» Microsoft ISA Server 2006/2004/2000 (Часть III)

vizit0r1983
1. иса может запрещать по имени те обращения что идут по ip, тока когда ip обратно резолвится в это имя, что вполне логично: откуда исе знать что надо запретить это обращение по ип, если у тебя заданы тока имена а связи между ними нет
2. почитай в хелпе или книге как правильно использовать звездочки в url set
3. имена также можно блокировать через domain name set, что чаще всего бывает удобнее, я например url set использую только когда надо запретить конкретный путь на сайте, а если весь сайт - то domain name set

Cashman
заезженный уже вопрос и банальный
включи сетку офиса в internal
а если хочешь чтобы было все правильно то маршруты пропиши на всех компах а не тока на исе
http://www.redline-software.com/rus/support/articles/isaserver/general/network_behind_a_network.php

Люди добрые, помогите!

Поднял NLB для внутрених интерфейсов (ISA 2006).
Всё прекрасно работает, пока не загасишь один из серверов массива.

Дальше всё может развиваться 2-мя путями:

1) Если в "Свойствах обозревателя" в "настройке пар-в локальной сети" включена "автоматическа настройка" (качается скрипт, array.dll?Get.Routing.Script), то страницы не открываются (резольвится имя и после этого вечное ожидание ответа).

2) Если в "Свойствах обозревателя" в "настройке пар-в локальной сети" отключена "автоматическа настройка", а прокси сервер указан явно (dns имя для Virtual IP), то всё работает нормально. Но это не подходит, ибо по скрипту правильнее (ИМХО).

Получается, что WPAD скрипт отрабатывается не верно.

В какую сторону копать?

vizit0r1983

в правке внимателнь прочитай как можно использовать * пи указании адресов.

После прочтения закрой доступ к набору URL-адресов:


http://*.bloodyworld.ru/*
http://bloodyworld.ru/*
http://*.bloodyworld.com/*
http://bloodyworld.com/*

ну и другие домены первого уровня тоже перечислить надо будет при необходимости.
даже если клиент не будет использовать прокси-сервер - иса все равно буде производит ьобратный поиск в днс для каждого соединения, т.е. доступ будет закрыт.

После установки сп3 на Иса сервер
не хочет пускать клиент-банк:
Failed Connection Attempt
Log type: Web Proxy (Forward)
Status: 50 The request is not supported.
Rule: alow_all
Source: Internal ( 10.0.0.34:0)
Destination: External (cb.domen.com.ua 165.37.102.104:8333)
Request: GET http://165.37.102.104:8333/SESSIONKEY
Filter information: Req ID: 0ee15ec5
Protocol: http
User: anonymous

Кто нибудь такое встречал? Иса 2004 сп3, вин 2003 р2 сп2.
__________________________________________________________
Отвечу сам: нужно включить compression filter в аддин`ах.

Цитата:

ISA Server was unable to decompress a response body from http://yyyyyyyy because the response was compressed by the GB2312 method, which is not supported by ISA Server. This happens when a Web server is configured to supply responses compressed by the GB2312 method regardless of the type of compression requested.

Подскажите как быть... После настройки ИСЫ на обязательную авторизацию пользователей через NTLM перестал работать FlashGet т.к. не поддерживает NTLM аутентификацию, только базовую (передача логина/пароля в открытом виде). Я так понимаю что добавление базовой аутентификации к способом авторизации пользователей сильно снижет безопасность, т.к. любым снифером можно получить учетные данные. Может кто посоветовать выход из этой ситуации не меняя FlashGet на другой менеджер закачек.
Если сделать в АД бполностью бесправную учетку только для авторизации FG это нормальный вариант?

Цитата:

перестал работать FlashGet -- не поддерживает NTLM аутентификацию

a) FWC-client , без WEB-прокси

b)
_http://www.proxomitron.ru/board/viewtopic.php?t=190

-->ntlmaps-0.9.9(авторизует по NTLM)-->MS ISA(просит NTLM авторизацию)-->INTERNET

товарищи, помогите разобраться, я всё-таки чего то не понимаю, а документация по 2006-й исе на русском мне так и не ответила на мой вопрос.

иса поддерживает три метода предоставления доступа в инет: SecureNAT, Web-proxy и сетевого экрана

если создать правило - разрешить из локальной сети наружу все протоколы - должен использоваться SecureNAT, Web-proxy настраивается отдельно, а для сетевого экрана нужен клиент? правильно?
следующая ситуация - 60 рабочих машин через ису ходят в инет. смотрю в панеле сеансы - половина ломится через SecureNAT, вторая половина через Web-proxy, при том что никто ни на сервере, ни на клиентах прокси не настраивал. всё что есть - шлюз иса раздаваемый по DHCP
так вот и не могу понять - каким образом у меня появляются юзеры Web-proxy?

и второй вопрос уже по поводу клиента исы: ставлю клиента на рабочую машину, создаю правило - разрешить весь трафик из локалки наружу для пользователя у которого стоит клиент, в итоге не работает ни фтп, ни хттп и ошибок тоже не вываливается...стоит автоматическое определение иса сервера, сервер видится, даже в мониторинге вижу клиента сетевого экрана, а не работает. при этом пашет аська, пинг и удалёнка...но периодически клиент отваливается и говорит что не видит ису, приходится руками ему её указывать...

upd: я в настройках уже и Web-proxy и клиент межсетевого экрана и автообнаружение отключил, всё-равно часть юзеров ломиться через SecureNAT, а часть Web-proxy...как такое может быть???

Добрый День!
У меня возник вопрос есть ISA на сервере ип 192.168.0.101
на ПК 192.168.0.108 стоит сервер программы которая использует порт 22222 как настроить так чтобы я мог из инета коннектиться к этому серваку?

Admin4ik1989
обычный тупой server publishing

hardhearted
а скажи там идет выбор какого сервера! вот в этом впал в ступор! мне нужно это сделать! чтобы я могу к примеру соединяться так... ПК с прогой в сети ip:22222 а у клиента писать в настройках IP:22222 тока сервака

KorP2

Цитата:

если создать правило - разрешить из локальной сети наружу все протоколы - должен использоваться SecureNAT, Web-proxy......

Веб прокси фильтр перехватывает все пакеты по 80му порту по умолчанию.


Цитата:

и второй вопрос уже по поводу клиента исы...

пропиши вручную ip, такая проблема часто бывает


Цитата:

upd: я в настройках уже и Web-proxy и клиент межсетевого экрана и автообнаружение отключил, всё-равно часть юзеров ломиться через SecureNAT, а часть Web-proxy...как такое может быть???

так и должно быть, там идут попытки svchost и другого **вна выйти в инет

Admin4ik1989
Статический ip тоже понадобится

hardhearted
ты всё ещё раздаешь умные советы по исе

Цитата:

Admin4ik1989
Статический ip тоже понадобится

Уже в наличии!=) это я предусмотрел ну так что кто поможет советом?!

Цитата:

а скажи там идет выбор какого сервера! вот в этом впал в ступор! мне нужно это сделать! чтобы я могу к примеру соединяться так... ПК с прогой в сети ip:22222 а у клиента писать в настройках IP:22222 тока сервака

ты из инета должен писать статический ip и порт который ты будешь публиковать, дальше isa сама перебросит тебя на комп и порт прописанный в правиле публикации

так там когда делаешь паблиш сервер происходит такая вещь что там надо выбрать какого плана сервер!

Admin4ik1989
Лучший вариант: VPN подключения клиента в сеть и тут он уже оказывается в локальной сети и может делать то, что ему захочется, ну или то что ты разрешишь

Цитата:

так там когда делаешь паблиш сервер происходит такая вещь что там надо выбрать какого плана сервер!

Смотри Server Publishing Rule

Цитата:

Смотри Server Publishing Rule

вот когда я создаю правило данное мне выдает выбрать какой сервер! и я тут путаюсь в выборе

Admin4ik1989

Цитата:

вот когда я создаю правило данное мне выдает выбрать какой сервер! и я тут путаюсь в выборе

Сам пользуюсь ISA 2004, может есть отличия, но у меня просит указать IP и порт клиента для публикации, ip я думаю ты знаешь, ну а порт создай новый назови port22222 и пропиши

Цитата:

Сам пользуюсь ISA 2004, может есть отличия, но у меня просит указать IP и порт клиента для публикации, ip я думаю ты знаешь, ну а порт создай новый назови port22222 и пропиши

мы снова не поняли друг друга ты мне лучше скажи.. там идет выбор типа сервера ну фтп хттп и т.д.

Admin4ik1989
госпади, неужели трудно разобраться с простейшим визардом )
там же в хелпе все написано по полочкам, в книгах что в инете полно тоже все расписано с картинками, собстно в самом визарде все предельно ясно

если у тебя не веб сервер то нажимаеешь publish non-web server (или както так, исы под рукой нету уже давно), пишешь там имя правила, пишешь внутренний ип который публикуешь, когда спросят протокол то нажми типа создать новый и создай протокол с портом 22222 выбери tcp или udp(ты не написал какой), если tcp то укажи inbound, если udp то там могут быть варианты, потом укажи что слушать надо external и все finish
делается за полминуты, разобраться можно от силы за 5

всем доброго времени суток.
возникла такая вот ситуация- накрылся сервак с ISA на нем было: доступ юзеров в нет и VPN с удаленным офисом. Ни бекапов, нечего. Вопрос следующий- если на новом компе все поднять ручками как было, возникнет ли необходимость что-то перенастраивать в VPN удаленного офиса? Такая ситуация впервые, поэтому нужна консультация пока везут новое железо.

Antdik
даже если и понадобится (например используется сертификат и он будет другим) то это дело 5 минут, не вижу никакой пробелмы

hardhearted
Спасибо, понятно. Проблема только в том, что лень переться за 90 км от Москвы

Antdik
интересно а для чего технологии удаленного доступа созданы )

Цитата:

интересно а для чего технологии удаленного доступа созданы )

у меня к примеру ничего не получилось!=(( и доступ удаленно ведать иса блокирует!=((

Admin4ik1989
конечно блокирует, по умолчанию иса вообще все блокирует, вернее почти все, есть еще вклчюенные по умолчанию системные правила, но извне точно все просто у некоторых людей есть руки и мозг, с помощью коих они себе этот удаленный доступ в нужном виде настраивают

Господа, а никто не в курсе почему иса 2004 сп3 ведет себя сиим образом: пускает на сервак(на себя) по имени сервака раза с десятого, а по айпи с первого? Вокгруп..

Цитата:

Люди добрые, помогите!

Поднял NLB для внутрених интерфейсов (ISA 2006).
Всё прекрасно работает, пока не загасишь один из серверов массива.

Дальше всё может развиваться 2-мя путями:

1) Если в "Свойствах обозревателя" в "настройке пар-в локальной сети" включена "автоматическа настройка" (качается скрипт, array.dll?Get.Routing.Script), то страницы не открываются (резольвится имя и после этого вечное ожидание ответа).

2) Если в "Свойствах обозревателя" в "настройке пар-в локальной сети" отключена "автоматическа настройка", а прокси сервер указан явно (dns имя для Virtual IP), то всё работает нормально. Но это не подходит, ибо по скрипту правильнее (ИМХО).

Получается, что WPAD скрипт отрабатывается не верно.

В какую сторону копать?

Сам решил проблему как смог.
Ответ выложил здесь .
Если есть сомнения в таком решении, то пожалуйста, дайте мне об этом знать.

Помагите пожалуста, я загрузил в компютер программу Mask Surf Standard, это программа для смены IP адреса, потом у меня перестал работать Windows Live Messenger, удалил программу Mask Surf Standard не помогло, не могу зайти на MSN, вижи щто с İnte
rnet Explorera не могу зайти на сайт www.msn.com, или на www.microsoft.com, а на сайты www.mail.ru и. т. могу зайти, не знаю что случилось, мне кажетса что то блокирует эти сайты. Как мне зделать что бы MSN работало.

kamran017
Что написано в LAN Settings (хоть убей не помню как по русски) в эксплорере ? если что то написано, - сотри все записи! (если конечно пров не требует использования прокси) А вообще читай правила! какое отношение это имеет к ISA ? сорри за оффтоп!

В Lan settinge все порядке, все настройки пробовал ничего не помогло, удевитеольно в том что с Opera-й могу зайти на все сайты, а с Internet Explore-й не могу, только на некотырые сайты, Не знаю что мне делать, не хочу форматировать,