работают также не на 80, больше ты никак проги не отфильтруешь, ибо иса получает коннект не от прог а от компа клиента и знать не может кто там коннектится, остаются тока порты и анализ заголовков.

palomayka
У меня - D-Link 804 + Isa 2004
Kартина похожая.
Правда насчет самовосстановления ничего не скажу. Помогает перезапуск службы IPSec на шлюзе с ISA. На нем ключ меняется каждые 480 минут. Ну и отвал туннеля не так часто происходит - раз в неделю (раньше было чаще, правда ничего не менял). D-Link не конфигурируемый (веб-интерфейс отвалился), поэтому его не пробовал перенастроить.
Мысли... некая несовместимость-таки d-link ipsec и ms ipsec. Надо попробовать поискать на форуме d-link на этот предмет, либо запостить, может чего ответят

Доброго времени суток,у меня есть проблема,не знаю как её решить,вобщем ситуация следующая, филиал с исой2004+трафик квота 2.2 ,есть впн с центарльным офисом,
весь трафик через впн разрешен для алл юзерс,трафик в инет разрешен только аутифицированым пользователям,на клиентах стоят фаэрвол клиенты,проблема такая,на некоторых машинах не работает внешняя почта,если смотреть лайв лог на исе то правило выхода в инет не пускает их по протоколу ПОП по причине что в графе юзер пусто(тоесть похоже аутификацю не прошел) при этом инет работает, проблема возникает только у некоторых юзеров,у остальных и инет и почта работают нормально,когда был 1 юзер с такой проблемой ,я ,провозившись полдня ,тупо переставил винду и все ,теперь нашлись еще несколько,но винду пересталять каждому это не есть гуд,+ такая же проблема с 1с
ключи защиты находяться в центральном офисе,компы с указаным адресом сервера защиты работают нормально,но вот некоторые (уже другие) не видят ключ,хотя телнет до свервера защиты проходит,а программа не видит,при отключени фаэрвол клиена,1с начинает видеть ключ...

есть идеи???

Добрый день! Заранее приношу извинения если вопрос где то уже фигурировал, но не имееться возможности просматривать все странички форума!
Хочу поставить ИСУ 2006, есть ли возможность с помощью какой нить приблуды квотировать трафик юзверей (доступ в инет по ip, кол-во юзверей более 30)?
Заранее спасибо!

Подскажите как правильнее резать баннеры ICQ?

kolt
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=21371&start=100#lt

kolt
Traffic Quota
http://forum.ru-board.com/topic.cgi?forum=35&topic=17089#1

Как сделать, чтобы в стандартных отчетах ISA2006 не фигурировал трайфик локальный от компа локалки до этой машины?

Кстати я был в Шоке, такие круты отчеты она делает

Имеется Win2k3 + ISA2006. Также имеется программа для сжатия траффика (она перехватывает соединения по 80 порту на Local Host). Web Proxy Filter также перехватывает соединения по 80 порту, в итоге всё это дело зацикливается. Посему вопрос: как запретить Web Proxy Filter перехватывать соединения по 80 порту только для Local Host, и при этом разрешить перехватывать для клиентов NAT? Пробовал действовать по написанному тут, но безрезультатно.

а вот знает ли кто-нибудь как исе скормить готовый wpad.dat, а не кликать тыщу раз конфигурируя directly accessed сайты . она 2004, если чо.

Доброго времени суток всем Вопрос такой. Поставил я ISA 2006 настроил как Edge Firewall, все работает как часы. Но есть одно огромное НО! Проблема в том что Очень долго грузятся странички. Т.е. между тем как я нажму на Enter в браузере и отображением страницы проходит до 3-4 минут. :blink:

При том что я не однократно захожу на этот сайт и он давно должен быть в кеше ISA. В чем может быть дело? Подскажите пожалуйста!

Заранее благодарен,Михаил

Всем большое спасибо за помощь!
TQ работает нормально!

Добавлено:
Добрый день! Возник такой вопрос!
Пользователям зделан доступ в инет по ip, а есть возможность зделать жёстко по ip и (имени компа или мак адресу дополнительно) чтобы исключить возможно легко пользователю поменять ip и выйти за чужой счёт в инет? Домена нет!
Заранее спасибо!

Доброго времени суток всем.
Есть задумка сделать NLB кластер на двух ISA 2006 EE серверах. В настоящий момент стоит один сервер с 5 сетевымы картами.
1 карта - локалка; подсоеднена к простому свичу
2 карта - интернет; подсоединена к Zyxel Zywall 35 (роутер) у которого, 4 внутренних порта , и два внешних (смотрят на двух провайдеров в режиме отказоустойчивости).
3 карта - DMZ; подсоеднена к простому свичу
4 карта - внешняя сетка (но не интренет); подсоеднена к простому свичу
5 карта - внешняя сетка (но не интренет); подсоеднена к простому свичу

Хочется добится повышенной отказоустойчивости работы, настроив NLB кластеры в каждой сети. Можно ли это сделать при помощи только двух ISA серверов с пятью сетевыми карточками на каждом?
Почитав инете про NLB, возникают некоторые подозрения по поводу проблем с роутерами, свичами.... Да и вообще как то мало народ про эту систему говорит. То ли используют ее редко, то ли вообще она плохо работает... В документации то все красиво расписано, но....
В общем хотелось бы поговорить о возможных проблемах при использовании NLB, со знающими людьми.
Народ окликнитесь!
Спасибо.

Доброго всем дня!

Пытаясь заломиться по ссылке https://earth.e-planet.ru:8442/plesk/unilogin.php получаю ошибку:

Цитата:

Код ошибки: 502 Proxy Error. The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)

Помогите побороть, пожалуйста!

PIL123
ISA по умалчанию SSL понимает только по 443 порту. Чтобы работало и на другом нужно править реестр. но где не помню. У меня стоит BSpliter, а там уже встроена такая фишка как добавить ssl порт. В инете гдето даже скрипт был который это делает. Поищи на isaserver.org

AvvNtl, спасибо за подсказку, у меня тоже стоит BSpliter - только сейчас узнал о таком фунционале этого продукта. Подскажи, пожалуйста тогда как мне сделать задуманное с его помощью: нужно добавить новый Web Tunnel Port к уже имеющимся с настройками:
Name: SSL2;
From: 8442;
To: 443
>?

kolt
А что мешает использовать клиента брандмауэра?

kolt
по маку нельзя, по именам тоже
авторизацию можно делать тока по ип и по юзеру

PIL123
Вот ссылочка http://isatools.org/tools/ISAtrpe.zip
Приложение предлагает легкий в использовании графический интерфейс, позволяющий расширить диапозон портов туннелирования SSL-соединения. (Томас Шиндер, ISA Server 2004, стр. 592)

Либо можно мспользовать скриптик http://isatools.org/tools/isa_tpr.js

TO ALL !!
Чем можно объяснить данное явление
Публикую на исе протоколы pop3 и smtp по мастеру опубликвания почтового сервера.Иса 2006-ая.
Несколько дней, может неделю, все работает отлично,,после же клиенты(филиалы) сидящие за исой(у нас там vpn) перестают получать почту,,а отправлять продолжают без ошибок.Я долго возился даже ради этого переставлял ису,,,и случайно после переустановки исы и конечно же пересоздания правил,,,наткнулся на галку в правиле опубликаванном на POP3 "Использовать фильтр pop-обнаружения атак".Снять галку иса не дает,,,грит типа это встроенный объект его политики и его удалить нельзя.я создаю свое точно такое только без фильтра.И всё продолжает работать дальше.

PIL123
Контекстное меню Bandwidth Splitter -> ISA Tools-> Edit Web Tunnel Ports
Только тебе нужно From 8442 , To 8442 , Name -любое
Удачи

Уважаемые.
Очень нужна помощь в решении вот такой проблемы.
Есть ИСА2006 на сервере 2 сетевые карточки. Одна в Инет, вторая в локал. Настраиваю Инет для пользователей домена. Контроллер стоит в локалке. После установке ИСА сервер пересьтал видеть домен. Уже и не знаю чтоб ещё разрешшить. Выдаётся ошибка в удалённом вызове процедур. Проблема именно в ИСА т.к. при остановке сервиса всё работает прекрасно.

Добрый Вечер!
Поставил ISA SERVER 2006 настроил все как нуна...инет работает хорошо, нареканий нет, но вот сталкнулся с проблемой. Как только я делаю запрет на скачивание какого нить файла типа mp3 доступ к инету вообще прекращается (запрещаю я в политики межсетевого экрана во вкладке ТИПЫ содержимого) Вчем проблема, что может быть не так..подскажи плз.?????

Думаю ставить ИСА или нет. Возникло несколько вопросов
Может ли ИСА 2006
1. Поддерживать два/три внешних сетевых интерфейса(а то высказывание Dead_Moroz на 90 странице топика сильно насторожили).
2. Есть ли в ИСА возможность ПОЛНОСТЬЮ отключать фаервол на одном из интерфейсов(не разрешить всё всем, а именно отключать. Чтобы запросы в обе стороны ходили беспрепятственно).
3. Есть люди у которых нормально работает ВПН через ИСУ(не отваливается). Т.е. в принципе возможно сделать ВПН между двумя офисами и с ИСА в каждом офисе.
4. Можно ли сичтать трафик пользователя, который сидит на машине с ИСА(так надо ) и как это организовать(какими программами).
4a. Есть ли возможность запаролить доступ к настройкам ИСА. Чтобы пользователь, который работает за машиной с ИСА не мог поменять настройки.
5. Подсчёт трафика и разграничения канала между пользователями происходит в основном с помощью 3-х программ(насколько я понял): Traffic Filter, Traffic Quota и BSplitter. Какая из них менее глючная и более функциональная(только аргуминтируйте свой ответ).
6. Кто чем анализирует логи(опять же с аргументацией)

vicwanderer
на вопрос №1 могу ответить утвердительно