» Microsoft ISA Server 2006/2004/2000 (Часть II)

hardhearted

Цитата:

для external нельзя такое сделать...

Несколько месяцев назад стояла 2000-я ИСА и все как-то работало! Определенные компьютеры "со стороны" авторизировались и пускались в инет!
Понятно что у 2004-й другой подход к своим Сетям, но неужели без аппаратной модификации мою проблему не решить? ((

Поискал на сайте - похожего не встретил.
Помогите с ВПН, ситуация следующая:
Есть шлюз на нем ISA 2000, есть локалка. Так же есть второй шлюз на ISA 2004. Соеденины они между собой ISA 2000 и ISA 2004 напрямую (т.е. просто витухой).
Так вот, по правилам клиентам из сети "ISA 2000" разрешен выход на "ISA 2004" по VPN (ЗЗЕЗ) из "ISA 2004" на "ISA 2000" запрещен.
Проблема следующая - клиент из сети "ISA 2000" по VPN подключаеться к "ISA 2004" без проблем. И все бы ничего, но интернет (т.е. сайты на это время перестаються открываться) чем это можно исправить?

На одной машине не работает FC, он установлен и настроен на ISA server, тес проходит, но в логах эта машина подключается как SecureNAT клиент.... что за фигня?

IceFusion
то что он как securenat подключается это не значит что на нем fwc не работает.andreshirshov4
ты погляди в свойствах сети external, там даже нет вкладки с настройками web proxy и т.п.

IceFusion
при установки FWC на клиенте он по мимо fwc-сессии всегда сосдаёт ещё и snat-сессию с исой.

hardhearted
greenfox
Дело в том, что он через FC не соединяется, хотя FC настроен на ISA и соответсвтенно не передает даныые об учетной записии, вот как!!! Что делать? В логах с этого компа только SecureNAT сессии а FC нету....

MeGaBrAiN

Цитата:

kaskad
IceFusion
господа! вы в заблуждение вводите народ..

1) какие еще локал хосты в разрешениях на выход?
правило должно быть оформлено как Internal - External.. доступ к хосту исы нужен тока админам.. и то оно и так будет доступно если админская машина про менеджменте прописана..

2) у исы есть определенная система анализа правил
1. Анонимусы - запрет
2. Анонинусы - доступ
3. Авторизованные - запрет
4. Авторизованные - доступ

3) Если нужно открыть аську и тд авторизованным только то

1. Создаем запрещающее правило для аськи и тд для анонимусов ИСКЛЮЧАЯ авторизованных
2. Создаем разрешающее правило для авторизованных на доступ..

4) если нужно чтобы небыло http у неавторизованных (тобишь SecureNat)
создаем запрещающее правило для HTTP/HTTPS для всех исключая авторизованных

ну а дальше надо обязать всех авторизироваться каким либо заданным методом...

А где эти самые анонимоусы? Ты имеешь ввиду шаблон по-умолчанию All Users?

Стоит шлюз Win2k3 SP1, ISA 2k4 SP2, TQuota 2 beta 1, настроен Site-2-Site PPTP VPN.
Комп периодически (раз в два-три дня) пишет в Event Log ошибки:
333

Код:
Event Type:    Error
Event Source:    Application Popup
Event Category:    None
Event ID:    333
Date:        14.04.2006
Time:        10:59:38
User:        N/A
Computer:    *****
Description:
An I/O operation initiated by the Registry failed unrecoverably. The Registry could not read in, or write out, or flush, one of the files that contain the system's image of the Registry.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 01 00 6c 00 ......l.
0008: 00 00 00 00 4d 01 00 c0 ....M..À
0010: 00 00 00 00 4d 01 00 c0 ....M..À
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........

hardhearted

Цитата:

подскажите, как заставить клиента firewall не изменять настройки IE

Цитата:

в настройках самих клиентов у юзеров убрать галку на вкладке web browser

у тебя это работает?

у меня при установленном клиенте firewall в IE устанавливаются настройки на ISA сервер (при установленных галочках в клиенте и сервере) или сбрасываются все настройки (при отсутствующих галочках). Но в последнем случае IE опять выходит в инет через ISA сервер, так он прописан на клиентах как DG.

задача: настроить IE на альтернативный прокси, не изменяя других настроек ОС.

IceFusion
а какой антивирь используешь ?
не NOD32 случайно ?
У меня не работал клиент из за включенного модуля IMON

Использую именно NOD Спасибки я бы ни в жизь не догадался

All
В свете всех тех бредней, которыя я наспрашивал выше, ну просто огромная просьба объяснить, как кто считает правильным создавать правила для ИСЫ. Вот у меня, например, создаются тупо они:
Allow From Internal to External For Inet Users (в эту группу запихиваю всех из АД, кому мона в инет ходить.) protocols HTTP, HTTPS, ICQ, ICQ2000. Минусы такого правила в том, что, почему-то проходят в нет неавторизованные усеры, всмысле запросы. ISA в отчётах пишет нечто типа kaskad (?), т.е. вроде я потратил, но не уверена иса совсем блин.
Чуть выше уважаемый MeGaBrAiN предложил плясать от обратного. Но не до конца понятна формулировка "запретить анонимоусов". Как их запретить? Сет какой-то там есть? Или чек-боксик какой в настройках бякнуть надо бы?

У меня так сделано:
1. Правило, разрешающее любой траффик в локалке
2. Правила запрещающие разные виды контента и сайты
3. Правила, разрешающие инет и почту (Internal to External) для юзеров из группы Internet Users

Чтобы запретить анонимусов:
ISA -> Configuration -> Networks -> Internal Properties -> Web Proxy -> Autentication -> галка Require All Users to Autenticate

Ну и FC на всех машинах

есть насущный вопрос: как мониторить FTP соединения? ISA 2004. GFI WebMonitor показывает только HTTP.

IceFusion
ну вот
кстати я сделал так - удалил НОД, поставил клиента, потом поставил НОД(но с выключенным IMON) и запустил IMON вручную... соответственно пашет теперь и то и другое.

Доброе всем.
Проблема с VPN-сервером.
Isa 2004 standart
сервер windows 2003 sp1

настроено VPN соединение с провайдером спутникового интернета. Работает замечательно. Но, при включении VPN-сервера на исе перестает раздаваться интернет через спутник для клиентов локалки...
vpn-маршрут в таблице маршрутизации пропадает.
если наоборот-вначале включаем vpn-сервер, а потом устанавлиаем соединение до провайдера, маршрут в таблице маршрутизации добавляется, а инет клиентам не раздается

Подскажите направление плиз...

SunStroke
А ИСА не понимает что ли доменной авторизации? При авторизации в домене чтобы усера пускала. Чтоб винды сами ей енту инфу посылали, такого невозможно сделать?

Цитата:

А ИСА не понимает что ли доменной авторизации

Это почему это. Ставишь группу пользователей All Authenticated Users. Если сетка с доменом и юзеры авторизуются через AD, то эта группа и будет обозначать всех пользователей AD, которые авторизовались в сетке.
У меня сделана группа Internet Users, так как не всем пользователям локалки (то бишь AD) разрешен Internet.

SunStroke
Ну вот у меня при таких раскладах и происходит какой-то там корявый подсчёт трафика. Появляются всякие там анонимоусы, которые хз сколько трафика схавали. И юзвери (?). Правда, ещё твой метод попробовать не успел.

kaskad

Как вариант:

можно использовать IAM ... каждому ip сопоставить имя , разбить всё это на группы.

Цитата:

Появляются всякие там анонимоусы, которые хз сколько трафика схавали. И юзвери (?).

Ставь галку Require All Users to Authenticate - тогда ВСЕМ анонимусам ИСА будет давать в морду до тех пор пока они не отдадут учетные данные.
Кроме того, если твоей сети из External нужен только инет, то имеет смысл ставить в правиле доступа в инет выборочно протоколы, а не All Outgoing Traffic.

Привет всем

Вопросик о возможностях...

у меня есть 2 инет канала.... ИСА может сделать балансировку на 2 канала?

Цитата:

ИСА может сделать балансировку на 2 канала

Стандартными средствами ИСЫ похоже нельзя. Мы пытались одно время сделать подобное. Дошли только до автоматического переключения на резервный канал и обратно при падении основного. По идее можно собрать кластер и использовать там NLB. Либо купить/достать RainConnect - он вроде как раз предназначен для этого.

SunStroke
спасибо... просто сижу на другои программном продукте у него есть переключение основного и и резервного канала а поддержки 2-х одновременно нет... Так что сейчас в поисках

Apr 19, 2006. Bandwidth Splitter v.1.0 Beta for ISA Server 2004/2006 released
hxxp://www.bsplitter.com

Уважаемые, хотел бы узнать мнение относительно антивируса для ISA. Ставил McAfee SecurityShield 1.0 - вынужден был отказаться (недовольство руководства из-за "прекращения" закачки и вывода на время закачки на сервер "дурацкого окошка" McAfee - файл сначала полностью закачивается на сервер, потом проверяется и только после этого передаётся клиенту). А жаль - для MS Exchange стоит McAfee GroupShield и я им доволен.
Подскажите, пожалуйста, кто какой антивирус для ISA 2004 std (win2k3 server) использует и его устраивает?
Заранее спасибо и извините - аналогичного вопроса поиском не нашёл.

Iv Michael
Был я как-то на семинаре по ИСЕ, и там описывался антивирус (что-то со словом "тренд", по-моему), который тоже может сначала закачивать полностью себе файл, проверять, потом отдавать, НО при этом имеет еще один режим - отдавать пользователю в нормальном режиме файл (то есть индикатор будет бежать нормально), за исключением последних нескольких килобайт - которые он отдаст только тогда, когда с ними проверит весь файл на вирус... Ну или не отдаст Рекомендую покопаться в настройках - возможно, и в МакАфе есть такая опция.

как можно мониторить FTP-коннекты в ISA 2004?

Сильно не пинать если уже было!!!
Народ, может есть у кого переведеные сообщения ( *\Program Files\Microsoft ISA Server\ErrorHtmls ), которые isa выводит пользователям для ISA 2004 ЕЕ. Киньте плиз в меня а _s_e_t_ САБАКА list.ru

Inskin

Цитата:

Был я как-то на семинаре по ИСЕ, и там описывался антивирус (что-то со словом "тренд", по-моему), который тоже может сначала закачивать полностью себе файл, проверять, потом отдавать, НО при этом имеет еще один режим - отдавать пользователю в нормальном режиме файл (то есть индикатор будет бежать нормально), за исключением последних нескольких килобайт - которые он отдаст только тогда, когда с ними проверит весь файл на вирус... Ну или не отдаст Рекомендую покопаться в настройках - возможно, и в МакАфе есть такая опция.

Мгм... TrendMicro? Нет, а McAfee нет такой настройки. Искал и спрашивал у пользователей. Попробую... Спасибо за наводку...
Может ещё кто посоветовать антивирус для ISA?