» Microsoft ISA Server 2006/2004/2000 (Часть III)

alexps
Тебе нужно добавить разрешение .js находится оно в Aplications

Но я бы порекомендовал рубить видео и музло через WebFilter. В Extensions заносишь все расширения, которые тебе не нравятся .avi .mov и т.д. Так же я рублю рекламу (.jpg .swf) для умных сайтов, типа r.mail.ru

hardhearted,
"то открываются настройки для клиентских подключений" - об этом и речь. На этой вкладке ты НАЗНАЧАЕШЬ ипишники клиентским подключениям из сети Филиала или Офиса.

greenfox,
я задал вопрос
"При соеденении Офиса и Филиала посредством site-to-site впн-подключениям ВСЕГДА назначаются ипишники из ДИАПАЗОНА ЛОКАЛЬНОЙ СЕТИ Офиса? Т.е. для этого нельзя выделять отдельную подсеть?"
ты ответил
"можно выделять отдельную."
я говорю, что так как ты посоветовал, не получается делать.
Логи... Поэксперементирую в понедельник и тогда скажу, что кажут логи.

Вопрос "Может кто попробует симитировать у себя такое? Для этого достаточно перезагрузить шлюзы с Исой в Офисе и Филиале и первый пакет отправить из сети Филиала в сеть Офиса." ещё ОЧЕНЬ актуален.

vicwanderer

Цитата:

На этой вкладке ты НАЗНАЧАЕШЬ ипишники клиентским подключениям из сети Филиала или Офиса.

еще раз при соединении site-to-site нет клиентов, их просто нет, есть две сети соединенные между собой. никому адреса иса не выдает.

Может кто знает в чем причина.
пар строк из правил

1.хоть откуда коть куда безо всяких ограничений группе админ
2.по хттп определены тока два протокала http и https правило для всех существует в сигнатуре запреты такого рода *.avi *.mp3 и еще чето
3.остальные протоколы в том числе и фтп.в этом руле ни каких ограничений нету.

клиентов аунтефицирует FirewallClient
правил алл юзерс нету

проблема в следующем юзеры не могут качать файлы по фтп по хттп все нормуль
админы же качают по правилу 1 все и хоть откуда.
Где копать че подправить

cr4k3r

Цитата:

SP3 для ISA2004 вышел недавно. кто-нить ставил уже? не глюкавит

На двух серверах все OK.

Еще один интересный момент есть.

Если остановить службу Microsoft Firewall, запустить Hasp License Manager как сервис, затем запустить Microsoft Firewall, то как минимум 1 раз 1С81 сможет запуститься (например в режиме конфигуратора, но если из этого режима запускать 1с81 в режиме предприятия, то она может запуститься, а может и нет) . После как максимум 2 запусков (конфигуратор и предприятие) или 1 запуска (только например конфигуратор) , 3 запуск уже не получается.

Блин, может пакеты "куда - то теряются" .

На сервере стоят 2 карты, одна "внутренняя" , другая соответственно к проводу от провайдера.

На обоих статические адреса (на "внешней" 2 адреса, "внутренний" провайдерский и "внешний" провайдерский) , на обоих маска 255.255.0.0 (хотя менялась на 255.255.255.0 и 255.0.0.0, все равно одна фигня) .


У 1С81 есть такая особенность, когда ее запускаешь (еще даже до выбора режима конфигурирования или предприятия) , она начинает делать соединения по портам (например по локальному 1121, или 1127) .

Или это может как - то связано с "Sql ниткой" для Isa2004, вроде она там хранит настройки политик.

Господа, добрый день.

Есть проблема. Есть 2 офиса, на одном конце ISA 2000 и на другом ISA 2000 (клиенты SecureNAT и WebProxy, ISA сервера работают в режиме Integrated), между ними настроен VPN канал. В одном офисе есть выход в интернет, собственно надо, чтобы пользователи из другого офиса ходили в интернет. Всё казалось бы просто, но настроив маршрутизацию на сервере ISA, где нет выхода в интернет, получаю такую проблему: пользователи могут ходить в интернет только через WebProxy. А мне необходимо чтобы пользователи ходили и через SecureNAT, правила, разрешаюшие ходить по разным протоколам есть. Поставил снифер на ISA сервере, пакеты отправляются, но ответа не приходит от серверов. Да, а на самом ISA сервере интернет работает прекрасно. Господа, что я забыл сделать?

Hi All!

Проблема странная. Есть ISA 2004 SP3 установлена на Win 2003 Sp2 все хотфиксы, win в домене. ISA не пускает RPC траффик к контроллеру AD, в логировании сообщение rpc failed connection attempt. Если отключить RPC Filter то видно что запрос на 135 порт контроллера начинает идти, но "вторичное" RPC соединение на порт >1024 естесственно обламывается. Если отключить RPC Filter и разрешить весь траффик от ISA к контроллеру, то RPC начинает работать, но это не выход - не секурно. Что делать?

Все, все работает.

Работают 1С77 и 1С81 "из сети" с установленным поиском по UDP и стоящим LM на коимпьютере с Isa2004 на компьютере с Win Server 2003 RC2.

Никогда бы не подумал как решается проблема с RPC трафиком:

http://support.microsoft.com/kb/912222/en-us

В двух словах так:
--
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableTCPA"=dword:00000000
"EnableRSS"=dword:00000000
"EnableTCPChimney"=dword:00000000
--

Помогите по моему вопросу
Может кто знает в чем причина.
пар строк из правил

1.хоть откуда коть куда безо всяких ограничений группе админ
2.по хттп определены тока два протокала http и https правило для всех существует в сигнатуре запреты такого рода *.avi *.mp3 и еще чето
3.остальные протоколы в том числе и фтп.в этом руле ни каких ограничений нету.

клиентов аунтефицирует FirewallClient
правил алл юзерс нету

проблема в следующем юзеры не могут качать файлы по фтп по хттп все нормуль
админы же качают по правилу 1 все и хоть откуда.
Где копать че подправить

xhangmanx
лог смотри

а в логах и пишит что фтп денейт причем попадает под правило самое последнее где весь исходящий блочится а ФТПшное правило пропускает !!!

Цитата:

а в логах и пишит что фтп денейт причем попадает под правило самое последнее где весь исходящий блочится а ФТПшное правило пропускает !!!

самое последнее - оно только запрещает Дефолтное оно. И как онон у тебя там что пропускать должно?
Скриншот правил запости и кусок соот-го лога

Добавлено:
hardhearted

Цитата:

еще раз при соединении site-to-site нет клиентов, их просто нет, есть две сети соединенные между собой. никому адреса иса не выдает.

мммм.... ну наск. я помню даже при этом соединении одна точка выступает как клиент (ipconfig - ppp client) а вторая как сервер (ppp ras server). Соот-но в настройках исы указываешь какой ip получит этот виртуальный адаптер (клиент) когда он законектиться к виртуальному адаптеру-серверу (ras server). Вот это (эти диапазаоны ip) и укзазываются в настройках. Или ставиться галка брать эти ip из внутреннего диапазона - т.е. от DHCP сервера (соот-но тогда на нём надо вырезать кусок в исключения)
Вроде так

а как скрины сюды прикрепить???

то что оно дефолтное я знаю
и говорю идет сначал правило для ФТП затем ряд других правил а потом последнее самое дефолтное
Так вот ФТПшное правило и пропускается !!!!
ну а в логе пишет
ftp ....denied conections .....rule(denied)....... user1......get(и тут ссылка к файлу который на фтпшнике какомто).

Доброго времени суток

Есть контроллер домена на Win2003 и ИСА 2006 на одной машине
2-ве сетевых карты одна к интернету другая в локалку
и есть точка доступа WiFi

При подключении КПК по WiFi внутренюю сеть видит, а в интернет не пускает пишет
The ISA Server denied the specified Uniform error code 403
При этом Skype работает, но с тормозами.

Кто может сталкивался, с такой проблемой?

Подскажите плз в чем может быть проблема!
Хочу через VPN подключить клиента.
Вроде все настроил, включил VPN.
Статические IP назначил 10.0.2.1 до 10.0.2.10 они с локальными не пересекаются.
Создал пользователя в домене. Включил в группу которой разрешил подключение. Создаю VPN соединение - подключается, все ok.(MiniPort WAN PPTP) В свойствах пишет IP адрес клиента 10.0.2.2, сервера 10.0.2.1. НО. Дальше ничего не видет никто ((
Пинг с иса сервера не доходит до клиента, обратно тоже самое. Кароче трафик не идет через VPN.
В чем проблема может быть? Подскажите плз!!!

Добавлено:
по идее раз подключение есть, то ping 10.0.2.1 с клиента и ping 10.0.2.2 с сервера должны проходить! (В правилах разрешил ВЕСЬ трафик от локальной машины к VPN client и обратно)

xhangmanx
браузеры на прокси настроены?

NeveR_Mind
ipconfig /all и route print и клиента и сервера
и логи смотреть тоже весьма полезно

hardhearted
На клиенте:

Код:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server1
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

tun - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-3E-42-02-84

Локальная сеть - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Физический адрес. . . . . . . . . : 00-0F-EA-30-27-0C

Инет - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC #2
Физический адрес. . . . . . . . . : 00-E0-4D-08-62-55
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 213.183.253.74
Маска подсети . . . . . . . . . . : 255.255.255.248
Основной шлюз . . . . . . . . . . : 213.183.253.73
DNS-серверы . . . . . . . . . . . : 80.73.175.2
80.73.163.60

Локальная сеть1 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC #3
Физический адрес. . . . . . . . . : 00-80-48-3F-EA-F1
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.0.1
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . :

Office VPN - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.2.6
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 10.0.2.6
DNS-серверы . . . . . . . . . . . : 10.0.1.2

NeveR_Mind
не вникал в твои распечатки, просто дам советы
1. Нужно сделать правило на сервере от VPN Client к LocalNetwork и обратно разреши весь трафик
2. На клиенте войди в настройки TCP/IP -> Advanсed и там убери птичку про использования шлюза по умолчанию

Если не помогло буду смотреть таблицу маршрутизации

rijk
если он уберет галку то ему придется руками писать маршрут в офисную сетку, у него офисная сетка и сетка из которой выдаются ип клиентам разные.

hardhearted
Ты сам пробовал, что получается?

Пример
есть домашняя сеть 192.168.0.0 255.255.0.0
офис 192.168.0.0 255.255.255.0

так вот если я с дома подключаюсь и птичка стоит, я не вижу офиса, убираю птичку, пропадает домашняя сеть с 192.168.0.0 - 192.168.0.255, но офис есть

rijk
включи DHCP и используй его в настройках VPN
да и сети разнеси обязательно

При коннекте на L2TP сервер клиенту выдается IP из прописанного на сервере пула.
Возможно как-то закрепить за клиентом конкретный IP? При прописывание IP на клиенте соединение не установить. =\

Объясните пожалуйста суть этих ошибок.. что они значат икак их можно подправить. плиз. очень надо.

A problem preventing application of the server publishing rule SMTP [SMTP Server] that maps 10.7.19.2:25:TCP to 83.174.2.2:25 for the protocol SMTP Server was resolved. This rule was previously ignored.

The server publishing rule SMTP [SMTP Server] failed because the listening IP addresses specified for the rule are not valid. Verify that the rule specifies a valid IP address on this computer.

A problem preventing application of the server publishing rule SMTP [SMTP Server] that maps 10.7.19.2:25:TCP to 83.174.2.2:25 for the protocol SMTP Server was resolved. This rule was previously ignored.

The server publishing rule SMTP [SMTP Server] failed because the listening IP addresses specified for the rule are not valid. Verify that the rule specifies a valid IP address on this computer.

A problem preventing application of the server publishing rule SMTP [SMTP Server] that maps 10.7.19.2:25:TCP to 83.174.2.2:25 for the protocol SMTP Server was resolved. This rule was previously ignored.

The server publishing rule SMTP [SMTP Server] failed because the listening IP addresses specified for the rule are not valid. Verify that the rule specifies a valid IP address on this computer.


Добавлено:
Почта перестает уходить в интернет после таких сообщений в ISA

Добавлено:
Сервер Exchange находится в нутри локалки Вот на рисунке срин правил ИСЫ. помогите
плиз
http://bashmedsteklo.ru/isa1.jpg

alexps
Банально ping 10.7.19.2 проходит? Сервер этот всегда доступен?

Да проходит, с любых компьютеров в нашей сети, 10.7.19.2 - Это сревер на котором стоит Exchange и он у меня в нутри локальной сети, а вот 10.7.19.1 эо DC на котором стоит ISA

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\administr>ping 10.7.19.2

Обмен пакетами с 10.7.19.2 по 32 байт:

Ответ от 10.7.19.2: число байт=32 время<1мс TTL=128
Ответ от 10.7.19.2: число байт=32 время<1мс TTL=128
Ответ от 10.7.19.2: число байт=32 время<1мс TTL=128
Ответ от 10.7.19.2: число байт=32 время<1мс TTL=128

Статистика Ping для 10.7.19.2:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

C:\Documents and Settings\administr>

Добавлено:
83.174.2.2 - это внешний IP сетвой карточки которая на Domain Controller

alexps
Как часто ошибка появляется? После чего ситуация нормализуется?

Вот что я всевремя вижу в Логах исы :
http://bashmedsteklo.ru/isa2.jpg

у меня telnet 83.174.2.2 25 не проходит