» Microsoft ISA Server 2006/2004/2000 (Часть III)

Dead_Moroz
Markes
у меня emule пашет без всяких публикаций, серваки пр иконнекте предупреждают что мой порт недоступен но при этом я качаю и с меня тоже качают. видимо особенность пиринговых сетей, видимо эта сеть умеет upload по запросу.
greenfox

Цитата:

по умолчанию при установке иса 2004-2006 шара с инсталятором в целях безопастности не создаётся. Надо выбирать пункт выборочная установка и отмечать соот-е галочки + в правилах системных разрешать доступ.

с 2006 исой fwc вообще не идет в поставку, можно скачать с офсайта, а в 2004ой fwc есть но шару действительно надо разрешать отдельно.

hardhearted

Цитата:

у меня emule пашет без всяких публикаций, серваки пр иконнекте предупреждают что мой порт недоступен но при этом я качаю и с меня тоже качают. видимо особенность пиринговых сетей, видимо эта сеть умеет upload по запросу.

Возможно, не знаю. С торрентом, например, такие приколы не проходят - если не открыть порт, скорость отдачи будет практически нулевая. Не подходит для треккеров, которые считают соотношение in/out.


Цитата:

с 2006 исой fwc вообще не идет в поставку, можно скачать с офсайта

Не понял. Он у меня в папке fpc в дистрибутиве находится. Обновленный, с поддержкой висты - тот да, качается с офсайта, естественно.

hardhearted

Цитата:

Porolonchik
а в правилах указано All Users или все таки что то другое?

Дело было так. Поставил Windows 2003, ввел его в домен, поставил ISA 2006Std. Всё нормально.
Через некоторое время посавил SurfControl 5.5. В SurfControl покопался с EUM (Enterprise User Monitor) и понеслось...
Удаление SurfControl не помогло. При попытке добавить в ISA пользователя из AD выпадает ошибка: "Не удалось обработать объект с именем User из-за следующей ошибки: Указанный домен не существует или к нему невозможно подключиться".
Чтот за бред? Т.е. при добавлении видит структуру домена, находит пользователя, но после нажатия кнопки добавить выдает вышеописанную ошибку.
При этом я временно разрешил с Localhost на контроллер домена все протоколы, и обратно.
Ничего не понимаю. Хотя, если расшаривать папку на диске, всё прекрасно. Из AD берет учетку и добавляет в список пользователей шары.

hardhearted

Цитата:

у меня emule пашет без всяких публикаций

Какие Вы порты открыли и куда - in/out?

Столкнулся вот с такой проблемой.
ISA 2004 standard, сеть с доменом у всех Firewall Client

Есть сайт https на не стандартном порту 8085
_hххps://111.222.333.444:8085/mis
когда заходишь с клиента получаешь вот это

Сообщение о доступе к сети: не удается отобразить страницу

Технические сведения (для персонала службы поддержки)
Код ошибки: 502 Proxy Error. The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)
IP-адрес: 192.168.0.254
Дата: 02.0

Как решить эту проблему ???

123Maximus123
добавить соот-й порт в разрешённые для ssl соединений
скриптик есть на isatools.org если мне память не изменяет

такая проблема есть комп1 - isa2004 standart edition+win2003, есть комп2 - контроллер домена win2003, машина с isa входит в домен, на isa установлен trafficquota, в trafficquota пользователи из домена добавляются, ограничения обрабатываются, на isa в firewall polisy есть правила для webusers(группа пользователей из домена), правила работают, при попытке добавить новую группу через firewall polisy-toolbox-users-new user set, ISA выдает ошибку «The operation failed»: Error: 0x8000ffff Catastrophic failure.
подскажите решение, если кто сталкивался

проблема решилась greenfox
_hххp://isatools.org/tools.asp?Context=ISA2004
помогло вот
ISA TPRE    1.0
ISA Server tunnel port tool for non-standard Web Proxy port connections

fixed
проблема вообще была левая

При синхпонизации WSUS пишет такую ошибку

WebException: Сбой запроса с состоянием HTTP 403: Forbidden ( The ISA Server denied the specified Uniform Resource Locator (URL). ).

на ISA 2004 SE создано правило правило All outbound from Computer to Externall alluser

может сталкивался кто ? заранее спс

Вопрос наверно поднималься, но я не фсилил такое количество страниц. Та тех страницах где был не нашел....
СОбственно сейчас стоит ISA2000 и вот наконец принято решение переходить на 2004.
Вопрос собственно технического характера, обновиться ли ИСА до 2004 или сначала надо снести 2000 и только потом ставить 2004, если так, то возможен ли перенос настроек?
Находил много статей по переходу с 2004 на 2006, а вот с 2000 на 2004 почему то нет...

AlexRNeos
2000 сносить, нельзя помиловать.
настройки перенести можно скриптиком - на isatools.org есть всё, но вообще лучше ручками написать всё заново...

Leuda
wsus где стоит? В интернал или на исе? В логах (логгере) что?

greenfox
WSUS стоит в Интернал и в логах пишет что access deny

Leuda

Цитата:

WSUS стоит в Интернал и в логах пишет что access deny

ну так смотрите по каким портам и на каком правиле срабатывает deny - потом фиксите.

Есть шлюз - 3Com(ip-192.168.0.1), через который народ ходит в интернет. За 3Com-ом стоит ISA2006 с 2-мя картами, одна к 3Com-у (192.168.0.2) и вторая в локалку (192.168.1.1).
На 3Com-е прописан статический маршрут в локалку, т.е. следующее правило:
Все пакеты которым надо в 192.168.1.0 отправлять на 192.168.0.2. Таким образом если пинг из 192.168.0.1 в localhost разрешён, то с 3-Com-а можно без проблем пропинговать 192.168.1.1 (внутренний интерфейс ISA).
Проблема следующая: если я хочу пропинговать с 3Com-а какой-либо комп в локалке (192.168.1.*) и создаю соответствующее правило (например: разрешить пинг с 192.168.0.1 на 192.168.1.4), то пинг не проходит, а в логах ISA пишет, что
"для Ping-а отсюда и сюда" - Denied Connection, по Default rule, Source Network - External, Destination - Internal.
В чём может быть причина?

jankagman
в исе прописал в файере разрешение соот-е на прохождения пакетов внутрь сетки?

Здравствуйте!
Знатоки, и в частности, уважаемый hardhearted!
Как можно заставить Isa Server 2006 сжимать запрошеный контент из интернета ВСЕГДА и переправлять его в сжатом виде на клиента?

Я хочу сделать это для экономии траффика и вообще сделать дуступный извне прокси, для меня и друзей, чтобы ходить под прокси и экономить трафик, к примеру как это делает прокси у miniOpera для сотовых, который сжимает картинки и странички для экономии трафика...

И существует ли модуль для ISA Server 2006 для сжатия картинок по разрешению или качеству jpeg ?

Dead_Moroz
и правда есть, наверное что то перепутал, сам не ставил еще 2006, но наскока я читал шара все равно не будет создаваться, убрали эту фишку.
Markes
если клиент находится внутри то конечно же out, in нужны только для публикаций и ни для чего больше. а открыть можно только http, через прокси тоже работает, а если без прокси то можно все порты открыть, порты то у серваков и других клиентов могут быть какие угодно
Leuda
всегда смотри логи
jankagman
если на исе между internal и external стоит nat то никак, внутрь ната можно залезть тока через публикацию, а icmp публиковать нельзя. если стоит route то по идее простое правило разрешающее пинг от внешнего компа к внутреннему должно работать.
Keiichi
на 2006 исе так же как на 2004sp2 есть свое средство сжатия, но оно с некоторыми сайтами глючит (когда сайт сжимает неподдерживаемым форматом), поэтому я этот фильтр сразу же погасил. но этот фильтр, насколько я знаю, отправлял клиенту сжатый трафик только когда клиент об этом попросит, читай хелп там про него написано. сам я не разбирался особо можно ли его научить сжимать весь трафик или нет, и левые плагины не искал, просто потому что не вижу в них никакого смысла

Windows 2003 Enterprise SP2/ISA 2006 Enterprise

Ситуация: два сетевых интерфейса, один для Инета, другой для локалки. Интерфейс для локалки идёт через управляемый свитч со своим IP, соотвественно имеет статический gw для этих целей.

IF1: 1.1.1.1/255.255.255.248 GW 1.1.1.1.2
IF2: 192.168.0.1/255.255.255.0 + route -p ADD 192.168.0.0 MASK 255.255.0.0 192.168.0.254

После свежей установки ISA 2006 у всех NAT работает.

После перезагрузки работают только ping'и и nslookup'ы наружу, все HTTP/FTP запросы рвутся. В логе:

192.168.5.5 207.46.18.30 80 HTTP Initiated Connection NAT 0x0 ERROR_SUCCESS
192.168.5.5 207.46.18.30 80 HTTP Initiated Connection NAT 0x0 ERROR_SUCCESS
192.168.5.5 207.46.18.30 80 HTTP Initiated Connection NAT 0x0 ERROR_SUCCESS

0 байт послано и получено, пакеты с IF1 даже не пытаются уходить, и тишина.

Сносить и заново ставить ISA уже сил нет. (Ещё раз повторяю, что сразу после установки он работает ... пока не сделаешь reboot).

Добавлено:
Одним местом чувствую, что все проблемы из-за SP2.

hardhearted
WebException: Сбой запроса с состоянием HTTP 403: Forbidden ( The ISA Server denied the specified Uniform Resource Locator (URL). ).

WSUS пишет это

ISA лог

62.109.176.196 80 HTTP WSUS-DNS    192.168.10.10 Internal    External

62.109.176.196 80 DeniedConnection 192.168.10.10  anonymous 
POST    /ServerSyncWebService/ServerSyncWebService.asmx

Трабл таков
Сеть №1 - 192.168.0.0-192.168.0.255
Сеть №2 - 192.168.1.1-192.168.1.14
В первой сети стоит прокси (под ISA 2006), одной сетевухой смотрит в локальную сеть(№1), другой в инет. Вторая сеть и инет идут с одного интерфейса, так что пришлось настраивать канал долго и мучительно, но по итогу пинг пошел. А вот по сети ни я во вторую подсеть войти не могу, не они в мою... В логах ISA 1)для HTTP сначала открывает соединение с 0x0 ERROR_SUCCESS, потом закрывает его с 0x80074e20 FWX_E_GRACEFUL_SHUTDOWN 2) для "Служба имен NetBIOS" и "Microsoft CIFS (TCP)"также открывает с 0x0 ERROR_SUCCESS, а потом закрывает с 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN.
Доступ между подсетями полный.

Трабла 1:
Подскажите, как разрешить коннект РАдмином к машине с ISA2006. Правило прописано. В логах пишет, что соединение ОТКЛОНЕНО в связи с правилом, которое РАЗРЕШАЕТ соединение... Эт как так? Где засада?

Трабла 2:

Есть утилитка, которой нужно сединяться с SQL-сервером в инете по 112 (ТСР) порту (ну или по стандартному для MSSQL - не суть важно). Прописал разрешающее правило в политике экрана, а в логах идут записи о том, что отклонено, согласно правилу по умолчанию... Не совсем понял, как такое может быть

to greenfox
"в исе прописал в файере разрешение соот-е на прохождения пакетов внутрь сетки?"

В ИСЕ создано правило разрешающее пинг с 192.168.0.1 на 192.168.1.4, или вообще в internal. Результат - ни какой.

--------------------------------------------------------------------------------
hardhearted
WebException: Сбой запроса с состоянием HTTP 403: Forbidden ( The ISA Server denied the specified Uniform Resource Locator (URL). ).

WSUS пишет это

ISA лог

62.109.176.196 80 HTTP WSUS-DNS 192.168.10.10 Internal External

62.109.176.196 80 DeniedConnection 192.168.10.10 anonymous
POST /ServerSyncWebService/ServerSyncWebService.asmx

ERSHFISH

Цитата:

первой сети стоит прокси (под ISA 2006), одной сетевухой смотрит в локальную сеть(№1), другой в инет. Вторая сеть и инет идут с одного интерфейса, так что пришлось настраивать канал долго и мучительно, но по итогу пинг пошел

топологию надо описать подробнее, так не понятно как у тя на внеш. интерфейсе сети сидят

SkifDS2005
логи и скрины правил в студию

jankagman
рискну предположить что у тя стоит правило между интернал-экстернал как нат? Попробуй поставь роутин бо у тя обе сети серые... Насколько я понимаю натит потом твой 3com уже? (если что так же лог и скрин правил сюда)

Leuda

Цитата:

62.109.176.196 80 DeniedConnection 192.168.10.10 anonymous
POST /ServerSyncWebService/ServerSyncWebService.asmx

может у тя правила стоят только для пользователей авторизованных? (анонимуса видел?) Тогда для all users открой доступ в инет для этой машины (должно стоять вверху) Или пиши сюда скрин правил

SkifDS2005
телепатов нет. какие конкретно правила ты создал?
ps и вообще за radmin на исе увольнял бы сразу )

greenfox
Сеть №1 - 192.168.0.0-192.168.0.255
Сеть №2 - 192.167.1.1-192.167.1.14
В первой сети стоит прокси,которым управляет ISA 2006. В прокси имеется 2 сетевые карты. Одна смотрит вовнутрь(192.168.0.100) - соответственно Сеть №1, вторая смотрит в инет(213.***.***.178), на шлюз провайдера(213.***.***.177), Вторая сеть (192.167.1.1-192.167.1.14) соединена с прокси через VPN. VPN настраивал провайдер, и я к нему отношения не имею: во второй сети стоит железный маршрутизатор, который работаеш шлюзом(192.167.1.1). Пакеты со второй подсети приходят на прокси через сетевуху 213.***.***.178. Если в ISA не прописывать вторую подсеть, то всё в норме пингуеться, однако если прописать, то всё глохнет, причем дело не в правилах. Поверив поддержке MS, которая выразила "The ISA server can only control traffic for networks which can be connected directly to an interface ip subnet" , было сделано следующее:

1. Создал в ISA сеть типа Internal - далее Provider - и включил в нее адреса 213.***.***.176/30 и 192.167.1.1-192.167.1.0.14, В этом случае сеть External оказалась за сетью Provider, что является поддерживаемой конфигурацией (для сети External сделано исключение)
2. Отношение маршрутизации между сетью Internal и Provider установил такими же, какие были между Internal и External
3. Создал сетевой объект (типа Subnet) - назвал RemoteOffice - включающий в себя все адреса филиала 192.167.1.0/14, установить отношение маршрутизации Route между RemoteOffice и Inetrnal и разместил это отношение выше отношения маршрутизации между сетью Internal и Provider.

По итогу пинг пошел, но вот по сети я со второй подсетью общаться не могу.

greenfox


WSUS Allow All OutBound traffic from computer to external all users

правило создано для этого компа на нем шлюзом прописана прокся так что он по любому должен идти как СекНат клиент

а вот что это за шняга

62.109.176.196 80 DeniedConnection 192.168.10.10 anonymous
POST /ServerSyncWebService/ServerSyncWebService.asmx

ERSHFISH
я те гна другом форуме написал что в такой топологии все кроме internal должно быть в external, в том числе и удаленный офис.
для настройки правил выдели удаленный офис в subnet и применяй правила к нему

hardhearted
Бывает, пересекается.