Y_Sobolev
Еще в свойствах сети Internal посмотри вкладку Domains.
Еще в свойствах сети Internal посмотри вкладку Domains.
» Microsoft ISA Server 2006/2004/2000 (Часть III)
ITeXPert
о каком модеме речь? у меня никаких модемов к серверу не подключено
о каком модеме речь? у меня никаких модемов к серверу не подключено
FGUP
Цитата:
вообще-то там у меня пусто
но я понимаю так что это перечень доменов при доступе к которым FW клиент НЕ использует ISA сервер ...
В одном домене у меня как-то НЕ влияло: есть там локальный мой домен или нет
но в принципе может и нужно указать теперь ВСЕ локальные домены которые НЕ будет обслуживать ISA сервер ???
спасибо за участие
может еще есть предложения ...
Цитата:
Еще в свойствах сети Internal посмотри вкладку Domains
вообще-то там у меня пусто
но я понимаю так что это перечень доменов при доступе к которым FW клиент НЕ использует ISA сервер ...
В одном домене у меня как-то НЕ влияло: есть там локальный мой домен или нет
но в принципе может и нужно указать теперь ВСЕ локальные домены которые НЕ будет обслуживать ISA сервер ???
спасибо за участие
может еще есть предложения ...
Привет.
Собираюсь поднять NLB. Слышала, что если ISA серверы при этом втыкать в какой-то девайс умнее хаба - работать не будет - правда ли это???
Собираюсь поднять NLB. Слышала, что если ISA серверы при этом втыкать в какой-то девайс умнее хаба - работать не будет - правда ли это???
Доброго времени суток! Помогите решить задачку с авторизацией пользователей, нужно что бы при входе в интернет у определенного пользователя выскакивала табличка для ввода его логина и пароля?
Цитата:
Собираюсь поднять NLB. Слышала, что если ISA серверы при этом втыкать в какой-то девайс умнее хаба - работать не будет - правда ли это???
Думаю, раз возникает такой вопрос, - лучше не трогать NLB.
Если речь о виндовом балансинге, - то технология суть кластерная. Лучше всего будет для избежания проблем добавить в серверы по ещё одному nic, дабы было меньше проблем. Но не обязательно.
Там могут быть вопросы относительно mac, - вероятно тут и кроется засада с хабами. Хотя причин не вижу...
Кратенько - работать будет.
+ тема отнуюдь не для данного раздела.
Цитата:
NLB
существеный плюс в пользу исы (к сожалению немногочисленный),
и как раз по теме раздела, ибо фича поддерживается софтом.
есть 2 исы, хочу смаршрутизировать определенную сеть с одной исы на другую, в RRAS все просто, а как это реализовать при помощи ИСЫ ?
Цитата:
есть 2 исы, хочу смаршрутизировать определенную сеть с одной исы на другую, в RRAS все просто, а как это реализовать при помощи ИСЫ ?
Описать сеть в Исе и сделать правило route для неё
FGUP
всё разобрался с доменами
спасибо
если есть желание могу расписать подробнее надо ???
всё разобрался с доменами
спасибо
если есть желание могу расписать подробнее надо ???
Y_Sobolev
Да. С удовольствием послушаю.
Да. С удовольствием послушаю.
cucumber
каким образом, ведь шлюз у исы - external
каким образом, ведь шлюз у исы - external
ITeXPert
Так по сайтово блокировать нерационально, разных всяких сайтов бывает с торрентами, а так бы расширенияе прикрыл бы и всё, скачать то не возможно будет этот торрент и почему то я не понимаю, почему он не блокирует это расширение. А по трафику это как сделать то? Мне нужно чтобы проги не смогли качать торрент файлы с инета!
Я вообще придерживаюсь правила меньше запретов, лучше. У меня один запрет на всякие сайты порно и т.п. А в фильтре уж я блокирую там и некоторые сайты в подписях, качалки как рапиды и т.п. и расширения файлов, но вот торрнет никак не хочет блокировать.
Чё делать?
Добавлено:
И ещё вопросик в догонку, почему прога ISA Server Best Practices Analyzer Tool пишет мне что может быть заблокирован DHCP и DNS сервер на ИСА Сервере, где я их установил. Но я же создал для них правила и у меня всё работает и ДНС сервер и DHCP получают все. Почему же эта прога пишет Сделать нужно правила для них, чтобы они работали или удалить их с сервера ИСА. Я создал правила два, от Сервера к локалке и от локалки к серверу. От локалки к серверу дал запрос на DHCP и протокол DNS, а от сервера к локалке дал ответ DHCP и DNS-Server протокол/ Проверил всё нормально работает, но почему прога пишет что могут быть заблокированы эти серверы, не понимаю.... Кто знает подскажите, что нужно сделать, что я сделал не так?
Так по сайтово блокировать нерационально, разных всяких сайтов бывает с торрентами, а так бы расширенияе прикрыл бы и всё, скачать то не возможно будет этот торрент и почему то я не понимаю, почему он не блокирует это расширение. А по трафику это как сделать то? Мне нужно чтобы проги не смогли качать торрент файлы с инета!
Я вообще придерживаюсь правила меньше запретов, лучше. У меня один запрет на всякие сайты порно и т.п. А в фильтре уж я блокирую там и некоторые сайты в подписях, качалки как рапиды и т.п. и расширения файлов, но вот торрнет никак не хочет блокировать.
Чё делать?
Добавлено:
И ещё вопросик в догонку, почему прога ISA Server Best Practices Analyzer Tool пишет мне что может быть заблокирован DHCP и DNS сервер на ИСА Сервере, где я их установил. Но я же создал для них правила и у меня всё работает и ДНС сервер и DHCP получают все. Почему же эта прога пишет Сделать нужно правила для них, чтобы они работали или удалить их с сервера ИСА. Я создал правила два, от Сервера к локалке и от локалки к серверу. От локалки к серверу дал запрос на DHCP и протокол DNS, а от сервера к локалке дал ответ DHCP и DNS-Server протокол/ Проверил всё нормально работает, но почему прога пишет что могут быть заблокированы эти серверы, не понимаю.... Кто знает подскажите, что нужно сделать, что я сделал не так?
FGUP
И всем кому интересно.
Исходные установки
Есть два домена Windows X и Y (соотв контр доменов dc01 и dc02)
ISA сервер установлен в домене Y
Решение:
1. Установили Trust в обе стороны на контр доменов X и Y
2. В DNS в обоих доменах создали иногородние зоны (те в домене Х созд зону Y) прописали в них соотв хосты из домена Y
3. На ISA прописал в свойтвах Internal->Domains оба внутренних домена. И в System Policy->Activ Directory прописал ОБА контроллера домена
4. В Y->Users (AD) создали Группу X_Inet (Domain-Security - LOCAL) (кстати если Global то пользователей домена X невозможно включить в эту группу)
В эту группу добавили пользователей из домена X кому доступен Инет !!!!!
Соответственно в группу X_Mail домена Y включили пользователей из X кот доступна ПОЧТА
5. На ISA в группу Inet_local и Mail_local включили описанные в п. 4 группы из AD домена Y
Для контроля связи создал правила logging -> connectivity для dc01 и dc02 -> должны быть ОК (зеленые) !!
После этого на клиентских компах устан FW клиента ISA
И всё заработало !!!!!
Интернет и почта раздаются и управляются !!!
Главная фишка -> группы в AD домена Y и контроллеры доменов на ISA
И всем кому интересно.
Исходные установки
Есть два домена Windows X и Y (соотв контр доменов dc01 и dc02)
ISA сервер установлен в домене Y
Решение:
1. Установили Trust в обе стороны на контр доменов X и Y
2. В DNS в обоих доменах создали иногородние зоны (те в домене Х созд зону Y) прописали в них соотв хосты из домена Y
3. На ISA прописал в свойтвах Internal->Domains оба внутренних домена. И в System Policy->Activ Directory прописал ОБА контроллера домена
4. В Y->Users (AD) создали Группу X_Inet (Domain-Security - LOCAL) (кстати если Global то пользователей домена X невозможно включить в эту группу)
В эту группу добавили пользователей из домена X кому доступен Инет !!!!!
Соответственно в группу X_Mail домена Y включили пользователей из X кот доступна ПОЧТА
5. На ISA в группу Inet_local и Mail_local включили описанные в п. 4 группы из AD домена Y
Для контроля связи создал правила logging -> connectivity для dc01 и dc02 -> должны быть ОК (зеленые) !!
После этого на клиентских компах устан FW клиента ISA
И всё заработало !!!!!
Интернет и почта раздаются и управляются !!!
Главная фишка -> группы в AD домена Y и контроллеры доменов на ISA
На пограничном сервере были установлены SAV Server и ISA 2000. SAV нормально обновлялся и обновлял клиентов. Но вот на этот сервер , вместо ISA 2000 поставили ISA 2006, теперь клиенты обновляться перестали, пишут :"Не удалось выполнить загрузку файла описаний вирусов с Сервер LiveUpdate. 00000001". Какие порты и протоколы используют клиенты для обновления? Что нужно открыть в ISA Server ? Какое правило следует создать для Symantec ?
Цитата:
Какие порты и протоколы используют клиенты для обновления?
какие настроены в liveupdate на клиентах, такие и использует.
в логах исы-то по отбою ничего не пишется?
5555555
Цитата:
При настройке Symantec никакие порты не указываются!
Добавлено:
Цитата:
Подскажи где смотреть? Здесь :\Program Files\Microsoft ISA Server\ISALogs ? Там файлы по сто с лишним мегабайт, чем просматривать? Может можно создать фильтр для раздела "наблюдение"?
Цитата:
какие настроены в liveupdate на клиентах, такие и использует.
При настройке Symantec никакие порты не указываются!
Добавлено:
Цитата:
в логах исы-то по отбою ничего не пишется?
Подскажи где смотреть? Здесь :\Program Files\Microsoft ISA Server\ISALogs ? Там файлы по сто с лишним мегабайт, чем просматривать? Может можно создать фильтр для раздела "наблюдение"?
установил ISA2006 на виртуальную машину.
проверил, с сервера ISA инет пингуется, пакеты туда сюда ходят.
настроил конфигруацию.
для внутренних сетей задал домен и диапазоны сетей.
включил Web Proxy, назначил разрешения для всех пользоватлей - неограниченый выход в инет. Серверы LDAP прописал, доступ через веб прокси - проверка пользователей - дайджест и встроенная.
в мониторе (наблюдении)
тпи сеанса: веб прокси, IP адрес: 10,0,0,4, исходная сеть: внутренняя, имя пользователя: anonymous
при попытке соединиться через прокси:
Код ошибки: 502 Ошибка прокси-сервера. ISA Server отклонил указанный URL-адрес. (12202)
IP-адрес: 10.0.0.8
Дата: 17.12.2007 8:05:55 [GMT]
Сервер: isa1.*****.******.ru
Источник: прокси
проверил, с сервера ISA инет пингуется, пакеты туда сюда ходят.
настроил конфигруацию.
для внутренних сетей задал домен и диапазоны сетей.
включил Web Proxy, назначил разрешения для всех пользоватлей - неограниченый выход в инет. Серверы LDAP прописал, доступ через веб прокси - проверка пользователей - дайджест и встроенная.
в мониторе (наблюдении)
тпи сеанса: веб прокси, IP адрес: 10,0,0,4, исходная сеть: внутренняя, имя пользователя: anonymous
при попытке соединиться через прокси:
Код ошибки: 502 Ошибка прокси-сервера. ISA Server отклонил указанный URL-адрес. (12202)
IP-адрес: 10.0.0.8
Дата: 17.12.2007 8:05:55 [GMT]
Сервер: isa1.*****.******.ru
Источник: прокси
Такая проблема.
Стояла ИСА 2004, работала с SQL.
Обнавили до 2006, работает с SQL, пишет логи нормально в базу, НО
на вкладке monitoring-logging не выполняется запросы к логом вообще даже если фильтр поставить LIVE.
Если руками в базе смотреть - то все ОК.
Кто что подскажет?
Стояла ИСА 2004, работала с SQL.
Обнавили до 2006, работает с SQL, пишет логи нормально в базу, НО
на вкладке monitoring-logging не выполняется запросы к логом вообще даже если фильтр поставить LIVE.
Если руками в базе смотреть - то все ОК.
Кто что подскажет?
SergeyMark
Настрой мониторинг на слежение пакетов с локальной сети,
Могу ошибаться, но LiveUpdate качает обновления с сервера по FTP. Но Мониторинг покажет точно.
Настрой мониторинг на слежение пакетов с локальной сети,
Могу ошибаться, но LiveUpdate качает обновления с сервера по FTP. Но Мониторинг покажет точно.
Qzero
с фильтрами по умолчанию показывает? с sql тока live логи возможны
с фильтрами по умолчанию показывает? с sql тока live логи возможны
Люди, если эта тема уже обсуждалась не раз, то я прошу прощения, но всеже помогите, или дайте ссылочку почитать, плз.
На клиентах не работает автоматическое обнаружение сервера Firewall Client`ом, т.е. если его выставить руками, то все хорошо, а после перезагрузки он опять пропадает. Подскажите, что можно сделать?
Заранее всем спасибо!
Рабочие станции Win XP Pro SP2, Server - Win 2003 SBS Prem, AD, DNS, DHCP.
На клиентах не работает автоматическое обнаружение сервера Firewall Client`ом, т.е. если его выставить руками, то все хорошо, а после перезагрузки он опять пропадает. Подскажите, что можно сделать?
Заранее всем спасибо!
Рабочие станции Win XP Pro SP2, Server - Win 2003 SBS Prem, AD, DNS, DHCP.
Alexx123
Посмотри файлы лежащие по этому пути. Они имею приоритет. И с них читается информация при старте системы, вне зависимости от тех настроек которые выставил пользователь у себя. Удачи.
Код: "C:\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004\"
Посмотри файлы лежащие по этому пути. Они имею приоритет. И с них читается информация при старте системы, вне зависимости от тех настроек которые выставил пользователь у себя. Удачи.
Код: "C:\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004\"
Цитата:
На пограничном сервере были установлены SAV Server и ISA 2000. SAV нормально обновлялся и обновлял клиентов. Но вот на этот сервер , вместо ISA 2000 поставили ISA 2006, теперь клиенты обновляться перестали, пишут :"Не удалось выполнить загрузку файла описаний вирусов с Сервер LiveUpdate. 00000001". Какие порты и протоколы используют клиенты для обновления? Что нужно открыть в ISA Server ? Какое правило следует создать для Symantec ?
Очень жаль , что ни кто не смог дать дельного совета. Нашел решение на просторах интернета, может еще кому пригодится :
Для нормальной работы Symantec Antivirus Corporate Edition Server(SAV)установленном на одном компьютере с ISA 2006, в ISA 2006 нужно создать свой (пользовательский) протокол с названием например SSC-AGENT. В этом протоколе нужно открыть следующие порты(в терминологии MS ISA):
TCP 38293 Out
UDP 38293 SendReceive
TCP 1024-5000 Out
TCP 2967 Out
UDP 1024-5000 SendReceive
NetBios Sessions (139 port)
TCP 38037-38292 (можно по-отдельности для 38037 и 38292) Out
UDP 2967 SendReceive
товарищи а иса умеет лимитировать трафик по ip или по пользователю?
искал искал и найти не смог
искал искал и найти не смог
bbaton
а почитать функционал на офсайте религия не позволяет? там же все написано
не умеет и не будет уметь, для корпоративного файрвола и прокси это бесполезная ересь.
с помощью других аддонов можно и квотировать и шейпировать.
а почитать функционал на офсайте религия не позволяет? там же все написано
не умеет и не будет уметь, для корпоративного файрвола и прокси это бесполезная ересь.
с помощью других аддонов можно и квотировать и шейпировать.
Господа! Вот что за.... время от времени появляются жёлтые пятна в ивент вьюире
"ISA Server detected a proxy chain loop. There is a problem with the configuration of the ISA Server routing policy."
и понять не могу, что он хочет..
"ISA Server detected a proxy chain loop. There is a problem with the configuration of the ISA Server routing policy."
и понять не могу, что он хочет..
Цитата:
Alexx123
Посмотри файлы лежащие по этому пути. Они имею приоритет. И с них читается информация при старте системы, вне зависимости от тех настроек которые выставил пользователь у себя. Удачи.
Код:"C:\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004\"
У меня там два файла, причем в файле Common лежит следующее:
[Common]
ServerName=
Disable=0
Autodetection=1
в то время как в самом клиенте прописан сервер руками (server).
Добавлено:
И ещё у меня проблема такая - не открываются ссылки http://wpad/wspad.dat и http://wpad/wpad.dat, ссылка http://wpad - открывается.
Почитал пошаговое руководство на http://support.microsoft.com/kb/309814/en-us , все сделал как там написано, но ни чего не помогло.
Да и в общем-то фиг с ним с автоопределением сервера, я уже все руками выставил, да только не понятно почему, но оно сбрасывается всегда при перезагрузке с мануала на авто.
hardhearted
Цитата:
подскажите, какие аддоны именно или ссылки на них
Цитата:
а почитать функционал на офсайте религия не позволяет? там же все написано
не умеет и не будет уметь, для корпоративного файрвола и прокси это бесполезная ересь.
с помощью других аддонов можно и квотировать и шейпировать.
подскажите, какие аддоны именно или ссылки на них
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: Проблемы с выходом в Интернет
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.