» Microsoft ISA Server 2006/2004/2000 (Часть III)

DiZka
В SystemPolicy в пункте DHCP что стоит?

И в свойствах сервера в оснастке RRAS на закладке IP через какой адаптер стоит получение адресов?

Люди, я может быть черезчур ленив, но реально не могу найти статью где бы описывался такой простой случай когда ISA Server выступает как внешний сервер, а не какой не пограничный и т.п..
Подскажите где почитать про то как нормально настроить ISA. Ситуация такая Win SBS 2003 + Exchange + AD + DNS + DHCP. Внешнего IP нет, на серваке 2 сетевухи, одна смотрит в локалку, другая на ADSL модем (соответственно разные подсетки). Нужно просто отделить локалку от инета и разрешить пользователям из групп Inernet_Users в AD доступ в инет по HTTP, HTTPS, а пользователям из группы Mail_Users доступ по SMTP, POP3. И все.
Простая задача, а у меня вызывает такие проблемы. Раньше, когда стоял Kerio Winroute Firewall все было просто и понятно, теперь же...
Помогите, плз

Divul
нет
ищи, там все на поверхности и все видно глазами, все что относится к исе лежит в трех ключах прямо в hklm (e 2006ой)

Добавлено:
DiZka
значит неправильно настроил, иса твоего dhcp сервера не видит, открой книгу и там по шагам все написано, даже ребенок настроит.
Keiichi
не знаю про что ты там кучу статей читал.
age of content это параметр который задается на самом сайте для каждого обьекта, равен он может быть чему угодно, решит создтаель что некая картинка считается актуальной 3 дня, значит будет 3 дня, а например для каких то курсов валют эта цифирь явно меньше в исе можно указать ttl (и по умолчанию он 20%) меньше чем age of content
Alexx123
интересно а что ты назвал внешним сервером а что пограничным.
у тебя стандартная ситуация, с одной стороны локалка с другой инет (через модем он там или через что нить еще уже не важно) все настраивается стандартно по книжке.
единственное что у тебя куча всякого на нем еще стоит что мелкомягкие крайне не рекомендуют на него ставить
и настраивается иса тоже просто и понятно, там и без книг по одному интерфесу все видно

Alexx123

ты наверно имел ввиду что у тя на внешнем интерфейсе ip частный 192.168.x.x ???

да, именно это я и имел ввиду.
Парни, была бы у меня книжка, я бы не спрашивал ((
Вот в Керио на самом деле все понятно, а здесь как-то на первый взгляд так же, а на второй совсем не так...
Может всетаки есть какая-нить статейка для таких чайников в ИСЕ как я?

hardhearted
Спасибо!
наконец понятный ответ

а если на сайте не задан TTL
тогда иса какие рамки задает? максимум или минимум от TTL time boundaries, заданных в HTTP Caching?
А можно указать больше? К примеру TTL=200% ? При этом кеш будет работать??

Alexx123
тут тоже все просто иса какая рус/инглищ
там есть твой "роутер" -> configurations -> Networks
с права у тя есть закладка Task и там же Templates тебе суда
и там уже готовые шаблоны тебе надо внутренный межсетевой экран (back)
когда он находится позади друго фаера или ната
там уже будет не натиться а роутиться между сетями трафик
зы у шиндера есть описалово стр 316 если в джавю найдёшь то на 340
какой шаблон чего делает

Привет всем!

Люди добрые, а умеет ISA делать динамическое разделение канала?
то что в *nix реализуется с помощью ipfw + pipe

Я что-то находил про QoS v2 для висты но не уверен что это оно, да и к ISA не относится.

Если кто не понял о чем речь, то ставлю задачу:

Есть канал в инет 1 Мегабит, нужно его равномерно делить между пользоватлями (было бы классно ещё и с приоритетами)
Работают 2 человека в инете - канал делится по 0.5 мегабита
Работают 3 - автоматом поделился на 0.33
и т.п.

как только кто-то отключился ( не занимает канал в инет) сразу перераспределась загрузка канала.

с приоритетами (весам) вообще здорово было бы.

Умеет?
Как я понял это не Network Load Balancing который 2004-й Энтерпрайз умеет, хотя звучит похоже.

PS не ради праздного любопытства. Принципиальный вопрос на тему "на чем подымать коммуникационный сервер"

Заранее спасибо ВСЕМ

Rmt
Bandwidth Splitter
FairShare for ISA
Internet Administrator
Websense Enterprise Bandwidth Optimizer
либо отдельная -
Bandwidth Controller

FGUP
Как раз нечего.. ( Где настроить то ИСА чоб она видела DHCP?

hardhearted
Страничку можно ?

DiZka
В SystemPolicy в разделе DHCP укажи сеть internal, В RRAS в свойствах сервера на закладке IP должен быть указан "внутренний" интерфейс.
Да.. ещё сервер RRAS должен быть зарегистрирован в AD (есть ещё вариант с RADIUS но до него пока руки не дошли).
Кстати книга Шиндера вещь весьма знатная, вот на неё ссылочка: http://c-books.info/books/news5.php/2006/01/28/isa-server-2004-2.html

К сообществу: кто настраивал Celestix RDS (IAS) - как его к ISA 2006 привязать, чтоб юзеры через него аутентифицировались?

FGUP
чет никак не могу найти это где настройки DHCP скрин могешь сделать? Это системные политики чтоль? Если да то там в dhcp то там стоит в нем внутренняя сетка....
а Шиндер у меня есть на руках в бумажном виде.. просто щас времени нет читать.... сессия А настроить над по быстрому все....

DiZka
Да Системные Политики.

И в RRAS


Добавлено:
Что-то я со скринами затупил....

Мдя..... вот с RASS бы поближе )))

DiZka

Вот крупнее.

Парни, подскажите есть ИСА Eng, купленная, а можно её как-нить на рус. яз. перевести и чтобы лицензия не потерялась?

Alexx123
нет
есть руская версия только 2006 обе редакции
2004 только инглишь

FGUP
Ставлю в RAS адаптер на котором вести DHCP ставлю там выдавать через DHCP залажу в ису... и почему то сбрасывается в RAS на другой адаптер.... не на котором стоит DHCP (на серве 3 сетевухи 1 инет и 2 локалки)

DiZka
У тебя на адаптерах разные подсети? Они обе в объекте "internal"? Если да то пропиши их в разные объекты (например internal и internal2 ). И в системных политиках пропиши только ту сеть, где DHCP есть.

FGUP
Вроде работает теперь... Из дома точно уже погляжу.... Спасибо за ответы на вопросы

DiZka
не за что

Alexx123
если isa 2006 то зависит от того как вы ее купили, я точно не помню политики лицензирования, но точно помню что в некоторых политиках типа ovl разрешается использовать другую языковую версию если она не дороже купленной, в россии все русские версии точно не дороже.
а вообще вопрос не в этот форум, задал бы его продавцам, они должны, нет, обязаны этот вопрос разьяснить.

Есть такой вопрос, как заблокировать зарузку торрнет файла в ИСА сервер 2006 с расширением .torrent ?
Я не могу его заблокировать, в правилах доступа, я вошёл в настройку HTTP протокола, там есть блокировкапо расширению, задал там все расширения которые нужно заблокировать, всё блокирует, но torrent не получается, это почему/ всё равно грузится и его можно сохранить. Как сделать чтобы его заблокировать, почему так происходит?
Ставлю там .torrent или .tor Не получается, всё равно грузится, а дургие любые файлы блокируются нормально.
Спасибо!

Хочу объединить удаленные сети по L2TP/IPSec.
Смущает то, что один из ИСА серверов является контроллером.
Каки в этом случае создавать учетные записи пользователей и где?

Создал записи в АД, потом добавил локальных и все заработало =)

Ситуация такая:
Стоит сервер win2k3 EE SP2. на нем два сетевых адаптера(реальных)

На нем установлен Virtual Server 2005
В виртуальной среде установлен Win2k3 EE SP2 + ISA2006.


Задача - установить и настроить ISA чтобы она смогла работать как полноценный сервак прокси + NAT. Возможность выделить реалдьный внешний IP и физически подключить ко второму адаптеру хост сервера есть. В виртуальном сервере так же два адаптера создано(виртуальных) один прицеплен к адаптеру на хост машине и смотрит во внутренюю сеть, 2-й прицеплен ко 2-му адаптеру хост машины и смотрит во внешний мир.

Но вот такая проблема, не возможно назначить в вирутальном сервере на 2-й адаптер такой-же IP адрес как у хост машины.

Как сделать чтобы виртуальный сервер смог видеть внешную сеть как будто он подключен к ней на прямую, без участия хост машины(но, разумеется через его сетевой адаптер).

levkadub
Недавно таким же страдал, один в один задача была. В общем если у тебя есть доступ на модем есть, то сеть в которой будет модем, реальная сетевая физического сервера и виртуальная на виртуальной исе, должна быть минимум из 4 адресов доступных клиентам. Т.е. на внутреннем интерфейсе модема 10.0.0.1 например, реальная сетевая 10.0.0.2, виртуальная 10.0.0.3. Если такой возможности нет (как у меня было). То на реальном сервакt прийдется поднимать RRAS и делать нат для исы

Добавлено:
tgrisha
а чего не заблокируешь посайтово или по типу траффика?

Ситуация наверно стандартная но поиск по форуму пока не дал мне результатов

Есть лес из 2-х AD доменов W2k3 srv
Установлены доверит отношения BOTH между доменами
В одном из доменов стоит ISA2004 EE
В "своем" домене всё ОК

НО никак не могу увидеть группы и полльзователей на ISA из второго домена

Что нужно прописать на ISA чтобы видела ВСЕХ изеров из ВСЕХ доверительных
доменов !

Тема вероятно уже обсуждалась !!
Прошу помощи!!!

ps ISA установлена раньше чем созданы Trust между доменами
может нужно просто повторить установку ISA чтобы увидела Trust ???

Y Sobolev
В СистемПолиси в АД все домены прописаны?

FGUP
Спасибо проверю (ISA на др площадке !)
Но вообще-то у меня эти домены в одном сегменте сети
а системполиси стоит TO-> Allnetworks & Internal
а в эти сети поапдают все DC в сегменте
но проверю