» Microsoft ISA Server 2006/2004/2000 (Часть III)

Доброго времени суток!
У меня следующая трабла: isa неправильно считает трафик, причом непросто неправильно, а безбожно врет. Как проверял? Есть статистика прова, за сутки объем трафа входящего 140 метров, а иса в свою очередь пишет, что входящего трафа 600 метров :)
Версия исы 2006.
Логи пишет в .w3c файл. (FWC, Proxy)
Чекал логи спомощью InternetAccess Monitor.

mistx
юзеров в домен не подключают, либо они работают под доменными учетками либо нет.
integrated щас поддерживает не тольтко IE, а включить ты можешь хоть все виды аутенфикации, они не мешают друг другу.
Vaginator
так считал то IAM а не иса, иса ничего не считает, она тока логи пишет, так что с производителей этого самого iam и спрашивай

Цитата:

Господа, незнаю уже у кого спросить((
после установки всех СП появилась такая ерунда - у каждого юзера есть подключенный сетевой диск (общая папка с прогами на серваке, на котором ИСА стоит). Так вот после включения юзерского компа, ниодно прога с этого сетевого диска не запускаеца, жалуясь на недоступность этогосамого диска... иду в сетевое окружение - сервер - общая папка.. с первого раза на сервер не заходит, иду второй раз - заходит. закрываю сетевое окружение,запускаю проги с сетевого диска - всё начинает работать!! ппц.. мысли у кого есть, ктонить сталкивался??
ИСА 2004.
Надоело на сервак долбиться, чтоб он доступен стал после нескольких таких домоганий.....

сейчас пытался попасть в общую папку на сервере, иса опять не пускала, попыток 40 наверное было.. пошол по айпи сервака а не по имени - с первой попытки зашол. глянул в логи исы - все эти попытки были с обращением по днс на сервер прова.. ниче нипонимаю вообще.

hardhearted
Так дело в том, что и TQuota тоже самое показывает и режет всем траф, в то время как у людей реально привышенй нет.
Если спомощью средств исы сделать отчет, то та показывает вообще смешные цифры в 30 метров.
мне б хотя бы направление -где копать? откуда такое вранье в логах может быть?

Tim2000
а какого лешего иса вообще лезет на dns прова? у нее эти dns где нить прописаны?
Vaginator
сначала посчитай трафик ручками из логов, и сравни
а потому уже разбирайся кто врет и кто как считает, ms не обязана отвечать за кривые левые проги которые неправильно считают трафик

hardhearted
(стоит дайджест+интегрейтид, убрано require users...)
Задача:
Нужно чтобы у юзеров появлялось окно аутентификации. (для этого в правилах поставил - domain users вместо all users)
проблемы:

1. internet explorer
появляется окно пишу
student
Password
требует, чтобы было так - nwtraders/student
это не удобно, можно ли сделать, чтобы юзеры не вводили домен?

2. Firefox
Требует вводить пароль на каждой странице сайте - вообще неудобно.

Можно ли решить данные проблемы?

hardhearted

Цитата:

а какого лешего иса вообще лезет на dns прова? у нее эти dns где нить прописаны?

дак в том то и дело что нет! вообще понять нимагу че она завыкаблучивалась.. такое ощущение что глюкнула она нипадецки и подлежит переустановке
с использованием протокола днс есть правило днс, днс-сервер фром олл нетворкс ту олл нетворкс..

Скажите кто-нибудь, может ли MS ISA 2006 считать трафик взятый из кэша по каждому пользователю и формировать отчеты, где наглядно это будет видно?
А то вижу только общий объем трафика взятый из кэша, а мне надо по каждому пользователю.

Приветствую!
Помогите плиз разобраться.

Цель:
Отрубить QIP с 18.00 до 9.00.

Что делал:
QIP выходит через SOCKS(есть соответствующее разрешающее правило).Создал расписание,которое активно с 18.00 до 9.00.Создал запрещающее правило на исходящие по SOCKS,в котором выставил указанное расписание.Поставил его поверх разрешающего.

Проблема:
QIP продолжает работать.Т.е. созданное подключение не сбрасывается,юзер как сидел в аське,так и сидит.Но если переподключить QIP,запрет работает.

Вопрос:
Как заставить ISA сбрасывать активные подключения по расписанию применительно к моей ситуации?

P.S.Пока удалось решить эту задачу с помощью TrafficQuota.Создал правило лимитировать траффик в 1кб,после чего "Deny further access and terminate all opened connections".В schedule указал соответствующее расписание.Получилось грубо,кроме
того это возможно только потому,что для этой группы пользователей доступ по HTTP,FTP запрещён и в рабочее время(разрешён только QIP).Хотелось бы,чтоб ISA делал это:"...terminate all opened connections."

W2k3,ISA Server Standart Edition 2006.

urasov

ProxyInspector for ISA,TrafficQuota.

Цитата:

ProxyInspector for ISA,TrafficQuota.

TrafficQuota не пользовал.
А вот где в ProxyInspector for ISA показывает трафик из кэша по пользователям? Где? Я не нашел.
Хочется отчет вида:
User;External_KB;Cache_KB;Total_KB

urasov

Там есть трафик по пользователям.Всё через "Мастер создания отчётов".

Цитата:

Там есть трафик по пользователям.Всё через "Мастер создания отчётов".

Дак ты прочитай внимательно мой вопрос, пожалуйста! Где же ты в отчете по пользователям увидел, объем данных которые были взяты из кэша?
У меня отчет выглядит так:
IP адрес; Запросы; Отправленно; Получено; Общий трафик(*); %(Общий трафик)

Где тут объем информации, который был взят из кэша? Нету же

urasov
Так,давай разбираться.Как я понял,тебе нужен отчёт,в котором отдельным пунктом будет трафик пользователя,возвращённый с web-кеша(т.е. трафик,который возвращается ISA сервером с кеша web-прокси).Если так,то этого действительно нет(хотя завтра на работе ещё раз уточню).
Если не секрет,зачем тебе это нужно?
Могу подсказать,что если тебе нужно подсчитать реальный трафик пользователя,т.е. трафик без учёта web-кеша,то такая опция есть в TrafficQuota.Также это умеет Bandwidth Splitter
Цитата:

:"...возможность не учитывать кэшированный веб-контент в счет использованного объема трафика"

Всем доброго времени суток.

Практически насильно втюхали Microsoft ISA Server 2006. Приходится юзать. Пока одни непонятки и разочарования. Ну это так, к слову :)

Простейший вопрос - где в ISA Server я могу увидеть какие приложения или службы в данный момент лезут в инет и куда? (речь конечно о локальном компе, т.е. сервере. OS - Windows Server 2003)

RazDray
к счатью практически нигде, в логах есть поле useragent но оно не всегда показывает то что надо, это норма для фаеров на границе сетей, ибо знать какие приложения лезут им не получиться

hardhearted
>>> к счатью практически нигде

Т.е. если подхватить какого-нибудь трояна, то о нем никто никогда не узнает. Он будет спокойно жить и шариться по инету?

Vogulus

Цитата:

Так,давай разбираться.Как я понял,тебе нужен отчёт,в котором отдельным пунктом будет трафик пользователя,возвращённый с web-кеша(т.е. трафик,который возвращается ISA сервером с кеша web-прокси).

Именно это мне и надо, жалко что нет


Цитата:

Если не секрет,зачем тебе это нужно?

Была такая ситуация, когда у пользователя на компутере глючный браузер постоянно лез на сайт макромедии и качал макромедиа флэш плеер (в частности лез сюда http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab), на сквиде видно было, что у такого-то пользователя что-то не ладно, т.к. трафик из кэша составил несколько Гб за месяц. Сейчас же, года я буду пользовать MS ISA, я даже не смогу понять, у какого пользователя такое происходит.
Почему я не использую squid спросите вы? Да потому что у меня NTLM авторизация через Active Directory и существует проблема авторизации java приложений, это известная проблема.

Самое что интересное, так это то что ISA пишет в лог откуда взят объект из инета или из кэша, а вот программы типа InternetAccessMonitor, ProxyInspector не могут разделить трафик по этому параметру, что оч плохо, хоть самописное пиши.

Может все-таки есть варианты, кто знает?

RazDray
если нет строки агента (она будет в прокси логах если прога шлет такое, а проги его могут подменять, и в файрвол логах если юзается fwc) то в общем случае обычного securenat ты не узнаешь кто ломится, потому что клиентская ос такую инфу не передает отдельно.

hardhearted

Цитата:

а проги его могут подменять

Вот-вот, UserAgent ни о чём не говорит. Мне хотелось бы видеть реальное имя процесса или программы (exe). Любой нормальный фаервол это показывает, а ISA не может? :(

Уточню ещё раз. Я говорю не о клиентских подключениях с других компов, а о программах работающих на самом сервере.

RazDray
иса не персональный фаервол, у нее совершенно другие задачи. на нее даже fwc поставить нельзя. и покажи ка мне "любой нормальный фаервол" который сетевой и показывает процессы.

Добавлено:
а програмы работающие на самом сервере лезущие куда бы то ни было смотри через netstat

Народ помогите советом плизззз

(стоит дайджест+интегрейтид, убрано require users...)
Задача:
Нужно чтобы у юзеров появлялось окно аутентификации. (для этого в правилах поставил - domain users вместо all users)
проблемы:

1. internet explorer
появляется окно пишу
student
Password
требует, чтобы было так - nwtraders/student
это не удобно, можно ли сделать, чтобы юзеры не вводили домен?

2. Firefox
Требует вводить пароль на каждой странице сайте - вообще неудобно.

Можно ли решить данные проблемы?

1.
Цитата:

требует, чтобы было так - nwtraders/student
это не удобно, можно ли сделать, чтобы юзеры не вводили домен?

никак, это стандартное поведение винды, если не указывают домен или хост то винда и значит иса считает этого юзера локальным, если хочешь вводить без домена то заведи этих юзеров на самой исе локально.
2. проблемы левых браузеров и ФФ ису не волнуют

ПРоблема VPN на ISA server 2006
При соединенни клиента из вне нет соединения (ошибка 800), хотя если указать что данный Ip входит в группу локальную, то всё ок.
В чём проблема?

axit
проблема наверное в днк
чей Ip и что за группа такая "локальная"?

Неделю назад состоялся релиз набора бесплатных утилиток ISA Server Toolkit. Юзал кто-нибудь?

sarti

ISA 2006 STD ENG - После установки тулкита перестал стартовать фаервол...

Народ скажите isa 2006 ent встанет на windows 2003 r2 sp2 64bit

alex779, круто... Спасибо за опыт, буду бэкапиться
В логах есть что-нибудь?

Используется ISA 2000, на всех машинах стоит FWC.
--------------------------------------------
В связи с тем, что программа не использует библиотеку SOCKS dll, а общается
с протоколом tcp-ip встренными низкоуровневыми средствами, необходимо
настроить работу прокси-сервера так, чтобы для сочетания портов 80, 443, 23
и адресов серверов программы (китайского и французского) использовался
режим transparen proxy (прозрачного прокси).
----------------
А теперь вопрос -- "Как это реализовать?"

andrey99999
а посмотреть требования на офсайте прежде чем задавать глупые вопросы религия не позволяет?
http://www.microsoft.com/technet/isa/2006/library/default.mspx