» Microsoft ISA Server 2006/2004/2000 (Часть III)

greenfox
нашел только это..
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
догадки?

Добавлено:
vithak

Цитата:

такая же проблема. заходи на шару этого сервака по ip, должно работать.

сделал по айпи - на Хр вроде работает, а вот 98 всё-равно кричит при нескольких попытках, затем заходит..

98 винды у меня просто нет.
кстати, наблюдал подобную проблему, если если использоуется рабочая группа, а не домен. Отключи сервис "Обозреватель компьютеров".
Ещё одной причиной может быть использование сервера в качестве vpn сервера. При подключении юзеров в сети появляется "дубликат" сервера с другим ip. Получается конфликт netbios имён.

vithak
спасибо за отклики.

Цитата:

Отключи сервис "Обозреватель компьютеров"

где отключить то? у меня как раз воркгрупп..((

Цитата:

Ещё одной причиной может быть использование сервера в качестве vpn сервера. При подключении юзеров в сети появляется "дубликат" сервера с другим ip.

впн поднят, но не используется.

правая кл. мыши на мой компьютер - управление компьютером - службы - обозреватель компьютеров.


Добавлено:
SergeyMark

Цитата:

У меня та-же проблема. Видимо я неправильно настроил ISA Server. Пока суть проблемы не понял. Но обнаружил такую закономерность , если в настройках броузера указать прокси сервер - отправляются два сообщения, если прокси не указывать - отправляется одно сообщение. Получается что один клиент выходит в инет одновременно двумя способами и как клиент Web-прокси и как клиент брандмауэра или SecureNAT. Как настроить на один способ выхода в инет ?

В том то и дело, что isa настроена правильно. Всё работало нормально. Потом решил резать баннеры.
У меня только через прокси ходят в интернет. Через авторизацию.
Заметил, что проблема появляется при средней нагрузке на isa. Если нагрузки нет вообще, то всё работает нормально.
Если смотреть по логам, то иса не успевает обработать авторизацию, потом повторно пробует. Первая авторизация срабатывает и за ней сразу 2.
Возможно я ошибаюсь.

Добавлено:
SergeyMark

Цитата:

У меня та-же проблема. Видимо я неправильно настроил ISA Server. Пока суть проблемы не понял. Но обнаружил такую закономерность , если в настройках броузера указать прокси сервер - отправляются два сообщения, если прокси не указывать - отправляется одно сообщение. Получается что один клиент выходит в инет одновременно двумя способами и как клиент Web-прокси и как клиент брандмауэра или SecureNAT. Как настроить на один способ выхода в инет ?

В том то и дело, что isa настроена правильно. Всё работало нормально. Потом решил резать баннеры.
У меня только через прокси ходят в интернет. Через авторизацию.
Заметил, что проблема появляется при средней нагрузке на isa. Если нагрузки нет вообще, то всё работает нормально.
Если смотреть по логам, то иса не успевает обработать авторизацию, потом повторно пробует. Первая авторизация срабатывает и за ней сразу 2.
Возможно я ошибаюсь.

Добавлено:
SergeyMark

Цитата:

У меня та-же проблема. Видимо я неправильно настроил ISA Server. Пока суть проблемы не понял. Но обнаружил такую закономерность , если в настройках броузера указать прокси сервер - отправляются два сообщения, если прокси не указывать - отправляется одно сообщение. Получается что один клиент выходит в инет одновременно двумя способами и как клиент Web-прокси и как клиент брандмауэра или SecureNAT. Как настроить на один способ выхода в инет ?

В том то и дело, что isa настроена правильно. Всё работало нормально. Потом решил резать баннеры.
У меня только через прокси ходят в интернет. Через авторизацию.
Заметил, что проблема появляется при средней нагрузке на isa. Если нагрузки нет вообще, то всё работает нормально.
Если смотреть по логам, то иса не успевает обработать авторизацию, потом повторно пробует. Первая авторизация срабатывает и за ней сразу 2.
Возможно я ошибаюсь.

vithak

Цитата:

правая кл. мыши на мой компьютер - управление компьютером - службы - обозреватель компьютеров

не, ну я вовсе не глуп.. я грю где - всмысли на сервере или на клиентах?..

там, где глюк появляется.
в принципе на всех клиентах.

vithak
А у меня в логах сперва появляется anonimous - SecureNAT , а следом за ним сразу имя_юзера - клиент Web-прокси .

Цитата:

да собственно ничего и не надо, закрыл доменное имя в domain name set и закрыл ип адреса.

спасибо

SergeyMark
только пользователь. анонимусы появляются, если в правиле для раздачи интернета стоит All users. Если поставить авторизованных пользователей, то будет пускать только тех, кто удачно прошёл авторизацию. Например авторизация в AD.

Добавлено:
SergeyMark
вот как происходит отправка сообщения на этот форум:

Initiated Connection ISA-SRV 31.01.2008 15:00:18
Log type: Firewall service
Status: Операция успешно завершена.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51416)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound

Denied Connection ISA-SRV 31.01.2008 15:00:26
Log type: Web Proxy (Forward)
Status: 12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy service is denied.
Rule: int_to_internet
Source: Internal ( 192.168.0.29:0)
Destination: External ( 72.232.29.238:80)
Request: POST http://forum.ru-board.com/post.cgi
Filter information: Req ID: 09d325af
Protocol: http
User: anonymous

Closed Connection ISA-SRV 31.01.2008 15:00:26
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51416)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Initiated Connection ISA-SRV 31.01.2008 15:00:26
Log type: Firewall service
Status: Операция успешно завершена.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51417)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Denied Connection ISA-SRV 31.01.2008 15:00:31
Log type: Web Proxy (Forward)
Status: 12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy service is denied.
Rule: int_to_internet
Source: Internal ( 192.168.0.29:0)
Destination: External ( 72.232.29.238:80)
Request: POST http://forum.ru-board.com/post.cgi
Filter information: Req ID: 09d325b0
Protocol: http
User: anonymous

Closed Connection ISA-SRV 31.01.2008 15:00:31
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51417)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Initiated Connection ISA-SRV 31.01.2008 15:00:31
Log type: Firewall service
Status: Операция успешно завершена.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51418)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Allowed Connection ISA-SRV 31.01.2008 15:00:37
Log type: Web Proxy (Forward)
Status: 200 OK
Rule: int_to_internet
Source: Internal ( 192.168.0.29:0)
Destination: External ( 72.232.29.238:80)
Request: POST http://forum.ru-board.com/post.cgi
Filter information: Req ID: 09d325b3
Protocol: http
User: domain\user

Closed Connection ISA-SRV 31.01.2008 15:00:37
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51418)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

т.е. получается, что браузер сначала 2 раза пытается по анонимусу зайти и иса его блокирует, а потом идёт авторизация по воменному пользователю и всё проходит удачно.
если проходит только одно удачное соединение, то почему сообщения 3 раза отправляются?

Добавлено:
SergeyMark
вот как происходит отправка сообщения на этот форум:

Initiated Connection ISA-SRV 31.01.2008 15:00:18
Log type: Firewall service
Status: Операция успешно завершена.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51416)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound

Denied Connection ISA-SRV 31.01.2008 15:00:26
Log type: Web Proxy (Forward)
Status: 12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy service is denied.
Rule: int_to_internet
Source: Internal ( 192.168.0.29:0)
Destination: External ( 72.232.29.238:80)
Request: POST http://forum.ru-board.com/post.cgi
Filter information: Req ID: 09d325af
Protocol: http
User: anonymous

Closed Connection ISA-SRV 31.01.2008 15:00:26
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51416)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Initiated Connection ISA-SRV 31.01.2008 15:00:26
Log type: Firewall service
Status: Операция успешно завершена.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51417)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Denied Connection ISA-SRV 31.01.2008 15:00:31
Log type: Web Proxy (Forward)
Status: 12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy service is denied.
Rule: int_to_internet
Source: Internal ( 192.168.0.29:0)
Destination: External ( 72.232.29.238:80)
Request: POST http://forum.ru-board.com/post.cgi
Filter information: Req ID: 09d325b0
Protocol: http
User: anonymous

Closed Connection ISA-SRV 31.01.2008 15:00:31
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51417)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Initiated Connection ISA-SRV 31.01.2008 15:00:31
Log type: Firewall service
Status: Операция успешно завершена.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51418)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Allowed Connection ISA-SRV 31.01.2008 15:00:37
Log type: Web Proxy (Forward)
Status: 200 OK
Rule: int_to_internet
Source: Internal ( 192.168.0.29:0)
Destination: External ( 72.232.29.238:80)
Request: POST http://forum.ru-board.com/post.cgi
Filter information: Req ID: 09d325b3
Protocol: http
User: domain\user

Closed Connection ISA-SRV 31.01.2008 15:00:37
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51418)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

т.е. получается, что браузер сначала 2 раза пытается по анонимусу зайти и иса его блокирует, а потом идёт авторизация по воменному пользователю и всё проходит удачно.
если проходит только одно удачное соединение, то почему сообщения 3 раза отправляются?

Добавлено:
SergeyMark
вот как происходит отправка сообщения на этот форум:

Initiated Connection ISA-SRV 31.01.2008 15:00:18
Log type: Firewall service
Status: Операция успешно завершена.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51416)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound

Denied Connection ISA-SRV 31.01.2008 15:00:26
Log type: Web Proxy (Forward)
Status: 12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy service is denied.
Rule: int_to_internet
Source: Internal ( 192.168.0.29:0)
Destination: External ( 72.232.29.238:80)
Request: POST http://forum.ru-board.com/post.cgi
Filter information: Req ID: 09d325af
Protocol: http
User: anonymous

Closed Connection ISA-SRV 31.01.2008 15:00:26
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51416)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Initiated Connection ISA-SRV 31.01.2008 15:00:26
Log type: Firewall service
Status: Операция успешно завершена.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51417)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Denied Connection ISA-SRV 31.01.2008 15:00:31
Log type: Web Proxy (Forward)
Status: 12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy service is denied.
Rule: int_to_internet
Source: Internal ( 192.168.0.29:0)
Destination: External ( 72.232.29.238:80)
Request: POST http://forum.ru-board.com/post.cgi
Filter information: Req ID: 09d325b0
Protocol: http
User: anonymous

Closed Connection ISA-SRV 31.01.2008 15:00:31
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51417)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Initiated Connection ISA-SRV 31.01.2008 15:00:31
Log type: Firewall service
Status: Операция успешно завершена.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51418)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

Allowed Connection ISA-SRV 31.01.2008 15:00:37
Log type: Web Proxy (Forward)
Status: 200 OK
Rule: int_to_internet
Source: Internal ( 192.168.0.29:0)
Destination: External ( 72.232.29.238:80)
Request: POST http://forum.ru-board.com/post.cgi
Filter information: Req ID: 09d325b3
Protocol: http
User: domain\user

Closed Connection ISA-SRV 31.01.2008 15:00:37
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule:
Source: Local Host ( XXX.XXX.XXX.XXX:51418)
Destination: External ( 72.232.29.238:80)
Protocol: TCP Outbound
User:

т.е. получается, что браузер сначала 2 раза пытается по анонимусу зайти и иса его блокирует, а потом идёт авторизация по воменному пользователю и всё проходит удачно.
если проходит только одно удачное соединение, то почему сообщения 3 раза отправляются?

RXLayer
на ису и от исы некоторые протоколы регулируют соответствующие системные правила, в частости про доступ по rdp к исе тоже (по умолчанию разрешены тока те кто в remote managment computers)
если что то другое надо то создай нужные правила сам, проблемы никакой не вижу.

Добавлено:
vithak
SergeyMark
для начала, разберите наконец разницу между авторизацией и аутенфикацией, чаще всего вы говорите именно про второе, но все называете одним словом
во вторых если правило не анонимное, то есть стоит не all users а например all authenticated users (обратите внимание именно authenticated а не authorized ), в случае прокси запросов от клиента всегда два, первый всегда анонимный и иса его отклоняет с требованием аутенфикации, а второй уже аутенфицированный (если приложение умеет конечно)
если оба одинаковых запроса проходят и оба аутенфицированных то надо проверять, по одному ли правилу они проходят, не используется ли левых фильтров, не было каких нить настроек по конктенту или сигнатурам, и т.д.

вобщем после многочисленных эксперементов остановились на том, что иса нифига не дружит по IpSec -у с хардварным NetScreen

Вопрос для знающих ИСУ. Можно ли сделать так чтобы клиенты ИСЫ 2006 перестали видеть сервер ИСЫ 2006, но при этом сервер был в сети. Перенастройка клиентов отпалает, так как их слишком много

axit
а что для тебя есть видеть?

axit

Цитата:

перестали видеть сервер ИСЫ 2006,

в локальной сети?

hardhearted
Похоже, это просто гюковатось исы или винды. Без сильной нагрузки иса работает нормально.

hardhearted

Цитата:

axit
а что для тебя есть видеть?

Под видеть я подразумевал, что клиент исы видит в сети ису сервер и автоматически на неё настраивается и в итоге пытается получить интернет содержимое через ису сервер. А это мне в данный момент не надо

axit
выключи поддержку fwc на исе в свойствах internal

Цитата:

Господа, незнаю уже у кого спросить((
после установки всех СП появилась такая ерунда - у каждого юзера есть подключенный сетевой диск (общая папка с прогами на серваке, на котором ИСА стоит). Так вот после включения юзерского компа, ниодно прога с этого сетевого диска не запускаеца, жалуясь на недоступность этогосамого диска... иду в сетевое окружение - сервер - общая папка.. с первого раза на сервер не заходит, иду второй раз - заходит. закрываю сетевое окружение,запускаю проги с сетевого диска - всё начинает работать!! ппц.. мысли у кого есть, ктонить сталкивался??
ИСА 2004.
Надоело на сервак долбиться, чтоб он доступен стал после нескольких таких домоганий.....

блин, сча посмотрел логи, вот что есть:

Closed Connection SRV1 04.02.2008 8:58:23
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule: -
Source: Internal ( 10.10.10.202:4638)
Destination: Local Host ( 10.10.10.200:8080)
Protocol: TCP Outbound
User: -

сталкивался ктонибудь??????

Добавлено:
и вот ещё

Closed Connection SRV1 04.02.2008 10:23:07
Log type: Firewall service
Status: A connection was abortively closed after one of the peers sent a RST segment.
Rule: -
Source: Internal ( 10.10.10.202:1234)
Destination: Local Host ( 10.10.10.200:8080)
Protocol: TCP Outbound
User: -

господа!!!
вопрос не совсем про ИСУ но на ее тему...
у нас разрешена аська некоторым сотрудникам.
СЭБ требует чтобы была возможно сть в случае чего просмотреть переписку
какой снифф можно поставить на ИСУ?

Какаие есть варианты для входа в инет с паролем при запуске internet explorer при ИСЕ 2006?

north_crow
Попробуй Shadow IM Sniffer

как в ISA 2006 включить протокол NetBios?

периодически в течение дня отваливается соединение наружу.
есть сервер: П3,512 озу.в домене
isa 2004(+bsplitter). от него кабель (честно сказать 150м.) до модема? он же соединен с антенной.
ничего в последнее время не менялось на сервере.
но в тоже время, в течение дня отваливается обмен пакетами между модемом и сервером. если на сервере смотреть в этот момент то ничего не происходит ни в логах ни в isa. только на интерфейсе наружном send есть а приема нет.
в один момент звоню провайдеру, говорит - модем у вас перегрузился - думал питание - подключил к UPS. но все равно...
поменять сетевую да переключить на другой слот ее?
и вцелом какие-либо колизии внутри сети могут ли сказаться на внешний интерфейс этого сервера?к чему спрашиваю - тут у нас сеть тянут,были моменты что не правильно подключения делали,но это порешили....

установил сервер терминалов, пробую зайти удаленно. В самом терминале выдается msg: "RFC сервер не определен" В чем может быть проблема и как её решить? Что за RFC червер?

axit
что значит включить в исе? сама иса его не использует и в ней ничего не надо включать. включается он в настройках интерфейсов в винде, и включен обычно по умолчанию.
RXLayer
где ты его установил? откуда и как ты на него удаленно заходишь? на каком этапе это пишется и где конкретно? ты не путаешь с RPC? и почему ты уверен что это иса виновата?

Приветствую. Подскажите в чем может быть дело.
Пользователи беруться из домена Win2000Server
Используем ISA2000.
Проблема заключаеться в том что, когда пользователю блокируеться контент video и audio
ему почемуто также становяться недоступными аська, фтп, поп3.
Как только открываю доступ к video и audio то аська фтп и почта работабт как ни в чем не бывало. Проверено несколько раз. Ктонить подскажет как от этого избавиться?

Коллеги, помогите плиз разобраться.

Стоит иса в рабочей группе- раздает инет через адсл. Юзера вне домена
Только basic авторизация возможна?
поставил домен отдельно, забил учетки, включил integrated+digest авторизация - не хочет авторизироваться.
Соит ли ису в домен включать, сам майкрософт говорит, что это не безопасно.
Как можно нормально авторизацию установить?
Как у вас установлено? Поделитесь плиз

Заранее благодарю!

mistx
где написано что ису в домен небезопасно? иса без домена это безполезная приблуда за 1.5К $
если хочешь без домена, то создавай локальные учетки на исе, тока это конечно для извращенцев.

hardhearted
>где ты его установил?
на шлюзе

>откуда и как ты на него удаленно заходишь?
через внешний ip

Пишется после логина на серваке.

>на каком этапе это пишется и где конкретно? ты не путаешь с RPC?
блин! дела........вчера несколько раз смотрел было RFC.... сегодня ты будешь смеяться ... RPC!! А я поповоду RFC вчера пол инета перерыл. Надо заканчивать работать по 12 часов!

RXLayer


Цитата:

если хочешь без домена, то создавай локальные учетки на исе, тока это конечно для извращенцев.

ок. допустим поднял домен. Юзеров обязательно в домен подключать? Или можно только учетки создать?

на майкрософте написано, что интегретид поддерживает только IE. Если поставлю integrated+digest у юзеров с другими браузерами проблем не будет?