» Microsoft ISA Server 2006/2004/2000 (Часть III)

hardhearted

Цитата:

Angoim
в днс

Я тоже думал, заменили запись в ДНС, робежался по нему, вроде все так же.
Что еще?

Добавлено:
И как вообще он смог подменить ее?

Здравствуйте товарищи, ну что то мне совсем не везет с настройкой исы2000.
Проблема такого плана получилась, нужно ткрыть наружу web сервер (БЕЗ доменного имени), компьютер с IIS находится во внутренней сети имеет ip 10.10.1.25 из локалки любой компик может увидеть его страницу набрав этот адрес т.е. он работает корректно на стандартном порту "80".
Что я делаю:
isa 2000 стоит на win 2000 server sp4
new web publoshing rule
создаю new rule
указываю имя правила
далее в destination set выбираю all destinations
client type - any request
rule action - redirectthe request to this internal web server и указываю адрес 10.10.1.25
порт оставляю восьмидесятым
жму финиш.
И ни чего не происходит, набирая в эксплорере внешний адрес исы.... В чем затык я понять не могу, может что-то я забыл..... подскажите пожалуйста.

З.Ы. еще есть такой момент что на исе тоже установлен IIS но веб сайт там остановлен, может он чем то мешает ил где то надо еще донастроить... СЛЕЗНО спрошу о помощи !

Rotten
кто тебе сказал такой бред что ису нельзя поставить шлюзом?


Добавлено:
Angoim
проверь через nslookup куда резолвиться это имя сервака

id83
Если иса не может привязать порт к интерфейсу, значит он занят. Должна быть ошибка, прописанная в алертах исы и/или в системном журнале.
Уже не помню как делается в isa2000 публикация, но если на самом сервере с исой поднят IIS, то чтобы задействовать 80 порт на внешнем интерфейсе - надо отвязать его от IIS.
Делается это утилитой из состава средств поддержки IIS - лежат где-то в inetbub\wwwroot...
Хотя для Win2000 надо уточнять. В 2003 это утилита httpcfg из суппорт-тулзов с дистрибутива.

Вот - если IIS5, то:
-------------------------
you can disable all IIS5 socket pooling by openning a command prompt window and moving to the \Inetpub\AdminScripts folder, then running the following command:

cscript adsutil.vbs set w3svc/disablesocketpooling true

If you see the following response, then you are good. Just stop IIS, then restart IIS and the WWW service to come back online.

disablesocketpooling : (BOOLEAN) True
-------------------------
После этого в настройках IIS для сайта по умолчанию надо поставить IP внутреннего интерфейса.
В результате 80 порт на внешнем интерфейсе освободится.

Добавлено:
Вопрос по странному поведению исы - разрешение имен.
Есть сервер Win2003 SP2, DC, DHCP+DNS, IIS (WSUS), Exchange - ну такой самодельный SBS . Все работает, но на сам этот сервер нельзя попасть по короткому пути из локальной сети - т.е., если набрать http://servisa - иса дает ошибку. Если дать полный путь - servisa.domain.local - пускает . И с консоли этого сервера нельзя попасть на веб другого сервера по короткому имени, только по полному. Подозреваю, что это http фильтр - поскольку для WSUS у клиентов прописано короткое имя и все работает. Может есть какие настройки этого фильтра (через реестр)?

ZeBBit
Я решаю эту проблему через публикацию веб сервера, где-то описывал в топике как это делать

И есть ещё возможность загнать сайт в исключение прокси на клиентах в IE. Если не ошибаюсь, то hardhearted так делает

rijk

Цитата:

И есть ещё возможность загнать сайт в исключение прокси на клиентах в IE. Если не ошибаюсь, то hardhearted так делает

к сожалению начиная с 2004 sp2 это уже не всегда лечит, для internal еще все ок, а вот если например сайт в другой сети которая с твоей связана по впн то уже все, они там что то с web filter такое сделали что теперь лечит только снятие webproxy filter с http протокола (

ZeBBit
Спасибо тебе огромное ты был на сто процентов прав !!! Оказались занятыми порты.
Отвязал все заработало, обрадовался жутко !!! Это после двухдневного сидения с проблемой, но радость была не долгой а точнее до первого обновления сайта.
Иса выдает старые страницы из кэша и что теперь делать не знаю даже... ?
Может знаешь где копнуть ?

id83
На ISA войди в правила кэша и создай ещё одно правило для сайта с минимальным временем обновления, но вроде сразу оно не заработает, вначале полностью отключи кэш, удали файл кэша и создай его заново

hardhearted

то что шлюз у меня маршрутизатор в другом офисе а инет в главном через ису.
навдо дать DNS серверу доступ к DNS как это сделать через Firewall client если Web proxy точно не прокатит

а SNAT никак шлюз менять нельзя. иначе если поставлю шлюз Иса сервер то сервер не увидит его ибо шлюзов должен быть маршрутизатор в удалённом офисе

Парни!
Вечная проблема ограничения И-нета пользователей на ISA200X.
Как квотировать объём трафика для пользователя/группы для конкретного периода?
Если есть платные фильтры - удовлетворительно, бесплатные - отлично.
Как и кто решал для себя эту задачу?

Приветствую народ, выручайте, такая проблема:

Стоит ISA 2004 SP3 (win2003) отдельно от win2003+AD+DHCP. На ISA все нужные рулезы выставлены

Проблема следующая, если клиенту айпи присвоил - DHCP, то трафик не проходит через ISA (проходит если указать прокси в браузере). Если забил статический айпи то все нормально, инет работает без прокси, ходит почта и все что необходимо.

DHCP раздает все правильно: нужный ип, маску, шлюз, днс.

В чем может быть проблема?


Заранее благодарен.

Добавлено:
забыл сказать что DHCP указывает шлюз ISA сервер и не работает(((((

Добавлено:
и главное если ставишь клиента исы, то все работает. Но это такой гемор ставить 100 машинам клиентскую часть(((((((

Авторам ISA скажу прилюдно "Спасибо".
Лучше ничего не видел, посмотрев кое-что.
Есть претензии, но у кого и у чего их нет?.
В задницу целовать не буду (не педрила), но и ругать не дам.
Хорошая вещь...

bgukov

Цитата:

Как квотировать объём трафика для пользователя/группы для конкретного периода?

bandwidth splitter (до 10 юзеров бесплатен)
traffic quota
самодельные скрипты (например ссылка в шапке на хобот, там по слову квотирование ищи тему)

Добавлено:
Rotten
ничего не понял, учись тз ставить правильно
топологию подробнее опиши, а то тебе как человеку который это глазами видит все понятно, а для других людей твое описание выглядит как полнейший бред
dansync
если dhcp раздает все правильно (то есть все также как и статикой ты пишешь) и авторизация не по ип идет на исе, то разницы для исы нет как клиент ип получил. так что проверяй настройки dhcp
bgukov
не торопись хвалить. иса конечно продукт очень хороший, в плане использования его как корпоративного файрвола и прокси (все таки интеграция с ad и все такое), но не более. использовать его для других целей уже не очень выгодно: как роутер иса вообще смешна ибо роутинга у нее своего нет а виндовый примитивен, для домовых сеток тоже не катит, нет своего шейпинга и квотирования(для компаний квоты и шейпинг не нужны, а если в какой то вдруг понадобились значит эта компания не правильно управляет ресурсами), даже как прокси его не всегда можно юзать (напрмиер нельзя открыть прокси для external). Еще есть некоторые придирки к фильтрации(например нельзя создавать фильтрацию по произвольному шаблону, а по сигнатурам в http фильтре не всегда удобно, скорее dcuj это связано с производительностью) но это мелочи. А для банального случая: не очень большая контора, один провайдер и надо просто обычный шлюз/фарйвол/прокси/впн сервер это конечно же лучшее решение.

hardhearted

Я проверял DHCP, он все раздает верно даже добавил в него дополнительный параметр wpad, это решило проблему для браузера, но не для почты. Интересно что такая же система в один в один включая железо стоит в другом офисе. И работает все без проблем.

dansync

Цитата:

и главное если ставишь клиента исы, то все работает.

Разреши анонимный выход в интернет, через шлюз авторизация не работает

rijk

это где его разрешать? подробнее можно, если не затруднит.

hardhearted

Цитата:

Angoim
проверь через nslookup куда резолвиться это имя сервака

Проблема пропала после того как я запостил этот пост. Поэтому пинговать он стал нормально nslookup уже не определишь куда он там идет. Что и плохо.... Как же теперь определить как было сделано сие чудо?

извините что повторяю свой пост, но очень нужно решить проблему
После обновления ISA2000 на 2004 рубится входящая почта, а исходящая из локалки работает. Communigate настроен на той же машине что и ISA
в мониторах пишется вот что

написано" Denied connection", но какое либо правило отсутствует только вот эта причина "A NON-SYN packet was dropped because it was sent by a source that does not have an established connection with the computer", похоже исашка отрубает все подключения из вне к коммунигейту, даже когда стоит правило "Allow all". До обновленя все работало как часы

удалено

все заработало, дурень я))

доброе утро.
win2kserver + isa2004 + 3 сетевых карты, одна в инет, вторая локалка.

Поставил icq сниффер на ису - сниффер не мог найти сетевые карты, показывал только виртуальный адаптер
\Device\NPF_GenericNdisWanAdapter
На локальном компе установил - увидел сетевуху с указанием уникального имени.
(насколько я понимаю он смотрит в реестр на предмет записей hklm/software/microsoft/windowsnt/curentversion/netcards )
Так вот, на исе не увидел ни одной.
Получается иса как то "спрятала" сетевые карты?

iogun
а с чего ты взял что это лог почтового коннекта? там у тебя вообще левые порты, а почта обычно ходит по 25 порту

Добавлено:
zubastiy
а попонятнее спросить мог? "удаленки" это кто? другие сети (site-to-site vpn) или просто клиенты? кто впн организовывает, исы или другие роутеры? и причем тут rdp внутри сети? внутренний трафик никогда не должен проходить через ису. netbios к rdp вообще никак не относится.

hardhearted
хорошо вот другая картинка

iogun
судя по логам у тебя там где то паблишинг сделан и судя по всему криво, убери паблишинг, создай разрешающее правило снаружи к локалхосту по smtp, проверь кто слушает 25 порт

hardhearted
делов том, что я отключал все правила, и оставлял только одно "Разрешить все и всем" и таже самая картина

3

iogun
а смотрел кто слушает smtp?

iogun
В твоем случае трудно найти решение, тут нужно пробовать разные варианты

Цитата:

делов том, что я отключал все правила, и оставлял только одно "Разрешить все и всем"

Как ты это делал? Нужно было Anywhere, local host в Anywhere, local host, весь трафик для всех пользователей

Попробуй отключить SMTP и POP фильтр

rijk
отключал smtp фильтр после чего связь комп. isa вообще пропала, пропал инет пропала почта. Все управление этим компьютером осуществляется удаленно, он находится в 2-х км. от моего места работы доступ туда по спец пропуску и разрешению начальства, так что эксперименты приводящие к остановке службы файервола (+почты) надо будет чем то аргументировать. А отключение smtp фильтров как раз остановила службу ISA следовательно RRAS след. связь с компом пропала

Цитата:

Как ты это делал? Нужно было Anywhere, local host в Anywhere, local host, весь трафик для всех пользователей

вроде Anywhere ->Anywhere

iogun

Цитата:

отключал smtp фильтр после чего связь комп. isa вообще пропала, пропал инет пропала почта.

Как следствие что то у тебя глючит, ты в первых постах писал, что обновлял ISA2000 до ISA 2004, ты импортировал настройки с ISA 2000?

Добавлено:

Цитата:

доступ туда по спец пропуску и разрешению начальства

Я бы вообще там осел на пару дней до решения проблемы, это ж не в Америке сервер