» Microsoft ISA Server 2006/2004/2000 (Часть III)

Vanil
как я уже говорил, идешь на офсайт качаешь доку по nlb и читаешь
сама технология nlb напрямую к исе не имеет отношения. хотя исой и используется. можно на том же офсайте скачать доку по настройке nlb на исах.

ITeXPert

Цитата:

за 2000ю не подскажу ису, в 2004й делалось разрешающее правило с определенного ip (как вариант создать комп с ай пи FreeBSD) в External для группы All Users и повесить его (правило) повыше, до запрещающих.

Смотрел в ISA 2006 и ISA 2004 такая возможность есть. А в 2000ной нет возможности сортировать правила, ни выше ни ниже передвинуть нельзя. Можеи у кого есть идеи как сделать в 2000ной ?

SergeyMark
а в чем проблема проагрейдить ее до 2004й хотя бы? она купленная или там машина слабая?

ITeXPert

Цитата:

а в чем проблема проагрейдить ее до 2004й хотя бы? она купленная или там машина слабая?

С одной стороны машина уже на пределе и на замену шеф денег жалеет. А с другой куча правил для нескольких систем типа банк-клиент. Простой апгрейд невозможен, я проверял в тестовой среде, нужно деинсталить ISA 2000 и по новой ставить ISA 2006/2004 . А это не так быстро, за это время бухгалтерия меня живьем съест.

Доброе утро. Есть ли возможность в ISA 2006 настраивать отчеты по каждому пользователю?? или для этого нужна дополнительная программа??

Доброго времени суток, коллеги.
Возникла ситуация при настройки впн, и никак не решается((((
ISA 2004, 1723 порт открыт, правила вроде как прописаны, из локальной сети к своему серваку по впн могу подцепицца без проблем, а вот со стороны интернета нивкакую(((
Точнее соединение с сервером происходит, но после долгой проверки логина и пароля - ошибка 721, сервер не отвечает..
ПоможИте господа, надежда во мне ещё теплится плзззз

Добрый день.
Есть сервер 2003 R2
Пользователи Win Xp SP2
Поставил на севак ISA 2006 Std
На сервере две сетухи, внутр и внешняя.
Настроил, создал правило HTTP с Internal на External. Настроил прокси.
На сервере Инет пашет, на клиентах нет, прокси пропысываешь, как будто не видит.
Создаю правило которое открывает весь трафик, включаю инет начинает работать на клиентах, быстро отключаю это правило, Инет продолжает работать, но после перезагрузки клиента, опять не работает.
Правила на почту и т.д. работают без перерыва.

Что может быть????

Angoim
на ISA 2006 std было мною замечено, что конфигурация иногда(не знаю с чем связано)
после изменения правил применяется ну очень долго, доходило до 10 минут.

это так к слову, может быть Ваша проблема.

Angoim
RIP протокол из интёрнал и локалхост в экстёрнал попробуй разрешить.

Tim2000

Цитата:

RIP протокол из интёрнал и локалхост в экстёрнал попробуй разрешить.

Не помогло.
Я еще и в Домен компы добавить не могу и пинговать не могу (хотя правило на пинг есть), пока это правило не включу на все порты.
Че за?

фуф, со своей проблемой разобрался, открыв отдельным правилом 1723 и 47 протоколы

Angoim
днс, дхцп открой.
а проксю каг указываеж? порт 8080 ?

Народ помогите... поставил ISA 2006 (инет прямой ип - локалка) вроде как настроил... щас политика такая лишь бы настроить чтоб юзеры не орли а патом детально настраивать.... Настроил HTTP инет пашет аська тоже пашет единственное пока не могу заставить работать почту POP/SMTP не принимает и не отправляет почту с mail.ru ну и соответственно с других ящиков... Авторизации щас пока нет еще не разбирался.... Все правил щас: Все пользователи
На клиентах не стоит Firewall Client как я понял он не нужен...
Делю правило Протоколы DNS POP3 SMTP Откуда: Внутрення Локальный компьютер Куда Внешняя Условия: Все пользователи

ПОчему не хочет проверять отправлять почту?... Очень надо сделать юзера съедят щас

DiZka
нат между internal и external включил
клиенты ису как шлюз по умолчанию используют?
в логи то глядеть пробовал?

Господа, подскажите. Достаточно старая проблема с невозможностью многих антивирей обновляться через иса-клиент. Наткнулся на более-менее грамотное объяснение на isaserver.ru, что мол апдейт из-под системной учетки лезет, вот иса и игнорирует. Пробовал с помощью FwcCreds.exe задавать для нужных процессов локальную учетку. Прописывается, но не помогает. Закачку вручную апдейтов, создание внутреннего сервера апдейта, подъема внутренней прокси не предлагайте. Понятно, что это всё работает, но моим нескольким тысячам пользователей это не объяснишь. Расскажите, кто-нибудь нашел решение и если да, то ссылок по-больше Заранее спасибо.

dimbat
а Вы не пробовали в System Allowed Sites (помоему так называется) , ну туда где windowsupdate.microsoft.com прописан, добавить сайты обновлений антивирусов, тогда их дожно пускать без авторизации.

Добавлено:
тот что в System Policy

se111
Так по логам нет никаких отсечек исы, т.е. симантековский ливапдейт например, как-будто и не смотрит в сторону клиента исы. Либо стучится, но этих запросов не понимает клиент, хз как объяснить. Потом у нас на майкрософт автоматом тоже не ходят, иначе тысячи забаненными станут по понятным причинам Используем всус.

Добавлено:
А если поставить прокси, смотрящую на себя, то все работает - прокси стучит клиенту, клиент исе, иса пропускает запрос от приложения "Прокси", который прошел авторизацию. Чую - близко ответ, но так и не разобрался. Да и у многих такая проблема.

dimbat
ну очень странно тогда получается.

я понял что если в IE указать файл который хочет Symantec то он скачется. Какое правило на иса применяется? я полагаю не то правило которое разрешает обновлять антивирус. а нету ли правила которое запрещает обновляться, если не пройдена авторизация?

вот тут интересным моментом является то, что ты говоришь, что в логах всё чисто т.е. имеется ввиду, что авторизация в обоих случаях успешна? а правило при авторизации в обоих случаях(успешном и неуспешном) одно и то же?



Добавлено:
и забыл спросить после того как ты воспользовался FwcCred ты не забыл ForceCredentials=1 в application.ini поставить?

se111
Ты не понял, не приходит НИКАКОГО запроса к исе от ливапдейта. Если бы в лог писалось, что аксес денайд или еще чего, то проще было бы. Тупо иса-клиент не принимает запрос как-будто, ну и соответственно не шлет его дальше серверу.
Правила достаточно свободны, могу конечно перечислить, но работает всё, кроме апдейтов антивирей. Как-будто какой-то неизвеcтный исе протокол. Кстати, как организовано обновление у симантика или каспера, нода? Какие протоколы, по каким портам и тд, подскажите.

Добавлено:

Цитата:

ты не забыл ForceCredentials=1 в application.ini поставить?

Ставил конечно

dimbat
какой антивирус используется?

Цитата:

как организовано обновление у симантика

централизовано.

ShriEkeR

Цитата:

какой антивирус используется?

Я вроде, более чем подробно, расписал несколькими постами выше.

dimbat
ну тогда 99% что не тот процесс указан с помошью FwcCred отследи процесс с помощью например tcpview.exe и process explorer от sysinternals (нане Microsoft) и ForceCredentials=1 в application.ini - и будет всё тип топ.

Цитата:

для нужных процессов локальную учетку

- нужно указывать текущего пользователя (это на всякий случай уточняю т.к. я не понял что значит "локальная учетка")

se111
Всё это уже делал неоднократно, для разных процессов. Прописывал под доменную учетку, под локальную, службы перегружал, ключ в ини прописывал... Не то это! Хоть и самое подходящее. Тут загвоздка именно в клиенте исы. Через впн соединение иса прекрасно пропускает апдейты, через свой же клиент - нет.
P.S. Иса 2006 энтерпрайз, клиент самый последний с майкрософта.

Добавлено:
Шаманства, как раньше, в разделе настроек клиента на сервере иса, уже не помогают. Было как-то, выручала пропись Lucoms~1.exe в исключения, но это пару лет назад, да и то, чтобы этот симантик поставить, процесс просто вис, когда иса-клиент запущен был. Но это фиксили на антивире потом симантековцы. Это я для примера написал, что мол тоже эти варианты проверял. Но опять же, это самое близкое к решению проблемы. Может как раз там что-то еще прописать, но вот что - это вопрос Я поэтому про протоколы и порты спрашивал.

dimbat
ну у меня один раз была похожая ситуация, но какой там антивирь не пускало я уже не помню - давно было. точно помню, что для fwccred я использовал доменную учетку текущего\активного пользователя и была проблема, что на windowsupdate тоже не пускало так помогло не для wuauclt.exe прописать авторизацию, а для svchost.exe и плюс ко всему пришлось добавить правило в котором не All Authenticated, а All Users только после этих танцев с бубном всё заработало. - больше собственно подсказать ничего не смогу т.к. если это не поможет то тогда только в support.


Цитата:

Как-будто какой-то неизветный исе протокол. Кстати, как организовано обновление у симантика или каспера, нода?

В логах была бы запись типа Unidentified Protocol, пришлось бы тогда просто сделать лписание для этого протокола.
А протоколы и антивирусов обычные, HTTP и FTP.

se111

Цитата:

All Users

Это не вариант совсем. Потом, до авторизации не доходит, не сработает в данном случае. И опять же - по впн, при тех же правилах, всё ок. Тут настройки в клиентском разделе сервера править надо (наверное). Засада в общем

dimbat

Да. у меня точь в точь такая же байда, только с почтовым серваком. В общем как я понял это глюк файрвол-клиента (не работает FwcCred) и мелкомягким нет до этого никакого дела. Причем, если долго мучится назначая - убираяя права через FwcCred, в конце концов может и получится (а можен и нет). В общем шаманство сплошное.

dimbat
не смог прочесть все что тут написали, но общий смысл проблемы понял
системную учетку на исе аутенфицировать нельзя, там просто нельзя вписать в правилах и группах домен\имякомпа$, об этом я кстати на isaserver.ru писал неоднократно, во всех доках и хелпах написано тоже самое
не уверен что fwccred в этом случае поможет, сам я этим не пользовался но есть подозрение что credentials сохраняется для того юзера что его вписал, хотя не тестил сам
самый просто вариант, для таких прог и обновлений открывать доступ анонимно и не мучаться.

hardhearted

Цитата:

для таких прог и обновлений открывать доступ анонимно и не мучаться

Тогда перестанет учитываться трафик с этих приложений, да и вообще полезут все, кому не лень (даже те, которым инет и не положен вовсе). А так да, не спорю.
По FwcCred, допустим на примере Симантика:
На сервере исы, в разделе клиента Lucoms~1 disable=0
на машине клиента FwcCred lucoms~1.exe /s логин домен пароль
В апликейшн.ини на машине клиента ForceCredentials=1
Ну и разные вариации вокруг оного....
Вроде всё как в мануалах, но - нифига не работает. Возможно HomoLogicus
прав, косяк клиента как такового, хз. Да и логи какие-то странные в момент апдейта - то вообще нет, то есть от анонимуса, но обращение не на внешний адрес, а на внутренний Исы. Клиент живет какой-то своей жизнью, мне лично непонятной Но других причин НЕобновления антивирей, кроме как из-за авторизации, даже представить себе не могу.

dimbat
еще один
устал повторять: учите разницу между авторизацией и аутенфикацией
пускать то надо не на все сайты а тока на нужные, которые юзерам не нужны вовсе.
клиент живет обычной жизнью, просто надо понимать как

hardhearted

Цитата:

пускать то надо не на все сайты а тока на нужные

Я разве по-другому написал? Впрочем, неважно...
Вопрос был, в том ли направлении я копаю, почему на практике не работает то, что должно в теории?

dimbat

Цитата:

почему на практике не работает то, что должно в теории?

а с чего ты взял что в теории это должно работать?