» Microsoft ISA Server 2006/2004/2000 (Часть III)

Andrey1901

Цитата:

Стоит

убери и посмотри на результат :)

SHRIKE74

Цитата:

с нетерпением жду от тебя информации

AvvNtl уже дал ответ на 1 пост выше твоего.

hardhearted

Цитата:

кстати опера до 9ки тупая и не умеет integrated authentication

Получается что 9-ка не тупа и умеет integrated authentication??? А поподробней про integrated authentication в Опере можно??? )

Народ кто юзал ProxyInspector for ISA Server Enterprise edition? каким образом указать ей чтобы логи брались с SQL сервера. (ISA 2000, SQL 2000, логи в базе). или подскажите другой софт который может генерить отчеты по юзерам, групам, сайтам и т.д. встроенный в ИСУ репортер хуже не придумаеш.

Я в ISA новичок, подскажите в чем может быть проблема, есть следующая схема:
Интернет – Комп1: Win2003 ISA2004 – Комп2: Win2003 AD, DNS – локальная сеть: 192.168.0.0
Комп1 в домене, на Комп1 при добавлении учетной записи из AD в firewall polisy-toolbox-users-new user set, ISA выдает ошибку «The operation failed»: Error: 0x8000ffff Catastrophic failure.

При любом изменении firewall polisy на ISA в event viewer Win2003 появляются ошибка:
Sourse: Microsoft ISA Server Control
Category: None
Event ID: 11005
User: N/A
Computer: Комп1
Deccription:
Microsoft ISA Server Control encountered a failure. The failure occurred during Reading of VPN configuration because the system call MprAdminServerSetCredentials failed. Use the source location 121.2980.4.0.2165.594 to report the failure. The error description is: The binding handle is invalid.

При перезагрузке Windows на этой же машине в в event viewer появляются ещё две ошибки:

Sourse: Application Management
Category: None
Event ID: 108
User: administrator
Computer: Комп1
Deccription:
Failed to apply changes to software installation settings. Software changes could not be applied. A previous log entry with details should exist. The error was : The software installation data in the Active Directory is corrupt.

Sourse: Userenv
Category: None
Event ID: 1085
User: NT AUTHORITY\SYSTEM
Computer: Комп1
Deccription:
The Group Policy client-side extension Software Installation failed to execute. Please look for any errors reported earlier by that extension.

Добрый день уважаемые!
Вот имеется некая налоговая программа которая использует 25 порт и 110. Устанговлена на клиентской машине. на DC который имеет доступ в интернет - на нем установлена ISA 2006. Я никак не могу опубликовать ее. Позвонил в службу поддержки - мне ответили что нужно сделать переброс. тоесть клиент с IP 10.7.19.30 соединяется с ISA 10.7.19.1 по какому нибудь порту. а потом ISA уже передает на нужный мне внеший IP адрес помогите это реализовать. неделал ничего такого ниразу. как? где? что?

Timon_Crazy
логи беруться не из SQL а из исы, просто чтобы ProxyInspector работал нужно создать базу в SQL , в ProxyInspector надо выбирать опцию перенести данные из MSDE базы ISA2004
как создать базу в SQL написано в справке программы, используй перенести данные из MSDE базы ISA2004
это же относится и к 2006 исе

Добавлено:
SergVN
а ты указал LDAP сервера в исе? создал группы пользователей (добавляются из домена) чтоб к ним правила применять?

Добавлено:
Timon_Crazy
невнимательно посмотрел у тебя иса 2000 а то что я написал относится к исе не ниже 2004

Добавлено:
alexps
чё то я не пойму зачем изнутри сети пробрасывать порт наружу

Добавлено:
SHRIKE74
где нужно указывать LDAP сервера, группу пользователей я создал в домене, на isa через new user set добавляю эту группу и получаю Catastrophic failure

alexps

Цитата:

Вот имеется некая налоговая программа которая использует 25 порт и 110

чаще всего это программы которые по этим портам наружу лезут. Т.о. надо просто открыть доступ этому компу наружу по этим портам (pop3 и smtp)

SergVN
конфигурация-общие-опция укажите сервера LDAP и RADIUS

greenfox, не все так просто как хотелось бы...
дело в том что эти порты открыты, и многие программы работают через этот порт. тоесть КОННЕКТ по 110 и 25 порту проходит НОРМАЛЬНО. но криворукость программистов мне мешает. изначально программа расчитана на *прямой* выход в интернет и она не использует проксю должным образом. вот мне и посоветовали сделать портмапинг. объясните пожалуйста как он делается. мне нужно что бы с 10.7.19.30 передалось на ису 10.7.19.1 по порту 30001 а потом с 10.7.19.1 уже ушло по 25 порту на 83.х.х.х

как это делается? ниразу не делал. чую что нужно с паблишен сервер делать... создать протоколы. но что и как? приведите пожалуйста кто нибудь пример

SHRIKE74
т.е. для ISA 2000 нет решения?
база ISA лежит именно в SQL.

чем можно отчеты то создать?

Timon_Crazy
я с 2000 ни разу не имел дела так что вряд ли помогу, но логи исы мне кажется должны находиться в папке с установленной исой и SQL тут ни причём а тебе нужно анализировать именно логи и пох на SQL
а ProxyInspector именно логи анлизирует и не больше того

SHRIKE74

Цитата:

конфигурация-общие-опция укажите сервера LDAP и RADIUS

я не могу найти в общих где указывать сервер LDAP, есть только определение RADIUS сервера

SergVN
у тебя какая иса то вообще?

SHRIKE74

Цитата:

у тебя какая иса то вообще?

isa 2004 standart edition

Цитата:

alexps

А случайно это программа не ли фирмы OOO «Такском» , модуль SmtpPop3.exe ?
Если да, то для SmtpPop3.exe в настройках файрвол-клиета нужно сделать дизабле., и в правиле доступа в закладке "пользователи" указать "Все пользователи".
Это самое простое... А если уж обязательно по пользователям, то смотри в сторону утилиты файрвол-клиента FwcCreds.exe. Правда она не всегда срабатывает...
А советчики судя по всему не в теме немного ...


Добавлено:

Цитата:

SergVN

Кликни правой кнопке мыши по "Политика межсетевого экрана" - "Изменить системную политику"-"Служба каталогов Active Directory"-На закладке общие "Включить"- на закладке "Куда" можно поставить "Внутренняя" или более конкретные сервера.

AvvNtl

Цитата:

Кликни правой кнопке мыши по "Политика межсетевого экрана" - "Изменить системную политику"-"Служба каталогов Active Directory"-На закладке общие "Включить"- на закладке "Куда" можно поставить "Внутренняя" или более конкретные сервера.

включено, на закладке "Куда" диапазон локальной сети 192.168.0.0-192.168.0.255
пользователей и группы из АД isa видит, при попытке добавить группу через new user set по умолчанию location: isa выдает пользователей компьютера isa, меняю location на домен, выдается соответственно список доменных пользователей, выбираю доменного пользователя, ОК и Catastrophic failure

Цитата:

SergVN

Цитата:

При любом изменении firewall polisy на ISA в event viewer Win2003 появляются ошибка:
Sourse: Microsoft ISA Server Control
Category: None
Event ID: 11005
User: N/A
Computer: Комп1
Deccription:
Microsoft ISA Server Control encountered a failure. The failure occurred during Reading of VPN configuration because the system call MprAdminServerSetCredentials failed. Use the source location 121.2980.4.0.2165.594 to report the failure. The error description is: The binding handle is invalid.

То есть при любом изменении настроек.... А посмотите, что у вас стоит в свойствах самого массива или сервера(поточнее вашу конфу нельзя было указать - стандарт или интерпраз? Блин все клещами вытягивай из вас...) . Там закладка "Опубликованное хранилище настроек" Может у вас стоит "Через VPN" ?

AvvNtl

Цитата:

То есть при любом изменении настроек.... А посмотите, что у вас стоит в свойствах самого массива или сервера(поточнее вашу конфу нельзя было указать - стандарт или интерпраз? Блин все клещами вытягивай из вас...) . Там закладка "Опубликованное хранилище настроек" Может у вас стоит "Через VPN" ?

ISA2004 Standart Edition
"опубликованное хранилище настроек" покажите глупому куда тыкаться мышкой чтобы это увидеть

alexps

Цитата:

дело в том что эти порты открыты, и многие программы работают через этот порт. тоесть КОННЕКТ по 110 и 25 порту проходит НОРМАЛЬНО. но криворукость программистов мне мешает. изначально программа расчитана на *прямой* выход в интернет и она не использует проксю должным образом.

зачем вам прокся? У вас есть прога которая лезет наружу по соот-м портам. Подключаете клиента как секьюр-нат к исе, открываете соот-е порты на ней с доступом этому компу и иса в тупую рутит пакеты наружу. Далее смотрите в логгер что он там пишет если есть проблемы какие.

AvvNtl

Цитата:

А советчики судя по всему не в теме немного

ага, вы у нас один такой умный? В исключение fwc ставятся как правило клиенты (программы) которые работают не через стандартный winsocks а по старинке - ну досовские поги типа дипоста и т.д. И делается это именно потому что fwc их перехватить не может и зарутить с авторизацией на сервак (ису). А так включив их в сиключение вы авоматом сожете сделать выход для данной проги в инет через secure-nat подключение с сооот-ми настройками в файере. К портам это имеет отдалённое отношение.
Но автор вопроса толком не объяснил что куда и почему - так что "какой вопрос такой ответ".

Цитата:

greenfox

Цитата:

ага, вы у нас один такой умный? В исключение fwc ставятся как правило клиенты (программы) которые работают не через стандартный winsocks а по старинке - ну досовские поги типа дипоста и т.д.

А как можно сказать про поддержку , которая говорит:

Цитата:

Позвонил в службу поддержки - мне ответили что нужно сделать переброс.

Значит эта поддержка либо не знает, что у клиетна стоит именно ISA-сервер, либо не знает как настроить сам ISA-сервер. Потому они там и не в теме.
Так что не понял я вашего раздражения...

По моему ответу- поэтому я и спрашивал про SmtpPop3.exe - она примерно так себя и ведет, как вы описали. Файрвол-клиет от нее "дохнет". Причем SmtpPop3.exe работает в составе ВИНДОВОЙ НАЛОГОВОЙ проги. И я сам сталкивался с этой проблемой у себя в сети. Решение было дано реально работающее.

ISA 2004 + SorfControl 5.0

в сетке работает контроллер на 2000 SP4,и прокся на 2003 SP1 c ISA 2004 SE

на ISA поставил SorfControl 5.0 Web filter и обновил Surf до SP1 захожу в rules administration
удалил все правила surfa по дефолту и создаю своё
задача пользователям домена запретить доступ на определенные домены типа ziza.ru, xxx.com ну и т.д.

disallow rule > Who пользователи домена > Where UrlList - там где ziza.ru, xxx.com ну и т.д. нажимаю применить и после этого пользователям домена запрещен доступ на все как это победить help pls =)

да еще какой метод Аутентификации использовать на ISA у меня сейчас
Digest
Integrated
Basic
по низнанию воткнул все три =)

Цитата:

SergVN

У меня интерпрайз. Так что наверное у вас в дереве консоли нужно кликнуть правой кнопкй мышы по вашему серверу и нажать свойства. Там и ищите эту закладку.
По это теме помотрите вот эту ссылку http://forums.techarena.in/printthread.php?t=328160

greenfox, нет FW клиент я убирал b правила прописывал . всеравно не пускает. Он даже не то что не пускает а не появляется в логировании ISA по протоколу POP3. вообще не понимаю что за фигня...

AvvNtl,
Цитата:

Значит эта поддержка либо не знает, что у клиетна стоит именно ISA-сервер

я сообщил что стоит ISA стоит. Популярно объяснил.

Да, вы правы насчет ПО - это дипозит, только под виндовс.


AvvNtl, greenfox помогите - буду очень благодарен за любую помощь. не отдавайте на съедение пользователям

Помогите, никак не разрешу

на исе сейчас 2 интерфеса:

Ethernet adapter Administration Connection:
Description . . . . . . . . . . . : Realtek RTL8139(A)-based PCI Fast Ethernet Adapter
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.55.139.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.55.139.254
DNS Servers . . . . . . . . . . . : 10.1.0.8


Ethernet adapter Local Area Connection:
Description . . . . . . . . . . . : Realtek RTL8139(A)-based PCI Fast Ethernet Adapter #2
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.0.0
DNS Servers . . . . . . . . . . . : 192.168.0.2



[10.1.0.29] - прокся вышестоящей организации, на нее настроен инет с моей ИСЫ2000 [10.55.139.1] (НАТ)
[10.55.139.254] маршрутизатор вышестоящей организации в моем диапазоне адресов [10.55.139.1] - [10.55.139.254]

Теперь задача: Поменять 192.168 на 10.55.139, чтобы DHCP и DNS сервер для локалки был 10.55.139.2, инет шел бы через [10.55.139.1] в режиме прокси с [10.1.0.29], а также работала публикация вэб и майл серверов [10.55.139.4]

была такая идея:
Разбиваем на 2 подсетки:10.55.139.1 - 10.55.139.126 - локальная (с маской 255.255.255.128) и 10.55.139.249 - 10.55.139.254 - сеткой вышестоящей организации (с маской 255.255.255.248).
Внешний интерфейс исы перемещаем во вторую подсеть и там делаем ей айпишник к примеру 10.55.139.249
Внутренний интерфейс исы будет иметь айпишник к примеру 10.55.139.1.
DNS и DHCP сервер 10.55.139.2 будет работать в локальной подсетке...
Между локальной и сеткой вышестоящей организации, я так думаю, можно организовать маршрутизацию. Получится ли сделать инет
через ИСУ в режиме прокси или ната???? И как это сделать, если это возможно??? как при этом будет работать публикация...Ткните, если не трудно... Познания пока только теоретические - почитал шиндера...

greenfox


Цитата:

А так включив их в сиключение вы авоматом сожете сделать выход для данной проги в инет через secure-nat подключение с сооот-ми настройками в файере. К портам это имеет отдалённое отношение.

Можно поподробнее с этого момента? Неисключено что я что то незделал.
ВОт мои действия:
1) На машине с IP 10.7.19.30 - Поставил фаервол в disable - отключил т.е.
2) Написал правило. Разрешить с IP 10.7.19.30 весть исходящий трафик на 83.х.х.х для All User
Вот и все. но всеравно ничего не получилось. Где я ошибся или что то может еще мешать?

AvvNtl

Цитата:

Так что не понял я вашего раздражения

ну тогда я вас не понял - думал слово "советчики" обращено в форумную публику. Будем считать вопрос закрытым.

alexps

Цитата:

нет FW клиент я убирал b правила прописывал . всеравно не пускает. Он даже не то что не пускает а не появляется в логировании ISA по протоколу POP3. вообще не понимаю что за фигня...

мммм... симптоматика странная, для начала отключите pop3 intr. filter (это на вкладке add-on), потом создайте самым первым правило разреш. доступ указанной тачке (пк) выход в инет по соот-м портам (и включ. пунктом логировать). Потом включите логгер с соот-м фильтром по ip этой машины и смотрите. не может быть что бы лог пустой был...
Надеюсь у вас иса сервер это дефолтный гейт для этого писюка? Антивирусы-файеры локальные трафик не блокируют?
Для более правильного ответа надо бы знать топку сети (как её пк видит это) версию исы, конкретно программа какая глючит и т.д.

Цитата:

alexps

А шлюз по умолчанию на компе клиента указывает на ип ISA-сервера?

alexps

Цитата:

Можно поподробнее с этого момента? Неисключено что я что то незделал.
ВОт мои действия:
1) На машине с IP 10.7.19.30 - Поставил фаервол в disable - отключил т.е.
2) Написал правило. Разрешить с IP 10.7.19.30 весть исходящий трафик на 83.х.х.х для All User
Вот и все. но всеравно ничего не получилось. Где я ошибся или что то может еще мешать?

1. Правило стоит первым в списке?
2. " А шлюз по умолчанию на компе клиента указывает на ип ISA-сервера?"
3. Что лог пишет?

Porolonchik
а че там рассказывать, просто опера с 9ки умеет integrated authentication, как ie, тока она пароль все спрашивает, но запомнимает.
alexps
просто пусти этот комп анонимноAvvNtl
SergVN
на нужные адреса по pop3 и smtp, прога подозреваю taxcom/dipost
а пробрасывать изнутри наружу через ису нельзя, это никому ненужная глупость можно пробрасывать наоборот, снаружи внутрь, чтобы входящие коннекты проходиль в сеть спрятанную за натом
SHRIKE74

Цитата:

но логи исы мне кажется должны находиться в папке с установленной исой и SQL тут ни причём

не пишите чушь и не сбивайте людей с толку )
логи у исы хранятся там где скажешь, либо в текстовиках либо в msde либо в sql. последний вариант самый гибкий и мощный.
SergVN
AvvNtl
Configuration Storage есть только у enterprise

Добавлено:
ailya1960
ну нагородил. начнем с того что если ты хочешь разбить сеть выданную сверху то делать это должны наверху, то есть перенастроить роутер 10.55.139.254
если это сделать то дальше никаких проблем, настраивай так же как и раньше тока локалка будет уже с другими ип.
не понимаю че ты там хочешь натить или публиковать если ты собрался между внешней и внутренней сеткой делать route? с прокси проблем не будет, твоя иса будет проксей а на ней ставишь web chaining на любую другую доступную проксю
alexps
первое что нужно делать это смотреть логи, без них это просто гадание