» Microsoft ISA Server 2006/2004/2000 (Часть III)

Dead_Moroz

Цитата:

Ну... мой пост на IXBT. Делов-то.

Может подскажешь , что нужно открыть для клиента Acronis True Image Server ?

SSL Bridging and Tunneling в isa 2006 осталось это разграничение как в 2004?

SergeyMark

Цитата:

Может подскажешь , что нужно открыть для клиента Acronis True Image Server ?

Подскажу. Включаешь логгинг и смотришь, по каким портам идет отбой. Эти порты и открываешь.
Именно так я и игрался с SAV.

Newsalli
ну совсем уже разленилис, даже поимкать не могут, в шапке сайты есть
http://www.isaserver.org/software/ISA/Bandwidth-Control/

Подскажите пожалуйста люди добрые. У меня такая проблема - нужно настроить ISA таким образом, чтобы она прослушивала все входящие соединения во внешнюю сеть и автоматически пускала все нужные компы в инет. Т.е. нужно чтобы на компах был прописан только адрес шлюза в настройках сети и все. Заранее спасибо.

Добавлено:
UPD: У меня ISA 2006 и винда 2k3 R2

peredozo
что значит автоматически? и что значит
Цитата:

прослушивала все входящие соединения во внешнюю сеть

?
если комп лезет наружу то это исходящее, и иса их не слушает, слушает тот к кому соединяются иса как файрвол решает разрешать соединение или нет. если тебе просто надо разрешить какой то трафик наружу каким то компам то создай такое правило на исе и все.

Dead_Moroz

Цитата:

Подскажу. Включаешь логгинг и смотришь, по каким портам идет отбой. Эти порты и открываешь.

Отбой идет по 9876 . Открыл этот порт аналогично Symantec , по TCP и UDP. Все равно блокирует, пишет:"Нераспознанные IP данные". Чего может нехватать?

Парни, подскажиет почему у меня в сессиях по три штуки от каждого пользователя. Я установил FWC на клиентах, настроил адрес сервера и теперь в сессиях от каждого пользователя появляются SecureNAT, WebProxy (anonymous) и WebProxy (user_name). Причем если убить SecureNAT или WebProxy (anonymous) - они все равно появляются. Что я не так настроил или недонастроил? И вообще где Firewall Client, почему Web Proxy???

Народ,
есть проблемка с ИСА2004 (SP3)
Есть такая прога с сайта знакомств, наз-ся она Тет-А-Тет. Вводишь там свой логин с паролем, она к ним на сайт коннектится и типа ты онлайн на этом сайте. Так вот, с ИСА2000 все без проблем работало, а с ИСА2004 не хотит...не коннектится и все. Правило доступа есть, куда еще копнуть не знаю...самое интересное, что она стучится удаленно на 5190 и 80 порт...вроде стандартные порты, ничего такого.
Картинка с логами, там какие-то недопустимые данные и нон-син пакеты:
картинка

laamor
работать надо, а не по сайтам знакомств лазать

Alexx123
все нормально, так и должно быть, читай доки или книгу и поймешь почему.
а web proxy а не fwc наверное потому что у тебя юзера лезут в инет через браузер настроенный на прокси )

ребята...
пересмотрел весь этот топик и соседние по GPO и по Автоматизации - но ненашел ответа на интересующий меня вопрос.
а вопрос вот в чем: как распространить через GPO всем юзерам FWC но уже с нужными мне параметрами (адресом сервака и т.д.)??? через ГПО (Компьютер-Установка программ) FWC ставиться но там нельзя узаказать ключи установки
пробывал через админ установку сделать пакет - но там не появляется выбор параметров
может можно как нить перепаковать msi с нужными мне параметрами?

Цитата:

laamor
работать надо, а не по сайтам знакомств лазать

Ну дык и интересно...почему не работает Часть работы.

north_crow
это читал?
http://support.microsoft.com/kb/838122

Нигде не могу найти - как создать правило, чтобы перенаправлять HTTP/FTP запросы в мир из внутренней сети для некоторых IP на другой внутренний адрес:порт с установленным SQUID. ISA 2004.
Подскажите куда смотреть, если приходилось сталкиваться с подобными задачами.

hardhearted
читал!
через сетап с ключами работает если посадить на пользователя - НО у пользователй нет прав админа так что автоматом неполучится
а если через развертываение msi на компьютер - то нельзя указать ключи установки.
и еще ни в одном из способов нет возможности выставить параметр "прятать при подключении"
подскажите как пересобрать msi чтобы все автоматом выставлялось???

north_crow
пересборка msi это уже вопрос не по исе
там вроде все параметры в ini файле указываются

north_crow
Настройки для клиента по-умолчанию для всех пользователей лежат здесь: C:\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004
Настройки для конкретного пользователя лежат здесь: C:\Documents and Settings\%UserName%\Local Settings\Application Data\Microsoft\Firewall Client 2004

Файлы с настройками common.ini и management.ini.

Посмотреть скрипт (в GPO применяется на компы), который удаляет старую версию, ставит новую и прописывает настройки по-умолчанию для всех пользователей [more=здесь.] 'Скрипт удаляющий предыдущие версии MS Firewall и устанавливающий версию 67112306 с настройками.
Dim strR_ServiceInstall
strR_ServiceInstall = "HKLM\SYSTEM\CurrentControlSet\Services\FwcAgent\ImagePath"

If keyExist(strR_ServiceInstall ) = "FALSE" Then
    Install 'Если сервис не установлен, то инсталим новую версию
    'WScript.Echo "Force Install !!!"
Else
    Check_Uninstall_Install 'Сервис установлен. Проверяем версию, и действуем по результатам
End if

CopySettings 'копируем ini с настройками по-умолчанию

Sub CopySettings
    On Error Resume Next
    Dim PathFromSettings, PathToSettings
    PathFromSettings = "\\dc1\CorpSoft\ISA_Clients\MS_FWC_2006\ini"
    PathToSettings = "C:\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004"
    Set objFSO = CreateObject("Scripting.FileSystemObject")
    objFSO.CopyFolder PathFromSettings, PathToSettings, TRUE
End Sub

Sub Check_Uninstall_Install
    On Error Resume Next
    Dim VerPath, Version, UninstStr
    VerPath = "HKCR\Installer\Products\87F7B9917B965C74D8B43ADE3119BFB6\Version"
    UninstStr = "MsiExec.exe /quiet /norestart /X{199B7F78-69B7-47C5-8D4B-A3ED1391FB6B}"
    set WSHShell = WScript.CreateObject("WScript.Shell")

    If keyExist(VerPath) = "TRUE" Then
        ver = WSHShell.RegRead(VerPath)
        'wscript.echo(ver)
        If ver < 67112306 Then
            'WScript.Echo "МЕНЬШЕ!"
            WshShell.Run UninstStr
            WScript.Sleep(60000)
            Install
        Elseif ver = 67112306 THEN
            'WScript.Echo "РАВНО!"
        Else
            'WScript.Echo "БОЛЬШЕ!"
        End if
    Else
        WshShell.Run UninstStr
        WScript.Sleep(60000)
        Install
    End If
End Sub

Sub Install
    On Error Resume Next
    'WScript.Echo "Install..."
    Dim PathToMSI
    PathToMSI = "\\dc1\CorpSoft\ISA_Clients\MS_FWC_2006\MS_FWC.msi"
    set WSHShell = WScript.CreateObject("WScript.Shell")
    WSHShell.Run "msiexec.exe /i" & chr(34) & PathToMSI & chr(34) & " /quiet /norestart", 1, true
End Sub

Function keyExist(strRegKey)
    dim oShell, strOldName
    set oShell = CreateObject("Wscript.Shell")
    On Error Resume Next
    strOldName = OShell.RegRead(strRegKey)
    If Err.number = 0 Then
        keyExist = "TRUE"
    Else
        keyExist = "FALSE"
    End If
    On Error Goto 0
    Set oShell = Nothing
End function [/more]

Для распространения настроек по пользователям, можно переделать скрипт, чтобы он состоял из одной процедуры "CopySettings", а потом распространять его в GPO по пользователям.

З.Ы. Для нормальной работы нуно юзать WPAD DHCP (ключевые слова для поиска).

Нашёл способ отключить в ISA 2006 прозрачное проксирование коннектов на 80 порт, проходящих через нее.
1) в реестре находим описание predefined HTTP protocol и ставим там msFPCPredefined=0
2) в консоли исы меняем порт этого протокола на что-нибудь редкое типа 65535

После этого запросы через web proxy работают, как и раньше, а user-defined протокол Http без фильтра и в самом деле не проксирует запросы.

Подскажите, где грабли.
Есть правило разрешить весь трафик из локальной сети в мир.
Пакеты по любым портам во внешний мир ходят. по порту 4444 пакеты за ИСУ не выходят, а в логах лишь одна ошибка "неудачная попытка соединения" 0х80072746.
Почему ИСАблокирует порт 4444 и как убрать блокировку.

north_crow

Как настроить WPAD

http://www.redline-software.com/rus/support/articles/isaserver/security/configure-isa-2004-network-services-segment-perimeter-firewall-part-5.php

volos4
а кто сказал что она блокирует, написано же "неудачная попытка соединения"

Разобрался, пакеты блокировала желеа, которая стояла после ИСЫ

Господа! Вот что за.... время от времени появляются жёлтые пятна в ивент вьюире
"ISA Server detected a proxy chain loop. There is a problem with the configuration of the ISA Server routing policy."
и понять не могу, что он хочет..
никто не в курсе?????

Tim2000
тебе ж написали, что у тебя где то проблема проверь настройки роутинга, настройки правил меж сетями и web proxy chaining

Заменили ISA 2000 на ISA 2006 . Отправляются 3 сообщения в форум вместо оного. Где копать? Может кто сталкивался?

Добавлено:
Заменили ISA 2000 на ISA 2006 . Отправляются 3 сообщения в форум вместо оного. Где копать? Может кто сталкивался?

Добавлено:
Заменили ISA 2000 на ISA 2006 . Отправляются 3 сообщения в форум вместо оного. Где копать? Может кто сталкивался?

Помогите плиз.
Проблема при докачке файлов по FTP через ИСУ. Проверялось на разных агентах Mozila, IE, Opera, Flashget.
Суть агенты не могут получить размер файла, поэтому при обрыве файл закачивается поновой, ну и есстественно нет мультизагрузки.

Вот лог ИСЫ.

Неудачная попытка соединения PE1600SC 27.12.2007 15:28:33
Тип журнала: Веб-прокси (прямой)
Состояние: 64 The specified network name is no longer available.
Правило: Internet
Источник: Внутренняя (10.3.1.11)
Назначение: Внешняя (209.160.33.73:21)
Запрос: GET ftp://ftp.drweb.com/pub/drweb/windows/drweb-444-win-ru.exe
Информация фильтра: Req ID: 02cd1f5a; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Протокол: ftp
Пользователь: Domain\User
Дополнительные сведения
Агент клиента: Opera/9.24 (Windows NT 5.2; U; en)
Источник объекта: Интернет (Источник - Интернет. Объект был добавлен в кэш.)
Сведения о кэше: 0x0
Время обработки: 8390 MIME-тип:

А это в протоколе Flashgeta

Thu Dec 27 15:30:20 2007 Connecting proxy 10.100.1.4 [IP=10.100.1.4:3127]
Thu Dec 27 15:30:20 2007 Connected.
Thu Dec 27 15:30:20 2007 GET ftp://ftp.drweb.com/pub/drweb/windows/drweb-444-win-ru.exe HTTP/1.1
Thu Dec 27 15:30:20 2007 Host: ftp.drweb.com
Thu Dec 27 15:30:20 2007 Accept: */*
Thu Dec 27 15:30:20 2007 User-Agent: FlashGet
Thu Dec 27 15:30:20 2007 Pragma: no-cache
Thu Dec 27 15:30:20 2007 Cache-Control: no-cache
Thu Dec 27 15:30:20 2007 Proxy-Authorization: Basic bWF4OnN1cGVydmZjbnRo
Thu Dec 27 15:30:20 2007 Connection: close
Thu Dec 27 15:30:24 2007 HTTP/1.1 200 OK
Thu Dec 27 15:30:24 2007 Via: 1.1 PE1600SC
Thu Dec 27 15:30:24 2007 File size unknown, can't start other parts.
Thu Dec 27 15:30:24 2007 Start Receiving Data!
Thu Dec 27 15:30:24 2007 Destination file exists, auto rename
Thu Dec 27 15:30:26 2007 User Cancel at 55399.

Что не так, ступор какой-то.

У меня с FTP публикацией тоже непонятки. Большинство клиентов никаких проблем не испытывают, но примерно некоторые не видят FTP, то есть не могут получить список папок, просто висит фтп клиент, говорит не могу отобразить бла бла, что-то такое. При это у кого-то это решается сменой фтп клиента, допустим через IE могут на фтп зайти, а через тотал коммандер нет (пассивный режим включен и там и там), или наоборот. А кто-то говорит, разные клиенты перепробовал и нифига не получается.

Опубликовано нормально вроде, ftp access filter галочкой отмечен. FTP сервер SERV-U.

Насколько я понял зависает с такой ошибкой:

PASV

500 The server retuned invalid response for PASV command

500 Invalid PORT command

Я не про публикацию говорю, речь идет о том что download manager (любой), не получает размер файла, причем бровзинг по ftp-серверам нормальный любым агентом, отсюда проблема с закачкой-докачкой по ftp, по http - нормально.

подскажите пожалуйста как должно выглядеть правило для ISA 2004
чтобы пользователи могли gmail почтой пользоваться