» Microsoft ISA Server 2006/2004/2000 (Часть III)

LYNX

Цитата:

подскажите пожалуйста как должно выглядеть правило для ISA 2004
чтобы пользователи могли gmail почтой пользоваться

там для отправки (SMTP) используется порт 2525

laamor

Цитата:

... При это у кого-то это решается сменой фтп клиента, допустим через IE могут на фтп зайти, а через тотал коммандер нет ...

Может дело в авторизации IE, и/или firewall client стоит на одних клиентах, а на других нет

VladKor

Цитата:

Помогите плиз.
Проблема при докачке файлов по FTP через ИСУ. Проверялось на разных агентах Mozila, IE, Opera, Flashget.
Суть агенты не могут получить размер файла, поэтому при обрыве файл закачивается поновой, ну и есстественно нет мультизагрузки.

Ты уверен что дела в ISA? Проверял этот ftp без исы? Дело в том, что теперь модно блокировать размер файла, связанно это с тем, что не возможно качать в несколько потоков, что уменьшает нагрузку на сервер

rijk

Цитата:

Может дело в авторизации IE, и/или firewall client стоит на одних клиентах, а на других нет

читай внимательнее, там речь о внешних клиентах и об опубликованном фтп, какие еще fwc и аутенфикация )

Цитата:

Ты уверен что дела в ISA? Проверял этот ftp без исы? Дело в том, что теперь модно блокировать размер файла, связанно это с тем, что не возможно качать в несколько потоков, что уменьшает нагрузку на сервер

Проверял, и сейчас закачиваю, правда через тарелку(там стоит freebsd), а надо добиться что-бы по земле работало, через ИСУ.

SergeyMark

Цитата:

Заменили ISA 2000 на ISA 2006 . Отправляются 3 сообщения в форум вместо оного. Где копать? Может кто сталкивался?

Добавлено:
Заменили ISA 2000 на ISA 2006 . Отправляются 3 сообщения в форум вместо оного. Где копать? Может кто сталкивался?

Добавлено:
Заменили ISA 2000 на ISA 2006 . Отправляются 3 сообщения в форум вместо оного. Где копать? Может кто сталкивался?

по теме - хз четакое, ниразу такого нивидел..

Подскажите как на ISA 2000 Destination Set добавить список запретных сайтов не вбивая их в ручную /если это возможно/?

VladKor

Попробуй отключи фильтр на FTP (В самом правиле настройка фильтров , сними галочку только для чтения )

VladKor

Цитата:

Проверял, и сейчас закачиваю, правда через тарелку(там стоит freebsd), а надо добиться что-бы по земле работало, через ИСУ.

Ну тогда попробуй отключить FTP фильтр на протоколе FTP, больше не знаю, что может влиять

Добавлено:
probel56

Цитата:

Подскажите как на ISA 2000 Destination Set добавить список запретных сайтов не вбивая их в ручную /если это возможно/?

на ISA 2004 работает http://isaserver.ru/files/default.aspx

Господа, красное пятно
"Due to an unexpected error, the service fwsrv stopped responding to all requests. Stop the service or the corresponding process if it does not respond, and then start it again. Check the Windows event Viewer for related error messages."
сервак повис на минуту, затем отвис.. просто служба fwsrv перезапустилась. в чем может быть дело?

Возникла следующая проблема - ISA 2006 не пропускает медийный поток (интернет-радио) из локальной сети во внешнюю.
Опубликованы протоколы RTSP-server и MMS-server.
Внутри сети поток прослушивается без проблем.
В журнале пишет: "Неудачная попытка соединения" (проверяю из вне).

PS: До этого стояла ISA 2004, проблем не было, правила идентичные.

Возился ли кто-то с восстановлением ISA 2006 или ISA 2004 на другое железо, есть ли какие загвоздки или подводные камни. Как лучше сделать?

JohnS
надо лог более развёрнуто смотреть (что атм именно неудалось - ошибка сокета или ещё что)
попробуй тупо создать новые протоколы с raw потоком и их опубликовать - может applic. фильтры новые в исе глючат ...

AndrConstruction
а что там делать? В исе центр часть это её конфиг (xml) Бэкапишь-восстанавливаешь...

дык не работает, после восстановления мля выдал предупреждение 21124 и всё нах конфигурэйшн сервер на работает, а за ним и всё остальное

Начальство поставило задачу обеспечить непрерывность получения эл. почты (две ISA c NLB на внешнем интерфейсе) - кто нибудь пробовал причем ISA 2006 Std. Ed.

AndrConstruction
тогда надо смотреть сам файлик и перед импортом ручками править то на что ругается

Здравствуйте есть ряд задачь, хотел бы услышать Ваш совет по их реализации:
1. Как запретить пользователям передавать файлы через ICQ (передавать у них получаеться так как клиент по 5190 передачу осуществляет, тупо порт закрыть не получаеться)?
2. Возможно ли запретить пользователям цеплять файлы в WEB формах, интересует mail.ru и иже с ними (если ИСОЙ нельзя, то какими средствами можно)?
3. какой из програмных продуктов типа TrafficQuta или BSplitter, может показывать общий обьём разрешённого и по каждому пользователю в оттельности?
Вот такие вопросы
жду ответа, спасибо!

AndrConstruction
надо по мс-у искать с соот-м кодом... или на форуме мсдн или isaserver.org (ты восстанавливал только файлик конфига, всё остальное с нуля ставил - ось, ису (версия надеюсь та же))

qwerty9911

Цитата:

Начальство поставило задачу обеспечить непрерывность получения эл. почты (две ISA c NLB на внешнем интерфейсе)

Иса тут немного боком, она только канал в инет обеспечивает Это тебе почтовик рыть надо...

poofik

Цитата:

Как запретить пользователям передавать файлы через ICQ (передавать у них получаеться так как клиент по 5190 передачу осуществляет, тупо порт закрыть не получаеться)?

там при передаче вроде соединение p2p со всеми вытекающими, так что если специально порты не открыл то по идее работать не должно... (http://icq.rambler.ru/help/filetransfer/) Или лог смотри ...
Цитата:

2. Возможно ли запретить пользователям цеплять файлы в WEB формах, интересует mail.ru и иже с ними (если ИСОЙ нельзя, то какими средствами можно)?

можно попробовать по контент-тайпу сечь такие попытки...
Цитата:

какой из програмных продуктов типа TrafficQuta или BSplitter, может показывать общий обьём разрешённого и по каждому пользователю в оттельности?

http://isaserver.ru/forums/thread/27487.aspx

Спасибо!

Цитата:

http://isaserver.ru/forums/thread/27487.aspx

Цитата:

можно попробовать по контент-тайпу сечь такие попытки...

попробовал, но что то результат нулевой.((

А с ICQ картинка ясна - думаю разберусь..

poofik

Цитата:

попробовал, но что то результат нулевой

ну может ещё посмотреть лог при закачки в форму вложения - может там какие http-методы используются в отличии от стандартного get и т.д. Может можно сигнатурой порезать или ещё что-н...

Но дубовый способ - запретить их вообще

greenfox
ну вложения цепляются обычно не get а post, но запретить этот метод будет глупо, даже на форумы мессаги не пошлешь
про аську еще сложнее, то что порты не открыты еще ничего не значит, сейчас я сижу за натом без какого либо проброса портов, другой человек тоже за натом без проброса, то есть формально p2p установить казалось бы нельзя, но друг другу кидаем файлы без проблем

Клиенты из MS IE подключаются через прокси MS ISA 2006 к https://172.16.1.1:4443 и к https://172.16.1.2:443
На MS ISA написал свое правило AllowHTTPS разрешающее подключения по дефолтному, в MSISA протоколу, HTTPS. Клиенты подключаются нормально к обоим серверам.
Посмотрел описание протокола HTTPS, указан только порт 443 (про порт 4443 упоминаний нет).
Выключил правило AllowHTTPS - соединения нет никуда.
Включил - соединение есть...

Таким образом получается MSISA не обращает внимание на номер tcp протокола в правилах?
Или я чего-то не допонимаю?

Хотел раздельно дать доступ разным клиентам на разные https порты. Теперь не догоняю как такое сотворить?

Кто нить пробовал - на одном сервере поднять два tls(ssl) на разных портах, будет работать через MSISA? Я не до конца понял как работает SSL tunneling - пытается подключится на первый попавшийся порт или на тот, который указан в адресной строке.

ребята а ИСа может блокировать удаленное подк. с рабочему столу ?
если да то где и что открыть ???
ИСА 2006
пасиб !!!

Добавлено:
и еще хаметил что после установки исы не пингуется сервер но инет через сервер работате... в следствии нету доступа к шаре..... ребята что нужно где донастроить ?

IeugeniyI
иса может блокировать что угодно. общий принцип всех нормальный фаеров: блокировать все что не разрешали.
ты же пинги и rdp не разрешал, значит будет блокировать.
для некоторых протоколов есть системные правила, включаешь их и будет щастье, для остальный создай правила сам. настройка всех фаеов в принципе сводится управлению правилами

hardhearted

Цитата:

ну вложения цепляются обычно не get а post, но запретить этот метод будет глупо, даже на форумы мессаги не пошлешь

я знаю,имелось же ввиду посмотреть что именно передаются в теле\хидере запроса post\get c mail.ru (каким-н семф. с поддержкой отображения трафика на http уровне) и соот-но вписать в бан на этойт сайт что-н уникальное Тоже самое относится к сигнатуре
Цитата:

про аську еще сложнее, то что порты не открыты еще ничего не значит, сейчас я сижу за натом без какого либо проброса портов, другой человек тоже за натом без проброса, то есть формально p2p установить казалось бы нельзя, но друг другу кидаем файлы без проблем

плагины какие стоят? Аська какая? Натуральная или аля квип? Наск я помню найтив работает по p2p и соот-но за натом ничего не передашь, но другие клиенты и всякие аддоны впихивают передаваемый файл в тело сообщения (т.е. как текст его передают) и соот-но это работает... в этом случае да труба...

greenfox
с клиентами асечными по разному. у меня миранда, на другой стороне бывали и квип и мирабилис 6.

Isa 2006 установлен на контроллере домена. На нем активен web-прокси для внутренней сети, в настройках прокси стоит проверка подлинности: встроенная и обычная. Создан ряд правил, в которых пользователем разрешено выходить в инет, т.е. только протокол http. Клиенты для исы ни где не установлены, проверка подлинности происходит по учеткам из домена(насколько я понял это и есть проверка подлинности: встроенная).
На одной машине установлена Icq, в настройках icq указан прокси, протокол http, а так же пользователь из домена, которому иса разрешает работу по http. Но при запуске Icq, она ругается что не правильный пользователь или пароль.
Как настроить ису для нормальной работы icq. (Пока что создано правило с привязкой к ip-машины на которой установлена Icq, а так же с разрешение для всех пользователей, а не только для тех кому надо, иначе Icq ругается.)

Lykym
поставить fwc на машину, или использовать нормальные клиенты для аськи

Народ, сталкивался ли кто-нибудь с такой ситуацией.

ISA Server пишет логи в MS SQL Server, не MSDE.

Размер БД храню за ~3 месяца назад, занимает всяко выше гига, а обычно даже несколько.

Делаю простейший запрос к этой БД по подсчёту трафика, и выполнение этого запроса SQL Server'ом через несколько минут съедает все процессорные ресурсы компа. Если в это время ISA пишет логи в этот SQL Server, то она останавливается с сообщением смысл которого "не могу писать логи". Но даже если её отключать от записи логов на период отработки запроса, то всё равно ПК настолько погружается в думы, что ему не хватает ресурсов на обслуживание пользователей. Хотя ISA и "типа работает", но в интернет ходить либо невозможно, либо почти невозможно.

Эту проблему я наблюдал на ISA 2000 + SQL 2000 и ISA 2004/2006 + SQL 2000, проявления полностью совпадают. Не помогает ни выставление процессу sqlservr.exe самого низкого приоритета, ни запрет ему пользоваться частью установленных процессоров. Эта связка эксплуатировалась на самых разных машинах, на существующее железо нет никаких оснований жаловаться. Двухпроцессорная мать с двухъядерными трехгигагерцовыми ксеонами, памяти 4Г.

Кто-нибудь сталкивался с этой проблемой и есть ли у кого придумки, с какой стороны к ней подлезть?

gespenstern
это не проблема исы, а проблема sql сервера, он просто слишком напрягается над твоими запросами

hardhearted
Ну, тут можно долго спорить, чья это проблема. В конце концов, иса могла бы, подобно ряду другого софта, не вести ухом на такую активность скл сервера и преспокойно продолжать работать. Но ведь нет же.

Я просто подумал, что эта проблема должна быть довольно распространённой и актуальной, т.к. очень многие сисадмины пишут логи исы с целью их анализа. При анализе крупных логов неизбежно возникает такая проблема, если логи писать в БД скл.

К моему удивлению час гугления на буржуйском языке не дал результатов. Есть вопросы, на исасервер.орг люди, подобно мне спрашивают. Ответов пока не видел.

gespenstern
спорить ты можешь сколько угодно, но если сервак из-за sql встает колом то иса тут уже не причем, на таком серваке все будет тормозить, и все кто с этим серваком работает тоже. у меня было такое, когда к исашной базе размером гиг 40-50 на sql2000 писал запросы то вставало все, и иса, которая на другом серваке, и бухи у которых 1сные базы в sql лежали. так что это проблема чисто sql.
а по поводу поведения исы, это нормальное поведение для всех систем обеспечивающих безопасность. если система не может записывать события (логи) то такая система должна запрещать все и останавливаться.
что мона тут посоветовать. правильно настраивать таблицы и базы, индексация очень полезная вещь. во вторых дисковые массивы должны быть достаточно производительные, тормозит часто из-за них. в третьих лично у меня на sql2005 запросы выполнялись на порядок быстрее и тормозило намного меньше. в четвертых, правильные писать запросы, кривой запрос может даже на маленькой базенке положить хороший мейнстрим
если хочется действительно независимости исы от общей sql базы то можно логи писать в отдельную базу, и периодически их перекладывать в основную. у меня так и было сделано, иса писала в бесплатный sql который стоял на ней же, а ночью эти логи перекидывались в основную базу стоявшую на отдельном sql серваке (можно попутно еще и урезать ненужные поля или конвертнуть что нить для экономии места)