» Microsoft ISA Server 2006/2004/2000 (Часть III)

hardhearted
странно, но в 2000 исе это работало... добавляешь пользователя в группу в AD - и иса это сразу просекает - и не дает ему интернета...

да и в 2006 срабатывает это, если с правилами поиграться,- то перечитываются группы...

В Офисе ВПН подключениям выделяются статические ипишники из диапазона 192.168.3.0-192.168.3.255
В Филиале ВПН подключениям выделяются статические ипишники из диапазона 192.168.10.0-192.168.10.255

Предыдущая ошибка была из Просмотр событий\Приложение. А вот что в Просмотр событий\Система
Источник: RemoteAccess
Код (ID): 20111
Подключение по требованию к удаленному интерфейсу "Branch" через порт "VPN4-99" успешно инициировано, но не закончено, из-за ошибки: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.

!!!Такое ощущение, что предварительный ключ для L2TP-подключения имеет какой-то срок действия (например 30 дней) и этот срок закончился.!!!

Примерно такие же ошибки и на шлюзе2
Просмотр событий\Приложение
Источник: Microsoft Firewall
Код (ID): 14147
ISA Server detected routes through the network adapter VPNRemoteOffice that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.3.255-192.168.3.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
---------------------------------------
Источник: Microsoft Firewall
Код (ID): 21255
Remote gateway address < 192.168.113.22> specified for VPN site-to-site network <Main> cannot be resolved. As a result, a VPN connection cannot be established to the remote network. In addition, if the network used for the VPN connection from the remote server is enabled for NLB, VPN traffic may be picked up by the wrong array member, and not by the intended server.
---------------------------------------------
Просмотр событий\Система
Источник: Remote Access
Код (ID): 20111
Подключение по требованию к удаленному интерфейсу "Main" через порт "VPN4-100" успешно инициировано, но не закончено, из-за ошибки: Попытка L2TP-подключения не удалась, поскольку истекло время согласования режима безопасности.

Досталась "в наследство" ISA 2000.
Пытаюсь хоть как-то прикрутить подсчет трафика (без использования сторонних модулей и софта). Мега точность не нужна. Эксперименты, естессно начинаю с себя любимого. И, самое удивительное, что меня-то она и не считает! Т.е. НЕТ моей истории HTTP ни в прокси ни в файрволл логах. Вот уже несколько дней ковыряю. Для чистоты даже переставлял свою систему - результата нет. Прекрасно определяются почта, аська и прочее не HTTP (содержимое файрволл лога). С других машин считает все корректно.
Что есть:
ISA 2000 (теперь уже SP2) на Win2003Std SP2
мое рабочее место Win2003SP2. Установлен FWClient о ISA
пользовался IE 6.0 и 7.0ю В его настройках указана прокси и соотв. порты.
С этими настройками инет работает. без них - нет.
Сеть - 1 домен. DHCP. у ISA статический адрес, у меня - динамический.
В настройках исы в LAT все внутренние IP указаны корректно. В настройках HTTP redirector - redirect to local web proxy service. Галочка (...redirect to req. web server) не стоит. Стоит требование аутентификации для исходящих соединений.
Для всех разрешающих правил указаны конкретные группы. Для всех запрещающих - any request.

Я новичек в этой области. Может у кого есть идеи как с этим бороться?

Galliot
Можно по подробней куда идут логии в SQL или txt.
Может не стоять птичка “log requests this rule” на правиле, если у тебя личное правило для своей машины. Если в SQL то триггеры могут перехватывать.

rijk
Логи идут в SQL. Базу создавал лично - никаких триггеров там нет.
Личных правил нет. Такой галки
Цитата:

“log requests this rule”

нигде никогда не видел
(ISA 2000).

Привет народ.
Вопрос - как можно подменить User-Agent'a соединений пользователей средствами ISA 2006EE?

HomoLogicus
можно попробовать через http filter на закладке headers

Стоит ISA 2004 Standart
Здравствуйте.

Столкнулся с проблемой. Недавно создал одно правило, открыл порт

1433 TCP Outbound Inbound

from All network

to All Network

Проверил работоспособность правила, открываю заного ISA 2004 захожу в Firewall Policy и понеслась... выезла ошибка The operation failed / 0x8000FFFF Catastrophic failure.

Перезагрузка сервака не помогла, удалил это новое правило, опять вылазила эта ошибка но вроде удалил. Не помогло. Правила все вроде как работают... но есть опасения. Не дает создавать новые правила. Не дает экспортировать конфигурацию, все та же ошибка.

Помогите пожалуйста, никак не могу разобраться.

Спасибо.

Еще кое что заметил, когда заходишь в Firewall Policy справа есть колонка которая делиться на три свойства Toolbox, Tasks, Help. Если при закрытии ИСЫ было выбрано Toolbox, то при следующем открытии в Firewall Policy обязательно выскачет эта ошибка, но если же выбрать Tasks или Help перед закрытием, то при открытии ошибки уже нет, НО правила так же не создаются и не экспортируется конфигурация, выходит ошибка The server cannot load the property page / 0x8000FFFF Catastrophic failure.

Что же делать то??????????

возник актуальный вопрос, каким путем можно сделать балансер интернет-каналов с 2-3 фейсов ? есть вариант подключения дополнительного провайдера в качестве резервного, а балансером сделать на него минимальную нагрузку типа аси и прочего, основной траффик пустить по другому прову, а в случае отказа одного из провов перенаправлять всю нагрузку активному.
про аппаратные решения в курсе, но есть смысл в некоторой экономии.

Господа.. Есть следующая проблема... Пытаюсь опубликовать OWA 2003 SSL через ISA 2006. Вроде все делаю по прописи... Но возникает одна проблема - когда пытаюсь подключится ничего не выходит... Получаю страничку (Код ошибки: 500 Внутренняя ошибка сервера. The data area passed to a sysytem call is too small [122]) В логах вроде как все ОК. Сначала открывает https, а потом закрывает https соединения. FBA на Exchnage отключены. У кого какие есть идеи?

Проблему решил... Все оказалось очень просто... Оказывается иса очень щепетильно относится к версии браузера.. И получается, что из Pocket можно зайти только на OMA... )

Вопрос по поводу кеша.Чето он в исе не кэширует ни фига.Стоит кешировать все что с инета и ни фига.Страницу грузит поновой.
Вот на керио ваще сказка гружу страницу с одно машины съела 3 метра с другой таже страница 80Килобайт !!!!!!!!

Кто че думает по этому поводу???

Добавлено:
разобрался оказывается тупо не поставил размер кеша и он соответственно был дисейбл

Кто нибудь уже поставил Microsoft® Internet Security and Acceleration (ISA) Server 2004 Standard Edition Service Pack 3?

Добрый вечер!
Проблема такая в офисе два DC один из них смотрит в инет, так вот сервер на котором стоит isa не может по rpc общаться с другим, помогает только отключение service в isa. Подскажите как это лечится. Спасибо.

Доброе время суток всем
Нужна Помощь по настройкам логов в SQL
От начало и до конца
Заранее спосибо

Haik1979
А тут смотрел http://www.isaserver.org/pages/article.asp?id=341
Я в свое время делал по этому мануалу и все работало... )

Haik1979
Out
по моему там настолько простой интерфейс и хелп что и без мануалов все прозрачно.
bolelshik1
разрешить весь трафик между dc пробовал? галочку про restrict rpc пробовал снимать?
gameman
исой никак нельзя, если только не использовать web chaining (кидать запросы от прокси клиентов на вышестоящий прокси другого провайдера, а остальной трафик туда куда default gateway показывает). но это не совсем балансировка.
вообще посещение офсайтов и чтение доков полезно во всех случаях. читай тут
http://www.microsoft.com/technet/isa/2004/plan/unsupportedconfigs.mspx
и тут
http://www.microsoft.com/isaserver/partners/highavailability.mspx
а левым софтом или железом можно сделать все что угодно.

All
когда вы наконец начнете версию исы писать

hardhearted
Согласен... Но это, так сказать, чтоб быть на все 100% уверенным =)

Цитата:

All
когда вы наконец начнете версию исы писать

Ну как правило все понятно из описания проблемы... Хотя хотелось бы чтоб была указана версия и юзался поиск по сайтам из шапки или хотя бы в гугле =)

Уважаемые форумчане!

Подскажите правильную реализацию проекта с использованием ISA.
Задача:
Имеется 2 филиала. Имена доменов разные и в принципе нет необходимости в объединении, но хочется юзать терминальный сервер в филиале. Терминальный сервер стоит за isa 2000 на отдельном PС.
Я вижу два пути.
1. Прописать RDP на isa 2000 офиса 1 и дать возможность пользователям офиса 2 создавать VPN соединение и работать. Но возникает вопрос у всех остальных пользователей офиса 2 не выключиться интернет?

2. Создать VPN соединение между 2 офисами и работать, но в данном случае опять же не понятно смогут ли люди в обоих офисах пользоваться инетом.

Подскажите какой будет правильным путь и ответ на мучающий меня вопрос.

Заранее спасибо.

savapasha
Вариант 2 оптимален.. Только с небольшой поправкой.. Тебе нужно делать ВПН типа stite-to-site.... (Чесно говоря не помню есть ли такое в ISA 2000. Если нет... Тогда через RRAS делаешь дозвон с одного филиала на другой.... Прописываешь маршруты и радуешься жизни)
Инет у тебя не отключится... (как минимум из-за того, что www/ftp запросы проксируются, а другие запросы под правило проксирования не попадают)

Есть Офис(ЛВС1) и Филиал(ЛВС2) и там и там шлюзом ИСА2006. Связаны между собой по ВПН site-to-site.
шлюз1 имеет три сетевых интерфейса
LANOffice - 192.168.2.2/24
VPNMainOffice - 192.168.113.22/30
WAN - 192.168.44.2/30
В Офисе ВПН подключениям выделяются статические ипишники из диапазона 192.168.3.0-192.168.3.255

шлюз2 имеет два сетевых интерфейса
VPNRemoteOffice - 192.168.113.26/30
LANBranch - 192.168.9.1/24
В Филиале ВПН подключениям выделяются статические ипишники из диапазона 192.168.10.0-192.168.10.255

на шлюзе1 вылезает такая ошибка:
Просмотр событий\Приложение
источник: Microsoft Firewall
Код (ID): 14147
ISA Server detected routes through the network adapter WAN that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.10.255-192.168.10.255,192.168.113.27-192.168.113.27,192.168.113.255-192.168.113.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

Я так понимаю, из сети External надо исключить подсети 192.168.113.0- 192.168.113.255 и 192.168.10.0 - 192.168.10.255. Только как это сделать? В свойствах этой сети нельзя добавлять исключения

Хочу ходить на сервер с ИСА (2004) через DameWare. Она против, что понятно.
Лезу, создаю новое правило.
Разрешаю соединения по порту 6125 (это опциональный, настроеный по умолчанию) в пределах ЛАН и 127,0,0,1.

Не пашет.

Что не так?

Проблема с ведение логов решилась только вот вопрос DESTIP SRCIP и тд....
Лог ведеться как bigInt я поменял fwsrv.sql рсположенный а коталоге Sql сервера и поменял струтуру таблиц с bigInt на text после этого ISA Server показал ошибку с последующим отключение межсетевого экрана

Может кто сталкивался с этим и сможет мне помочь?

У меня стоит SQL 2005 и Иса 2006

Заранее спосибо за ответ

Out

Цитата:

Ну как правило все понятно из описания проблемы

ну напрмиер в тех трех постах на которые я отвечал версия очевидна не была )
savapasha
Out
site-to-site vpn
инет тут вообще не причем и он никак не пострадает, прокси тут не причем. все просто зависит от роутинга, есть маршрут в удаленную сеть через впн интерфейс и есть маршрут по умолчанию через wan, вот и все.
vicwanderer
в external автоматом входит все что не попало в другие network. отсюда вывод: если 3 интерфейса то должно быть три network: обычно internal, external и еще один создай для впн во второй офис.
и что это за впн подключения в филиале? кто и откуда к чему подключается?


Добавлено:
Booklet
задай вопрос правильно, большая часть людей понятия не имеют что такое DameWare и по каким портам он работает. откуда ты ходить хочешь. логи смотреть пробовал?


Добавлено:
Haik1979
ты можешь внятно обьяснить за каким ... ты поменял целые значения на текстовые, и в каких полях ты это сделал? понятно дело что любая уважающая себе прога слетит с катушек, если она пишет в одном формате а таблица в этом формате не принимает )
я тоже менял таблицы, но саму таблицу куда иса пишет я совсем чуть чуть изменил, все строки из nvarchar сменил на varchar на работу это не повлияет потому как у меня только латинские символы и юникод мне не нужен.

hardhearted
Поменял потому что он пишет IP адреса в формате LONG причем
192.168.0.1 - Записывает как 1.0.168.192 конвертирумый в лонг и в итоге получаеться

IP = 3232240644 К примеру



Добавлено:
Еще вопрос по логам

Возможно ли в настроить логи SQL чтобы в них были только те записи которые нужны мне
Для введение статистики пользователей

Заранее спосибо

Прошу Вас помочь мне. Раньше работал с isa 2000, но без постраения VPN. Есть необходимость поднять 2 офис и соединить их по vpn. Пытался поднять сегодня isa 2006.
В принципе проблем не возникло, но появились вопросы.
Вопрос 1. Создаю правило (например icq), создаю группы пользователи домена, ставлю их в разрешение на соединение и результат 0. Если поставить в правило Все пользователи, то все работает (server 2003+AD). В чем проблема?
вопрос 2. Создал из мастера VPN server. добавил правила. Подключиться можно, но дело дальше проверка имени и пароля не идет. В логах пишет, что блокируются GRE. Помогите советом.

И еще дайте совет, сеть между офисами организовать надо завтра, isa 2006 изучить не устпею. Будет ли работать следующий вариант на isa 2000 (опыт есть да и попроще она).

офис 1 сеть 192.168.0.1-192.168.0.255
офис 2 сеть 192.168.1.1-192.168.1.255

на всех 2003 +ad (домены разные не пренципиально), важен один из серверов внутри сети офис 1 для работы с ним из всех офисов.
Думаю создать vpn между ними и попытаться работать .
Только вот есть в чем сомнения, смогу ли я попасть vpn клиентом на сервера для администрирования?

Поможите с isa 2006 дайте совет, больно она мне понравилась, но мало опыта .
Если есть подборки скаченные из инета то пришлите мен на почту.

savapasha

http://isadocs.ru/articles/Creating-VPN-ISA-2006-Firewall-Branch-Office-Connection-Wizard-Part1.html

Не нашел в ветке своей проблемы.
Ситуация такая: Установлена ИСА2006 на машинке с доп.DC. ISA мне нужна только для proxy. Все настройки ИСЫ стоят по-умолчанию. Добавил правило, чтобы файрвол весь трафик пропускал в разные стороны. Все вроде бы работает, но сервис файрвола падает примерно раз в день. Точнее не падает, а зависает. Делаю ему "стоп". Он стопиться минут 7-8. Потом "старт" и все снова работает нормально примерно сутки. В логах ничего не пишеться. В журнале событий винды тоже. Такое ощущение, что какой-то переполнение буфера файрвола происходит. Подскажите что делать

Haik1979
хм, оказывается в 2006 исе поля некоторые кардиналльно поменяли. в 2004 исе ипшники были текстовые. ну короче сменить тебе не удасться, разве что переписать ису )
а насчет полей, то в исе при настройке логирования указываются поля которые надо писать.
savapasha
видимо у тебя icq не проходит аутенфикацию.

Не подскажете как настроить счетчики производительности системы, чтобы посмотреть на сколько загружен сервер с ISA надо понять не тормозит ли он трафик из интернета в сетку. Какие надо включить счетчики и какие значения считать критическими....

Добавлено:
И какую вообще машинку надо для ISA?

искал но не нашел, так что не пинайте а если знаете ответ просто ткните в него. у меня стояла иса2006 работала, обращалась на вышестоящий прокси коим был глобакс, перенаправление сделал через веб-цепочку, создал компы с адресами глобакс-серверов, создал протокол где указал что используется порт 1025 как исходящий юдп и порт 2002 как входящий юдп, создал правило, где кто - локальный комп, куда - сервера глобакса, протокол - глобак (пользовательский). все работало но после того как ркякнул 2003 сервак на котором стоит иса, начались глюки. переустановил винду по новой установил ису создал правила, но нифига не получается почему то ответ приходящий с серверов глобакса блокируется правилом по умолчанию - запрет на все. поможите люди добрые уже мозги кипят.
ЗЫ правило разрешаюшее глобакс стоит первым, настройка сети локалка смотрит в нет через сервак с исой, впн клиентов нету и правила для них отключены.