» Microsoft ISA Server 2006/2004/2000 (Часть III)

с точки зрения надежности работы(просто видел много постов, что винроут слетает ).
Сам я не админ, но получилось так, что начальство волевым решением повесило на меня эти обязанности. И к сожалению , никто с меня прямых обязанностей не снимал. Вот я и пришел посоветоваться, что будет лучше с точки зрения временных затраи и дальнейшего обслуживания.

UJ79
все зависит от конкретных требований в быстродействии и функционалу

Хочу чтобы бысто, надежно, удобно.

Добавлено:
hardhearted, сейчас сервер используеться только как хранилище файлов и сервер для 1С

hardhearted
greenfox
а как узнать авторизуются они или нет?и что надо для этого сделать?

timsson
ну как как, гарри потера смотрел? Заклинание есть соот-е... Хостуешь его на правило и смотришь в лог
шучу, если у тебя не стоит FWC то авторизации по юзверям протоколов отличных от http\https не будет. В справке написано достаточно чётко

Доброго времени суток г-да!
Перелапатил уже хрен знает скока всего, но так и не нашёл ответа((( помогите чем сможете плз.. вопрос такой:
На сервере стоит MS ISA Server 2004, две сетевушки (одна наружу, другая внутрь), на этом же серваке стоит Kerio MailServer. Правила в ИСЕ прописаны. Проблема в следующем - на моём компе стоит The Bat! в которой несколько ящиков, а именно 2 с моего родного почтовика, и пара внешних ящиков(мэйл, народ..). Получение\отправка почты с моего почтовика происходит нормально, а вот с внешними ящиками Бэтка работать отказывается напроч.. у пары ящиков жалуется "невозможно найти сервер", у пары "-ERR Unable to resolve server name".. А, да, ещё, внешние ящики проверяются на спам через прогу SpamPal. Она почему-то тоже никак не может вылезти в инет, посмотреть свои базы((((( Для своего компа открыл вообще весь трафик, а всё-равно не пашет..
Заранее спасибо добрые люди.

Добавлено:
Проблема снята, протокол RIP был закрыт..

[q][/q]
Помогите плиз разобраться:
Имеем:
1. Домен
2. ISA 2004EE на DC Win2003EE SP1
3. Группы: группа1, группа2, Группа3
4. Раб. станции ХР и 98
5. клиент ISA не установлен (мало ОЗУ на 98), все Web Proxy Secure Nat.

Проблема:
При входе в домен под пользователем из группы3 не возможно выйти в инет на Opera 8.54.

На ИЕ выпускает без проблем.
Пользователей из других групп выпускает как на Опере так и на ИЕ.

В чём может быть проблема.

патамушта в опере не работает НТМЛ авторизациё..

UJ79

Цитата:

Хочу чтобы бысто, надежно, удобно.

слышал такую байку у интеграторов: "Мы делаем все быстро, качественно и недорого. Выбирайте любые два пункта" ?))
все что ты перечислил это твои желания а не функционал.

timsson
в твоем случае речь идет об аутенфикации а не авторизации. проходят они аутенфикацию или нет смотри в логах, если есть имена значит проходят если анонимы то нет.

Enzain
как ты сам сказал opera тупа и не поддерживает integrated authentication, вернее поддерживает но вроде тока с 9ой версии.
эти твои группы как то различаются по условиям работы (разные операционки или разные браузеры)?
в логах что пишут?
ps сдается мне ты этот вопрос уже где то задавал нескока месяцев назад

Не подскажет кто инструкцию публикации OWA 2003 на ISA 2006 без использования SSL?

greenfox
получается кроме как не используя файрвол клиента нельзя сделать авторизацию так?

Добавлено:
hardhearted
имена показываютс тока когда ставлю клиент

timsson
если само приложение этого не может (как например IE) - то никак. Или анонимус в логах или по ip разграничения. А чем FWC не устраивает?

Добавлено:

Цитата:

имена показываютс тока когда ставлю клиент

ясен пень

timsson

Цитата:

имена показываютс тока когда ставлю клиент

я тебе уже неделю втираю с упорством идиота: secureNAT от природы не умеет аутенфикацию!!! так что нет клиента - нет аутенфикации

hardhearted
стоп стоп накинулись,,,а как же галка в исе в вкладке веб прокси в настройках внутренней сети скажем типа включть аутентификацию для всех?
она что бесполезна?и не может заменить клиента,,?
нет сам то клиент устраивает тока неустраивает что его надо лить на все тачки!просто начальстов считает это лишним софтом на тачки так как считает что иса и так мощный прокси и фаер нах ещё чем то засорять тачаны клиентские??!

timsson
сам то думаешь что пишешь?
ключевые слова
Цитата:

вкладке веб прокси

отсюда даже моя бабушка сделает вывод что это только для веб прокси.

ps открыл бы книгу или хелп вместо того чтобы заваливать форум азбучными вопросами, в любом букваре по исе все это на первых страницах написано

Karreraseg
Сравнима с публикацией любого вебсервера. В любой книге, если речь идет о просто публикации, если сложно руками на это есть мастер публикации почтового сервера.
Access type - Web Clien Access.


Добавлено:
hardhearted
Не надоело ?

Доброе время суток.

Проблема: Установлен Microsoft ISA Server 2006 работает нормально. Как правильно настроить учет интернет трафика, как ограничить трафик? Как настроить мониторинг бы можно было посматреть на какие сайты заходил определенный пользователь на определенную дату?

hardhearted
так именно в мануале это и написано

именно в этот путь!что там ставится аутентификация типа !

4utop
Для начало все таки стоило бы изучить шапку.

timsson
там типа ставиться аутентификация для web-proxy. Т.е. если скажем IE может проводить аутентификацию на проксе-сервере - то он сможет это сделать. Если скажем квип или миранда работают через проксик и могут сами проводить аутентификацию на нём - то прокатит. Но как видишь это имеет место быть только при работе с прокси-сервером и при условии что сама программа это умеет. для все остальных случаев - FWC "типа".

timsson
как тебе выше отписали это все только для прокси клиентов, почтовые клиенты через pop3, банкклиенты, и т.д. через прокси работать чаще всего не умеют (если тока банкклиент у тебя не через web интерфейс). еще есть вопрос в методе аутенфикации на прокси, далеко не вся левота (типа аськи, мейл агентов и другие поделок) умеет integrated метод.
вообщем читай книгу там описаны различия между разными видами клиентов и в каких случаях что пригодится

У меня в отчётах появились странные имена типа:
<имя домена>\Повалюхин

Как это можно исправить? и узнать, кто всё-таки лазил в инет?

Vian
любой кто работал с компом хотя бы чуть чуть знает что это юникод, значит имя юзера у тебя по русски. ты же отчеты браузером смотришь, так ставь кодировку в юникод

hardhearted
Ну так и что? это же не у всех пользователей, а у нескольких! И это не в просмотре отчёта кодировку менять надо, это где-то в другом месте, а где, хз, т.к. все программы для анализов логов (Traffic inspector for ISA, TQuote ) такую же фигню показывают, такое ощущение, что так забито имя пользователя в AD, но вроде такого быть не может... имя все номально в оснастке AD отображаются...

И кста, там нельзя выбрать кодировку, она жёстко прописана... щас глянул... стоит Юникод и не даёт дргую выбрать... странно так...

Vian
посмотри в логи напрямую без всяких левых анализаторов

hardhearted
greenfox
да уже сделал,,,доступ юзверей в нэт по группам,,,,кому нужен просто Http тому не ставлю клиента - а кому надо что то более к примеру радмина асю скайпа или ping наружу и т.д. тупо ставлю клиента и все!разделил всех по группам и вбиваю кому куда надо в зависимости от доступа.Только одно не понятно фактически ведь клиент влияет тока на доступ по направлениям проходящим именно через ису !почему он режет мне доступ к веб сайту кот находится внутри сети т.е. с клиентом не открывается!тока вырубил клиента и сайт работает !как такое может быть!если что в настрах эксплорера конечно же ставлю галку не использовать прокси для лок адресов и указываю нужную подсеть!

Народ, подскажите пожалуйста где копать.
Схема следующая: стоит ИСА 2004 на ней опубликован VPN Kerio на другой машине.
Создаю подключение, все начинает коннектиться, а потом выдает вот такую ошибку: "Ошибка (167): Невозможно организовать туннелирование данных (возможно, заблокирован трафик UDP)."
Правила на ISA писал по разному, но все одно: выдает вышеозначенную ошибку.
Напрямую, по локалке, коннектится без вопросов, а через ИСУ не хочет.

hardhearted
Посмотрел в базе, куда идут логи ISA... там тоже такие имена есть, они появляются, когда подключаешься к серваку через модем (к серваку подключен модем), но раньше такого не было... Раньше нормально всё отображалось... Это можно как-то исправить?

timsson
всеж очевидно и просто, в настройках прокси эта галка гласит что не юзать прокси для локальных адресов, локальными адресами эксплорер считает адреса вбитые неполным именем. надежнее конечно делать исключения, но это все лирика и тут не имеет значения, ибо на fwc никакие настройки твоего браузера и прокси не влияют вообще, что вполне логично и понятно даже ребенку - fwc отдельная программа с отдельными настройками и плевать он хотел на какой то там браузер с его галками
браузер у тебя идет на сайт согласно галке в обход прокси, а fwc хватает этот типа прямой трафик и кидает на ису.
исправляется элементарно, в настройке сети это есть и пропустить тяжело : вкладка domains на internal )
или впиши всю локалку в исключения на fwc (ищи на офсайте по слову locallat.txt)

Добавлено:
demondeimos
логи исы смотрел?

Коллеги, помогите, может кто сталкивался.

Третий день на ИСЕ гребём проблемы с аськой. Напрямую всё и у всех работает, эту ситуацию отметаем. До этого всё было в порядке и никаких изменений не делалось. Считаем, что аська открыта как permit any на порт 5190.

Сейчас клиенты подключаются через одного. У кого проходит, у кого - нет. Причём может на одном компьютере одна учётка аськи работать, а другая - нет. Аська 6, кстати, работает замечательно. Некоторым помогло поставить аутентификацию в самом клиенте (QIP), некоторым - обновление Firewall Client. Всем же - ничего. В общем - бардак полный. Помогите разобраться, уже всю голову сломали )

я делал так:

Название:ICQ Access Rule
Действие: Allow
Протоколы: ICQ, ICQ2000 (выбраны из предустановленных в ISA)
ИЗ: Internal
В: External
Для: ICQ Users (Группа, куда поместил пользователей, которым можно пользоваться аськой)

Всё работает