» Microsoft ISA Server 2006/2004/2000 (Часть III)

SHRIKE74

Цитата:

вот аутглюком из пакета офиса хрен вообще что куда коннектися

Сейчас доступа к консоли ISA нету, но примерно так: в настройках ISA есть что-то типа фильтра, там надо Outlook сменить на true.
Позже гляну в ISA и скажу точно.

Здрасте всем! Подскажите как в исе заблокировать icq? а то я никак не могу разобраться!

Цитата:

SHRIKE74

Если FW-клиент на машинах с Outlook-ом установлен, то попробуйте сделать следующее:
зайдите в консоли ISA в общие настройки , потом параметры клиента межсетевого экрана- параметры приложения, надите строчку с "Outlook - Disable-1", поставте вместо "1" - "0". На клиентской машине перегрузите сервис FW-клиента.

Логов ISA от вас мы так и не дождались.... Вот и происходит гадание...

kkool
закрой порт 5190


Добавлено:
Porolonchik
с нетерпением жду от тебя информации

Цитата:

kkool

Кроме порта 5190, на который указал SHRIKE74, для против хитропопых пользователе придется также закрыть достум к серверам который предоставляют услуги ICQ - их довольно много и для доступа эти сервера предоставляют доступ не только по 5190 , но и по 80 и 443 портам. Есть еще в инете бесплотные сервисы на который есть веб-Icq -клиент. То есть простая HTML-страничка. В общем случае это задача довольно не простая...

AvvNtl
можно вэб фильтры применять докучи

SHRIKE74
через ssl фильтры применять получится только если серитфикат поставить.
наличие ЦС в общем говоря достаточно редкий случай....

kkool
я лично закрыл полностью доступ до подсетей офф серверов. + поставил disable 1 на всех клиентов (qip.exe, icqlite.exe и т.д)
способ не сильно надежный, но уже как 2 месяца прецедентов не было.

если надо будет список подсетей офф серверов - напиши я выложу

weerkostya
Тут как раз и нужно пару месяцев, а потом и пытться никто небудет.

Добавлено:
weerkostya
Выложи список я поколдую.

kkool
login.icq.com
login.oscar.aol.com
ibucp-vip-d.blue.aol.com
ibucp-vip-m.blue.aol.com
bucp2-vip-m.blue.aol.com
bucp-m08.blue.aol.com

Вот небольшая часть...

Добавлено:
kkool, а вообще - кинь клич по серверам в родственных темах (QIP, ICQ, и т.д.), тебе сами пользователи всё расскажут

пасибо!

kkool
подсети офф серверов icq


Код:
<?xml version="1.0" encoding="UTF-8"?>
<fpc4:Root xmlns:fpc4="http://schemas.microsoft.com/isa/config-4" xmlns:dt="urn:schemas-microsoft-com:datatypes" StorageName="FPC" StorageType="0">
    <fpc4:Build dt:dt="string">5.0.5720.100</fpc4:Build>
    <fpc4:Comment dt:dt="string"/>
    <fpc4:Edition dt:dt="int">16</fpc4:Edition>
    <fpc4:ExportItemClassCLSID dt:dt="string">{2C24F981-2926-44DC-AF81-8F8E04A37D56}</fpc4:ExportItemClassCLSID>
    <fpc4:ExportItemScope dt:dt="int">0</fpc4:ExportItemScope>
    <fpc4:ExportItemStorageName dt:dt="string">Subnets</fpc4:ExportItemStorageName>
    <fpc4:IsaXmlVersion dt:dt="string">5.30</fpc4:IsaXmlVersion>
    <fpc4:OptionalData dt:dt="int">12</fpc4:OptionalData>
    <fpc4:Upgrade dt:dt="boolean">0</fpc4:Upgrade>
    <fpc4:Arrays StorageName="Arrays" StorageType="0">
        <fpc4:Array StorageName="{6B0884DC-3717-4FB2-891E-2DCC138FFE66}" StorageType="0">
            <fpc4:Components dt:dt="int">-1</fpc4:Components>
            <fpc4:DNSName dt:dt="string"/>
            <fpc4:Name dt:dt="string"/>
            <fpc4:RuleElements StorageName="RuleElements" StorageType="0">
                <fpc4:Subnets StorageName="Subnets" StorageType="1">
                    <fpc4:Subnet StorageName="{9B551356-32F8-4F41-AE23-B184156B8F1B}" StorageType="1">
                        <fpc4:IPAddress dt:dt="string">205.188.0.0</fpc4:IPAddress>
                        <fpc4:IPMask dt:dt="string">255.255.0.0</fpc4:IPMask>
                        <fpc4:Name dt:dt="string">ICQ servers 1</fpc4:Name>
                    </fpc4:Subnet>
                    <fpc4:Subnet StorageName="{7D54731E-5B3A-45EA-9B94-9E5D99C8C0F1}" StorageType="1">
                        <fpc4:IPAddress dt:dt="string">64.12.0.0</fpc4:IPAddress>
                        <fpc4:IPMask dt:dt="string">255.255.0.0</fpc4:IPMask>
                        <fpc4:Name dt:dt="string">ICQ servers 2</fpc4:Name>
                    </fpc4:Subnet>
                    <fpc4:Subnet StorageName="{C6FF90F0-9152-47CE-B6A2-58295C4CE1CB}" StorageType="1">
                        <fpc4:IPAddress dt:dt="string">152.163.0.0</fpc4:IPAddress>
                        <fpc4:IPMask dt:dt="string">255.255.0.0</fpc4:IPMask>
                        <fpc4:Name dt:dt="string">ICQ servers 3</fpc4:Name>
                    </fpc4:Subnet>
                    <fpc4:Subnet StorageName="{92DB39CD-1AB8-4D54-9CD0-B383B86A22E9}" StorageType="1">
                        <fpc4:IPAddress dt:dt="string">61.12.0.0</fpc4:IPAddress>
                        <fpc4:IPMask dt:dt="string">255.255.0.0</fpc4:IPMask>
                        <fpc4:Name dt:dt="string">ICQ servers 4</fpc4:Name>
                    </fpc4:Subnet>
                </fpc4:Subnets>
            </fpc4:RuleElements>
        </fpc4:Array>
    </fpc4:Arrays>
</fpc4:Root>

Достаточно крутые отчеты ISA не включают в себя трафик
в веб-узлы
по 110 порту
и по RDP
в чем может быть проблема?
в общем трафике, вместе с локальным отображается вроде корректно, правда отклонения от данных провайдера в меньшую сторону на 200 метров на протокол!?
Клиенты работают через NAT
ISA Server 2006 Rus Trial
скриншоты на правила
http://pride-com.narod.ru/temp/isa/1.jpg
http://pride-com.narod.ru/temp/isa/2.jpg

Здравствуйте All
Имеем ISA2006 ST, входит в домен (не DC). Создан новый домен и ISA должна в него переехать. Как правильнее осуществить переезд?
1. Снести все политики, вывести из старого домена, ввести в новый и воссоздать политики.
2. снести все и по новой - сервер, ISA? и т.д.
Или есть еще какое-либо решение?

Помогите плиз разобраться:
Имеем:
1. Домен
2. ISA 2004EE на DC Win2003EE SP1
3. Группы: группа1, группа2, Группа3
4. Раб. станции ХР и 98
5. клиент ISA не установлен (мало ОЗУ на 98), все Web Proxy Secure Nat.

Проблема:
При входе в домен под пользователем из группы3 не возможно выйти в инет на Opera 8.54.

На ИЕ выпускает без проблем.
Пользователей из других групп выпускает как на Опере так и на ИЕ.

В чём может быть проблема.

Поставил недавно ISA 2006 standart RUS на WinServer 2003 sp1
Утром прихожу на работу и вижу в оповещениях, что в 2 часа ночи служба межсетевого экрана была остановлена. И так каждый день, причём именно в 2 ночи. Что весьма странно, т.к. в планировщик я ничего не загонял.
В журнале приложениий нашёл:

Тип события:    Ошибка
Источник события:    Microsoft Firewall
Категория события:    (1)
Код события:    5
Дата:        20.03.2007
Время:        2:00:01
Пользователь:        Н/Д
Компьютер:    SERVER2
Описание:
Не найдено описание для события с кодом ( 5 ) в источнике ( Microsoft Firewall ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: Межсетевой экран Microsoft; ISALOG_20070320_FWS_000.w3c; C:\Program Files\Microsoft ISA Server\ISALogs.
Данные:
0000: 05 40 07 80 .@.&#128;

Что ещё хуже, сегодня поутру ету службу не удалось запустить. В результате неудачной попытки запуска в журнал приложений попадает две ошибки от Microsoft Firewall с Event ID 11004 и 14001

Кто-нибудь знает в чём дело?

UnstableOne
а почему бы тебе энтерпрайз не постаить, у меня работает прерасно, не было ещё ни одного сбоя

SHRIKE74 разница в цене между ent и std вполне заметна.
да и не выход это - рекомендовать поменять версию...

UnstableOne у тебя какой часовой пояс? иса регулярно может только одно действие выполнять - записывать логи. и вермя у тебя в 2-00 равняется 0-00 по гринфичу - все понятно.
1) место на диске
2) квоты
3) права на папку ISALog
это как минимум надо посмотреть.

Andrey1901 ие автоматически получает конфигурацию (через wpad или еще каким оборазом). опера - нет.
отсуюда вывод - проблема в прокси.

Antdik проще всего будет забекапить настройки исы, а затем развернуть их на новом месте.
а потом только группы пользователей/пользователей переправить

weerkostya

Цитата:

ие автоматически получает конфигурацию (через wpad или еще каким оборазом). опера - нет.
отсуюда вывод - проблема в прокси

Я не могу понять почему:

Цитата:

Пользователей из других групп выпускает как на Опере так и на ИЕ.

Хотя различий между ими нет? (по крайней мере это различие я никак не могу найти, даже направление поиска незнаю, правила в ИСЕ менял ничего не даёт)

Поставил я файервал клиента на 98, так он при тесте сервера всё ок, но если попытаться Оперой выйти под любым пользователем (из любой группы) то выдаёт ошибка сети, щёлкаешь тест всё ок, оперой обновить страницу, опять ошибка сети???

weerkostya

Места на диске хватает, права тоже есть (200мб логов ИСА как-то ведь записала), квот никаких не выставлял. Может есть ещё идеи?
Кстати, у меня во время первоначальной установки исталятор ИСЫ завис на этапе установки дополнительных компонентов. Пришлось потом переустанавливать без MSDE. Может это с этим быть связано?

Такая ситуевина. Сервер , по бедности, один. Win2003, ISA 2006. Все висит на нем. Две сетевухи, одна - 10.31... смотрит внутрь, вторая - 217.150... в инет через симметричную тарелку. Админом назначили недавно, посему опыта маловато. Ставил все сам. Проблема с All Users. Прописал юзеров, прописал траффик через TQ, АД подключенная, но при создании правила в Firewall Policy для доступа в инет конкретным пользователям, если не всунуть туда All Users, пропадает связь через Skype. Какие порты, кроме 80 и 443 можно открыть для него, чтобы не подставиться? И как быть с All Users?

nygmat
создай группы пользователей в исе, там это просто делается, и добавляй группы в правила

pridecom
у исы крутые отчеты? ты первый человек который не назвал исашные отчеты убожеством )
Antdik
забекапить настройки, проследить чтобы исой могли управлять кто то не из старого домена (например локальный админ), лучше еще вычистить содержимое исашных групп от юзеров старого домена, а потом просто перевести в новый домен. по идее все должно сработать, если будут проблемы со входом в домен то службу исы поставить в дизабле, ввести в домен и потом обратно выставить ее в автоматик. в любом случае надо сначала бекапить, это всегда полезно.
Andrey1901
есть какая нить свзяь между группами, ос, браузером и наличием fwc?
кстати опера до 9ки тупая и не умеет integrated authentication
SHRIKE74
это не решение проблемы, ты за ентерпрайс готов платить если он тебе не нужен ?
nygmat
скайп через прокси не пашет, для его аутенфикации ставь fwc на клиентов

А где там группы создаются? Или их в АД создавать? FWC, кстати, поставлен. И через что пропускать Скайп, читал, что он работает начиная с 1024 и до бесконечности...

nygmat
в инструментарии пользователи создать
создаешь группу добавляешь пользователей из AD, выбирай опцию пользователи группы виндовс

nygmat
у скайпа ставишь юзать хттп, и ставишь fwc для аутенфикации

UnstableOne
есть подозрение что у тебя файловая система - fat или fat32
так?

hardhearted
Andrey1901

Цитата:

кстати опера до 9ки тупая и не умеет integrated authentication

да да. какая аунтификация стоит на веб-прокси? и не стоит ли случаям галочка "требовать аунтификацию для всех пользователей"?

Всем привет!

Подскажите, как заставить ISA не подменять IP при перенаправлении запроса к веб-серверу? Дело в том, что на той же машине крутится Apache и в его логи упорно пишется адрес этого компьютера (внешний адрес).

upd: Пардон, нагуглил решение сам. Надо было вместо "Web Publishing Wizard" использовать "Server Publishing Wizard".

Все хорошо и прекрасно, только в FWC нужно было снять автоопределение и вNetworks убрать галку с Autodiscovery. Но теперь с сервера Скайп не запускается.А FWC на сервак не поставишь.

ПОмогите настроить ISA что бы работала с программой Deposit. Добавил строку Deposit Disable=1 стала опозноваться и FC не дисконектит теперь, но с почтовым сервером не удается добиться коннекта. Хотя с этого же компа телнетом легко соединюсь с нужным мне почтовым серевром как по 110 так и по 25 порут

hardhearted

Цитата:

есть какая нить свзяь между группами, ос, браузером и наличием fwc?

Для Опера 8.54 одну из групп не выпускает в инет из под ХР и 98 (на ИЕ выпускает)
Групповые политики для невыпускаемой группы более строгие, однако они действуют только на клиентов ХР, следовательно 98 выходилиб в сеть!!!
weerkostya

Цитата:

да да. какая аунтификация стоит на веб-прокси?

Integrate
Basic

Цитата:

и не стоит ли случаям галочка "требовать аунтификацию для всех пользователей"?

Стоит