» Microsoft ISA Server 2006/2004/2000 (Часть III)

Привет, All.
Помощь нужна. Есть ввв сервер апач, настроенный так (с помощью RewriteRule), что если идет запрос на определенную папку, то переводить соединение не ssl
(    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R]
)
По локалке апач прекрасно отрабатывает такое перенаправление.
И есть на ISA 2006 правило публикации этого веб сервера по 80 и 443 портам. Если впрямую в браузере вбивать https://myserver/sssfolder, то все работает. А вот если убрать буковку s и набрать http://myserver/sssfolder, то браузер сильно задумывается и выдает отказ. При этом иса выдает блокировку на источник запроса - типа слишком много запросов с одного хоста. Такое чувство , что иса зацикливается. Пробовал создавать две одинаковые веб публикации - только одна слушает 80 , а другая 443 порт. Не помогло. Причем менял их местами и так и эдак...
Подскажите как сделать с помощью исы , чтобы именно на конкредной папке "и глубже" запросы пользователя переводились на ssl?
Спасибо.
P.S.: Сейчас пока сделано одно правило публикации, которое все http запросы переводит в ssl

Здравствуйте!

Скажите пожалуйста, как ИСА будет использовать 2 внешних интерфейсов, как ?
по какому принципу ИСА будет разделять запросы, какой запрос по какому интерфейсу посылать?

Заранее спасибо за ответ!

Keiichi
никак, иса вообще ничего разделять не будет, не ее это задача, она не роутер. открываешь книгу типа "основы tcp/ip" раздел маршрутизация и учишь матчасть.

Не получается настроить хождение по 443 порту через ISA. Можно получить какие нибудь пошаговые рекомендации как настроить.

Network Access Message: The page cannot be displayed

Technical Information (for Support personnel)

* Error Code: 502 Proxy Error. Connection refused(10061)
* IP Address: 10.7.19.2
* Date: 07.07.2008 3:16:09 [GMT]
* Server: s1.bashmedsteklo.local
* Source: proxy

В одной из контор после наката SP1 на ISA2006EE (en, x86) клиенты как-то странно себя стали вести, при этом в журналах следов не оставляя: если рабстанция у клиента долго (полчаса-час) залочена (lock, не logout), то FWC тупо вырубается. Т.е. в строчке автодискавери ругается на отсутствие сервера, следовательно все настройки прокси в браузере слетают, помогает только ребут. После ребута, соответственно, всё пучком, но до первого залочивания.

Политик соответствующих на принудительный логаут нет. Сеть и визуально, и физически в поряде. Т.е. по-русски: если рабстанцию держать всё время активной (без win+L и/или блокировки по простою) - автодискавери в FWC не теряется.

Чзх, никто ещё не сталкивался с этим?

sarti
нефига ставить sp без тестирования, ему еще и недели нет, а на официальном winupdate он тока 22го появится, а вы уже на боевые машины его ставите, что еще хотели получить? )

hardhearted, ну, вообще-то до этого были бетки, но когда-то же надо начинать ставить сами релизы
И я очень сильно сомневаюсь, что SP претерпит какие-то изменения до своего появления на винапдейте.

sarti
никаких изменений не будет, это уже релиз
но если ставишь свежий релиз на боевую систему то незачем удивлятся

hardhearted, да это скорее просьба о помощи, либо совете, я ж не даун, чтобы после наката SP сидеть и удивляться, ну, тем более после знакомства со списком изменений

sarti
У нас такая проблема была и до установки SP1 который тоже только вчера поставили. Сначала проблема была в том что при использовании антивируса Касперского для рабстанций компонент защиты веб-антивирус неправильно обрабатывал трафик от исы к FWC и обратно в результате FWC получал некорректные данные и не мог автоматически определить прокси-сервер, эта проблема будет решена с выпуском следующего релиза касперского для рабстанций. Но даже без использования каспераского и при стабильном автоматическом обнаружении FWC'ом прокси-сервера настройки прокси в самом браузере периодически сбивались, причем причины этого так и небыло найдено. Периодически было даже такое, что в роцессе серфинга настройки прокси отваливались и FWC не мог обнаружуть проксик, т.е. даже не по простою и залочиванию. В последнее время все это за...ло и решили вообще отказаться отавтоматического обнаружения и того подобного...
выше уважаемый hardhearted высказался:

Цитата:

Цитата:почему? а какже еще кро этого способа в логах избавиться от ananimous и давать доступ в инет только доменным пользователям?

ну во первых потому что эта галка не панацея, она работает только на web proxy клиентов, а во вторых с ней возникают проблемы, по которым люди опять лезут на форум, например комп вдруг перестает находить ису в автоматическом режиме и т.д.
а во вторых есть способ проще и гибче: правила надо просто создавать неанонимные и все будет ок

с чем я полностью согласен!!!
hardhearted, а не мог бы ты по подробнее объяснить что ты имел ввиду говоря:

Цитата:

правила надо просто создавать неанонимные и все будет ок

я попробовал в правиле сделать не все юзвери а юзвери прошедшие проверку, так иса вообще всех перестала пускать, я что-то не доделал?
и как при этом быть с FWC, т.е. он нужен или нет? веб-проксирование при этом варианте так и остается?

попутно еще хочу спросить:
1. есть ли способ Internet Explorer 7 заставить отображать страницу по мере ее загру как это делали придыдущие версии, а не сразу целиком и полностью после того как она полность прогрузится - а то у пользователей впечатление создается что нет тормазит, а когда постепенно что-то появляется таких ощущений нет...
2. подскажите какая ширина канала нужна для активного одновременного серфинга и инете 7-10 пользователей?

davinchi9

Цитата:

я попробовал в правиле сделать не все юзвери а юзвери прошедшие проверку, так иса вообще всех перестала пускать, я что-то не доделал?

все верно, authenticated users в правилах исключают анонимов. тока надо учесть что далеко не весь трафик можно аутенфицировать. в случае web proxy клиентов работать будет только если приложение умеет работать через web proxy и умеет тот метод аутенфикации который выставлен в настройках. в случае fwc клиентов работать будет тока с теми приложениями которые умеют работать через winsocks, это большинство windows приложений работающих по tcp или udp, но например icmp или gre ты уже через fwc не сможешь аутенфицировать.

Цитата:

и как при этом быть с FWC, т.е. он нужен или нет? веб-проксирование при этом варианте так и остается?

как следует из написаного выше он нужен тем приложениям которые не умею работать через web proxy а их трафик ты хочешь аутенфицировать. на web proxy это никак не влияет, то что было настроено на прокси fwc уже не тронет.

Цитата:

1. есть ли способ Internet Explorer 7 заставить отображать страницу по мере ее загру как это делали придыдущие версии, а не сразу целиком и полностью после того как она полность прогрузится

я думал движок IE вообще на это никогда не был способен, он всегда грузил целиком, вообще вопрос не этого форума, хотя такой эффект (ожидание полной прогрузки) часто бывает пр ииспользовании левых фильтров на исе, например антивирей

Цитата:

2. подскажите какая ширина канала нужна для активного одновременного серфинга и инете 7-10 пользователей?

это уже вопрос запросов юзерей, кому то и 256К на одного хорошо а кому то и 5М мало

попросили настрить фтп на исе. до этого дел с ней не имел
нужно опубликовать ftp стоит он на той же машине что и иса. в настройках фтп стоит localhost port 8021

подскажите какое правило нужно создать?

hardhearted
у моих юзверей кроме IE в инет больше ничего не лезит, следовательно аутентифицировать во внешнюю сеть мне больше нечего, а IE может без проблем походить NTLM аутентификацию как веб-прокси клиет - более и не требуется, следовательно если я решил идти по пути разгрузки конфигурации и избавления от глюков с автообнаружением FWC мне тут совсем не нужен, т.к. ему нечего будет аутентифицировать - правильно я мыслю?

... и еще столкнулся с такой проблемой: раньше где стояла ISA 2006 EE небыло служб IIS, сейчас перенес ису на другой сервер с IIS и изменил редакцию на SE, дык вот она теперь при старте создает такое оповещение:

Цитата:

Описание: Фильтр веб-прокси не смог связать свой сокет с <IP_ISA_SERVER_ON_INT_NIC> порт 80. Это может быть вызвано другой службой, которая уже использует тот же порт, или сетевой платой, которая не работает. Для устранения неполадки перезапустите службу межсетевого экрана Microsoft. Код ошибки, указанный в области данных свойств события, обозначает причину ошибки. Сбой произошел из-за ошибки: Сделана попытка доступа к сокету методом, запрещенным правами доступа.

как теперь подружить IIS и ISA или дело вовсе не в IIS?

... и еще вот такое странное уведомление стало появлятся:

Цитата:

Описание: ISA Server обнаружил петлю при последовательном соединении прокси. Возможно, это обусловлено ошибкой конфигурации политики веб-цепочки сервера ISA Server. В выпуске Enterprise Edition, если включен протокол CARP и имеют место перемежающиеся прерывания подключений внутри массива, член массива A может передать запрос члену массива B согласно алгоритму CARP, а член массива B может передать запрос члену массива A по бесконечному циклу.

сомое страшное что иса после этого перестает видеть внешнюю сеть, подскажите с чем это может быть связано?

davinchi9

Цитата:

правильно я мыслю?

ну если такой функционал нужен то правильно, у самого на прошлой работе fwc нигде не стояло кроме узкого круга лиц

Цитата:

как теперь подружить IIS и ISA или дело вовсе не в IIS?

правильно ругается, iis слушает 80 порт, и иса может пытаться слушать это тпорт например для публикации, автообнаружения или для размещения скрипта автонастройки браузера

Цитата:

и еще вот такое странное уведомление стало появлятся

если оно появилось и перестало то ничего страшного, а если появляется постоянно то что мешает посмотреть ошибку на офсайте, мы ж не телепаты, не знаем что у тебя там еще стоит и как настроено

hardhearted

Цитата:

fwc нигде не стояло кроме узкого круга лиц

ну я тоже так думаю, например, себе оставлю для определенных целей...

Цитата:

правильно ругается, iis слушает 80 порт, и иса может пытаться слушать это тпорт например для публикации, автообнаружения или для размещения скрипта автонастройки браузера

оно так и есть, но т.к. я отказался от автообнаружения иса перестала слушать 80 порт и алерты прикратились - эта проблема вроде решена...

Цитата:

если оно появилось и перестало то ничего страшного,

оно появлялось постоянно примерно каждый час и при этом иса местическим образом ничего не могла отправить/принять по внешнему интерфейсу, решилось прописанием на внетреннем интервейсе статических IP, по зашпарке при подъеме нового сервака не обратил внимание на то, что он IP получает от DHCP, соответственно и IP шлюза, т.е. иса шлюзовалась сама на себя - этот трабл вроде решен, будем смотреть что дально, но подобный алерт пока не появлялся!!!
Дошел до настройки аутентификации - планировал сделать не анонимные правила - сделал, результат: клиентский браузер ломится на ису, в нем открывается диалог ввода лигина и пароля для доступа к иса серверу, ввожу - болт, ввожу - болт, ввожу - болт, далее страница не доступна, в логах исы естественно пользователь не авторизовался и иса его любезно отклонила. Вернул анонимное правило и попробовал поставить флаг на "Требовать аутентификации всех пользователей" в свойствах внетренней сети на вкладке Веб-прокси - та же самая картина, три раза просит ввести логин/пароль и откланяет, далее решил проверить домен для аутентификации (там где флаг "Требовать аутентификацию..." ниже есть кнопка выбора домена), дык вот она не доступа - предполагаю что иса до домена достучаться не может, прошу помощи в решении этой "финальной" проблемы...

Для того чтобы не было никаких проблем с внтуренней сеткой ставлю самым первым правилом ставл.
Action -Alow
Protocols - All Outbond traffic
From - Internal,Local host
To - Internal,Local host
Condition - All Users

Это открывает полностью компьютер на котором стоит ISA для внутренней сетки, что также является местом уязвимости в безопасноти, для маленьких компаний подойдёт в полне. ДЛя больших,не рекомендовал бы использовать это правило.( надо настраивать порты для обмена с AD)

davinchi9
проверяй ходит ли трафик между исой и контроллерами

Tornado777
у меня такого тупого правила никогда не было и проблем тоже не было
для обмена с ad есть системные правила там все настроено

hardhearted
с недоступностью кнопки кнопки разобрался - она доступна только когда выбрана обычная (base) аутентификация, но обзором можно воспользоваться только на локальном компе, на удаленной консоли обзор серверов недосупен, при этом никаких отклоненых запросов в журнале не фиксируется...
LDAP запросы ходят без проблем...

вот решил уйти с керио на ИСу. не подскажите можно ли ИСу ставить на контроллер домена и на сколько это правильно ?

apnss
можно, у меня стояла, перенес на другой в целях обеспечения большей отказоустойчивости и большей свободы действий, например когда отрубаешь ису для каких либо целей контроллер домена остается доступным и наоборот...

а почему решил с керио на ису соскачить?

hardhearted
в результате плясок с бубном выяснилось что клиенты с ХР без проблем проходят аутентификацию... аутентификация непроходит только на висте и серваках 2008 - жесть, ну что еще может быть?

Цитата:

проверяй ходит ли трафик между исой и контроллерами

даже попробовал открыть все на DC и с него во внутреннюю сеть - ничего не изменилось...

davinchi9

Цитата:

а почему решил с керио на ису соскачить?

на 40 машинах керио под 50% грузит 2х процессорный сервак (HP пролиант) и суммарно канал 8мбит не используется ...

+ когда-то полгода назад написал телегу шефу что "использование нелицензионного ПО повышает риск административной отвественности ... " ... вобщем покупаем все лицензионное, как сказали "все что нужно - заказывай" ...вот и думаю

Следующая часть: Microsoft ISA Server 2006/2004/2000 (Часть 4)