» Microsoft ISA Server 2006/2004/2000 (Часть III)

Господа админы, вопрос.
Есть локалка с AD, выход в External через ADSL Router.
Позже поднят сервер с Isa 2006. Нужно организовать VPN с клиентами.
VPN на ISA понят с настройками Allow -> Vpn (PPTP) -> external -> internal -> весь траффик -> всем. Внешние компы не находят VPN сервер. Возможно- ли из-за не прописанного маршрута на ADSL Router? он запаролен провайдером, настройки не доступны. В логах ничего нет(запроса не было или не дошел)
internet->Router 192.168.1.1->isa(192.168.1.8)-(isa192.168.1.9)->internal(192.168.1.0)
На прямую мимо ISA через терминал к серваку подключается.

Guroshibu
какая то у тебя полнейшая ахинея с адресами, почему и внешний и внутренний интерфейсы из одной сети? и роутер там же? куда и откуда тебе впн надо организовать?

Народ, подскажите, как можно в Isa 2004 позволить браузеру подключаться к серверу по https протоколу через порт, отличный от 443?

Допустим, обращаюсь я по адресу https://85.28.*.*:8444, в ответ Иса выдает сообщение об ошибке, содержащее вот такой текст:

Error Code: 502 Proxy Error. The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)

Motorrr
да можно
есть скрипт
или ищем утилитку ISAtpre ( ISATpre.zip с www.isatools.org)с помощью нее создаем еще один SSL туннель к стандартному 443

тут Дядюшка Томас пишет об этом
http://www.isaserver.org/articles/2004tunnelportrange.html
иль сюда заглени
http://www.isatools.org/tools.asp?Context=ISA2004
а ваще поиск рулит по форуму тут это 1000 раз разжованно

123Maximus123
Motorrr
дада, поиск рулит, причем не обязательно по форуму, сам удивляюсь людям не способным тупо набрать текст ошибки в гугле или на офсайте - там тут же все выдадут и разжуют...

Доброго времени суток!
Прошу прощения если повторяюсь, но поиск мне не помог к сожалению.
Встала задача поставить и настроить ISA Server 2006.
Поскольку этого зверя ниразу не встречал, не совсем понятно как к нему подойти.
По ссылкам приведённым тут либо решается конкретный вопрос, либо что-то вроде общего обзора.
Возможно естьу кого-нибудь ссулка на какой-то ресурс где есть инструкция step-by-step или что-то вроде того.
Нашёл вот такую вот доку: ISA Server 2006: Установка ISA 2006 Enterprise Edition (beta) с настройками Unihomed Workgroup
Но тут настройка при использовании одного сетевого адаптера, у меня 2.
Немного обрисую структуру которая есть и которую хочется получить:
Есть 2 контроллера домена на Win2003Server, один из которых на данный момент раздаёт интернет в сеть на 50 машин.
Закупил спец.комп для того чтобы на нём сделать шлюз для доступа в интерент - Win2003ServerSP2 + 2 сетевые карты (на первую приходит Internet, вторая раздаёт его в сеть).

Больно ногами не бейте пожалуйста, проделывал такие операции на Kerio Winroute Firewall и на WinGate, но тут впал в ступор.

Заранее большое спасибо!

hardhearted
Ахинея еще до меня началась. Я тут всего полтора месяца.
На роутер такой внутренний IPшник провайдер повесил, когда еще ИСЫ не было.
VPN надо с удаленного склада (5компов, workgroup).
При запросе с удаленного компа на внешний IP роутера (80.ххх.ххх.ххх)
ошибка удаленный компьютер не отвечает.

zed3d
книга шиндлера по исе 2004 (может и по 2006 уже что написал) + встроенный хэлп самой исы хватит ...

greenfox
Спасибо! Как раз скачал книгу.

Цитата:

и потом ип и мак поменять не составляет труда

Это то да.


Цитата:

мак работает на втором уровне, поэтому контроль маков (например в домовых и кампусных сетях) обычно держат на свичах

В курсе.


Но есть же независимые "написатели" , которые моэет быть сделали для нее такой plug-in.

Цитата:

или ищем утилитку ISAtpre

Это я сделал. Теперь Иса выводит сообщение
Error Code: 504 Proxy Timeout. The connection timed out. For more information about this event, see ISA Server Help. (10060)

Сервисы исы я перезапускал. Там наврено нужно создать отдельное правило, но я вот не пойму - в самой исе где-нибудь инфа о вновь добавленных SSL-портах отображается?

Всем, здравствуйте.
Подскажите, в чем заморочка.
Есть ISA 2006, две сетевухи, одна внутри, другая в интернет. Есть Почтовый сервер внутри локальной сети (встроенный Win2003). Доступ в интернет на ISA настроен по принадлежности к группам AD Windows. Внутренний почтовик объявлен на внешнем интерфейсе ISA (потоколы SMTP и POP). Внутренние клиенты почтовика забирают почту не напрямую с сервера, а через ISA с внешнего интерфейса. Сделано так, чтобы учитывать трафик почты по пользователям (ничего лучшего не придумал). Если клиент пользуется Outlook Express - все работает нормально. Если настроить учетную запись в Office Outlook 2003 - подключиться к серверу POP не могут. Почему?

Guroshibu
ну правильно пишет, роутер то у тебя впн сервером не является с чего ему овтечать то )

Motorrr

Цитата:

в самой исе где-нибудь инфа о вновь добавленных SSL-портах отображается?

нет, та же утилитка отображает если что

IGOLNI
про эту глупость я тебе уже на другом форуме ответил это стандартная настройка fwc по умолчанию, измени ее и все

Добавлено:
zed3d
если ты настраивал другие гуевые фаеры то и с исой проблем не будет, сам почти три года назад впервые ее увидел без книг, форумов и доков

ps за отдельную плату могу все настроить и задокументировать ))))

как мне создать правило в ИСА 2006 для блокировки порта 25 смтп?спамы внутренние уже достали....

cbh1
иса по умолчанию блокирует все, так что просто не разрешай smtp...

народ, нужна помощь... качал флешгетом 1.9.6 с офф сайта мелкомягких win2k8 x64 (2539.9 MB), сначала стало качаться в одну сессию со скоросью около 42 Кб\с, на 1.81 Гб после 14 часов закачки вообще все встало... при попытке запуска докачки или обращения по адресу с которого качал и даже если заново на офф сайте начать закачку ISA сообщает об ошибке: "неудачное попытка соединения, код состаяния 13", а в логах флешгета:
Mon Apr 28 08:59:20 2008 User-Agent: FlashGet
Mon Apr 28 08:59:20 2008 Range: bytes=1938653684-
Mon Apr 28 08:59:20 2008 Proxy-Authorization: Basic ххххххххххххххххххххххххххх=
Mon Apr 28 08:59:20 2008 Connection: close
Mon Apr 28 08:59:20 2008 HTTP/1.1 502 Proxy Error (Недопустимые данные.)
Mon Apr 28 08:59:20 2008 Via: 1.1 SERVER
Mon Apr 28 08:59:20 2008 Connection: close
Mon Apr 28 08:59:21 2008 Proxy-Connection: close
Mon Apr 28 08:59:21 2008 Pragma: no-cache
Mon Apr 28 08:59:21 2008 Cache-Control: no-cache
Mon Apr 28 08:59:21 2008 Content-Type: text/html
Mon Apr 28 08:59:21 2008 Content-Length: 4718
Mon Apr 28 08:59:21 2008 Ошибка!
В остальном все работает, а на этот файл ISA не пускает... подскажите что это может быть???

davinchi9
а почему ты уверен что виновата именно иса?

hardhearted
ошибка 502: ошибка прикси-сервера при выполнении запроса...
или дело может быть совсем не в ИСЕ?
пните тогда в нужном направлении...

davinchi9
ты смотри логи самой исы, а не то что левый флешгет у себя там пишет
для него все ошибки будут ошибкой прокси сервера, потому что все запросы он шлет через прокси.
ps я в качалках не указывал прокси, без нее быстрее и проще

hardhearted

Цитата:

ты смотри логи самой исы...

ну так я и смотрю, там:

Цитата:

"неудачное попытка соединения, код состаяния 13"

Цитата:

я в качалках не указывал прокси

у меня так не прокатит - пользователь должен быть аутенитфикацирован...

Народ, а че за хрень ?
Я хожу по правилу "все и всюду" - как администратор. (ISA 2004 без SP).

Однако, вот например, Flash Player не может обновить себя через инет. Выдается ошибка 0х800733f5 и до свидания. Такая же история с автообновлениями Нортон Антивируса 2007. Приходится вручную лезть обновлять. Мож, кто сталкивался ? Также не может и Акробат Ридер обновить себя.

Kumarych
авторизация как на исе происходит?
что лог кажет смотреть не пробовал?

davinchi9

Цитата:

у меня так не прокатит - пользователь должен быть аутенитфикацирован...

намекну, иса хороша тем что вебпрокси это не единственный способ аутенфицировать юзера...

подскажите кто настраивал isa 2004 single Network Adapter
необходим вход на ftp.
в спецификации пишется что
The following protocols are supported: HTTP, HTTPS, and FTP over HTTP.
создал правила разрешающее все.
но на фтпшник не заходит. отваливается по таймингу.

как ни странно пробывал и с сервера исы и с клиента.
с сервера пробывал без прокси в настройка браузера без прокси. сервно не пускает... странно чтото

в браузере галку Enable folder view for FTP sites снимал.

раскажите как победить?

w2003srv isa 2004 sp3
одна! сетевая.

drocher
можно еще попробовать поиграть с галкой passive mode в браузере и надо смотреть логи

вот такое сообщение выдает

Failed Connection Attempt "сервер исы" 04.05.2008 17:22:53
Log type: Web Proxy (Forward)
Status: 10060 A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Rule: Alows ALL INET traffic
Source: Internal ( 10.хх.1.1:0)
Destination: External ( 216.143.70.11:21)
Request: GET ftp://ftp.nai.com/
Filter information: Req ID: 16f848f2
Protocol: ftp
User: anonymous
Additional information
Client agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; WOW64; SV1; .NET CLR 2.0.50727)
Object source: Internet Processing time: 27016
Cache info: 0x0 MIME type:

drocher
А ping на ftp.nai.com проходит ??
И еще вопрос где соб-сно произв маршрутизация сетей
Если на киске - надо там смотреть на предмет ftp
но вообще-то странно ...

еще мысль посмотри в NetWokrs - там может из сети internal илиlocalhost не стоит галка использовать web proxy filter

может еще и авторизация не срабатывает (all user must be authoriz ... - такая галка)

Подскажите плиз, где ещё можно разрешить netbios на isa2006.
Ситуация: сервер, на нём установлена isa2006, смотрит одной сетевухой в инет, другой в локалку. Установливаем с одним из инетных серверов соединение через PPP (софт СКЗИ Континент-АП). По установленному соединению даётся определнный IP - 10.0.0.1. Дальше нужно попасть на комп. из сети к северу которой подключились. Т.е. просто зайти на него (\\192.168.0.254). Но при попытке зайти - выдаёт комп недоступен. В логах исы пишет, что:

Код:
06.05.2008 11:31:21    192.168.0.254    139    NetBios Session    Denied Connection        10.0.0.1        Local Host    vladimir    

Granmer
а по какому правилу запрещает?

hardhearted

Цитата:

а по какому правилу запрещает?

а в том то и дело, что непонтяно по какому в столбце rule - пусто.