» Microsoft ISA Server 2006/2004/2000 (Часть III)

KocmonpaB
Да там куча правил, делал их, когда устанавливал ису при подключении к предыдущему провайдеру. Что именно интересует? В систем полиси разрешено локалхосту ходить наружу за днс, если ты это имел в виду.

Добавлено:
Только что глянул дома - тот же провайдер, то же подключение, но, разумеется без исы:

PPP adapter Provider:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 91.124.13.220
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 91.124.13.220
DNS Servers . . . . . . . . . . . : 195.5.46.12
195.5.46.10
NetBIOS over Tcpip. . . . . . . . : Disabled

странно...

Удалил ису, установил соединение, установил заново - теперь, PPP-адаптер получает шлюз. Интернет на клиентах работает (веб-прокси). Но ни на одном из клиентов не работает nslookup, я понятия не имею, как работает интернет, но как-то работает. Пока не отлогинишься. Зато новая проблема: нужно было открыть один порт наружу. Пока фаерволлклиента не ставил, работаем как SNAT. На клиенте прописал шлюз, в исе, в свойствах внутренней сети запретил FWC, создал протокол, правило доступа - не работает. В логе - резолвинг днс, потом - тишина. Ни denied, ни упоминания порта, по которому ломится прога - ничего. В логе ничего нет, программа пишет, что unable to connect.
Скоро сойду с ума.

Доброго дня всем!
Значится такая проблема у меня на isa 2006 EE создано правило разрешающее ftp, но когда набираеш любой открытый ftp в логах пришется failed Connection Attempt в чем может быть причина.
Ось Server 2003 тоже EE.

Добрый день !
Проблема такова. Стоит ISA, работала она себе спокойно а сегодня чтот перестала пускать (пинговать) внутреннюю сетку. Загружаю этот же сервак без ISA и пиннги проходят.
Есть варианты???

Стоит Server 2003, две сетевых платы, внутренняя и внешняя, на нем поднята маршрутизация штатными средствами, к этому серверу подключаются клиенты через модем. При подключении они получают Ip из диапазона внутренней сети. Поставил Isa 2006, клиент через модем подключаются, получают Ip но не чего не пингуют, и соответственно ни чего не видят (ftp, http и т.д). Как я понял isa отрубает штатную маршрутизацию, и даже запрещает к ней доступ (создает политику). В настройках isa я прописал два диапазона ip адресов: "внутренняя сеть",в нее входят ip внутренней сети ,но исключены ip которые получают клиенты модемов, и "dial" те саммые ip , которые они получают при подключении. В правилах
разрешил весь исходящий траффик, откуда: локальный компьютер, внутренняя сеть, dial куда: внутренняя сеть, локальный компьютер, dial. Что еще надо сделать чтоб dial клиенты могли получать доступ.

Bionoiz
А ISA какая ? 2000 , 2004 , 2006 ? Сеть с доменом или рабочая группа ?
У меня в одном из филиалов ISA 2004 в рабочей группе , там похожая проблема . Сразу после установки все работало как часы , после начались проблемы - при попытке зайти в сетевое окружение комп долго думает а потом выдает сообщение что сеть недоступна или у меня недостаточно прав. Разрешил протокол netbios и все заработало на некоторое время. Теперь сеть работает "в слепую" . То-есть : интернет раздается , почта работает , ICQ работает , сетевые принтеры печатают , 1с в терминале работает , а вот попасть на сетевые шары можно только написав \\Имя_компьтера\папка . Для меня разницы нет , а вот для рядовых юзеров это проблема. Решение проблемы так и не нашел .

SergeyMark
для этого полезно чтобы master computer browser был в сети, обычно это контроллеры(на выборах у них приоритет) и чтобы на других компах эта служба была погашена
еще wins полезная штука
ps а вообще юзера не должны лазать по сети и по сетевым шарам, сетевые шары в корпоративной сети это зло от которого надо избавляться, у меня никто из юзеров не может ничего расшаривать

hardhearted
Да про винс я забыл написать . На одном из компов Server 2003 настроен wins , этот комп включен постоянно. На рабочих станциях , в сетевых натройках wins указан. А шары создаю я , они необходимы для работы , такова специфика.

SergeyMark
Мапь шары как сетевые диски.
А насчет винс... этот твой 2003 сервер не multihomed, случайно? Есть статья у микрософта, где подтверждается нестабильная работа службы ComputerBrowser, если сервер винс установлен на компьютере с несколькими сетевыми интерфейсами.

вообще то wins не для браузинга создан, он всего лишь разрешает netbios имена

hardhearted
Если нетбиос имя не может быть разрешено, то браузинга как бы и не получится. Разве что NetBIOS over TCP/IP...
Это не я сам придумал. Если найду ссылку - кину.

Ссылки нашел... но есть ли смысл? Это ж справедливо только для multihomed серверов, вряд ли у спрашивающего такое имеет место быть. Да и гуглятся они за пару секунд.

Dead_Moroz
ну во первых без винса разрешение идет броадкастом
во вторых я имел ввиду что винса для браузинга недостаточно, винс тока разрешает имена, но он не составляет список компов сети и не показывает сетевое окружение.
в третьих это все уже зашло в офтоп

Dead_Moroz

Цитата:

А насчет винс... этот твой 2003 сервер не multihomed, случайно?

Нет , винс на машине с одним сетевым интерфейсом .

Цитата:

Есть статья у микрософта, где подтверждается нестабильная работа службы ComputerBrowser, если сервер винс установлен на компьютере с несколькими сетевыми интерфейсами.

Проблема эта мне известна .

Подскажите, как сделать так чтобы из DMZ www и ftp трафик не проксировался на ISA 2006.

mutmut
а как чтобы был? чтобы использовались свои DMZ -шные ip?

se111
Да, в DMZ ip реальные.

Есть ИСА2006Std на Win2003ENTR2, домен. Все работает. Захотел сделать блокировку расширений и тут появилась затыка. Настраиваю HTTP-политику на запрет расширений и слова banner в url. Проверяю - если в браузере прописан прокси(то бишь web-proxy клиенты), то все блокируется. Если убираем прокси(то есть идем через fwc) - нифига не блокируется. Шлюз на клиентах не прописан. К протоколу http прицеплен web proxy filter. Опытным путем выяснил, что вообще ничего из политики HTTP не применяется к фаервол-клиентам. Правила, ограничения по content-type работают правильно для всех клиентов. Была мысль, что так и должно быть, но нет - во всех руководствах написано, что политики HTTP применяются ко ВСЕМ клиентам. Помогите разобраться. Может, ктонить проверит у себя, работает ли?

PS Смотрел логи, в случае с веб-прокси клиента иса дает denied по моему правилу для http, а в случае fwc allowed по default rule. Больше отличий в логах никаких. Авторизация работает в обоих случаях.

mutmut
надо между сетями установить отношение не NAT а route это делается(точно не помню название т.к. сейчас под рукой нету установленной исы) network rules.

se111
В том то и прикол что там стоит route, а не NAT. А она всё равно, весь www и ftp трафик проксирует. POP3, SMTP, ICQ и т.д не проксирует.

mutmut
во всем виноват web filter, сам столкнулся с подобным, до 2004 sp2 все было излечимо (банальная настройка исключений для прокси и fwc если они юзались, и правило для transparent http), но после этот жесткий фильтр стал хватать все независимо от настроек и как его обойти я пока еще не нашел (ну кроме кардинального метода, вырубить его в фильтрах вообще)

mutmut
думаю всё не так.
на станциях в DMZ только 1 сетевой интерфейс? шлюзом иса сервер указан?

Весь мозг себе скушал, пока думал что и как, а стоило немного подумать и уваля
hardhearted
Совершенно верно. Я создал новый протокол на 80 порт без web filter. И всё зарулило. Если надо юзаем штатный протокол.
se111
Проблема решена.
all
Спасибо за помощь.

mutmut

Цитата:

Я создал новый протокол на 80 порт без web filter. И всё зарулило

странно, у меня в похожей ситуевине это не помогло, помогало тока до sp2 на 2004

Добавлено:

Цитата:

у меня в похожей ситуевине это не помогло

нашел вроде решение
у меня было правило разрешающее все кроме обычного HTTP, раньше это лечило,
теперь после этого правила пришлось поставить явный deny на HTTP.

Народ вопрос....:
Стоит иса2006 все настроено работает,,,трафик ограничивается через bandwidth splitter? все режется все устривает,,,тока вот позавчера начальство пришло и сказало чтобы у определенных челов не учитывался траффик по определенным протоколоам,и при окончании трафа само собой продолжал работать ну скажем к примеру таже ася,,,,,сплиттер облазил нониче такого не нашел,,можент в исе какая то есть хитрость, или чещё что нить можна замутить?
Заранее благодарю!

timsson
не учитывать в исе, то есть не писать в логи, это легко, просто создаешь нужное правло для нужных челов с нужными протоколами и снимаешь в этом правиле галку про логировании. повлияет это на сплиттер я не знаю, левый софт не юзал на исе.
знаю что в сплиттере есть возможность не квотировать определенный трафик вообще. но по протоколам в сплиттере правила создавать нельзя

hardhearted
в том то и дело что сплиттер отрубает все сессии зараза по истечени трафа(((

timsson
Создай новые протоколы аналогичные уже имеющимся и в свойствах протокола убери из фильтров Bandwitch Splitter
Ну и пользуй потом их в правилах, где не нужен учет трафика.

Alex_H_aka_RAT
не совсем понял тебя,,,,можешь чуток поподробнее?!если тебе не сложно...

Добавлено:
у меня щас проста нигде a протоколах не стоит галка фильтра сплитера!

timsson
По умолчанию после установки BS он добавляет свои фильтры для HTTP, HTTPS, FTP протоколов, иначе он просто не сможет обрабатывать их трафик. Посмотри внимательно, он там должен быть (Bandwith Splitter Application Filter).
Так вот, например для ICQ, создай фильтр HTTPS_no_BS, порт укажи 443, в свойствах не включай фильтр для BS, и создай новое правило разрешающее коннект на сервера ICQ с применением данного протокола для нужных пользователей. Вот вроде и все, должно работать.

Добрый день, проблема вот в чём,
ISA находится за железным роутером, на нём проброшен 21 порт на ИСУ
на неё запрос приходит, но правило публикации не работает, так как ISA считает запрос outbound, а не inbound
Не могу понять в чём дело, и как правильно создать публикациб тогда???
Помогите разобраться, от себя могу сказать что сталкивался при такой конфигурации с такой же прблемой на ISA 2006 при публикации SMTP
Спасибо!