» Microsoft ISA Server 2006/2004/2000 (Часть III)

Ребята я уже плачу...
сегодня с 10 часов долбусь... нехрена не выходит...
захотелосб мне понимаешь перейти с юзергейта на ИСА...
снес все бекапы Юзера.. думал все пойдет по маслу...
нечерта не выходит....
ИСа поставилась... только не могу дать ей толку, уж много всего непонятного...

Очень молю Вас о помощи..... Кто может по асе помочь настроить ИСУ 2006 ? если Вы с украины можно по телефону если у вас Лайф...
помогите очень прошу !!!
не дело в том как по асе.. я когда ставлю ИСУ она все отрубает...
кто что подскажет ?

IeugeniyI
какой ты простой, люди за это на своих работах деньги получают, а ты хочешь чтобы за тебя все сделали а ты тока зп получал

ps у исы как и у большинства мелкомягкий продуктов весьма простой и интуитивно понятный интерфейс и весьма внятный хелп, я когда ее первый раз поставил то без книг и форумов настроил не парясь.

hardhearted нусс...... начнем с того что все го лишь попросил о помощи...
Зная себя, я бы помог безукоризненно....

Просто нужна твердая руководящая рука... сам то может разобрался бы, но время нету столько читать... тут все минуты решают...
Ребят помогите, а ???
простобольше некого нету...

Может кто так подробно расскажет...
я поставил ИСУ 2006... после установки она все рубанула по доступу... только на сайт Микрософта пускает с сервера( на клиентах вообще глухо)...
особо нечего не требуется... хотябы для начала разрешить доступ клиентам скажем в диапазоне 10.10.10.0 10.10.10.255 без ограничений... а дальше я сам уже как то буду читать.... а то все стоит... все бегают и прашуют где интернет....

???
Мож кратко о апаратно часте... - у меня АДСЛ модем подкл. к серверу через USB а Эзернет от сервера втыканул в роутер... ну а там пошло поехало..
ну как бы все

IeugeniyI
Для начала. Так НИКТО не делает, если ты админ !

НИКОГДА на боевых серверах ничего НЕ меняют ДО ТОГО как не изучат продукт на "кошках"
Изучить ISA не скажу что уж очень просто (сам с ним возякался где-то месяца 2 !!)

Мой тебе совет !

Верни всё на UserGate, настрой всё как было раньше, чтобы контора работала без проблем !

Далее на любой машинке ставь ISA ... Изучай ... Спрашивай ... Читай
В Инете море доков по ISA и на русском...

А начать с чего -> Аккуратно и внимательно поставить продукт без паники !!!
Успехов

опасны ли данные сообщаги в мониторинге исы?!в прнципе перевел и логически не вижу особой опасности,,,,но так для прафилактики решил ещё здесь спросить,,,как бы чтобы быть увереным на все 100!

1.Alert Information
Description: The number of TCP connections per minute from the source IP address 192.168.2.79 exceeded the configured limit. ISA Server will not allow the creation of new TCP connections from this source IP address during a system-defined time period. By default, this time period is 1 min.

This event indicates that this IP address probably belongs to a host that is infected by a worm and attempts to propagate the worm to other vulnerable hosts.

See the product documentation for more information about ISA Server flood resiliency.

2. Description: ISA Server disconnected a non-TCP connection from 192.168.2.123 because the connection limit for this IP address was exceeded. Larger custom connection limits should be configured for the IP addresses of chained proxy servers and back-to-back ISA Server computers with a NAT relationship.

3.Description: The number of denied connections from the source IP address 192.168.2.79 exceeded the configured limit. This may indicate that the host is infected or is attempting an attack on the ISA Server computer.

timsson
ну это просто сообщения что какие то компы превысили некие установленные в исе лимиты (flood mitigation в разделе general)
либо у этих компов действительно оправдана высокая активность исходя из выполняемых задач, либо они флудят (юзер намерено или вирус). если для них это нормально можешь задать исключения, чтобы их не блочили.

и это Description: The routing table for the network adapter lan includes IP address ranges that are not defined in the array-level network Internal, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
The following IP address ranges will be dropped as spoofed:
External:192.168.0.50-192.168.0.50;

ISA Server detected routes through the network adapter dmz that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.0.50-192.168.0.50;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

Дык ребята....
Дело в том что я учусь тока...
Нехочу я этот юзер гетй... незнаю почему ну он вечно отрубался...
Хоть скажите как на исе дать всем доступ у интернету, а потом я как то уже сам

IeugeniyI
создай правило allow all outbound from internal to external for all users
неужел исложно тыкнуть мышью и сделать то что визард говорить, уж простые правила настроить в исе не сложнее чем игрушку поставить на комп, все визарды делают и все пишут что и куда списать

Добавлено:
timsson
если это один раз то забей

hardhearted можете дать свою асю ?

IeugeniyI
вот мне делать нефиг как аськи свои разбазаривать
уже по глупости дал двоим таким, потом засыпали тупыми вопросами по теме и без (пополнили игнор лист)
я что похож на бесплатного тренера или консультанта?
если не можешь настроить такую элементарщину то пиши заявление (а нашем ТК это ст 77 часть 3)

блин... да шо Вам сложно человеку помочь ???
Создайте какуе то левую аську......
Что за люди.... жил бы в Москве, встретился с Вам и заплатил бы Вам, если все такежадные, раз уж на то пошло !!!

IeugeniyI
вот пристал, за эти два дня что ты здесь ноешь любой нормальный админ уже бы давно настроил, а работающим людям бывает некогда учить кого то

hardhearted все, с вам тема закрыта... какого вы вобще тут делаете... тут люди друг другу помагают...

IeugeniyI
форум создан чтобы решать какие то конкретные проблемы, а не делать работу за тех кто ноет "помогите, знать ничего не знаю и учиться не хочу, хочу чтоб мне все сделали другие"
и где мне и что делать я сам решаю

Добавлено:

Цитата:

тут люди друг другу помагают...

вот именно что "тут помогают", а не требуют чтобы им позвонили и лично по телефону помогали.

IeugeniyI
hardhearted
кончаем флуд
товарищу уже сказали какое правило надо создать - ТАК ДЕЛАЙ

hardhearted
А где можно посмотреть код результата для ISA (например, 0x80074t20 FWX_E_GRASEFUL_SHUTDOWN)??

Newsalli
для некоторых это может оказаться очень сильным откровением, но все таки скажу:
существуют офсайты на которых часто можно найти кучу полезной информации, особенно референсной
например
http://www.microsoft.com/technet/isa/2006/Logging_Reference.mspx

ребят.. поставил... отключил наблюдение... теперь хоть сам могу в нет выйти...
но клиенты не видать меня... даже не пингуется...
создал правило разрешил все...
что мож не то а ?

IeugeniyI
кто не пинугется? клиенты внешние или внутренние?

IeugeniyI
В ISA есть замечательный монитор:
Server - Monitoring - Logging
Вот там и смотришь какое правило тебя не пускает

сажусь на тачку клиента сервер мертв... а сервера могу зайти на таво клиента

Добавлено:
Logging это отчет...
у меня там пустота

Ребят есть небольшая проблема.
Имеем
1. Комп ИСА интерпрайз 2006
2. Комп в той же сети с клиентом
3. внутренняя подсеть 192,168,х,х
4. Адреса ВПН 10,10,х,х

теперь трабла.

Подключаюсь по ВПН получаю адрес с 10.
Клиент висит на 192,,,
В есплорере есно прописаны проксики ИМЯ_СЕРВЕРА
при этом пинг во вне проходит, в таблице маршрутизации 0,0,0,0 через 10,хххх на ура
При наборе в експлорере чакеты идут через 192 и ессно рубятся т.к. доступ в инет тока впн клиентам. Так показывает наблюдение

Отключаем иса клиента... Интернет пошел.... все работает на ура
Включаем ИСА клиента.. Все работает на ура
Перезепускаем эксплорер - ничего не работает


В чем трабла????

"""Отключаем иса клиента... Интернет пошел.... все работает на ура
Включаем ИСА клиента.. Все работает на ура
Перезепускаем эксплорер - ничего не работает


В чем трабла????"""

а я тока шо с этим разабралс ...
вам нужно откл... ил создать новое правило Сервер - Наблюдение - службы

Добавлено:
hardhearted мир, дружба, жвачки...
помогите мне

IeugeniyI
а зачем тебе сервак пинговать? ты разрешил весь трафик изнутри наружу, но не на сам сервак. сама иса это не internal и не external.
logging это не отчет, это место где можно в реалтайм смотреть логи

Цитата:

вам нужно откл... ил создать новое правило Сервер - Наблюдение - службы

тут правила не создаются, здесь ты просто можешь видеть состояние служб, и вообще в разделе monitoring никаких правил нет.
Walkman78
а зачем тебе fwc если у тебя впн клиенты?

hardhearted стоп..

дело в том что я немоку от клиента выйти в нет...
пробую пропинговать... ответа нету..
пробую зайти телнетом ответа нету....

в чем дело... кде в исе разрешить что бы можно было в нет ходить клиентам



Добавлено:
Вобщеим ИСА мне рубанула все чт оможно было рубануть...
как это выкл ?

IeugeniyI

Цитата:

Вобщеим ИСА мне рубанула все чт оможно было рубануть...

Так правилом хорошего тона являеться все закрыть, а потом открывать только то, что необходимо, но никака не наооборот.


Цитата:

в чем дело... кде в исе разрешить что бы можно было в нет ходить клиентам

Правило необходимо создать в Firewall Policy

А не легче ли сначала почитать хоть какаю книгу по ИСА чтоб иметь хоть элементарные понятия как он работает?

да нужно почитать...
но блин тут просто горячка уже...


Добавлено:
а какой порт по умолчанию нужно прописать в бровзере клиента для выхода в нет..
у меня 3128

IeugeniyI
в исе как и в любом современном файрволе есть так называемое правило по умолчанию, которое все закрывает, оно всегда последнее. если ты перед ним создал правило которое все разрешает значит должно все разрешаться
иса должна быть у клиентов как шлюз по умолчанию
и еще в network rules создай правило NAT между internal и external, ибо между сетями надо задать тип отношений

Добавлено:
IeugeniyI

Цитата:

а какой порт по умолчанию нужно прописать в бровзере клиента для выхода в нет..
у меня 3128

какой настроишь в свойствах internal
по умолчанию 8080
а вообще если ты открыл все как securenat то твои клиенты и без прокси могут ходить

а где меняит порт немогу найти

Добавлено:
во ура....
а где менять адрес прокси