» Microsoft ISA Server 2006/2004/2000 (Часть II)

All
А такой вопрос: а как при включенной авторизации для пользователей (Ruquire all users to authorise) заставить фаерволл клиенты на машинах усеров автоматически находить ису? Он делает запрос под логином anonimous, за что получает по морде от исы... Я чувствую, что запарит потом ручками сервак прописывать. Никак нельзя вот для этого случая исключение сделать, а все остальные запросы только с авторизацией пропускать?

kaskad
_http://www.isaserver.org/articles/ISA2004_ClientAutoConfig.html
_http://www.isaserver.org/tutorials/Configuring-DHCP-DNS-automatic-discovery.html

наглядный пример..

однако я предпочел DHCP раздачу параметров.. так как с днс наблюдались траблы

Если все равно не определяется, то качаем вот это:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F20F6267-273D-4870-B1E8-799B261B4786&displaylang=en

Далее FwcTool TestAutoDetect и смотрим что он пишет.

У меня например автоопределение не работало, так как на машине с ИСОЙ стоял IIS и мешал ИСЕ публиковать wpad.dat (wspad.dat) на 80-м порту внутреннего интерфейса.

IceFusion

Цитата:

Народ а что мне делать с моей исой???

мы предложили возможное решение. единственное что тебе нужно сделать это прописать в Network Rules отношения между сетями, вот и всё, если поставишь NAT, ИСА будет автоматом закрывать все внутренние ИП, ИП-адресом этой сетевухи к которой ты пропишешь Rules.

если хочешь сделать как-то иначе: увы, на данный момент в ИСЕ это невозможно. ставь kerio. а чего ты вообще с него спрыгнул?

А вот с правилами в Network Rules нельзя по подробнее??? По шагам какие правила нужно создать в моем случае?

IceFusion
можно. заходишь в Network Rules.

создаешь:
1) в первом экране Network Traffic Sources указываешь исходную сетку, свою внутреннюю. На втором Network Traffic Destinations - одну из созданных внешних. На третьем ставишь Network Address Translation (NAT). Правило создано.

Теперь ИСА должна из твоей внутренней сетки пускать всех в эту внешнюю сеть и закрывать их ИП адресом этой внешней сетевухи. Повторюсь, это чистая теория.

ЗЫ. у тебя сетевухи воткнуты напряму в прова?

да прям в прова

Добавлено:
А как разделить?

вот ИСА и будет решать. тебе нужно также создать правило в Firewall Rules, указывающее с каких внутренних ИП на какую External-сетку ходить. по идее должно работать

1) в первом экране Network Traffic Sources указываешь исходную сетку, свою внутреннюю. На втором Network Traffic Destinations - одну из созданных внешних. На третьем ставишь Network Address Translation (NAT). Правило создано.

Так в этой моей сетке всего один IP адрес, он запросы на все другие вообще отбрасывать будет.... не будет это работать никада!

попробуй - узнаешь, будет или нет.

Попробовал не работает этот способ!!! И не мог он работать! Тогда задача по проще, нужно тогда траффик только на один ИП адрес пустить через другой сетевой адаптер! Т.е. можно создать сетку в которой будет этот ИП, создать правило NAT и в Firewall Policy прописать что нужно пускать всех туда!!! Но одно большое НО! ИСА на столько тупа, что не может отделить траффик пустив его по разным сетевухам, она опять все пустит по той которая в приоритете первая...

А может ли ИСА тестировать скорость соединения в реальном времени???

IceFusion
послушай, тебе же русским языком объяснили, что не умеет ИСА пускать траф по разным интерфейсам как тебе захочется. ты же Kerio юзал, чего спрыгнул?

То что у нас на заводе иса и тут я Ису поставил чтобы потом проще было из по ВПН туннелю объединить!!!

IceFusion
если не ошибаюсь сама ис такого толком не позволяет... кто-то говорил что можно такое замутить "впн-ом изнутри" или что-то типа того...
попробуй поискать на http://isaserver.ru
(например http://isaserver.ru/forums/thread/2224.aspx)

Цитата:

Тогда задача по проще, нужно тогда траффик только на один ИП адрес пустить через другой сетевой адаптер!

А route add что, не помогает?

MeGaBrAiN
Так я по этому туториалу и делал. Только он был на русском. Ничего путного не вышло. Потом в ISA поставил чекбоксик "опубликовать инфу в DHCP и DNS". И всё заработало как бы. Но пытается по anonimous-у авторизоваться. ИСА его не пускает... Вот такая вот мистика.

Asker80
Это как, можно по подробнее??? Я не силен в таблицах маршрутизации!!! Пошагово плиз если есть время, очень нужно просто!

Asker80

Цитата:

А route add что, не помогает

у исы (2004) собственная таблица маршритизации (виндовая не используется) - так что не поможет...

Нигде нет решения это проблемы, неужели Майкрософт не предусмотрели такую мелочь???

greenfox

Цитата:

у исы собственная таблица маршритизации (виндовая не используется)

ты в этом уверен ?

если нет записи маршрута (см. route print) то в логах всё чисто и клиентов будет пускать ?

Хочешь сказать что маршруты надо прописывать в Routing and Remote Access (при добавлении новой подсетки) ?


А вот тут что написано ?


Цитата:

For a complex network, it is recommended that the ISA Server have a route defined for all network segments on your internal network. The routing table can be manually populated using the ROUTE ADD command, or by using a dynamic routing protocol such as Routing Information Protocol (RIP).

angelweb

Цитата:

А вот тут что написано ?

из доки
Цитата:

Microsoft ISA Server 2000 Feature Pack 1, Version 1

у нас разговор идёт о 2004 исе если не ошибаюсь...


Добавлено:
зы хотя .... Если речь о ИСЕ 2000 - тогда сорри, у них по разному многое, а человек в топе вроде явно нигде не указал версию продукта

greenfox

Цитата:

у нас разговор идёт о 2004

Попробуй добавить в трастеды новую подсеть на 2004 исе и не прописывай маршруты.

Работать не будет. (Если только гейт (для исы) не знает этих подсетей.)

Когда Иса сама является маршрутизатором для подсеток то прописывать надо обязательно.

Вот тут пояснения.

и тут

angelweb
там сказано, что интернал формируется на основе этой таблицы WRT - но вроде нигде не сказано что ISA2004 использует WRT для роутинга пакетов между сетями... или я что-то не дочитал...!? Вопрос же был как именно заставить ИСУ рутить пакеты через разные сетевые адаптеры, соотв по моему (в 2004) через route add это не сделать...

У меня 2004 ИСа но как перенаправить видео траффик в другую сетку не знаю!

greenfox


Цитата:

через route add это не сделать...

Цитата:

> route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2
узел^ ^маска ^шлюз метрика^ ^
интерфейс^
Если IF не задан, то производится попытка найти лучший интерфейс для
указанного шлюза.

Не совсем понимаю что требуется.

У меня к примеру есть правило, которое форвардит с локальной сети в инет пакеты (это что касается определённых портов - к примеру telntet isaserver - перекидывает на ipnat а тот на
ip.ad.re.s:23)



Добавлено:
IceFusion

Цитата:

но как перенаправить видео траффик

по каким портам работает видео ?

обьясни подробней что хочешь перенаправлять.

В общем нужно не перенаправить.... У меня есть два провайдера, три сетевые карты в Иса сервере... надо сделать так чтобы весь траффик шел через одного провайдера а траффик на ИП адрес 62.141.x.x шел через другого провайдера!!! И позволяет ли иса тестировать скорочть интернета и писать логи, ну или пинговать какой нибудь хост... чтобы видеть как долго идут запросы!

IceFusion

Цитата:

а траффик на ИП адрес 62.141.x.x шел через другого провайдера

на исе
route add -p 62.141.x.x mask гейт.провайдера метрика интерфейс


Цитата:

И позволяет ли иса тестировать скорочть интернета

это надо копать в сторону утилит оценивающих пропусную способность (на исе такого не видел)


Цитата:

ну или пинговать какой нибудь хост... чтобы видеть как долго идут запросы!

ping работает по протоколу icmp ... иса может пинговать...если хочешь чтобы пинговали ису - правь системные политики.

angelweb

Цитата:

У меня к примеру есть правило, которое форвардит с локальной сети в инет пакеты (это что касается определённых портов - к примеру telntet isaserver - перекидывает на ipnat а тот на

т.е. иса2004 использует WRT по полной программе!? Я что-то не понял...

greenfox

была ситуация:


появилась ещё одна подсеть (которая работала через другого провайдера - всего их два)

добавил эту подсеть в трастед.в логах было написано что иса не знает как в эту подсеть попасть

что то вроде этого


Цитата:

ISA Server detected routes through adapter External that do not correlate with the network element to which this adapter belongs. For best practice, the address range of an array-level network element should match the address ranges routable through its network adapters as defined in the routing table

после ручного добавления маршрута всё стало гуд.

angelweb
т.е. у тебя сейчас 2 сетевухи наружу смотрят!?