» Microsoft ISA Server 2006/2004/2000 (Часть III)

2GevardBarry
Если бы не видел контроллера домена, то и по RDP в этот момент было бы не зайти. Но спасибо за мысль.

2hardhearted
Винда именно sp2 .. RSS отключен.

Структура сети стандратная: одна внутренняя сеть (192.168.1.0), перед ней ИСА, за ИСА Интернет.
Вопрос: при добавлении второй внутреней сети нужно ли на ИСА сервере поднимать виндовую маршрутизацию и удаленый доступ?

4kusnik
и тут тот же смешной вопрос ты решил все форумы заспамить
ничего не надо поднимать, если исе что то понадобится то она сама все поднимет без спроса

turkmen

Цитата:

проблема с http, isa 2006+2k3+ bandwith splitter
Ситуация такая
пинги в интерент отличные,
игры играются , фильмы качаются проблема в быстроте хттп
тоесть в интернет эксплорере набираешь www.mail.ru,
тупение секунды три потом все лихо загружаеца, если на сайте отображены элементы с других сайтов, то тупение загружется какая то часть, опять тупение догружается остальное, оч раздражает.
с днс все ок
в статусе ИЕ пишет waiting www.mail.ru ....
в логах все чисто , убивал все что можно, от бандвиза кеша до флуд контроля

с самого сервера таких проблем нет

пробовал с опцие деадегтвей в реестре тоже не помогает

куда копать подскжаите плиз

удалось решить проблему - поделись опытом?

SHRIKE74

Цитата:

turkmen
исашные клиенты на машины ставил?

у нас клиент исы используется...

Добрый день.

Понимаю, что исходных данных для диагностики очень мало, но может всё же кто-нибудь сталкивался с подобным.

Windows Server 2003 SP1 + ISA Server 2004 (какие апдейты - неизвестно) был подключен к новому провайдеру.

[more=Более подробное описание проблемы]До этого подключение к интернету выглядело следующим образом. Во внешний интерфейс сервера втыкался Ethernet. Настройки данный интерфейс получал по DHCP. Далее устанавливалось VPN-соединение (настройки IP - статически прописаны в соединении, хотя до этого также были динамическими и работали) с одним из серверов провайдера, через которое, собственно, и подключался интернет.

Новая конфигурация выглядит аналогично, за исключением того, что IP-настройки внешнего Ethernet-интерфейса прописываются вручную, статически, а в VPN-соединении они получаются автоматом.

Обстоятельства сложились так, что на файрволе пришлось открыть все порты во все стороны (all outbound traffic; external, internal, localhost <-> external, internal, localhost) перед физически подключением сервера.

Далее пришел мастер от провайдера, настроил внешний интерфейс и VPN-подключение, установил VPN-соединение, но Интернет не заработал.

По телефону выяснилось, что, например www.ya.ru (!) успешно пингуется, но браузер странички не открывает.

Далее мастер ушел, а потом по телефону они попросили перезагрузить сервер. После перезагрузки (!) перестало устанавливаться VPN-подключение, хотя никакие настройки перед перезагрузкой не менялись. Устанавливаться оно не хотело с ошибкой 800. Тем не менее, VPN-сервер провайдера успешно пинговался, а при попытке установить соединение в логах ISA Server вываливалось море записей типа Initiated Connection - Closed connection по PPTP-порту. Файрвол абсолютно ничего не блокировал.

Попробовали остановить службы Microsoft Firewall и Microsoft ISA Server Control. После этого соединение не начало устанавливаться. Изменилась лишь ошибка - стал говорить, что закрыт порт (к сожалению, номер ошибки сейчас назвать не могу). Тем не менее, telnet <vpn.server.ru> 1723 успешно соединение устанавливал.

Если шнурок от провайдера подключить к обычной рабочей станции и настроить на ней VPN-соединение, ВСЁ ЛЕТАЕТ.

После этого эксперименты пришлось завершить.[/more]

РЕЗЮМЕ:

1) С ISA сервера успешно проходят пинги к каким-то хостам;

2) С ISA сервера успешно устанавливается соединение по нужным портам;

3) Реальные приложения (бразуер, VPN-клиент) при этом НЕ РАБОТАЮТ.

Помогите! Что предпринять?

Поставил ИСА 2006 и Сиквел 2005 Экспресс.
Хочу писать логи и вэб, и файер.
Вопрос первый: логи файервола пишутся нормально... почти. Айпишники переводятся в непонятные числа и информативности 0. Как сделать чтобы они нормально отображалось?

___ Понял что айпишник отображается теперь в виде числа. Но как бы его сделать, чтобы в таблицу инсертились сразу нормальные адреса с точкой? Может как-нить скрипт навесить? Кто может подсказать?

Второй: логи вэба писать не хочет напрочь. Иса сразу отваливается, если включить логирование и кто-то ломится в инет. В эвентах пишет: "The ISA Server Web filter failed to log information to SQL Database Fire. The SQL Error description is: Ошибка вставки: имя столбца или число предоставленных значений не соответствует определению таблицы."
Как определить какие колонки ему не нравятся? Или может дело в чём-то другом?

___ Разобрался с этим вопросом. Повесил нормальный дистрибутив SQL 2005 и всё заработало. Не исключено, конечно, что я просто при настройке на экспресса что-то проглядел, но всё же полный дистрибутивчик пополезней будет.

В добаление к уже написанному(http://forum.ru-board.com/topic.cgi?forum=8&topic=20506&start=1940#2).

Вроде как мой вариант решения проблемы основан на неправильной работе маршрутизации....
Через route -p add добавил для 0.0.0.0 шлюз адаптера №3 => почта принимается открылись 25 и 110 порты. Есть два но:
1. При перезагрузке сервера с ISA в качестве шлюза по умолчанию ставится шлюз адаптера 3, а не 2 => перестаёт работать всё. (шлюз указан в свойствах сетевого подключения толко 2-го адаптера)
2. Не получается опубликовать сервер Lotus Domino (TCP 1352 InBound). В логах ISA ошибок нет, соединение/перенаправление как будто идёт, но порт 1352 на машине с ISA не прослушивается...

Неужели совсем вариантов нет ??

По вопросу выше.

Поставил SP3 на ISA Server, удалось узнать некоторые подробности.

Соединения рвёт сам файрволл. Они закрываются со статусом "FWX_E_CONNECTION_KILLED 0x80074E24: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer".

Единственное, что удалось нарыть в интернете (http://www.eggheadcafe.com/aspnet_answers/isavpn/May2006/post26908083.asp) - поскольку между ISA и VPN-сервером есть какое-то активное оборудование, возможно даже с NAT'ом, по пути в пакетах меняется параметр CallID VPN-сервера, поэтому PPTP-фильтр ISA-сервера рубит соединение с указанным выше вердиктом. Фильтр этот не отключить.

Откровенно говоря, не понимаю всего до конца. Можете ли Вы разъяснить ситуацию и посоветовать, что здесь можно сделать?

Привет, дело в следующем, имели мы ису 2004 произвели миграцию на 2006, все работало нормально, до первого ребута, затем иса наглухо забанивает сетку 192.168.1.0-255, регистрируя следующую ошибку

"Таблица маршрутизации сетевой платы WAN включает диапазоны IP-адресов, не определенные в сети уровня массива Внешняя, к которой она привязана. По этой причине, когда пакеты будут проходить через данную сетевую плату из указанных ниже диапазонов IP-адресов, либо к этим диапазонам, они будут считаться поддельными и отбрасываться. Для устранения данной неполадки добавьте отсутствующие диапазоны IP-адресов в сеть массива. Пакеты из следующих диапазонов IP-адресов будут считаться поддельными и отбрасываться: Внутренняя:0.0.0.1-78.107.75.111,78.107.75.128-78.255.255.254,79.0.0.0-126.255.255.255,
128.0.0.0-192.168.0.255,192.168.2.0-223.255.255.255,240.0.0.0-255.255.255.254;

всевозможными способами пытался решить сию напасть, добавлял и адаптер и диапазон, но ничего не выходит
кто сталкивался плиз отпишите решение проблемы, thx...

arxivator
почему во внутренней сети есть диапазоны кроме 192.168.1.1 - 192.168.1.255 ?
Попробуйте оставить только эти адреса

изначально так и было, просто потом добавил адаптер чтоб уж совсем , а так не важно ошибка эта пишется и при адресах и при диапазоне адресов, где-то читал что типа при миграции на 2006 происходит косяк с dns, надо править XML, но у меня ее не было, доменные
юзера опознаются корректно и все такое, все правила работают как часы, но после ребута иногда после нескольких все банится, хотя некоторое время с ошибкой все нормально пашет, мистика какая-то.

Можно ли во внутренней сети использовать не стандартные адреса 192.100.100.X кто нибудь пробовал, и почему это не хорошо?

Добавлено:
Сейчас на MS Proxy 2.0 использую не стандартные адреса во внутренней сети 192.100.100.0-255 но читаю везде что на ISA 2006 с этим будет проблемы, так ли это надо ли перейти на что то стандартное?

Sacrifice

Цитата:

Понял что айпишник отображается теперь в виде числа. Но как бы его сделать, чтобы в таблицу инсертились сразу нормальные адреса с точкой?

Надеюсь что никак, так писала 2004 иса, по дибильному тупо в строку, в результате у 2004ой исы логи были в среднем в 10-12 раз больше
ипшник это обычное число, 32 бита, иса его и пишет в обычное число, просто наш тупой примитивный человеческий мозг привык к этому формату в 4 октета с точками (dot-decimal) и истинные значения не понимает. все кому надо выборки из скуля делать руками давно уже написали две банальные процедурки перевода десятичной записи в дотдецимал и обратно, и все

Цитата:

Второй: логи вэба писать не хочет напрочь. Иса сразу отваливается, если включить логирование и кто-то ломится в инет. В эвентах пишет: "The ISA Server Web filter failed to log information to SQL Database Fire. The SQL Error description is: Ошибка вставки: имя столбца или число предоставленных значений не соответствует определению таблицы."
Как определить какие колонки ему не нравятся? Или может дело в чём-то другом?

возможно ты неправильно таблички создал, и еще: в дистрибе исы таблички были глючные, может ща поправили, а раньше там пара полей были не того типа, видимо когда китайцы с 2004ой копипастили пару полей пропустили, формат то сильно изменился. у меня например action было varchar, тогда как иса2006 пишет все числом
посмотреть что пишет иса мона через profiler

Цитата:

Повесил нормальный дистрибутив SQL 2005 и всё заработало

он денег стоит и немало



Добавлено:
arxivator
таблицу маршрутизации смотри, выглядит так будто на внутреннем интерфейсе шлюз по умолчанию указан
zyrianov
проблем с самой исой то не будет, а вот с инетом могут быть,, тупо из определения адресов 192.100.100.x это уже инетовские реальные адреса, то есть из локалки все ресурсы с этими адресами будут недоступны
это в любом букваре для школьников написано

Да, понятно это, я тоже так думал, придется все переводить в нормальные адреса, а так не хочется то, достались все эти чудеса в наследство от странного чудака на букву "м" ...

При попытке зайти на пару сайтов периодически возникает сообщение :
Network Access Message: The page cannot be displayed

Technical Information (for Support personnel)
Error Code: 502 Proxy Error. The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)
IP Address: 192.168.0.18

Подскажите пожалуйста, как правильно настроить SSL
на машине с ISA Server 2006 ?


Цитата:

1. скачать скрипт isa_tpr.js и запустить его на ISA с ключами: isa_tpr.js /ext8443 8443, где ext8443 название порта а цифры собственно сам нестандатрный порт. после этого нужно перезагрузиться.
2. альтернатива в GUI ISAtrpe.zip (устанавливается)
3. информация взята с
http://www.isaserver.org/articles/2004tunnelportrange.html

Заходил я на эту статью, но файла isa_tpr.js там уже нет. Может есть у кого. Поделитесь.

НАШЁЛ правильную ссылку
http://www.isatools.org/tools/isa_tpr.js
http://www.isatools.org/tools/ISAtrpe.zip

stas999
http://support.microsoft.com/kb/283284

Тут такое дело.

Стоит домаин контролер, у всех юзверей свой айпи, все поправилам.

потребовалось срочно ставить ИСУ.

поставил открыл полный доступ без всяких ограничений.

что теперь требуется :

как сделать так чтобы вместо АйПи адрессов в отчетах ИСЫ были акаунты юзверей которым они принадлежат ну чтобы вместо 172.0.0.77 он писал юзер1.

как сделать так чтобы интернет был только у поключенных к домайну юзеров?

где в ИСЕ можно сомтреть кто и куда лезет в ДАННЫЙ момент!

если в лом писать хотябы сылки где можно найтик КОНКРЕТНО ответы на эти вопросы

да и еще, какой софт стороний можно прикрутить к ИСА?

Доброго, коллеги!
Уткнулся в задачу и не могу решить:
необходим клиенатм в сети двухсторонний обмен по ftp (банк-клиент и вэб-мастеру для закачки обновлений на сайт).

В хэлпе говорится про настройку фильтрации - Фильтрация - Настроить FTP, выбрав это на правиле, для доступа в Инет. Так нет у меня такого!!!!
Где рыть то дальше?
Даже если делаешь правило со сквозным пропуском всех данных в обе стороны все равно не работает FTP. А нада.

flyryrif

Цитата:

В хэлпе говорится про настройку фильтрации - Фильтрация - Настроить FTP, выбрав это на правиле, для доступа в Инет. Так нет у меня такого!!!!

Так создай такое правило и в нем настроишь свойства FTP, по умолчанию разрешена только загрузка по этому протоколу, в свойствах можно разрешить и выгрузку.

csc
качаешь книгу шиндера и читаешь. в инете найти ее легко, ссылку я уже на другом форуме тебе давал

Всем припет!!!
нужен совет по переезду исы на новое железо с изменением редакции с ENT на STD... суть в том как импортировать\экспортировать все совместимые натройки и правила (ну с этим более менее понятно), чему уделить особое внимание, про что не забыть???

csc

Цитата:

как сделать так чтобы интернет был только у поключенных к домайну юзеров?

если ты о юзверях которые у тебя в AD твоего домена, то в общих чертах - в свойствах внутренней сети включить веб-прокси и обязательную аутентификацию пользователей...

Цитата:

где в ИСЕ можно сомтреть кто и куда лезет в ДАННЫЙ момент!

это в "набледении" - "ведение журнала" или "сеансы" тамже, но если чесно и самого такой мониторинг не очень радует, могу посоветовать из сторонних прог для этих целей BSpliter, тут есть тема и про него и при этом он уиеет еще много всяких полезностей, которые в исе тоже не лучшим образом реализованы...

davinchi9
если у тебя иса стояла одна без всяких массивов то там никаких особенностей нет, ставишь да настраиваешь


Цитата:

в свойствах внутренней сети включить веб-прокси и обязательную аутентификацию пользователей...

ужасная галка, не ставь ее никогда

Цитата:

могу посоветовать из сторонних прог для этих целей BSpliter

ты прямо как маркетоид, впариваешь человеку продукт который совсем не для его целей
bsplitter это квотирование и шейпирование, и стоит он денег, мониторинг там примитивен, просто как дополнительный бонус.
у исы нормальный мониторинг, он показывает настоящий лог, по фильтру, это как раз то что надо для диагностики. если надо видеть статистику и отчеты то это уже к сторонним прогам.

Люди добрые, помогите решить проблему:
Имеется установленная windows 2k3, есть домен name.com, необходимо настроить этот домен, что бы просматривали его через локальную машину (мой сервер), собственно настроить его на сервере, что бы хостинг был у меня.
Пожалуйста, очень необходимо, подскажите с чего начать и в каком направлении двигаться? Заранее спасибо

hardhearted

Цитата:

если у тебя иса стояла одна без всяких массивов то там никаких особенностей нет, ставишь да настраиваешь

да, без масива... а в каком порядке - сначала поставить на новом потом на саром убить или убить все на старом и настроить на новом? проблема в том что иса стоит на DC, если ее вырубить, то на сколько я знаю DC станет недоступным пока иса опят не стартанет...
и еще вопрос: сейчас иса стоит с ADAM и там хранит свои настроики - это так могли сепециально сделать при устанвке исы или иса не умеет интегрироваться в AD и только c ADAM работает?

Цитата:

ужасная галка, не ставь ее никогд

почему? а какже еще кро этого способа в логах избавиться от ananimous и давать доступ в инет только доменным пользователям?

Цитата:

ты прямо как маркетоид, впариваешь человеку продукт который совсем не для его целей

ну не совсем, к примеру, можно не пользоваться шейпингом и сделать правило на безлимитный трафик всем, в таком случае bspliter можно использовать только как монитор активных ссесий - по крайней мере именно для этой цели ничего другого луче я не нашел хотя мне требовалось именно это...

denisvips

Цитата:

Имеется установленная windows 2k3, есть домен name.com, необходимо настроить этот домен, что бы просматривали его через локальную машину (мой сервер), собственно настроить его на сервере, что бы хостинг был у меня.

А с темой точно не ошибся?

davinchi9
никто тебе не мешает держать две исы в сети, ставишь новую, настраиваешь тестируешь, а потом бьешь старую
adam собственно для того и нужен чтобы апликухи интегрировались с ad


Цитата:

почему? а какже еще кро этого способа в логах избавиться от ananimous и давать доступ в инет только доменным пользователям?

ну во первых потому что эта галка не панацея, она работает только на web proxy клиентов, а во вторых с ней возникают проблемы, по которым люди опять лезут на форум, например комп вдруг перестает находить ису в автоматическом режиме и т.д.
а во вторых есть способ проще и гибче: правила надо просто создавать неанонимные и все будет ок

Цитата:

ну не совсем, к примеру, можно не пользоваться шейпингом и сделать правило на безлимитный трафик всем

ну я про что и говорю, ты предлагаешь юзать дорогой софт из-за его не основной функции и отключив основные, это мягко говоря не рационально

Granmer
Подскажите, где обсуждаются на форуме такие темы?

denisvips
в поиске, но точно не здесь, твоя мессага никак к исе не относится и иса в ней нигде не упоминается.

Цитата:

никто тебе не мешает держать две исы в сети

т.е. порядок действий примерно такой: поставить вторую ису, перенести на нее физическое подключение к внешней сети, изменить на клиентах айпишник инет-шлюза (ип новой исы), убить старую ису...


Цитата:

adam собственно для того и нужен чтобы апликухи интегрировались с ad

adam это как локальная капия того что хранится в AD? это особенность ENT редакции и в стандартной ADAM не используется?


Цитата:

ну во первых потому что эта галка не панацея, она работает только на web proxy клиентов, а во вторых с ней возникают проблемы, по которым люди опять лезут на форум, например комп вдруг перестает находить ису в автоматическом режиме и т.д.

посностью соглан т.к. у самого такая проблема и вроде даже инет стал работать медленнее, но я больше склоняюсь к тому чо это проблемы из-за FWClient'a...


Цитата:

ну я про что и говорю, ты предлагаешь юзать дорогой софт из-за его не основной функции и отключив основные

не лицензионной версией bspliter'a можно прользоваться без ограничений по функционалу и времени, но единственное ограничение - весь функционал применяется только к 10 юзерам - у меня как раз одновремено до 10 пользователей лазают и нормально - фактически получаю тот функционал что мне надо и при этом не нарушаю лицензию... С другой стороны буду рад рассмотреть другой софт для этих целей если можешь что-то посоветовать...

davinchi9

Цитата:

т.е. порядок действий примерно такой: поставить вторую ису, перенести на нее физическое подключение к внешней сети, изменить на клиентах айпишник инет-шлюза (ип новой исы), убить старую ису...

примерно так, тока смотри чтоб пр иотключении внешнего интерфейса старая не встала в ступор


Цитата:

adam это как локальная капия того что хранится в AD?

не совсем, читай матчасть http://www.microsoft.com/windowsserver2003/adam/default.mspx
в стандартной исе все настройки хранятся в реестре прямо на исе, в ent необходим централизованный storage ибо ent обьединяются в массивы


Цитата:

буду рад рассмотреть другой софт для этих целей если можешь что-то посоветовать...

не могу, сам таким не пользуюсь, у меня особенно желания и времени нет сидеть и палить в реалтайм несколько сотен юзерей, хватает отчетности за сутки.