» Microsoft ISA Server 2006/2004/2000 (Часть III)

Всё проверил ... учётки не заблокированы. Сделал Reset Account для учётных записей компьютеров, сбросил пароли на пользователях, проверил сроки жизни Account-ов, всё в норме.

Что-то происходит с Аутентификацией клиентов.

Ещё меня смущает, что в панели наблюдения пишет "Службы каталогов AD Не задан"
Прописал в настройках серверы LDAP, не помогло, хотя раньше и без этих настроек работало.

Народ подскажите, есть isa 2004.
при попытке зайти на сайт https://yyy.xxx.ru:1777/ вывалиается ошибка

Network Access Message: The page cannot be displayed

Technical Information (for Support personnel)
Error Code: 502 Proxy Error. The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)
IP Address: 192.168.200.251
Date: 29.10.2007 8:36:39 <L

Такое происходит на всех машинах в сети, порт 1777 создан и разрешен
Файрвол клиент на машине стоит
Что я не могу понять вчем проблемы, подскажите

Dima_RU
Поступаем по-тупому. Допустим даже, что в школе вместо изучения английского, курили букварь, или учили не английский, а суахили. Даже в этом случае - идем на какой-нибудь сайт с онлайн-переводчиком. Ну, пусть www.google.com/translate
Ctrl-C, Ctrl-V - получаем:

Цитата:

Код ошибки: 502 Прокси ошибка. Указанный Secure Sockets Layer (SSL) порту, не допускается. ISA Server не настроен на SSL позволяют запросы к этому порту.

Dead_Moroz
это понятно, у меня https://yyy.xxx.ru открывается без проблем, но нужно чтобы на 1777 порт открывался. как я понимаю ssl в исе приучен на 443 а мне нужну чтобы еще и на 1777 порт тоже работал

Dima_RU

Цитата:

ssl в исе приучен на 443

Ну он как бы не только в исе приучен на 443 порт. Это какой-никакой, но стандарт.
Сделай себе новый listener и укажи ему слушать 1777 порт.

Dead_Moroz

Цитата:

Сделай себе новый listener и укажи ему слушать 1777 порт.

а можно попдробнее как создать новый listener

Dima_RU

Цитата:

а можно попдробнее как создать новый listener

Firewall Policy - Network Objects - Web Listeners

нашел статью http://www.isaserver.org/articles/2004tunnelportrange.html
потр 1777 добавил
теперь ошибка вот эта ошибка не появляется
Network Access Message: The page cannot be displayed
Technical Information (for Support personnel)
Error Code: 502 Proxy Error. The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)
IP Address: 192.168.200.251
Date: 29.10.2007 8:36:39 <L

но при вводе адреса
https://dbo.voz.ru:1777/

IE пишет что
Не удается найти сервер или ошибка DNS
Internet Explorer

Звонил в банк они говорят что сайт работет
Может у кого есть какие советы

Dima_RU
попробуй
telnet 195.250.56.145 1777

se111
хм....
после telnet 195.250.56.145 1777
черный экран и курсор моргает но не каких приглошейний на ввод команд нету

Dima_RU
http://support.microsoft.com/kb/283284/en-us

вот твоя проблема. не нужен тебе походу никакой "вэб листенер" там скриптик - изучи его и выполни.

Добавлено:
а то что ты получил из телнета говорит о том что соединение на уровне TCP выполнено.
теперь добиться надо SSL

почитал http://support.microsoft.com/kb/283284/en-us

выполнил скрипт

Dim root
Dim tpRanges
Dim newRange
Set root = CreateObject("FPC.Root")
Set tpRanges = root.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
set newRange = tpRanges.AddRange("SSL 1777", 1777, 1777)
tpRanges.Save

выполнился без проблем но ситуация не изменилась(((

Dima_RU
рестартанул?
пробовал отключить после скрипта web listener?

Dima_RU

Цитата:

Звонил в банк они говорят что сайт работет

Погоди. Так ты публикуешь свой сайт или пытаешься законнектиться к какому-то другому сайту, за исой?
Если второе - то никакие листенеры тебе не нужны.

Уважаемые админы!
Подскажите плиззз! У меня стоит ISA 2006.

1. Где и как сделать так чтобы заходя удаленно на шлюз Я автоматом попадал на другой ккомп той же сети??

2. Ткните пальцем где именно открываются порты (диапозоны)?

так вроде все работает)

P.S.
Первый опыт общения с исой.

Всем спасибо, заработало!!!
Я поначалу когда порт добавил то пробывал зайти в банк клиент со своего компа, а на нем не стояла какая софтинка, попробывал с компа финдира все заработалло. Потом перетер с техподдержкой банка так они просто были не сказанно рады когда узнали как можно настроить через ису)))) сказали что у многих такая проблема была.
Еще раз все спасибо)))

vetrygalive
create server publishing rule

Цитата:

Потом перетер с техподдержкой банка так они просто были не сказанно рады когда узнали как можно настроить через ису))))

типичная картина для современного рынка ит кадров куча админов и мало кто хоть что то соображает

Интересно, служба безопасности в том банке настолько же продвинута, как и техподдержка?

да не глупые они. просто как нарвешься - в банках просто частая смена кадров и ИТ департамент обычно не маленький.

...плюс - скорее всего, редко кто из тамошних админов имеет опыт с решениями от Microsoft. По крайней мере, у меня в городе так. Нет, они знают, конечно, что такое домен, AD, LDAP - но в массе своей, они больше разбираются в bind, iptables, samba и т.п.

Dead_Moroz
да они там просто ленивые, и знать не хотят как решать проблемы клиентов, я разработчикам банкклиента (не тем что в банке сидят, а тем что этот клиент банку продали) обьяснял как их БК запустить для разных банков на одном пк одновременно

Привет, люди. Помогите разабраться. Есть у APC такая программа как "PowerChute network shutdown". Она устанавливается на комп (это сам ISA 2006 сервер) и с ИБП она общается по сети по TCP 3052. При этом ИБП еще и делает широковещательную рассылку (например 192.168.134.255) по UDP 3052. Вот эту рассылку моя иса и режет выдавая 0xc004000d FWX_E_POLICY_RULES_DENIED.
То есть виновато какое-то системное правило. Добавление своего разрешаещего правила не помогает. Вот и сижу думаю второй день где же это разрешить-то. Может поможет кто?

Вопрос возник.
Иса 2006, екстернал-интернал. NAT+firewall соот-но. Иса в домене, всё вроде работает. Тут подняли VPN сервер на ней же что бы иса могла принимать соеденения клиентов.
Возникл трабл с обработкой ГП. Начал мониторить, прикинулась интересная фича: как только иса пытаеться лезть за каким-н шаблоном ГП на DC по имени \\<имя_домена>\sysvol\<ит.д.> и соот-но по протоколу NetBIOS session (139 outbound) вместо внутреннего ip исы (который входит в интернаял) она почему то испольщует ip RRAS сервера и соот-но в лог вписывается запрещающеее правило по этому коннекту (при чём с пустым полем "правило):
Тип журнала: Служба межсетевого экрана
Состояние:
Правило:
Источник: Локальный компьютер (ip_RRAS:29829)
Назначение: Внутренняя (IP_DC:139)
Протокол: Сеанс NetBios
Пользователь:
Дополнительные сведения
Передано байтов: 0 Получено байтов: 0
Время обработки: 0ms Исходный IP-адрес клиента: ip_RRAS

Если напрямую попытаться зайти на шару контроллера через его имя <\\DC_name.Doman_name\> (а не через сопоставление домена (\\<имя_домена>) то всё работает нормально, все файлы ГП видны. По доменному имени - нет.

Кто-н сталкивался? куда копать?

PS ес-но в системных рулах нетбиос разрешён с локал хоста в интернал, так же в нас-ка адвансета (сетевых) интернал стоит первым интерфейсом...

HomoLogicus
не любит иса2006 UDP. часто бывает так что ИСА получает входящее соединение по UDP например на порте 7777 и программа получившая пакет инициирует передачу данных на другом случайном порту выше 1024. я решал так -создавал свой новый протокол типа All_UDP ports и добавлял туда порты 1024-5500 UDP outbound после этого работало.
в 2004 ИСЕ такую бяку не наблюдал. может быть Ваша ситуация.

se111
Не помогло.

Народ. А вообще в ISA 2006 в приципе можно как-то разрешить отвечать на бродкасты с определенного ip?

Может быть кто-то сталкивался с такой проблемой .

ISA сервер 2006.
Пользователи не проходят аутоинтефикацию, блокируется доступ в Internet, Net Share, RDP...

MGrom
информативный вопрос Машина не едет, почему?

Что пытается вылезть в инет? IE? Аутентификация доменна? (АД есть) FWC ставил? И .т.д и т.п. Спарвка рулит по простым вопросам если что...

Имеем следующую ситуацию
1. SBS 2003 R2 - со всеми обновлениями.
2. ISA 2004 - опять-таки, со всеми обновлениями.
3. Все клиенты - SecureNAT

ПРОБЛЕМА.
Внутренние пользователи не могут обращаться по FTP к внешним FTP серверам.

ПОДРОБНОЕ ОПИСАНИЕ проблемы.
1. FTP Access filter - разрещен и используется в описании протокола FTP
- при использовании ftp.exe на любой из клиентских машин после ввода имени пользователя получаем сообщение ПОДКЛЮЧЕНИЕ РАЗОРВАНО УДАЛЕННЫМ УЗЛОМ.
- при использовании, например, totalcommander (режим - пассивный или активный - не важно) получаем сообщение OFFLINE и предложение снова ввести имя.

2. FTP Access filter - разрещен но НЕ используется в описании протокола FTP
- при использовании ftp.exe ... равно как и Total Commander (режим неважен)
получаем сообщение PORT COMMAND FAILED.
Что, в общем, и не удивительно.

ВОПРОСЫ
1. Как разрешить выход по FTP в активном режиме?
2. Как настроить ISA для пассивного режима FTP?

Спасибо.

MGrom
Авторизация какая, доменная встроенная? Все пользователи или часть? больше инфы в студию