» Microsoft ISA Server 2006/2004/2000 (Часть III)

Как обычно перед самой «плахой», пришло решение — логичное и вполне очевидное. Добавил в «Настройки клиента межсетевого экрана» «Параметры приложений»:

Код: msimn Disable 0

Undaster
этот фильтр на это врядли влияет, он для обработки входящий pop3 соединений, то есть для публикуемых серверов
а че там догадыватся, нажимаешь на него и говоришь disable, в чем сложность то?

Правым кликом по нему — «Свойства», а в «свойствах» галочка «Включить этот фильтр» не редактируется.

rijk
я уже писал, но это не решение проблемы

Undaster
на 2004 м 2006 std все отлично отключается, может у EE что то поменяли, или делается это где нить в другом месте, например на уровне какой то глобальной конфигурации

Народ, подскажите, как почитbсть кеш на ISA 2000?

Коллеги, подскажите, как работает галочка "Не использовать прокси сервер для локальных адресов" в настройках IE. У меня почему-то при обращении на локальный адрес, запросы идут через проксю - т.е. в моём случае ISA, т.е. в моём случае не работает.
Ну это ладно, попробовал это обойти, прописав явно исключения в настройках (см. рисунок ниже):

...однако, после перезагрузок, а также, если, на клиенте файервола, на вкладке "Web Browser", ткнуть кнопку "Configure Now", то все прописанные исключению удаляются и поле исключени снова остаётся пустым. Помогите, пожалуйста сделать так, чтобы или галочка вышеупомянутая работала нормально или исключения настраивались централизованно и не удалялись!

PIL123
если я не ошибаюсь, то это в ГП домена настраивается.
ГП домена\ конфигурация пользователя\конфигурация виндоус\настройка IE\подключение\параметры подключения.


Кто-то знает, как очистить кеш на ISA 2000?

DmyDry, а на ИСЕ это никак не настраивается? Ломает ведь все настройки именно нажатие кнопочки на ISA клиенте, а не gpupdate /force?!

я в ИСА практически не разбираюсь, но аналогичная проблема возникла и у меня, совсем недавно, вот я так и сделал, теперь у всех в списке адресов именно те, которые я прописал на контроллере домена (а именно - localhost)

Мне кажется на ИСА настраивается только то, что будет проходить или не проходить через сервер, ведь там все просто в принципе - Allow или Deny ))
Но я ж не знаю, у меня 2000, а версии поновее я ещё в глаза не видел..

DmyDry, ОК, последовал твоему совету - настроил GPO. Исключения появились. Однако, при нажатии на кнопку на клиенте файервола - исключения пропадают.
Думаю, что GPO - это скорее workaround. Всё-таки хотелось бы настроить ISA как надо, чтобы она понимала где локальные хосты, а где нет. К тому же для этого она обладает всей нужной инфой.

PIL123
на 20-х старницах топика обсуждалось это...

greenfox, извини - не нашёл. Просмотрел всё с 20-й по последнее сообщение. Не мог бы конкретизировать?

На Virtual Server 2005R2Enterprice установил windows2003SP2+Isa Server2006 +TrafficQuota2.2Demo

1-сетевая карта смотрит в локалку

Вопрос
Дабавляю Квоту на компьютер мой IP сетевой карты и даю квоту в месяц 1 мб со скоростью 1 кб/с

ничего не выходит как тянула с инета через проху так и тянет без ограничений

ПОЧЕМУ?????????? если кто может помогите

Заранее спосибо

PIL123
не жми эту кнопку )
реально я галку об автонастройке браузера убираю у fwc сразу, хотя мне она не мешает.
галка не использовать прокси для локальных адресов работает для тех сайтов которые в браузере набрали коротким именем, то есть не _http://mysite.domain.ru а просто _http://mysite так устроен браузер и иса здесь не причем. поэтому другие исключения надо вписать в браузер, через fwc никаких исключений прямо не настраивается, но есть другие варианты
централизовано исключения можно настраивать разынми способами
через gpo, вписываешь все нужные настройки в gpo и все, главное убрать галку в настройках fwc и не нажимать на какие попало кнопки
второй вариант, который юзаю я и он работает лучше, вписать все нужные настройки в скрипт автоконфигурации и в настройках исы (свойства internal, вкладки firewall client и web browser, для тех кто в танке, последняя вкладка служит только для скрипта автоконфигурации, другими методами эти настройки в браузеры клиента не передаются) указать что при автоконфигурировании браузера через fwc вписывать не только адрес прокси но и адрес скрипта автконфигурации, а так как у меня fwc стоит на крайне ограниченном количестве клиентов то я это же вписываю в гпо (то есть адрес прокси и адрес скрипта). сам скрипт проще всего сконфигурировать в самой исе, на вышеупомянутой вкладке web browser, а также domains и addresses.
если использовать скрипт автоконфига а не писать в браузер или в гпо исключения напрямую то это работает не только с именами но и с ип адресами, то есть если ты в браузер впишешь диапазон адресов а наберешь сайт по имени то это не сработает, а если это же сделать через скрипт то сработает.

ps все это ты мог бы узнать всего лишь открыв свойства сети internal и нажав на кнопочку "?"

PIL123
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=20506&start=260

greenfox
опаньки, так это ж мой пост, я уже и забыл, тока locallat к браузеру отношения не имеет
и на 20ю страницу это никак не тянет

Haik1979
по логам кто качает?

hardhearted

Цитата:

на 20ю страницу это никак не тянет

16-я страница находится в диапазоне от 10 до 19-й странице => находится в диапазоне 20-х страниц (второго десятка)
ps нашёл до чего докапаться

DmyDry

Цитата:

Кто-то знает, как очистить кеш на ISA 2000?

Я полностью отключаю кэш, удаляю файл кэша, и включаю заново, забавно то, что если файлы попали в кэш до внесения нового правила, то они хранятся там по старому правилу и новое до истечения время действия старого не работает.
PS: Это всё для ISA 2004

greenfox
[offtop] ты не прав, не надо путать 20е и второй десяток ты же не говоришь про 1915 год как про 20е годы
да и я не придирался, просто указал в шутку

hardhearted

По логам SQL Server пишет IP сетевой карты и адрес назначения

Только что столкнулся с проблемкой: на одном компе не работает FireWall Client, на всех остальных работает.
Поясняю как не работает: нажимаешь кнопку тест сервера, всё ОК! Сервер найден, можно работать, запускаешь ICQ загорается красная лампа на клиенте, обычная переустановка клиента не помогла, где то он оставил старые значения. Подскажите где искать? В реестре (какая ветвь?) или файл какой (какой путь?)

И так для полноты информации вот что в логах клиента:

Цитата:

Application [qip.exe]. Authentication failed. Verify that the user account running this application has the required permissions. If the application is running under a system account, you can apply different credentials for this application via the client configuration and FwcCreds.exe.

rijk, могу предположить, что объекты (Пользователь, Компьютер) не аутентифицируются на ИСЕ - может пользователь заблокирован, может комп из домена вылетел.

hardhearted, greenfox, парни спасибо за активное обсуждение моего вопроса. Подскажите, пожалуйста, как этот скрипт автоконфигурации настроить - надо что-то где-то руками писать или это как-то через GUI решается?

------
Люди добрые, ещё в догонку вопрос, не относящийся к моим предыдущим постам:
Есть сайт по адресу: http://64.20.162.20:40080/sba/, так вот у меня он открывается, а у других людей нет - подскажите, пожалуйста, в чём грабли?

PIL123
Этот пользователь может лезть через прокси в это же время, компьютер в домене и в его логах нет с этим проблем. Есть только одно отличие с остальными компами, стояла птичка доверять этому компьютеру делегирование, но сомневаюсь что в этом проблема.

Цитата:

так вот у меня он открывается, а у других людей нет

У кого открывается и у кого нет?
Может быть прокси не настроен?

Открывается у меня, у другого пользователя не открывается - пишет:

Код: Код ошибки: 502 Proxy Error. The ISA Server denied the specified Uniform Resource Locator (URL). (12202)
IP-адрес: 172.16.0.11
Дата: 31.05.2007 7:00:45 [GMT]
Сервер: inv010003.Domain.Local
Источник: proxy

PIL123
Дело тогда в правилах, добавь пользователя в свою группу и проверь, откроется ли.
Но что конкретно трудно сказать я не ясновидящий , может, есть правило которое перекрывает или у тебя разрешение только на зону .ru

PIL123

Цитата:

Подскажите, пожалуйста, как этот скрипт автоконфигурации настроить - надо что-то где-то руками писать или это как-то через GUI решается?

я не понял, на прошлой странице я для кого распинался то? ведь русским по белому написал что этот скрипт на уровне простых задач (типа исключения вписать, запасной маршрут, и все такое) конфигурируется в самой исе, в настройке internal. открой и там увидишь как все предельно просто, для особо непонятливых там еще есть кнопа help

Что бы это значило.... %) Расшифрутей пжста.
Alert Information
Description: The server publishing rule SMTP [SMTP Server] failed because the listening IP addresses specified for the rule are not valid. Verify that the rule specifies a valid IP address on this computer.
The failure is due to error: 0x800704c6

Здравствуйте. БЕДА! Есть локальная сеть типа 192.168.1.*, домен на W2k3 +SP2. Машина с ISA2006 SE c введена в домен. Все машинки ходят в веб через прокси, остальные протоколы fwclient, однако для нетривиальных случаев разрешен и snat (авторизация некритична). Меня мягко говоря смутило правило Default rule. Просматривая логи обнаружил что в логах есть записи типа: Default rule - Allowed connection - 80 (порт)
Как такое возможно? Ведь по идее это правило должно все запрещать, но как он тогда может писать allowed connection???
Кто-нибудь сталкивался? Где копать? Само правило нигде не редактируется (по крайней мере я не нашел).

Заранее благодарю за ответ.

Вопрос к знатокам ISA

В логах WebFilterLogs какой трафик логируеться только HTTP HTTPS FTP FTPS или весь трафик уходящий чере внешний интерфейс TCP UDP ICMP IGMP?