» Microsoft ISA Server 2006/2004/2000 (Часть II)

hardhearted
спасибо за ответ... но вопрос отстается открыт, т.к. открывая настройки диал-ин в АД для соответсвующих пользователей, у меня эти настройки не активны...
может подскажете, как и что...

hardhearted
(для этого протокола сделай ПАБЛИШИНГ)
а можно поподробнее! Не понял как это зделать!

kolt
открываешь help, search и набираешь сначала слово protocols, читаешь что такое протоколы и как их в исе создавать, потом набираешь publishing и читаешь что это такое и как создавать правила публикация

Добавлено:
EyeFey
хм как это неактивны?

hardhearted
Есть... нарыл...
Если кому интересно...
Все оказалось банально - у меня домен держится на 2000-й!
и режим домена был в Mixed Mode!
а чтоб можно было присвоить статический IP адрес в свойствах пользователя ActiveDirectory нужно перевести в Native Mode...
Делается просто - Active Directory Users and Computers->YourDomain->Properties->General кнопка Change Mode! назад в Mixed Mode только переустановкой всего...
Спасибо, что подсказали - понял куда рыть....

EyeFey
ну это вообще то офтоп, к исе отношения не имеет никакого )

hardhearted
"можно попробовать выставить common configuration disable 1"
Если ты имел ввиду вставить в файл common.ini и секцию [Common] - disable=1
это вообще отключит клиента после рестарта сервиса на клиенте.

Но если поразмыслить, то даже если где-то в исе это и можно сделать, все равно это легко обходится пользователем, если есть разрешение disable=0 для хотя бы одного приложения. Кто помешает пользователю переименовать скопированный файл другого приложения под именем разрешенного! Вот если бы ф-клиент позолял бы использоовать какой-нибудь снятый хеш этого файла, то да. Но пока такого функционала нет

AvvNtl
причем тут файл? я говорю про настройку в исе general->define firewall client settings

Цитата:

hardhearted

То есть выставлять вместо имени приложения "common configuration" ?

Извиняюсь за вторжение!
Можно задать вопрос?
Как посмотреть ISA-й сколько юзер накачал в инете.
Можно это или нет?
Если нет, то смогут ли жить вместе ISA И USER GATE?

Вообще как бы интересует наглядный контроль трафика.
Заранее благодарен за ответ.

Seriyz4


Иса2004 сама по себе выдает очень скудные логи (Monitoring -> Reports.. а там сами создаете репорт), но сог файлы у неё очень подробные...
Есть куча програм, которые анализируют логи и выдают подробные отчеты...
одна из них - Internet Access Monitor
Думаю что ЮзаерГад и Иса вместе не сживутся...

EyeFey
мож все таки не будем путать понятия логи и отчетыи у исы подробные и полные, а кто как анализирует это его проблемы )

hardhearted
Я просто хотел сказать, что отчеты которые генерируются у Исы в мониторинге не достаточно информативны (лично мое мнение)
А вот насчет логов - они подробные - подробнее некуда..

Ребята, Internet Access Monitor дорого стоит.
Непокажете ссылочку где с кряком и безплатно.
Буду очень признателен.

Seriyz4
http://forum.ru-board.com/topic.cgi?forum=35&topic=15782&start=760#lt

Прочёл, понятно!
А другого варианта как считать трафик нету? Ну безплатного!

Посоветуйте плиз!!!
Заранее благодарен.

Seriyz4
собственная веб страничка на каком нить asp которая из базы логов делает любые отчеты на твой вкус, у самого так сделано )

сорри, глюк

Стоит ISA2006 в режиме прокси (одна сетевая), падает 3 раза в день.
Пишет ошибка фильтра приложений Http-proxy.
Соответственно вырубается служба МЭ и по терминалке уже не зайдешь,
приходится идти к серверу и запускать вручную.

Кто-нибудь сталкивался ?

hardhearted поделишься страничками на asp?

ISA 2006 Standart
Прокинул доступ ка контроллер АД по всем портам. Все ходит нормально, но не обновляется время (NT5DS). Win32tm /resync выдает ошибку.

Где провтыкал?

Цитата:

всем портам

конкретнее пожалуйста

Ребят, подскажите или киньте ссылок на тему настройки ISA2006 с тремя сетевыми адаптерами: внутренний приватный, внешний приватный и внешний инэт.
Заранее благодарен!

ISA 2004 при установке клиента на некотрых компах переодически вылезает ошибка

Цитата:

Тип события:    Ошибка
Источник события:    Microsoft Firewall Client 2004
Категория события:    Отсутствует
Код события:    1
Дата:        24.02.2007
Время:        20:04:26
Пользователь:        Н/Д
Компьютер:    BSERVER
Описание:
Application [svchost.exe]. Authentication failed. The user credentials were not accepted by ISA Server. Verify that the user account running this application has the required permissions.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 05 00 00 00 ....

как ее побороть, вроде гдето читал что проблема в настройкай клиента на исе, но вот где не нашел???

Господа а ламерских вопросов позадовать позволите??? чур в живот не пинать!

итак всё банально, шлюз: win 2003 EE, 2 сетевые карты (1-LAN, 2-Инет), ISA 06 Std.

дык вот обязательно ли чтоб у той сетевой, что в инет смотрит реальный ("белый", маршрутизируемый в сети интеренет) IP был? в смысле зачастую со стороны интернета, после сетевой шлюза - стоит xDSL модем дык вот если он в режиме рутера то реальный ("белый") IP будет ессно модему присвоен - бриджем штоль модем делать???

В общем вопрос такой: можно ли настроить ИСУ если оба интерфейса имеют "фейковые" ("серые", не маршрутизируемые в инет адреса)? к примеру Lan1=192.168.1.1 / Lan2=192.168.2.1

так же меня интересует:
1 - будет ли после установки ИСЫ возможность (дефолтная) ходить в инет с этого шлюза на который установили ИСУ?
2 - Будет ли данный шлюз генерить какой либо трафик вообще? к примеру ходить на виндовс апдейт?
3 - ставите ли Вы уважаемые гуру на шлюз антивирус для файл серверов??? (прошу не путать вопрос с антивирусом для трафа проходящего сквозь ИСУ) при ответе прошу учесть, что за данным сервером никто, никогда работать не будет, файлопомойки устраивать тоже, т.е. он шлюз на все 100% или всёж перестраховаться?

В общем вопрос такой: можно ли настроить ИСУ если оба интерфейса имеют "фейковые" ("серые", не маршрутизируемые в инет адреса)?

А исе по чем знать шо там у тебя за ипишник? можно конечно...

1
Нет, пускать будет только тачку с исой и больше никого
* пускает еще через РДП тачку с которой ставилась через терминалу ИСА при условии что эта тачка находилась во внутренней сети, внешняя сто пудов непускает ничего и никаго кроме системных правил и то зарезаных по максимуму по умолчанию.

2
точно не скажу.. походу если у тебя запушен на мелкосовт изначально автоапдейт на тачке с исой - то полезит, если отрубишь то нет

3
он че жрать просит?

INTERESANT

1. ИСЕ всё равно какой ай-пи белый или серый
2. будет (см. пункт 1)
3. а какой смысл ставить на него антивирус не для ИСЫ, если там кроме шлюза ничего не будет?
GFI WebMonitor тебе в помощь

Добавлено:
Dima RU
похоже что дело не в ИСЕ, ищи в АД ошибки

kuah


Цитата:

похоже что дело не в ИСЕ, ищи в АД ошибки

хоть в каком напровлении капать??

weerkostya
их писал не я, наш программер, одних страничек тебе будет мало, для быстрой генерации отчетов у нас в базе отдельная табличка в которую складывается уже как надо просуммированная инфа, и отчеты генерятся из нее, иначе из базы в несколько десятков гиг долго будет. потом сама база у нас изменена по сравнению с тем что делает иса, для экономии места, некоторые поля урезаны(например у меня никогда в офисе не будет username в 514 символов )) , некоторые убраны, все поля проходят через rtrim (иса добивает свои записи пробелами на всю длину поля, с такими полями как uri в 2048 символов это много), потом все поля конвертированы из nvarchar в varchar, в итоге база уменьшается в разы. но если надо то сами asp-шки могу кинуть, скажи тока куда )

Добавлено:
Infected Switch
а в чем проблема то?
Enase
по умолчанию иса сама себя никуда не пускает, кроме некоторых протоколов, например пинг, трафик к контроллерам если комп с исой был в домене, днс запросы исходящие.

Доброго все времени суток.
Может сталкивался кто - Аудентификация Linux в ISA 2000?
Сервер windiws 2003 SP1, ISA 2000 SP2 proxy + firewall. Две сетевухи. Внешняя (wan) с реальным IP.

В локальной сети имеем Linux сервер котрому необходимо ходить в инет, по портам TCP:210, 7090, 9969 и так далее.
В святи с тем, что Linux сервер обслуживается как климент SecureNAT, невозможно включить аудентификацию в isa 2000 (возможно, но его запросы будут отбрасываться).

Возможно ли Linux серверу дать права клиентов бреднмауера либо веб прокси? Либо перенапровлять его запросы с внутреннего интерфейса в инет по известным 10 адресам(addres.com:210)?
Заранее благодарю за ответ.

simapupkin
порты эти как я понимаю не web, поэтому как web proxy отпадает, fwc конечно же тоже, для никсов никто fwc не выпускал )
а зачем его аутенфицировать, раз он сервак пусть ходит анонимно, у меня и виндовые серваки анонимно ходят.