» Microsoft ISA Server 2006/2004/2000 (Часть III)

Две исы 2006 в массиве есть общие ентерпрайз правила. тут все работает
на одном из серверов перестали открываться правила массива с ошибкой "string is empty or invalid.The error occurred on object 'имя правила' of class 'Policy Rule' in the scope of array 'имя массива'."

в событиях приложения
Configuration changes saved to the Configuration Storage server could not be applied to ISA Server services. After 5 attempts to apply the changes, ISA Server postpones any new attempts to apply these changes, and will only renew attempts when a new configuration is saved to the Configuration Storage server. Recent alerts may indicate the reason for this failure.

The ISA Server configuration agent was unable to upload the configuration to the ISA Server services. This could be due to a corrupt configuration. The ISA Server configuration agent is reverting the configuration back to the last known configuration. The service that failed to load the configuration is: fwsrv.

как убить не правильное правило низкоуровневым редактором(каким?)?

существующи правила он не показывает, а создать новое правило не возможно

Цитата:

hardhearted

zubastiy
есть простое правило, 1 interface - 1 network
у тебя 3 интерфейса значит надо создать три нетворка, два уже есть (internal - офис, external - инет), сделай третий куда ты поместишь сеть серверов и также ВСЕ СЕТИ в которые иса должна роутить через сеть серверов (то есть магазины). а потом между этими нетворками задай где надо route а где надо nat. собственно ничего сложного если правильно понимать идеологию работы исы.

да, спасибо!
когда осознал простое правило, все действительно встало на свои места.

Подскажите куда копать. После перехода на ису в логах домен-контроллера периодически всплывает такая запись (ошибка):

Source: MRxSmb

Event ID: 8003

The master browser has received a server announcement from the computer PROXY that believes that it is the master browser for the domain on transport NetBT_Tcpip_{6C819486-F93A-41A7-8DF. The master browser is stopping or an election is being forced.


Поиск по коду ошибки ничего стоящего не дал (хотя мож криво искал).
Как это можно залечить?

Проверь службу обозревателя, оставь её на 1-2 серверах на остальных потуши ! на компе с исой лучше тоже потуши от греха

Попробую...

При запуске клиента межсетевого экрана Microsoft в логах появляется след. запись:
-------
Приложение [svchost.exe]. Проверка подлинности не пройдена. Учетные данные пользователя не приняты сервером ISA Server. Убедитесь, что учетная запись, выбранная для данного приложения, имеет требуемые полномочия.
-------
Пользователи после этого анонимы.
Где поправить?

Спасибо.

Поставил McAfee® SecurityShield™ for Microsoft® ISA Server
Сразу же поимел кучу гемора. Тормоза по http, не работают ftp. Частично слетела traffic quota.
Завтра восстановлюсь из бэкапа. Подскажите альтернативу. А то из сетки вирусы и спам рассылаются, а с какого компа определить не могу.

Добавлено:
главное, чтобы еще smtp протокол сканировал.

Народ, выручите, сил моих больше нет. Хочу NLB нтроить на ISA 2006 - пкиньте мануалы, пожалуйста по этой теме, желательно на русском и с картинками Ну, если таковых нету, то уж хоть какие-нибудь. Забадала ISA - кнеделю какие-нибудь фокусы отмачивает и Инет в компании падает - скоро чувствую уволят меня нах. Вроде как кое где мне попадались ссылки на книгу Шиндеров по этой теме, но она у меня настоле лежит - всю перерыл - нету тут ничего про NLB.

PRiM KAV for ISA

Есть сеть и 2 канала Интернета.
Вопрос можно ли настроить ISA 2006, так что бы ISA автоматически переподключалась между каналами, если один из них станет не доступным?

Здравствуйте!!! Коротко ситуация такая: наша компания объединяется с другой, и требования меняются... Сейчас у меня на DC стоит WinGate, по новым требованиям надо перейти на ISA Server 2006 EE Rus. Естественно позний в области исы нет. Переход надо сделать в ближайшие дни с минимальными напрягами для юзверей. Подскажите плиз в природе вообще сть книги по этому продукту, ато пока встречаются только по исе 2004??? В шапке куча статей, наиболее подходящих для первоначальной установке и настройке нашел 4 статьи (ISA Server 2006: Установка ISA 2006 Enterprise Edition (beta) с настройками Unihomed Workgroup (части 1-4), но они как-то не воодушевляют... В общем нужна ссылка на более конкретную документацию типа step-by-step в объеме первоначальной настройки общего инета для юзеров и получения отчетов по расходу трафика и логов кто где был, что смотрел и что скачивал...
Заранее спасибо...

В большинстве случаев при настройке 2к6 исы можно юзать мануал от 2к4. Различий между ними не так много и общие принципы настройки одинаковы...

Подскажите, пожалуйста, работает ли NLB для ISA на виртуальных интерфейсах (Team, 802.3 ad, VLAN)?

А также вопрос: в случае, типовой установки ISA с двумя сетевыми интерфейсами (Internal, External), если делать NLB, то надо доставлять дополнительный сетевой интерфейс (типа для Intra-Array комуникаций) или Intra-Array коммуникации настраиваются без дополнительнго интерфейса на существующих двух?

JLeD
у исы нет каналов и интерфейсов, это все есть у винды. если у винды два внешних интерфейса с двумя разными шлюзами то переключай скриптом шлюз по умолчанию и все. сама иса интерфейсами и таблицей роутинга не рулит.

Добавлено:
davinchi9
интересно а почему именно enterprise?

hardhearted
Спасибо за подробный ответ.

hardhearted
такой дистрибутив дали... выбирать не приходится... да и меня вполне устраивает все что он умеет!!!

Такой вот ламерский вопрос.
Обновил с ISA 2004 до 2006, настроил правила - основное работает.
Но вот незадача - нет доступа к расшаренным ресурсам ISA (файлы, принтеры). Чего-то не могу въехать - как это разрешить?

PS В ISA 2004 все было...

davinchi9
да тока разница в цене огромна, а в случае только одной исы без создания массивов enterprise лишний, у меня 4 исы тока в разных офисах и без массивов, и везде standard

Добавлено:
Krechet
потому что сначала надо читать официальные статейки типа "что нового" или чем отличается
раньше по умолчанию isa 2004 в системных правилах разрешала к себе доступ по netbios и cifs чтобы клиенты могли с ее расшаренной по умолчанию папки файрвол клиента ставить этот самый fwc
теперь в 2006й fwc по умолчанию не расшарен и соотвтственно иса к себе по этим протоколам не пускает (потому что реально не надо )

Добавлено:
davinchi9
и русская иса это вообще для диких извращенцев )

hardhearted

Цитата:

раньше по умолчанию isa 2004 в системных правилах разрешала к себе доступ по netbios и cifs ...
теперь в 2006й ... иса к себе по этим протоколам не пускает (потому что реально не надо

Ну это кончно не надо по нормальному, но мы видимо ненормальные
Собственно частично разобрался уже - опубликовал из внутренней сетки самодельный протокол с портами 1-10000 - вроде заработало. А как проще сделать?

Krechet

Цитата:

опубликовал из внутренней сетки самодельный протокол с портами 1-10000

такого ужаса я б даже по обкурке не представил бы уже у меня видимо фантазия так не работает
делать надо не проще, а правильно, а правильный вариант только один. если тебе нужно что то куда то пропустить, то сделай правило которое разрешает кому надо (в твоем случае это internal) куда надо (то есть к исе = localhost) нужные протоколы (в твоем случае это три протокола netbios и два cifs они все определены в исе)
собственно ни думать ни читать ничего не надо, создание правила такая же элементарная операция в исе, как и создание юзера в винде.

ps заодно почитай что такое публикация и для чего она нужна

Коллеги, кто-нибудь использовал Антивирус Касперского для Microsoft ISA Server на ISA 2006? Поделитесь, пожалуйста, впечатлениями. И вообще, кто какие антивирусы использует на ISA? Может у нас отдельный топик есть по антивирусам для Microsoft ISA?

hardhearted

Цитата:

такого ужаса я б даже по обкурке не представил бы уже у меня видимо фантазия так не работает

Так это ж поиск решения...
Понятно, что после этого сервер перестал пускать в т.ч. на 8080.. и все клиенты отвалились


Цитата:

в твоем случае это три протокола netbios и два cifs они все определены в исе

Я правильно понимаю - это Microsoft CIFS TCP/UDP и Датаграмма/сеанс/СлужбаИмен Netbios?

Добавлено:
hardhearted
Вроде получилось. Благодарю!!

Добрый день. Существует проблема, имеется локальная сеть которая выходит в инет через ISA 2006. В локалке нужно поставить VOIP телефон с соединениями с внешними серверами VOIP, не знаю как его опубликовать для работы по Н.323 и SIP протоколам с миром.

У Isa 2006 должны быть H.323 и Sip фильтры.
Isa 2004 имеет H323 но к сожалению нет Sip.

Добавлено:
Configuration - Add.Ins

KocmonpaB
насчет SIP я сомневаюсь, в 2006 их вроде нет, во всяком случае я не видел

добрый день.
подскажите - существует ли клиент брандмауэра под win98 ?

Всем привет !
Облазил все части темы ( метод "версия для печати" ), нашёл несколько ответов на свой вопрос, но ничего не получилось Задам ещё раз тут. Есть ИСА 2000, надо запретить закачку файлов *.exe, *.mp3 и т.д. Куда чего прописывать ? Тока подробнее плиз... для тупых, которых насильно посадили на ИСУ в связи с глючностью ЮГ С запретом сайтов я разобрался вроде.

zubastiy
совсем уже обленились, даже на офсайт уже зайти не могут.
http://www.microsoft.com/technet/isa/2004/help/FW_C_FWClntSet.mspx?mfr=true

Цитата:

zubastiy
совсем уже обленились, даже на офсайт уже зайти не могут.
http://www.microsoft.com/technet/isa/2004/help/FW_C_FWClntSet.mspx?mfr=true

ссылки на микрософте уже все обползал - все дороги ведут к клиенту isa 2004 НЕ поддерживающий win98

*Supported Operating Systems: Windows 2000; Windows NT; Windows Server 2003; Windows Vista; Windows XP*

не завалялось ли у кого старого клиента?

Помощь нужна...
Что открыть в ISA, чтобы заработали NOD обновления?
Спасибо...