» Microsoft ISA Server 2006/2004/2000 (Часть III)

isa 2004 2 сетевых адаптера:

1 сетевой адаптер "наша внутренняя подсеть" - 192.168.0.ххх

2 сетевой адаптер - заходит интернет
ip 192.168.170.232, 255.255.255.0
шлюз 192.168.170.254
днс 192.168.160.10, 192.168.160.161

сейчас вот так все и работает, кроме почты

для того чтобы получить внешний статический IP адрес, нужно подключиться к провайдеру по VPN pptp
на адрес 192.168.160.161 и я получаю внешний адрес, но ISA перестает работать и не пускает в инет

как правильно настроить этот vpn подскажите пожалуйста?

valera123
Кажись обсуждалось. Юзай поиск. Кажется есть целая статья на isaserver.org - там Шиндер Томас описывал

valera123

Цитата:

SA перестает работать и не пускает в инет

Сдучайно не на Win2000 ты это делаешь? Смотри route print до подключения VPN и после, меняется ли Default Gateway

это small business server 2003 r2

default gateway меняется,
был 192.168.170.254, а становится тот который в VPN 192.168.160.161

valera123

Цитата:

а становится тот который в VPN 192.168.160.161

Что то не сильно этот адрес похож на внешний IP, дай ещё ipconfig после подключения, и второй вопрос: ты подключаешься вручную?

Добрый день.

Есть ISA2004 st
Есть SQL2005 и в ИСЕ открыт порт SQL наружу, для одной программы.
В SQL нет встроенных средств для блокирования юзеров по ай-пи адресу.
Поэтому, если кто-то перебирает пароли для SQL, я могу это отловить этого хакера на сервере, но заблокировать его айпишник никак не могу.
Задача: заблокировать айпишник.

Какими средствами это можно сделать с помощью ИСЫ, если айпишники эти динамические? т.е. как только обнаруживается попытка подключения, сразу же этот адрес блокируется.

Идея такая: создаем правило (вручную), в котором блокируем произвольный айпишник (например 254.254.254.254). Называем это правило, например "ForHackers".
Затем, как только SQL Server обнаруживает перебор паролей с адреса X.X.X.X, он автоматиматически запускает какой-нить бат-файл и в качестве параметра передает ему этот айпишник. Этот бат-файл берет правило "ForHackers" на ИСА и изменяет у него айпишник с 254.254.254.254 на X.X.X.X. И все - теперь это правило блокирует хакера.
При следующей попытке правило перестраивается на другой адрес. И т.д. Все выполняется автоматически и сразу же при попытке перебора паролей.
Это возможно, через VB-скрипт. По крайней мере, так говорит документация на майкрософтском сайте.

Идея понятна?

А вот как осуществить это, а именно сделать этот VB-скрипт в ИСЕ я незнаю.

Помогите пожалуйста.

Спасибо.

Angoim
Посмотри может поможет это _http://isaserver.ru/forums/6389/ShowPost.aspx

Сам скрипт уже готов, тебе останется только событие к SQL привязать, и что б он правильный ip передавал

Angoim
ну блокировать надо не рдин ип а список, а как писать под ису я видел на msdn2.microsoft.com, там все обьекты описаны

Только приехал с отдыха

davinchi9
hardhearted

Спасибо большое за разъяснения !!!! Завтра посмотрю че там и как.

Нужна помощь со службой времени (W32Time). После установки ИСЫ стала подглючивать служба времи, глюки заключаются в том, что синхронизация времени то происходит то неможет достучаться до сервера времени...
вот отрывок цепочки последовательных событий из журнала PDC:


Цитата:

Тип события:    Уведомление
Источник события:    W32Time
Код события:    38
Дата:        18.07.2007
Время:        17:41:47
Компьютер:    SERVER
Описание:
NTP-клиент поставщика времени не может достичь или получает неправильные данные о времени от time.windows.com (ntp.m|0x1|10.0.13.2:123->207.46.130.100:123).

Тип события:    Уведомление
Источник события:    W32Time
Код события:    38
Дата:        18.07.2007
Время:        17:41:47
Компьютер:    SERVER
Описание:
NTP-клиент поставщика времени не может достичь или получает неправильные данные о времени от time.windows.com (ntp.m|0x1|192.168.0.1:123->207.46.130.100:123).

Тип события:    Уведомление
Источник события:    W32Time
Код события:    37
Дата:        18.07.2007
Время:        18:11:47
Компьютер:    SERVER
Описание:
NTP-клиент поставщика времени получает правильные данные о времени от time.windows.com (ntp.m|0x1|10.0.13.2:123->207.46.130.100:123).

Тип события:    Уведомление
Источник события:    W32Time
Код события:    38
Дата:        18.07.2007
Время:        18:56:47
Компьютер:    SERVER
Описание:
NTP-клиент поставщика времени не может достичь или получает неправильные данные о времени от time.windows.com (ntp.m|0x1|10.0.13.2:123->207.46.130.100:123).

Тип события:    Ошибка
Источник события:    W32Time
Код события:    29
Дата:        18.07.2007
Время:        20:11:47
Компьютер:    SERVER
Описание:
NTP-клиент поставщика времени настроен на получение времени из одного или нескольких источников, однако ни один из этих источников недоступен. Попытки подключения к источнику не будут выполняться в течение 15 мин. NTP-клиент не имеет источника правильного времени.

Тип события:    Предупреждение
Источник события:    W32Time
Код события:    47
Дата:        18.07.2007
Время:        20:11:47
Компьютер:    SERVER
Описание:
NTP-клиент поставщика времени: правильный ответ от контроллера домена time.windows.com,0x1 не был получен после 8 попыток обращения. Этот узел не будет использоваться в качестве источника времени, а NTP-клиент попытается найти новый узел с этим DNS-именем.

... далее по события повторяются цыклично с начала...

10.0.13.2 - интерфейс смотрит в интернет
192.168.0.1 - интерфейс смотрит в локалку

в исе создано правило (MS ISA Server 2006 EE):
№1, Массив, NTP, Разрешить, NTP (UDP), 192.168.0.1, 207.46.130.100, Все пользователи...
в системной политике:
сетевые службы -> NTP -> Использовать данную группу настроек (флаг установлен) -> Куда -> 207.46.130.100

В логах ИСЫ:
19.07.2007 10:44:57    192.168.0.1    123    0    207.46.130.100    123    0    UDP    NTP (UDP)    Отклоненное соединение        0xc0040030 FWX_E_OUTBOUND_PATH_THROUGH_DROPPED            Локальный компьютер    Внешняя    -    SERVER    Межсетевой экран

19.07.2007 10:44:57    10.0.13.2    123    0    207.46.130.100    123    0    UDP    NTP (UDP)    Начато соединение    [System] Разрешить отправку NTP-пакетов с сервера ISA Server на доверенные NTP-се    0x0 ERROR_SUCCESS            Локальный компьютер    Внешняя    -    SERVER    Межсетевой экран

davinchi9
Почему решил что ISA? Штамп полученный с определенной задержкой становиться недействительным. Выбери для себя список Ntp сервером с минимальным пингом для начала.

KocmonpaB
я добавил результаты логов в пост выше... там режется сессия с 192.168.0.1, почему понять не могу, вроде правило создал... поэтому и думаю на ИСУ...
а на счет усаревшего шампа это очень даже может быть, а какая задержка считается нормальной???
Поробовал пингануть сервер времени, вот что получилось:

Цитата:

C:\>ping time.windows.com

Обмен пакетами с time.windows.com [207.46.130.100] с 32 байт данных:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 207.46.130.100:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)

У меня была похожая проблема, решил её тем что добавил порт NTP(TCP) 123, и ещё сделал правило для NTP(TCP) и NTP(UDP) разрешил анонимный выход в интернет

Людиии, выручти меня пожалуйста советом ! А то я уже так заморочился и начальство насидает, сил нет, все мысли кончелись.
Ситуация: в нутри сети два сервера, один контроллер домена Win2k, другой терминальный win2003, все это прикрыто исой ISA2000EE установленной на server2k, на компах стоит клиентская часть от исы. Терминальным сервером пользуются все в нутри сети, все нормально, нужно чтоб пользовался удаленный офис. Следовательно решили его опубликовать, что было сделано:

В Protocol Definitions создал протокол:
inboundtcp: port number-3389
protocol type-tcp
direction-inbound
в publishing:
new rule:10.10.1.25 ip address of internal server
81.x.x.x external ip address on isa server
inboundtcp mapped server protocol

Вроде ни чего не забыто, но.... эффекта нет

проверял telnet_ом, порт 3389 вроде коннектится а если подключаться уже терминальным клиентом , то думает секунд тридцать, а потом пишет что удаленный рабочий стол отключон, и что не может подключиться...

Что мне делать я не знаю..., как найти место затыка, ПОМОГИТЕ ОЧЕНЬ ПРОШУ !

id83
публикуй с помощью мастера публикаций терминальный сервер

Create New Server Publishing rule ->name rule -> ip терминального сервера ->protocol RDP - TServer --> редактируем закладку form вставляя ip диапазон (external) внешних адресо подключаемых клиентов.
порт используй не 3389 - отличный от этого ибо 3389 иса слушает во внутреннюю сеть
ну и соответственно в удаленном офисе либо порт ридерект на проксе, либо в rdp соединении удаленных клиентов явно указывай порт на котором опубликован сервак

вроде так

zubastiy
все конечно так. тока слово прокси это лишнее, rdp через прокси не ходит ) так что либо у клиента писать порт либо если позволяет роутер порты мапить.
id83
второй вариант: vpn между офисами

Хм, ситуация назревает не очень хорошая я чувствую. Дело в том что наш офис хочет присоединиться к очень большой сети где все уже отлажено и долго и счастливо работает и делать какие-то лишние настройки они просто не будут, так как у них еще несколько терминальных соединений, плюс постоянно перемещающееся начальство с ноутами а это еще не ведомое кол-во адресов. Нужно решить проблему каким-то образом именно в нашем офисе, чтоб любой желающий зная имя и пароль мог зайти на терминалку. Если в исе 2000 это сделать не возможно, может следует ее заменить на другой продукт кто это может позволить ???
Поверьте, если так все есть как вы мне описали, то гораздо легче мне просто заменить прокси на другой чем переписать умолчания в другом офисе.
Иса 2004 может опубликовать терминалку по дефолту или тоже нет ? может на нее перейти ?

id83
Как вариант: вначале делать VPN подключение к ISA, ну а затем, уже оказавшись во внутренней сети можно и подключиться к терминалу

id83
тебе же сказали, винда слушает этот порт сама и иса тут не виновата, она не может опубликовать порт который занят. публикуй на другом порту например 3390, а те кто будет терминалится будут просто писать внешний_ип_исы:3390 и будут попадать на твой терминальный сервак. все ж элементарно и просто, не думаю что юзерам это будет мешать, когда не надо они по левым портам в инет ходят без проблем )

hardhearted
Это вот так чтоль ?
http://support.microsoft.com/kb/187623/RU/

Или все настройки по перенаправлению проводятся только в исе не затрагивая терминального сервера ?

hardhearted
добавил учетку(не та что имела права раньше) в разрешения на ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc
при запуске начинает что-то ставить и пишет ошибку

setup field while setting System Polisy rule

а которая до этого учетка имела права присутствует в разрешениях
если под не запускать консоль то пишеттся следующая ошибка
ISA server canot add the node.
You do not have necessary permissions to perform this actions

и кнопка continue
ее жмешь и открывается окно исы но консоли нет и там типа ошибка в оснастке консоли
не может создать оснастку консоли

id83
только на исе, когда публикуешь сервак там можно указать какой порт слушать (либо по умолчанию как в протоколе либо другой) и на какой кидать (аналогично)
говоришь слушать 3390 (или какой понравиться свободный) а кидать на порт по умолчанию (3389)

Есть Офис(ISA 2006). Есть Филлиал(ISA 2006). Между ними ВПН. Провайдер поменял нам ИП-шник в Филлиале. Как перестроить ВПН соединение?

Замена ИП-шника в свойствах существующего ВПН соединения результата на дала. ВПН канал после этого не поднимается. Я так понимаю надо удалить сущесвующее site-to-site и создать новое. Но ИСА не даёт удалитьт старое! Удаляю само ВПН соединение, удаляю
Network Rule, а системное Accses Rule(Не помню точно как называется...там где 30-ть системных правил доступа....которые можно скрыть в оснастке, а можно развернуть) не разрешает удалить...

hardhearted

Я очень извиняюсь, но можно чуть подробней расписать где проводить эти махинации.
А именно где ставить какой порт слушать и на какой кидать...
Я понимаю что для многих это просто понять, но я в этой ситуации чувствую себя настоящим "Оленем".
Огромная просьба, распиши пожалуйста в какой закладке что поставить.

Буду ОЧЕНЬ признателен и благодарен !

id83
ну совсем уже обленились, свойства созданного правила публикации, вкладка traffic и смотри туда глазами
95% настроек исы сделано через гуи, неужели не видно нужных кнопок и настроек

Добавлено:
даже если совсем непонятно, ведь хелп есть, набираешь там publish port и сразу первая ссылка

вообщем забил на восстановления прав пользователяюРешил удалить ису а она не каким макаром не удалялась пршлось поновой ставить сервер 2003 и ису.Все вроде поставил загружаю поставил на ису SP2 импортирую старые настройки и тут пишется ошибка типа не установлены сертификаты!!!И когда захожу к примеру в настройки Web proxy то там это ошибка снова выскакивает жму continue ставлю галку на ssl хочу указать сертификат"browse..." и опять ошибка типа нету сертификатов.Служба сертификатов работает.Что ей еще нужно ???

hardhearted

Цитата:

id83
ну совсем уже обленились, свойства созданного правила публикации, вкладка traffic и смотри туда глазами
95% настроек исы сделано через гуи, неужели не видно нужных кнопок и настроек

в isa 2000 не все так понятно как 2004.

zubastiy
те кто перешел с исы 2000 на 2004 утверждали обратное , дело привычки
но хелп и в те давние времена существовал

После обновления ISA2000 на 2004 рубится входящая почта, а исходящая из локалки работает. Communigate настроен на той же машине что и ISA
в мониторах пишется вот что

написано" Denied connection", но какое либо правило отсутствует только вот эта причина "A NON-SYN packet was dropped because it was sent by a source that does not have an established connection with the computer", похоже исашка отрубает все подключения из вне к коммунигейту, даже когда стоит правило "Allow all". До обновленя все работало как часы

ктонибудь подскажите че с этими сертификатами не так