» Microsoft ISA Server 2006/2004/2000 (Часть III)

Leuda
а правило на котором режет? (желательно со скриншотом всех правил)
Делали согласно статьям типа этой http://www.isaserver.bm/isa_articles/wsus.html ?

to greenfox

Совершенно верно, у меня 2 NAT-а подряд. Лог пока выложить не могу, т.к. рабочее время, народ пользуется сетью. Под вечер выложу.
Однако предварительно надо ещё вот что сказать.
Роутить я пробовал, но проблема в том, что есть ещё сетка 192.168.100.* - это аппаратный VPN 3-Com-а, и в неё тоже нужен доступ.
Вот здесь: http://zeon.rbcmail.ru/Sxema.JPG, я попытался набросать схему сети.
При роутинге, всё отлично работает, все ходят наружу и вообще всё замечательно, вот только VPN-новской сетки уже не видно. Т.е. он роутит между 192.168.0.* и External, т.е. между 192.168.0.* и 192.168.1.* и не знает что делать с 192.168.100.*. Если прописать статический маршрут на ИСЕ в сетку 192.168.100.* (типа всё что для 192.168.100. надо отправлять на 192.168.0.1), то результата ни какого.
Пробовал все сетки выделять раздельно в ИСЕ вот так:
192.168.1.* - Internal
192.168.0.* - Demilitary
192.168.100.* - VPN_to_Moskow
Остальное - External
И для каждой настраивать роутинг, но результата ни какого. Ближе всего подошёл к решению проблемы способом который указывал в посте на предыдущей странице. Пакеты приходят на внутреннюю карту исы и готовы пройти во внутреннюю сетку, но блоируются ИСО-й.
Думаю решение близко, главное понять почему ИСА блокирует эти пакеты.

jankagman
ну у вас вобщем с точки зрения исы есть только интернал с сетью 192.168.1.0/24 и экстернал со всеми остальными сетями. Соот-но первое посмотрите что включено в диапазон интернал (конфигурация - сеть - интернал - свойства) - там должно быть только 192.168.1.0-192.168.1.255 бо быват автоматом иса туда толкает ещё и всю серую подсеть 192.168.0.0/16 что соот-но по вашему варианту приведёт к тому что при приходе пакета на внутр. интерф исы идущего на 192.168.100.0/24 сеть иса подумает что это интернал.
А так у вас стандартная схема, разве что нат вам не нужен между сетями интернал и экстернал...

ps лог можно снять и при раб-х пользователях - настраиваете логгер на опред Ip и с него пытаетесь куда-н вылезть...

jankagman
картинки уже не видно
схема обычная (у самого таких 10 офисов)
в internal оставляешь тока 192.168.1./24
все остальное в external
остальные две подсети выделяешь в отдельные subnet
между internal и external можно оставить NAT а можно и route оставить все равно 3com занатит
между internal и 192.168.0./24 ставишь route (если в external оставил route то не обязательно)
а между internal и 192.168.100./24 надо по идее route но у тебя скорее всего 3com неправильно настроен, предполагаю что он делает впн между 0 и 100 а что такое 1 он понятия не имеет

Цитата:

телепатов нет. какие конкретно правила ты создал?

Правило для SQL:

Действие Протоколы Откуда Куда Условие

Разрешить Microsoft SQL (TCP) Внутренняя Внешняя Все пользователи


Лог:

Порт Протокол Действие Правило Откуда Куда

1443 Microsoft SQL(TCP) Отклоненное соединение Правило по умолчанию Внутренняя Внешняя

Не работает ActiveFTP ни на ISA 2004, ни на ISA 2006....
Настроил правила, которые разрешают все для всех!

ВОт что получается:

ftp> open ftp.oracle.com
Связь с bigip-ftp.oracle.com.
220-**********************************
220-Oracle FTP Server
220-
220-The use of this FTP server is gove
220-stration Regulations. Details of
220-Controls can be found at the Bure
220-All Oracle products are subject to
220-to U.S. law is prohibited.
220-
220-http://www.oracle.com/products/exp
220-http://edelivery.oracle.com/EPD/Tr
220-
220-An SSL-encrypted FTP server is ava
220-ftps-compatible clients are encour
220-
220-Oracle Employees:
220-Under no circumstances are Oracle
220-ware for the purpose of distribut
220-are available to employees for i
220-only. In keeping with Oracle's tr
220-and applicable multi-lateral law
220-could result in disciplinary actio
220-
220-**********************************

220-
220
Пользователь (bigip-ftp.oracle.comno
331 Please specify the password.
Пароль:
230 Login successful.
ftp> dir
200 PORT command successful. Consider
150 Here comes the directory listing.

После этого все висит до потери пульса!!!!

Хотя должен выдать сразу список каталогов.



Повторяю, все остальное работает прекрасно!!!!!!!!!!!!!!!!!!!

Пока во всяком случае....

На ISA 2000 таких траблов не было...

nbt
http://support.microsoft.com/default.aspx?scid=kb;EN-US;927695

Здравствуйте.
Не получается опубликовать почтовый сервер через ISA сервер. Почтовый сервер проработал некоторое время потом опять перестал отправлять и принимать всю почту. думаю что перестал отправлять/принимать из-за того что менял правила.
В очереди пишет: The remote server did not respond to a connection attempt.
при попытки соединиться из внешки к нашему почтовому серверу пишется: Failed Connection Attempt. Сообщения во внешку стоят в очереди. не уходят. Пользовался стандартными средствами публикации. как мне исправить эту проблему?

alexps
вопрос из разряда "у меня машина ездила, потом я что то сделал, и она перестала ездить, как чинить?"
смотри логи для начала.

Стоит ISA 2004 SP2 на Windows Server 2003 SP1. Постоянно включен VPN с другим сервером. Все работало. В один непрекрасный миг ISA стала блокировать все пакеты, интернет стал недоступен. Помогает перезагрузка, после чего все работает от часа и более, потом опять перестает. Поставил SP2 для Windows,
работало два дня, потом опять все повторилось. Такое уже было с год назад, помогла полная переустановка ситемы. У кого-нибудь было похожее.

привет всем помогите пожалуйста решить проблему!
у меня 2 канала интернет(2 разных прова)различия только в скорости и оплаты
работаем либо с одним каналом либо с другим
поставил ису!как организовать переключения с одного канала на другой?????
я знаю как это сделать посредством нат-маршрутизации
isa вроде зависит от маршрутизации????если я к примеру настрою нат-будет ли работать моя задумка?????

вопрос такой - сечас есть временная сеть в офисе на 15 машин, позже будет контроллер домена и сам домен, пока идёт ремонт ничего этого нет. есть сервак с ИСОй, через который все ломятся в инет, части пользователей (отделу продаж) надо бы закрыть всё кроме почты, хттп и аськи...можно ли это как то организовать? по юзерам не получается т.к. нет домена, можно ли отдельно по IP адресам создать правила?

Цитата:

oler2

Поставь впереди железку типа Zyxel ZyWall35 с двумя ван-портами, заточенную для этой задачи и не мучься...

KorP2
можно по ip сделать... можно и по пользователям, только пользователей придётся создавать локально на исе...

oler2

Цитата:

я знаю как это сделать посредством нат-маршрутизации
isa вроде зависит от маршрутизации????если я к примеру настрою нат-будет ли работать моя задумка?????

про 2 канала уже вроде спрашивали, кажись средствами исы самой такое не сделать - народ вроде что-то стороннее использовал - поюзай поиск тут, на isaserver.ru и isaserver.org

Есть такая проблема.
ISA firewall service ложится, если по каким-то причинам не может писать свои логи. Причём потом его не поднять даже ручным перезапуском - помогает только переустановка.
Проблему можно было бы решить, если бы можно было настроить ИСУ так, чтобы логи велись только с 9:00 до 18:00. Но как это грамотно сделать?
Второй способ решения нашёл здесь:
http://www.microsoft.com/technet/isa/2004/plan/disablelockdownonlogfailure.mspx
Там есть пример скрипта, но так как я с vbs никогда дела не имел, то не уверен что сделал всё как надо. Текст листинга я сохранил в файл DisableLockdownOnLogFailure.vbs и запустил на выполнение. Он мне выдал два сообщения: "The log failure alert was not found in server2" и "done". Но желаемого эффекта это не принесло, firewall всё равно ложится если не может писать log

hardhearted
то что *что-то сломалось* - я почти починил и почту из инета принимаю.
Вот тогда вот такой вопрос, ну никак понять не могу:

У меня почта не отправляется в инет. Как нужно правильно делать это: просто добавить Access Rule где разрешить SMTP или через мастера публикации почтового сервера это можно сделать??? ну никак не догоняю
Просто ISA будет ругаться если я что то не так опубликую

Цитата:

можно по ip сделать... можно и по пользователям, только пользователей придётся создавать локально на исе...

ну я и говорю - через юзеров не удобно, а чем IP всё-тки можно организовать? пасиб, пойду пробовать

Ещё посоветуйте анализатор логов, если логи хранятся на SQL-сервере. ProxyInspector оказывается не умеет брать данные из SQL.

KorP2

Цитата:

чем IP всё-тки можно организовать

всмысле чем? Пихаете компы по сетам разным и настраиваете для них правила... всё по шиндлеру так сказать, стандартная схема.

oler2
greenfox
у исы своей маршрутизации нет, есть только правила между кем роутинг делать а между кем nat, но сами маршруты она берет из винды.
oler2
два канала одновременно и по failover иса не умеет, но можно поставить два прова и скриптом или руками менять маршрут по умолчанию
если хочешь что то более гибкое то нормальные роутеры это умеют
alexps
создаешь тупо правило allow smtp from server to external all users и все. расположи его так чтобы до него не было правил
1 прямо или косвенно запрещающих smtp или все протоколы для него или для сетки/подсетки куда он входит
2 разрешающих smtp или все протоколы для него или сетки/подсетки куда он входит но аутенфицированным пользователям (его как анонимного тогда откинут)

Help!

Нужно организовать VPN между офисами.
Две ISA 2000 на Windows server 2000.
У меня в офисе IP адреса провайдера указаны статически (прописаны в свойствах соеденения)
В удаленном ADSL интернет подключается через ярлык (как Dial-up) адреса статические.
При настройке VPN пропадает интернет в удаленном офисе. Можно ли настроить VPN не прописывая IP адреса провайдера на сетевой карте в удаленном офисе.

Locky_MS
2000 ису не юзал, в 2006 работает на ура, думаю что не проблема будет

О включении протокола FTP.
Чтобы пользователь из локалки мог работать с внешними ftp-серверами и пользоваться фтп-клиентом.
Как всё-таки это правильно сделать в 2004 SP2?

Открыл в режиме "версия для печати" все 3 части обсуждения.
По всем трём прошелся поиском по слову FTP. Стал читать.

Вот что нарыл, это типовое обсуждение, остальное повторы:


Цитата:

Автор: stas999, Отправлено:17:36 18-12-2004

есть проблема. (Возможно ни кто не сможет помочь по причине того, что проблема связана с Macromedia Dreamweaver 2004, но я всё же попробую)

При соединении встроенного ФТП для выкладки страниц на сервер провайдера выходит вот такое сообщение:
Dreamweaver cannot determine the remote server time. The Select Newer and Synchronize will not be available.

stas999
Поумолчанию в свойствах правила доступа к ФТП заблокирован Аплоад на ФТП.
(Сразу прошу пардону, ибо снес уже этого монстра, а на вскидку не помню, но в Хелпе все подробно расписано как "это" отключить.)

Автор: stas999, Отправлено:15:54 21-12-2004
Спасибо всем...Буду пробывать

Добавлено
fktrctq
Спасибо...Твоё решение помогло...Я отключил фильтр ФТП и всё заработало. Пока не нашёл где его настраивать, но думаю со временем найду, если такое возможно. Сам фильтр имеет только одну опцию ВКЛ/ВЫКЛ. Как временное решение подходит.
Спасибо ещё раз всем.

Автор: renault, Отправлено:17:56 21-12-2004
stas999
Правой клавишей по правилу, где разрешается FTP протокол -> Configure FTP -> снять галку Read Only

Автор: stas999, Отправлено:21:53 21-12-2004
renault
Не нашёл я такого в 2004. Может прлохо смотрел? Подскажи точнее.
В правилах, которые я утановил, ФТП ни где не упамянается. А в системных по умолчанию я его тоже не вижу. Всё что я нашёл, так это в Add-ins на вкладке Application Filter фильтр FTP Access Filter. Там нет таких параметров. Есть только Вкл/Выкл.

Автор: SergeyM, Отправлено:01:32 22-12-2004
stas999
Правой кнопкой мыши щелкни по правилу по которму ты выходишь и ты увидишь кофигуре HTTP и конфигуре FTP, вот и выбираешь конфигуре FTP там стоит галочка read only её снимешь и получаешь возможность заливать куды надо

Автор: stas999, Отправлено:09:42 22-12-2004
SergeyM
Спасибо...УВИДЕЛ...Глазки плохо видят...
Плохо читал совет renault
Спасибо

Этот совет повторяется во многих постах. Только мне не помогает, хоть режьте, не вижу я этого "конфигуре FTP". Может, изначальное правило не так сделал?

По аналогии с HTTP сделал правило доступа (allow - ftp - internal - external - all users).
Отключил исашный фтп-фильтр - не помогает.

- ФТП через браузер не работает даже для чтения.
- через клиента соединение стопится на команде LIST.
- ну и с Dreamveawer, как в цитате.

Что не так?

Добавлено:
Нашёл я эту чёртову галку, заработало всё как надо
Хелп внимательно почитал

В правиле выбираем закладку Протокол, внизу есть кнопка Filtering. Жмём, вылазит это самое Configure. Снимаем галку Read only.

Вуаля!...

Кстати, включил после этого фильтр - полёт нормальный

Вот задался я целью, что бы все браузеры на юзерских компах все необходимые настройки брали автоматом с ISa сервера. Сейчас все это отрабатывается скриптами, при входе в сеть в регистри прописываются адрес прокси и адреса тех сайтов, на которые IE будут ходить напрямую, в обход прокси. Естественно это касалось только IE, встала задача распространить и на другие браузеры. Вот эти ключики...


Цитата:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride]

Итак, Соответственно все настройки на ISA сервере сделаны. Та часть которая касается автообнаружения самого прокси проходит на ура (делал через DNS, алиас WPAD). А вот вторая часть, которая отвечает за адреса хостов, к которым браузеры должны обращаться напрямую ну никак не выходит. Просмотрел файлик WPAD.DAT , там вроде бы все эти хосты присутствуют. Но ни один браузер не хочет на эти хосты идти напрямую, даже родной для ИСЫ IE.

Вот полное содержимое WPAD.DAT
[more]
//Copyright (c) 1997-2006 Microsoft Corporation
BackupRoute="DIRECT";
UseDirectForLocal=true;
function MakeIPs(){
this[0]="127.0.0.0";
this[1]="255.0.0.0";
this[2]="136.8.159.0";
this[3]="255.255.255.0";
this[4]="151.1.210.22";
this[5]="255.255.255.255";
...
поскипано
...
this[41]="255.255.255.0";
}
DirectIPs=new MakeIPs();
cDirectIPs=42;
function MakeCARPExceptions(){
}
CARPExceptions=new MakeCARPExceptions();
cCARPExceptions=0;
function MakeNames(){
this[0]=""*.local";
...
поскипано
...
this[19]="*.auto.ru";
}
DirectNames=new MakeNames();
cDirectNames=20;
HttpPort="8080";
cNodes=1;
function MakeProxies(){
this[0]=new Node("isa2006-emvqk0t",0,1.000000);
}
Proxies = new MakeProxies();
function Node(name, hash, load){
this.name = name;
this.hash = hash;
this.load = load;
this.score = 0;
return this;
}
function FindProxyForURL(url, host){
var hash=0, urllower, i, fIp=false, ip, nocarp=false, skiphost=false;
var list="", pl, j, score, ibest, bestscore;
urllower = url.toLowerCase();
if((urllower.substring(0,5)=="rtsp:") ||
(urllower.substring(0,6)=="rtspt:") ||
(urllower.substring(0,6)=="rtspu:") ||
(urllower.substring(0,4)=="mms:") ||
(urllower.substring(0,5)=="mmst:") ||
(urllower.substring(0,5)=="mmsu:"))
return "DIRECT";
if(UseDirectForLocal){
if(isPlainHostName(host))
fIp = true;}
for(i=0; i<cDirectNames; i++){
if(shExpMatch(host, DirectNames[i])){
fIp = true;
break;}
if(shExpMatch(url, DirectNames[i]))
return "DIRECT";
}
if(cDirectIPs == 0){
if(fIp)
return "DIRECT";}
else{
ip = host;
if(fIp)
ip = dnsResolve(host);
var isIpAddr = /^(\d+.){3}\d+$/;
if(isIpAddr.test(ip)){
for(i=0; i<cDirectIPs; i += 2){
if(isInNet(ip, DirectIPs[i], DirectIPs[i+1]))
return "DIRECT";}}
else if(isPlainHostName(host))
return "DIRECT";
}
if(cCARPExceptions > 0){
for(i = 0; i < cCARPExceptions; i++){
if(shExpMatch(host, CARPExceptions[i])){
nocarp = true;}
if(shExpMatch(url, CARPExceptions[i])){
nocarp = true;
skiphost = true;
break;
}}}
if(!skiphost)
hash = HashString(host,hash);
if(nocarp)
hash = HashString(myIpAddress(), hash);
pl = new Array();
for(i = 0; i<cNodes; i++){
Proxies[i].score = Proxies[i].load * Scramble(hash ^ Proxies[i].hash);
pl[i] = i;
}
for(j = 0; j < cNodes; j++){
bestscore = -1;
for(i = 0; i < cNodes-j; i++){
score = Proxies[pl[i]].score;
if(score > bestscore){
bestscore = score;
ibest = i;
}}
list = list + "PROXY " + Proxies[pl[ibest]].name + ":" + HttpPort + "; ";
pl[ibest] = pl[cNodes-j-1];
}
list = list + BackupRoute;
return list;
}
var h_tbl = new Array(0,0x10D01913,0x21A03226,0x31702B35,0x4340644C,0x53907D5F,0x62E0566A,0x72304F79,0x8680C898,0x9650D18B,0xA720FABE,0xB7F0E3AD,0xC5C0ACD4,0xD510B5C7,0xE4609EF2,0xF4B087E1);
function HashString(str, h){
for(var i=0; i<str.length; i++){
var c = str.charAt(i);
if(c ==':' || c == '/') break;
c = CharToAscii(c.toLowerCase());
h = (h >>> 4) ^ h_tbl[(h ^ c) & 15];
h = (h >>> 4) ^ h_tbl[(h ^ (c>>>4)) & 15];
h = MakeInt(h);
}
return h;
}
function Scramble(h){
h += ((h & 0xffff) * 0x1965) + ((((h >> 16) & 0xffff) * 0x1965) << 16) + (((h & 0xffff) * 0x6253) << 16);
h = MakeInt(h);
h += (((h & 0x7ff) << 21) | ((h >> 11) & 0x1fffff));
return MakeInt(h);
}
var Chars =" !\"#$%&\'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`abcdefghijklmnopqrstuvwxyz{|}~&#192;&#193;???????????&#205;&#206;&#207;&#208;????????????&#221;&#222;?&#224;&#225;&#226;&#227;&#228;&#229;&#230;&#231;&#232;&#233;&#234;&#235;&#236;&#237;&#238;&#239;---¦+¦¦¬¬¦¦¬---¬L+T+-+¦¦L&#227;¦T¦=+¦¦TTLL-&#227;++----¦¦-&#240;&#241;&#242;&#243;&#244;&#245;&#246;&#247;&#248;&#249;&#250;&#251;&#252;&#253;&#254;&#255;&#168;&#184;&#170;&#186;&#175;&#191;&#161;&#162;°•·v&#185;¤¦ ";
function CharToAscii(c){
return Chars.indexOf(c) + 32;
}
function MakeInt(x){
x %= 4294967296;
if(x < 0)
x += 4294967296;
return x;
}

[/more]

ЗЫ: на юзерских компах никаких клиентов от ИСЫ нет. Все делалось только галочкой в браузере "Автоматическое определение параметров"

Sergey21102
мне помогает использование скрипта который прямо с исы берется, соответственно в браузере выставляется галка про использование скрипта и адрес туда вписывается с исы.

Между временем, которое пишется в логи ИСЫ, и временем на локальной машине разница 3 часа. Откуда такая разница? Часовой пояс на машине GMT+2, синхронизируется с DC, на котором тоже GMT+2

UnstableOne
А ИСУ не колышет локальный часовой пояс. Смиритесь.

Неужели нельзя её заставить писать в лог локальное время?

а ISA 2006 в тихую случайно не сверяется с серверами Microsoft на предмет лицензионности?

Fir
че за тупой вопрос, ты реально отличишь легальную ису от нелегальной?