» Microsoft ISA Server 2006/2004/2000 (Часть III)

hardhearted
выучил
Refugeeспасибо!

Добрый день господа, помогите пожалуйста разрешить одну проблемку. На 2003 сервере sp2, установлен ISA2006. Возникла трудность с работой интерактивных флэш приложений. Само приложение загружается по HTTP нормально стартует, и выдаёт ошибку "не удалось установить связь с сервером ошибка 1003". В логах иса говорит, что трафик не авторизован, собственно по этому и не пускает его. Само приложение требует исходящее соединение в широком диапозоне портов от 38000 до 54000. Протокол включающий этот промежуток создал. Схожая проблема была с джава, решилась тем что в настройках самой джава выставил прямое обращение к исе как клиент nat, соответственно трафик джава перехватывается иса клиентом, и авторизованным направляется на сервер. В случае с флэшем как я понемаю, иса клиент его трафик игнорирует так как считает, что это трафик броузера. А клиент вэбпрокси на исе, его не воспринемает так как обращение идёт не на его порт, в итоге возникают проблемы. Заранее благодарен за разумные советы.

Здравствуйте все и Hardhearted в частности!

может кто-то сталкивался с такой проблемой:

Есть 2 сервера с NLB. Внешние адреса x.x.x.11 и x.x.x.12 . виртуальный адрес x.x.x.10

при анализе трафика за месяц я обнаружила что на всех трех адресах есть трафик по пользователю Unknown. HTTP трафик. Адреса внешние. Изнутри разрешен только авторизованный доступ к HTTP

причем пропущен этот трафик без правила. Вместо rule в логе стоит "-"
Я знаю что сущестует правило "Allow HTTP/HTTPS requests from ISA Server to selected server for connictevity verifiers". Но почему если этот трафик пропущен по этому правилу - это не отображается в логах, а на месте rule стоит "-"?
вот один из примеров.

ISA1    2008-03-21    00:11:31    TCP    x.x.x.11:58351    209.85.129.147:80    x.x.x.11    Local Host    External    Establish    0x0    -    HTTP    0    0    0    0    -    -    -    -    8042    1227723




ISA1    2008-03-21    00:20:28    TCP    x.x.x.11:58351    209.85.129.147:80    x.x.x.11    Local Host    External    Terminate    0x80074e20    -    HTTP    1435    1435    5452    5452    -    -    -    -    8042    1227723

На одном из ресурсов нашла следующий текст про трафик по правилу "-"
<i>Проблема: При запрете запроса правилом в поле Rule (Правило) пишется значение "-" (пустое).

Причина: В поле Rule (Правило) пишется пустое значение в том случае, если ISA-сервер запрещает соединение по какой-либо причине, не связанной с правилом политики. В поле Result Code (Код результата) пишется причина. Например, правило может быть запрещено по следующим причинам:

Между источником и приемником не были определены сетевые отношения.
ISA-сервер считает трафик спуфингом.
Запрос поступил от клиента с большим количеством открытых соединений.</i>

НО У МЕНЯ ТО ТРАФИК ИДЕТ (см в логе вторую строку, там где Terminate)

не знаю уже что и думать. трафика 30 Гигов за месяц. Начальство голову мне снесет.

Vanil
я конечно не на 100% уверен, но http трафик с localhost наружу по неизвестному правилу это вроде как и есть работа прокси, ведь иса от своего ип должна запрашивать контент. под рукой исы нет чтобы удостоверится, но кажется именно это иса пишет в fw логи

hardhearted
А сегодня опять нет ISA под рукой? )

Здравствуйте!

У меня следующая проблема...

Пытаюсь настроить логгирование на sql сервер, но проблема в том что я никак не могу к нему подключиться...

В системных политиках доступ разрешил, пробовал создавать правило разрешающее весь траффик с localhost на сервер, ничего не помогает...

Пишет что нет соединения. Создаю connectivity verefier, чтобы он по порту 1433 стучался на сервер, пишет no connection...

В логах только это

Client IP Destination IP Destination Port Protocol Action Result Code

192.168.0.1 192.168.0.2 1433 Microsoft SQL (TCP) Closed Connection 0x80074e21 FWX_ABORTIVE_SHUTDOWN

192.168.0.1 192.168.0.2 1433 Microsoft SQL (TCP) Initiated Connection 0x0 ERROR_SUCCESS


Пробовал сканировать ISA'у на открытые порты, вроде бы 1433 открыт...

Непонимаю в чем может быть проблема? Есть у кого нибудь идеи?

стоит задача клиент при авторизации в домене должен получать http, https icq pop3 smtp ping в мир НО не натом а через клиента подскажите как настроить клиента ...

Vanil
ага, и так уже 4ый месяц проверяй самостоятельно
stups
а в чем проблема? ставишь и настраиваешь на ису, у fwc настроек минимум
ps с пингом заведомо ничего не выйдет

Народ, такая трабла...

Имеется ИСА 2006 стандарт...

Имеются 2 компа с Автокадом, лицензионным... Они по нат имеют полный доступ в инет...
При попытке проверки лицензии, выдают ошибку... пока-пока...
При переключении данных компов на Фришку, все работает на ура...

В ходе испытаний выяснилось вот что...

есть 3 офиса и 3 иса... одна 2004 СП3, и две 2006...

настроил ФКлиент на компе, на котором стоит Автокад на ИСА 2004 СП3 в другом офисе... и... о чудо, все заработало на ура... все прекрасно... я счастлив... далее, решил проверить ИСА 2006 наверняка... настроил того же клиента на ИСА 2006 в третьем офисе... и что же... опять ничего хорошего, вновь не проходит проверка лицензии... что же теперь делать??? куда теперь рыть??? налицо проблема в ИСА 2006, но что именно... может кто теперь подскажет чот и как???

пишет, что устанавливается соединение на 27000 порт и все...
если тоже самое проверять на ИСА 2004, то устанавливается соединение на 27000, затем идет установка на порт 2080 и в конце концов Автокад запускается и работает прекрасно... вот как получается...

Народ, подскажите где копать по поводу вот этой ошибки:

Failed Connection Attempt Server 15.04.2008 15:47:43
Log type: Web Proxy (Forward)
Status: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.
Rule: SBS Outbound Access Rule
Source: Internal ( 192.168.0.126:0)
Destination: External ( 207.46.192.254:443)
Request: www.microsoft.com:443
Filter information: Req ID: 111e11d4
Protocol: SSL-tunnel
User: tester

Эта ошибка вылазит каждый раз когда пытаешся зайти на сайт виндофсапйдейт или проверить винду на лицензионность.


Добавлено:
правилом сейчас разрешен весь трафф с компа в и-нет

Orange Goblin


Возможны три причины:
1.Не работает SQL-Server (как проверить не знаю)
2. Закрыт порт (проверить telnet 192.168.0.2 1433, если соединиться значит всё ок)
3. Неправильный пользователь или пароль

Народ помогите разобраться с настройкой NLB кластера из 2ух isa2006Ent и switch flooding

Конфиг сети
1. Контроллер домена win2003ent 10.0.0.253
2. 70 машин
3. Шлюз в интернет win2003std Isa2006Ent lan 10.0.0.254 wan 10.0.1.254
4. Активное сетевое оборудование на цисках

Есть вторая машина Isa2006Ent lan 10.0.0.252 wan 10.0.1.253, поднимаем кластер с vip(virtual ip) 10.0.0.251. Вычитал
что при двух MACах с одним IP начинается Switch flooding. Там же предлагалось три решения
1. Отсечка свитчом или хабом (говорят не помогает)
2. Настройка NLB кластера в multicast mode и прописка нестандартного MACа на всех цисках.
3. Отсечка роутером (сейчас есть только Zyxel p334wt потом заменим на другой).
Я выбрал 3 способ. Подскажите сетевые настройки контроллера домена, isa шлюза (который
получается в другой подсетке) и роутера.

да еще есть роутер циска 1700 серии можно ли с его помощью сделать отсечку

Коллеги, вот такая непонятка...
В целях борьбы с тунеллированием вот что сделал:
1. новое Access Rule
2. Deny
3. All outbound traffic
4. All Protected Networks
5. Ввожу название New Domain Name Set - "антитуннель"
6. добавляю туда сайты типа httptunnel.com и *.httptunnel.com

Применяю новый конфиг...
В итоге умирает весь инет, - не ходит почта, пинги... Странички, ессно, не открываются...

вот как так?

Люди, такая проблема! ISA 2006
Сеть предприятия 10.16.1.0-10.16.1.255
Корпоративные сети 10.16.2.0-10.16.2.255
10.16.3.0-10.16.3.255
10.16.4.0-10.16.4.255
10.16.5.0-10.16.5.255
10.16.6.0-10.16.6.255
т.е. трафик в этих сетях как внутренний должен быть
Пускаю пинги на 15.1.1.1 или иду на сайт в диапазоне IP до 16.1.1.1 вкл (www.hp.com)
ISA пинги определяет как пинги во внутреннюю сеть, на сайт не пускает, соотнося его к правилу доступа к корпоративной сети. Отключая правило доступа для корпоративной сети соотносит сайт к другому правилу, которое тоже никакого отношения не имеет к нему (запрет доступа на определенные сервера).
Что за фигня???

Народ, подскажите где копать по поводу вот этой ошибки:

Failed Connection Attempt Server 15.04.2008 15:47:43
Log type: Web Proxy (Forward)
Status: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.
Rule: SBS Outbound Access Rule
Source: Internal ( 192.168.0.126:0)
Destination: External ( 207.46.192.254:443)
Request: www.microsoft.com:443
Filter information: Req ID: 111e11d4
Protocol: SSL-tunnel
User: tester

Эта ошибка вылазит каждый раз когда пытаешся зайти на сайт виндофсапйдейт или проверить винду на лицензионность: виндавс апйдейт естественно не работает, проверка на валидность тожжж.

правилом сейчас разрешен весь трафф с компа в и-нет

ставил и первым и ниже ставил - результат один: при попытке попасть на виндовсапдейт, соединиться с мсн, проверить винду на валидность: вылетает вышеописанная ошибка.

Вот ошибка при попытке проапдейтится с самого сервака:

Failed Connection Attempt SERVER 17.04.2008 8:41:24
Log type: Web Proxy (Forward)
Status: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.
Rule: Allow HTTP/HTTPS requests from ISA Server to specified sites
Source: Local Host ( 192.168.0.2:0)
Destination: External ( 65.55.184.29:443)
Request: www.update.microsoft.com:443
Filter information: Req ID: 1cec9eaa
Protocol: SSL-tunnel


мне нравится то, что ИСА трафф блокирует правилом, которое является системным и его, этот трафф, разрешает.

пы.сы: прокси в эксплорере можно включать, отключать - не помогает.
на локальной машине(первая ошибка) можно ставить FWклиента, можно не ставить - результат один и тот же.

пы.сы. MS ISA 2004 sp3
есть, конечно, идея что снести надо сп3 и поставить сп2... но это на крайний случай

Добавлено:
пы.сы.2. пробовал включать разную авторизацию: не помогает.

Добрый день,

Подскажите решаема ли такая карта в иса 2004?

Хотелось бы иметь две подсети в диапазоне например

А - 192.168.16.10-100 и Б - 192.168.16.101-111

причем чтобы А ходила через прокси и с авторизацией, Б на прямую без прокси, такое возможно сделать?

Nolik
а в чем проблема? создаешь два subnet (ну то что у тебя написано сабнетом назвать нельзя, но address range вполне прокатит), для одних(А) делаешь неанонимное правило для вторых(Б) анонимное, все тупо и банально...

erve
научись правильно задавать вопрос, например посторонним людям совершенно непонятна разница между "Сеть предприятия" и "Корпоративные сети", что это ? как они определены в исе? где находятся и как связаны?
скорее всего просто напросто неправильно настроена топология в исе или правила

Booklet
а в логах что?

Добавлено:
andrey99999
интересно какое это имеет отношение к настройке исы? она "отсечками" не занимается, не ее это дело

[q][/q]
Есть сеть предприятия 10.16.1.х. есть удаленные офисы, которые связаны с помощью vpn-тоннелей 10.16.2.x ... 10.16.6.x
Конфигурация/Сети
Внутренняя 10.16.1.0-255 + Корпоративные сети (10.16.2.0-255 и т.д.)

Т.е. ко внутренней относятся именно эти диапазоны.

В исе стоят правила Разрешать весь исходящий трафик всем в эти сети.
Иду на www.hp.com.
Отклоняется по правилу "Разрешить сервера"
(в правиле - Разрешить хождение по HTTP из внутренней сети на Определенные сервера (прописаны URL) группе пользователей). Причем идем почему-то из внутренней сети во внутреннюю.
Отключаю правило - Идет запрет по правилу Доступа к одной из корпор. сетей. Причем снова Внутренняя-внутренняя.
Отключаю - Отклоняется по правилу доступа к другой групе серверов. И снова Внутренняя-внутренняя.

Вот и вопрос - с какого перепугу www.hp.com 15.x.y.z стал относиться у меня ко внутренним?
Куда копать-то?

Вопрос давний: авторизация в Isa 2004/2006 по MAC+IP.
У кого - нибудь получилось ?

Vxd2000
по маку у исы никогда авторизации не было, нет и не будет, потому что это никому не нужно

erve
ну как я уже говорил у тебя просто сети неправильно настроены, а как - ты не пишешь упорно
впн между офисами на чем сделан? в internal что вписано? "корпоративные сети" куда вписаны? шлюз по умолчанию куда прописан?

hardhearted, хотелось бы полюбопытствовать, почему не нужно ?

hardhearted
Так я спрашиваю не про это, а как настроить ISA если он в подсетке отличающейся от подсетки контроллера домена, а на внутреннем интерфейсе у него (ISA) нельзя указывать шлюз.

andrey99999
в начальном посте не было сказано что они в разных подсетях, и если посмотреть на ипшники то больше похоже на одну подсеть. не вижу никакой проблемы, команду route add -p в винде никто не отменял, в самой исе практически ничего настраивать не надо, разве что не забыть указать все нужные подсетки в internal...

Vxd2000
потому что иса позиционируется как корпоративный файрвол+прокси, а значит такая чушь как авторизация по маку, квотирование, шейпирование и т.д. исе не нужны, так как в нормальных корпоративных сетях это не используется (ну возможно шейпирование, и то для обеспечения качества отдельных сервисов а не для того чтобы ущемить простых смертных юзеров)
и потом ип и мак поменять не составляет труда, так что особо его контролить на роутере нет смысла.
мак работает на втором уровне, поэтому контроль маков (например в домовых и кампусных сетях) обычно держат на свичах

Цитата:

[/q][q]erve
ну как я уже говорил у тебя просто сети неправильно настроены, а как - ты не пишешь упорно
впн между офисами на чем сделан? в internal что вписано? "корпоративные сети" куда вписаны? шлюз по умолчанию куда прописан?

Вот же ж...
впн-ы поднимают железки dlink di-804hv
internal (внутренняя сеть я так понял) 10.16.1.0-10.16.1.255. В Internal же вписаны и корпоративные сети.
Шлюз по умолчанию - 193.x.y.z

Вот все что идет на 15.x.y.z 16.x.y.z d в любые подести ДО 17.x.y.z типа считается внутренним трафиком.

Имеется Сервер, на котором установлен ISA server 2006 с тремя интерфейсами:
1 - Интернет (DSL модем в режиме bridge)
2 - для связи с удаленными офисами по VPN через интернет (DSL модем в режиме bridge)
3 - локальная сеть
Все IP адреса (по всем интерфейсам) статические.
С настройкой интернет и локальной сети более-менее понятно, а вот как правильно указать чтобы VPN соединение шло именно через интерфейс №2 понять не могу.
Помогите, pls, правильно сделать настройки.

erve
налицо явный косяк где то )

kusebo
а че там непонятного то? раз отдельный интерфейс то делаешь отдельный network, вписываешь туда все сети и адреса куда через этот интерфейс ходить надо, ну и в винде не забываем про маршруты.

Цитата:

... ну и в винде не забываем про маршруты

Про вот это можно поподробней?

kusebo
ну такое спрашивать вообще стыдно, набираем route /? и все

Цитата:

ну такое спрашивать вообще стыдно, набираем route /? и все

Вообще-то спрашивать никогда стыдно не было. Мне вот не понятно как разрулить два шлюза (на внешние интерфейсы), как назначить шлюз основным.

kusebo
мда, почитай что нить про маршрутизацию. знакомо понятие маршрут? в курсе что кроме шлюза по умолчанию бывают другие маршруты, которые не по умолчанию?
по умолчанию это тот который применяется для трафика не попавшего ни под какой другой маршрут, если у тебя есть еще один шлюз на через который надо ходить в определнные места то можно это конкретно и написать в таблицу маршрутизации
вообще маршрутизация к исе не имеет никакого отношения