» Microsoft ISA Server 2006/2004/2000 (Часть III)

Vanil
бррр, скока писанины
а что должно получится в конечном итоге то?
тот трафик что идет от клиентов по впн к чекпоинту иса не увидит, она увидит тока саму впн сессию и скока эта сессия нагенерит трафика, а что внутри сессии бегало иса конечно же увидеть не сможет, иначе смысл впн совершенно теряется
если HTTP вопреки устновленным впн сессиям идет через ису то это тоже вполне обьяснимо, это может быть из-за настройки прокси в браузерах или из-за установленного fwc
от самой иса сервера ничего просто так не ходит.

hardhearted

У меня стоит задача выделить и посчитать траффик именно группы groupFromISA.

Вот ты пишешь ИСА "увидит тока саму впн сессию и скока эта сессия нагенерит трафика"
А почему этот трафик в таком случае отображается как Unknown
и на теже самые хосты потом еще и этот HTTP трафик.

В ИСА сервере то прописаны используемые протоколы вроде . Хотя конечно может IAM собственноручно пытается определить протокол. и остальное...

ладно. все очень запутанно. придется продолжать не спать. Я поняла что ты хотел сказать. Буду смотреть на клиентах - почему их HTTP траф от ИСА идет.

Уважаемые, может кому пригодиться...
Если на ISA2006 поднят VPN для внешних пользователей, то при коннекте в журнале Application проскакивает Event 5050 от IAS с инфой, что де не найдено описание события и т.п. Это не ошибка, просто инфа о соединении исы с контроллером домена.
Чтобы было "правильное" сообщение, нужно добавить в реестр на машине с исой несколько параметров, "забытых" производителем .

Создать раздел (ключ) IAS в ветке:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\
Добавить в созданный раздел 3 параметра:
EventMessageFile (REG_EXPAND_SZ) = %SystemRoot%\System32\iassvcs.dll;%SystemRoot%\System32\mprmsg.dll;%SystemRoot%\System32\ws03res.dll
ParameterMessageFile (REG_EXPAND_SZ) = %SystemRoot%\System32\iassvcs.dll
TypesSupported (REG_DWORD) = 0x0000001f (31)

После этого в журнале будет событие с описанием .

Существует ли антивирус для ISA server который бы контролировал наличие вирусов на уровне шлюза, т.е. пересылки пакетов от одного сетевого адаптера к другому?

Aladdinych
Есть SYMANTEC ANTIVIRUS ДЛЯ MICROSOFT ISA SERVER читай здесь _http://www.symantec.com/region/ru/press/131202_ru.html

hardhearted

Цитата:

все банально и написано во всех букварях, если иса в домене то никаких тупых dns провайдера на внешнем интерфейсе, только внутренние доменные dns на внутреннем интерфейсе, и соответственно разрешить этим внутренним dns серверам посылать запросы наружу. вопрос вообще к исе отношения не имеет.

Спасибо, помогло

Другая беда. ISA выходит в инет через внешний интерфейс циски, на котором для ISA имеется secondary public IP. С этого же интерфейса на сервер ISA на определенный порт направляется netflow-статистика. Видимо из-за данной схемы, на ISA сервере постоянно появляются алерты о спуфинге со стороны внешнего IP циски (который primary):


Цитата:

Alert Information
Description: ISA Server detected a spoof attack from Internet Protocol (IP) address cisco_primary_public_ip. A spoof attack occurs when an IP address that is not reachable via the interface on which the packet was received. If logging for dropped packets is set, you can view details in the firewall log.

Как настроить ISA (правило?..), чтобы спуфинг с данного IP "не считался"?

Цитата:

hardhearted

Цитата:все банально и написано во всех букварях, если иса в домене то никаких тупых dns провайдера на внешнем интерфейсе, только внутренние доменные dns на внутреннем интерфейсе, и соответственно разрешить этим внутренним dns серверам посылать запросы наружу. вопрос вообще к исе отношения не имеет.

Читал такое в "букварях" и не раз. Убирал dns провайдера на внешнем интерфейсе и них..... не работало. У меня 8 офисов на обслуживании и везде так, без dns провайдера на внешнем интерфейсе интернета нет ! ISA серверы установлены разные , 2000 , 2004 и 2006, а результат один.

SergeyMark

Цитата:

Убирал dns провайдера на внешнем интерфейсе и них..... не работало.

У меня работает. В Ваших 8-ми офисах везде домен?

SergeyMark
а свои то dns сервера есть? )

Markes

Цитата:

ISA выходит в инет через внешний интерфейс циски, на котором для ISA имеется secondary public IP. С этого же интерфейса на сервер ISA на определенный порт направляется netflow-статистика

не понял топологию

Markes

Цитата:

В Ваших 8-ми офисах везде домен?

Да, в каждом офисе поднят домен.
hardhearted

Цитата:

а свои то dns сервера есть?

Конечно есть.

SergeyMark
как я уже писал выше, указываешь свои внутренние днс только на внутреннем интерфейсе, и самим dns серверам дать доступ в инет по dns протоколам, и все будет ок
в скольких конторах не ставил везде все было ок

hardhearted

Цитата:

не понял топологию

Еще раз попробую, с первого раза даже наврал

1. Есть циска, которая смотри в инет. На внешнем интерфейсе висит 1 public ip, а на внутреннем интерфейсе висит также дополнительный public ip для ISA-сервера (как secondary).
2. На циске также public ip, а шлюзом указан secondary public ip на циске.

С внешнего интерфейса циски скидывается статистика на "коллектор" (программа) на ISA-сервере. Спуфинг на ISA определяется со стороны primary public ip циски и поэтому статистика не ходит. P.S. Когда на ISA были не public ip, все было ОК.

Коллеги, прошу - выручайте. Нужно на ISA 2006 EE опубликовать Citrix PS 4.5 FP 1 Web Interface. В понедельник должно работать, иначе меня К сожалению, некогда уже, после обязательно пойду на курсы. С Цитриксом ранее не был знаком, но уже удалось заставить работать Web Interface внутри локальной сети. Теперь главная задача - вывесить это всё в Инет. Прошу помощи в экстренном порядке: ICQ, VPN и т.д. Ну или супермануал с картинками.

Нюанс публикации ещё в том, что хочу Web Interface опубликовать на HTTPS (и это нормально), но на этом порту и на этом IP уже опубликована OWA и новое правило публикации на это ругается и не создаётся.
Какие есть варианты решения проблемы с учётом этого нюанса: публикация на другом порту и/или публикация на другом IP? Или есть ещё варианты? Какой вариант более правильный? Если публиковать CPS Web Interface на другом порту, то на каком?

Пробовал на внешнем интерфейсе ISA прописать второй IP - упал VPN тунель.

Как быть? Повторюсь - помощь нужна очень срочно. Моя благодарность не будет иметь границ. Выручайте, коллеги!!!

Здравствуйте всем! У меня такая проблема:

Сеть на основе win2003 - поднято AD, DNS сервер.
Стоит ISA 2006 Русская на другом компе так же под Win2003. С момента установки все было хорошо, все работало. В какой-то момент у всех перестал работать HTTP протокол. То есть аська, почта через поп3 все нормально работает, а вот через браузер нет. Я посмотрел логи исы с конкретного айпишника, картина получается такая:

когда идет запрос аськи, она все нормально авторизует траффик и дает доступ, а когда идет запрос http, она пишет что Ip адресс назначения: 192.168.0.10 - адресс исы, порт 8080, протокол Http, отклоненное соединение, имя пользователя anonymous. Я просто первый раз сталкиваюсь с такой проблемой, не могу даже понять: это проблема домена или исы?

Если нужна будет дополнительная инфа или логи исы, предоставлю без проблем.

Заранее спасибо!

Здравствуйте! Такой вопрос...

Можно ли на ИСЕ разрулить так, чтобы она как ЮГ перенаправляла порты в инет, т.е. к примеру хочу через 555 порт выйти на какой-нить мэйл-сервак инетовский, получается какбы публикация только не во внутрь сети, а во вне...внутрь все пашет, а во вне не преходилось еще делать...попробывал как обычно публицировать - не прет...?

Нужно для того чтобы плавно перейти от ЮГа на ИСУ...

Добавлено:
senator14

проверь правила

Подскажите плиз такой вопрос, мучаюсь уже второй день
Есть домен 192.168.1.х, DNS сервера на 192.168.1.1 и 192.168.1.2 Isa server - 192.168.1.5 и второй интерфейс 172.16.15.5 на другую мою сетку 172.16.15.х
Вопрос - как из сетки 172.16.15.х разрешить имена для выхода в инет через dns 192.168.1.1 ? Инет я все настроил, через isa из сетки 172.16.15.х по ip-адресу все ходит. Делаю публикацию на Ise dns сервера 192.168.1.1 для сети прослушивателя 172.16.15.х, прописываю на машинах из этой сети DNS сервер 172.16.15.5 и ..ничего, на исе - Отклоненное соединие. Источник 172.16.15.10 Назначение 192.168.1.1 Протокол DNS
Что я упустил?
Маршрут на dns сервере создал руками
route add 172,16,15,0 mask 255.255.255.0 192.168.1.5

Коллеги, подскажите, пожалуйста, как правильно публиковать CPS 4.5 FP 1?

Морду сайта опубликовать удалось.
Также сделал рекомендации статьи: http://support.microsoft.com/kb/300177

...но при попытке подключения к приложению через некоторое время получаю следующую картину:



Где чего ещё нужно подкрутить, подскажите, пожалуйста - очень срочный вопрос.

Сама архитектура цитрикса очень простая: один сервер внутри сети, перед ним ISA 2006, перед ней Cisco Pix.

Господа, помогите, красных пятен куча появилась!

-------------------------------------------------------------
Тип события:    Ошибка
Источник события:    Microsoft Firewall
Категория события:    Отсутствует
Код события:    14147
Дата:        02.06.2008
Время:        12:00:20
Пользователь:        Н/Д
Компьютер:    SRV1
Описание:
ISA Server detected routes through the network adapter In that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 0.0.0.1-10.10.9.255;10.10.11.0-10.255.255.254;11.0.0.0-126.255.255.255;128.0.0.0-192.167.255.255;192.169.0.0-212.220.68.30;212.220.68.32-212.220.68.254;212.220.69.0-223.255.255.255;240.0.0.0-255.255.255.254;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
-------------------------------------------------------------

-------------------------------------------------------------
Тип события:    Ошибка
Источник события:    Microsoft Firewall
Категория события:    Отсутствует
Код события:    14147
Дата:        02.06.2008
Время:        12:00:21
Пользователь:        Н/Д
Компьютер:    SRV1
Описание:
ISA Server detected routes through the network adapter Out that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 0.0.0.1-10.10.9.255;10.10.11.0-10.255.255.254;11.0.0.0-126.255.255.255;128.0.0.0-192.167.255.255;192.169.0.0-212.220.68.30;212.220.68.32-212.220.68.254;212.220.69.0-223.255.255.255;240.0.0.0-255.255.255.254;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
-------------------------------------------------------------

-------------------------------------------------------------
Тип события:    Ошибка
Источник события:    Microsoft Firewall
Категория события:    Отсутствует
Код события:    14147
Дата:        02.06.2008
Время:        12:03:14
Пользователь:        Н/Д
Компьютер:    SRV1
Описание:
ISA Server detected routes through the network adapter Internet that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.0.0-192.168.0.255;192.168.2.0-192.168.255.255;10.255.255.255-10.255.255.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
-------------------------------------------------------------

2 ALL
а кто чем онлайн смотрит статистику закачек ?
GFI Web Monitor 4 не предлагать :) слишком много лишенего в нем. мнебы красивый , визуально воспринимаемый монитор :)

Доброго времени суток, господа соратники!

Столкнулся с проблемкой, никак не могу смекнуть что делать.
Вкратце - имеется два удаленных друг от друга офиса. В одном офисе стоит сервак, на котором сконфигурирован главный контролер домена, там же ОС w2k3, там же ISA Server 2006. В другом офисе находится сервак той же конфигурации ПО, только является он там дочерним контролером домена. Есно ему надо репликации с родителем и прочее, следовательно ставим настройку "сеть-сеть" на ISA Server. Вроде бы всё ок, как казалось бы, но возникли траблы - сначала один не мог подключится к другому, теперь оба к друг другу они не могут подключится... ну понятное дело проверил и даже сменил пароли учеток, так чтоб точно одинаковы были - ничего
Проверяем подключение VPN по вручную созданому подключению, где указаны все параметры подключения VPN. - результат на "УРА!", всё отработало отлично. Где косяк?
Далее смотрю на монитор что он пишет: http://forum.friends.nnov.ru/attachment.php?attachmentid=22419&d=1212128575
На другом, есно, вместо to from.
Что же это может быть?

такой вопросец:
есть ISA 2006 Standart на виртуальной машине (2k3 Standart), которая запущена на XP.
У машины три сетевых карточки:
1. Внутренняя сеть 192.168.0.0 - 192.168.0.255 (у ISA как Internal, другие сети не определял)
2. Подключена к ADSL-роутеру (через него весь интернет) (192.168.1.0 - 192.168.1.3)
3. Подключена к Интернету (внешний IP, на который идёт почта) (раньше интернет также через этого провайдера и без ISA)

Сделал так, что интернет идёт через сетевую карту №2.
В локальной сети есть почтовый сервер, в ISA опубликовал его. После этого на машине с ISA порты в состояние LISTENING. Но почта не приходит, а в логах:
Denied Connection по 25 порту с интернет IP на внешний (сетевая карта №3) без названия правила.

Не могу понять что не так, прошу помочь. Если что-нибудь ещё нужно - просите напишу. Заранее спасибо

ISA 2006 Ent тормозит, страницы открываются долго особенно если страница новая (не кешированная), при открытии в заголовке долго висит "Подключение...", а потом страница сразу показывается уже полностью загруженной из-за чего у пользователей еще больше ощущение тормазов (вроде когда видят постепенную загрузку страници не так ощутимы тормаза)... Когда и после чего конкретно возникло незаметили, ситуация не меняется даже если полностью вырубить антивирус (касперский). Из логов единственное что смущает это то что все или большая часть веб-запросов сначала идет от ananimus потом уже от пользователя (используется обязательная проверка подлиности)...
Подскажите в какую сторону капнуть?

Дополнительно замечено: после физического отключения инета от сервера с исой и последующего подключения первые пол часа инет просто летает, потом начинает постепенно тормазить...

Всем доброго дня.

Несколько лет работал как с 2004ыми, так и с 2006ыми версиями ISA, но подобное (на своих машинах) вижу впервые. Искал в сети на форумах: подобное проскакивало, но конкретных решений не нашёл.

Итак. Связка W2k3 EE + ISA2004 SE + GFI4. Часть клиентов ходит как Firewall Client, часть по SNAT. Глазам своим не поверил, когда в логах увидел следующее:

Разрешённые соединения через Default Rule (все помним, что во всех ISA Default Rule = Deny All)! Причём через Default Rule идёт весьма существенный http-трафик (в IAM Default Rule вылезает в пятёрку топовых правил по объёму трафика). В чём может быть беда? В какую сторону глядеть?

shivaspace
смотри все правила, возможно есть правило с таким же именем... смотри свойства стандартного Default rule, мож там что изменилось (хотя и не доступно для редактирования)...

To Shivaspace. На самом деле мы уже давно боремся с этой заразой. Это скорей всего какой то модуль бот сети. Но только успехов не очень (. Единственное что нашли это в mcafee 8.5 есть запрет на http соединения, причем он отделяет просто коннект к сайту по 80, от коннекта для скачки или обмена информацией. И вот поэтому такой вопрос возник а нету ли такой фишки в 2004 Ise или можеть в 2006 есть? Ибо по ip нереально забанить всех.

Вы меня простите )) но это просто охренеть.
Столько я промучилась с этими логами. И тут совершенно случайно наткнулась на статью в которой говорится, что логи в анализаторе (там описывался не IAM) - могут удваиваться
Потому что не надо оба типа логов указывать при импорте !!!
Я посмотрела ВНИМАТЕЛЬНО
И оказалось что они у меня не то что удвоены - они утроены!!!
Один раз ИСА указала их в WEB логах - от машин
и два раза - и от машин и от себя в FRW логах...

Сейчас перепроверяю. Но вы мне скажите - это кто-нибудь из вас знал?!

Проблема в следующем: нужно запустить приложение на клиентской машине с установленным FWC (4.0.3443.654) от имени указанного юзера.
Мои действия:

1. на ISA сервере в General в настройках клиента указал для данного приложения (пусть будет app.exe) ForceCredential=1
2. на клиентской машине в C:\Documents and Settings\All Users\Application Data\Microsoft\FireWall Client 2004\common.ini добавил строчку ForceCredential=1.
3. под админом (неважно, локальным или доменным) на клиентской машине добавил credential
fwccreds.exe app /s username domain.local password

Захожу под админом и запускаю приложение app.exe и смотрю в логах ISA - отлично проходит аутентификацию именно по юзеру 'username'.

Запускаю то же приложение app.exe под не-админом - не отрабатывается аутентификация. В логах ISA указывается учетка текущего не-админа.
Под ним же пробую fwccreds.exe app /r - выдает 'Error: Unexpected Error 0x80070005'.
Т.е. нет доступа к "чему-то", где хранятся эти самые credentials. И доступ туда дан ТОЛЬКО админам (локальным или доменным).

Вопрос: как побороть, и где хранятся эти данные?

ЗЫ: смотрел FileMon'ом и RegMon'ом - все без толку, нет уникальных ключей и файлов, куда был бы "ACCESS DENIED".

Подскажите информацию/руководство по обновлению ISA 2000 до 2004.

Tr00per
http://www.microsoft.com/technet/isa/2004/plan/faq-installupgrade.mspx
http://articles.techrepublic.com.com/5100-22_11-5483853.html