А можно как нибудь DrWeb заставить обновляться через ISA?
Авторизация NTLM и HTTP Redirector filter включены
Авторизация NTLM и HTTP Redirector filter включены
» MS ISA Server (часть 1)
Народ, помогите разобраться. Ввожу в действие ИСУ на предприятии, а не могу разобраться с основой... Досуп ведь предоставляется так: по-началу никому ничего не разрешено. создаю правила, разрешающие кому-то куда-то ходить. Создаю правила запрещающие чего-то. Запрет всегда сильнее разрешения.
Это типа как я понимаю ису.. Внимание проблема:
У меня есть группа USERS им надо ходить на 20 сайтов перечисленных в destination set USERS_SITES
Есть группа FULL_ACCESS которым типа куда угодно
Есть группа LIMITED_ACCESS которые ходят куда угодно, кроме сайтов из набора LIMITED_SITES
Так вот, я логинюсь допустим ЮЗЕРОМ и лезу на сайт из USERS_SITES
А там ссылки на всякие другие сайты не из этого набора, подгружаются картинки (не обязательно банеры, флешки,....) И разумеется их всегда по нескольку раз на странице спрашивает имя, пароль и домен.
Мне надо, чтобы никогда так не спрашивало! Типа раз нет прав, не отображается.
Где галку поставить? Все излазил.
P.P.S Мне кто-то обещал скинуть список баннер сайтов для запрета.. на alex_a@rbcmail.ru
Это типа как я понимаю ису.. Внимание проблема:
У меня есть группа USERS им надо ходить на 20 сайтов перечисленных в destination set USERS_SITES
Есть группа FULL_ACCESS которым типа куда угодно
Есть группа LIMITED_ACCESS которые ходят куда угодно, кроме сайтов из набора LIMITED_SITES
Так вот, я логинюсь допустим ЮЗЕРОМ и лезу на сайт из USERS_SITES
А там ссылки на всякие другие сайты не из этого набора, подгружаются картинки (не обязательно банеры, флешки,....) И разумеется их всегда по нескольку раз на странице спрашивает имя, пароль и домен.
Мне надо, чтобы никогда так не спрашивало! Типа раз нет прав, не отображается.
Где галку поставить? Все излазил.
P.P.S Мне кто-то обещал скинуть список баннер сайтов для запрета.. на alex_a@rbcmail.ru
kibkalo
ушло, сорри
ушло, сорри
korvin_oberon мне не пришло ничего
Может в ПМ кинешь, оно не такое и большое.
И посмотрите мой вопрос выше на странице - очень нужно..
Может в ПМ кинешь, оно не такое и большое.
И посмотрите мой вопрос выше на странице - очень нужно..
aguch
Цитата:
какой интересный вопрос без ответа остался
Проблема-то в чём? Не понимаю..
Нужно, чтобы в кэше всё время новые базы сидели?
Но, вообще говоря, у Веба и так очень быстрые серваки на быстрых каналах - всё просто летает без кэширования.
Цитата:
А можно как нибудь DrWeb заставить обновляться через ISA?
какой интересный вопрос без ответа остался
Проблема-то в чём? Не понимаю..
Нужно, чтобы в кэше всё время новые базы сидели?
Но, вообще говоря, у Веба и так очень быстрые серваки на быстрых каналах - всё просто летает без кэширования.
Gipro
Проблема в том что стоит авторизация пользователей!!
А он долбится как anonimouse!!
Вот такая проблема
Проблема в том что стоит авторизация пользователей!!
А он долбится как anonimouse!!
Вот такая проблема
aguch пропиши IP адрес компа с вебом в клиент сет и дай доступ этому IP адресу в обеих политиках. Потом настрой его как secure NAT - то есть выставь гэйтвэем IP адрес ISA Server'a
у меня проблема как раз с Secure NAT
Что-то менял с айтентификацией и политиками и перестало все натиться - что именно менял не знаю, никак не могу вернуть назад - веб работает (ИЕ) а вот остальное нет ping, oracle TNSPing и иже не пашут. Фильтры не менял точно! что делать?
[А вот ответ на тот вопрос, что я выше задавал
Если вас достает постоянные спрашивания пароля юзера если урла картинки нету в разрешенном дестинатион сет, то просто для каждого дестинэйшен сета надо делать два правила - allow на него для нужной группы и deny на все кроме него для той же группы.
у меня проблема как раз с Secure NAT
Что-то менял с айтентификацией и политиками и перестало все натиться - что именно менял не знаю, никак не могу вернуть назад - веб работает (ИЕ) а вот остальное нет ping, oracle TNSPing и иже не пашут. Фильтры не менял точно! что делать?
[А вот ответ на тот вопрос, что я выше задавал
Если вас достает постоянные спрашивания пароля юзера если урла картинки нету в разрешенном дестинатион сет, то просто для каждого дестинэйшен сета надо делать два правила - allow на него для нужной группы и deny на все кроме него для той же группы.
Klisha
Ты что?!
Не, это точно НЕ так. Я клиента вообще не с сервера устанавливал, так что это тут не причем.
UNKNOWING
Цитата:
НЕ могу. Все равно, причем, что указывать - IP или имя. Пишу любую фигню, все равно оставляет прежнюю настройку.
Добавлено
Собссно, забыл, зачем лез
Вопрос назрел - пытаемся повысить отказоустойчивость. Никто не объединял исы в array? Вообще, как это делать? Какие подводные камни и т.д. и т.п.?
Ты что?!
Не, это точно НЕ так. Я клиента вообще не с сервера устанавливал, так что это тут не причем. UNKNOWING
Цитата:
Могешь решить свою траблу указывая ИСУ по ИП,. Или я не понял в чем у тя загвоздка??
НЕ могу. Все равно, причем, что указывать - IP или имя. Пишу любую фигню, все равно оставляет прежнюю настройку.
Добавлено
Собссно, забыл, зачем лез
Вопрос назрел - пытаемся повысить отказоустойчивость. Никто не объединял исы в array? Вообще, как это делать? Какие подводные камни и т.д. и т.п.?
Не подскажите, как заставить работать TheBat внутри сети. На серваке стоит ISA. Самое главное, чтобы почта работала напрямую, без прокси.
PRiM - установи Firewall клиента и разреши доступ для IP адреса.
kibkalo
Мне бы лучше ссылку на литературу. Желательно на русском языке!
Мне бы лучше ссылку на литературу. Желательно на русском языке!
На русском точно нет такой в электронном виде.
объясняю более понятно: на \\isaserver\mspclient есть setup.exe
запусти его на машине клиенте и установи клиента брэндмауэра.
Теперь на ISA сервере сделай Client address set с ай-пи адресом этого компа-клиента.
Для этого client set'a создай два правила (протоколов и сайтов) разрешающее все (allow all). Теперь все будет работать.
Если у тебя простая сеть (одна подсеть) то можно и не устанавливать клиента, достаточно после настройки политик на сервере сконфигурировать у клиента настройки TCP/IP чтобы гэйтвэем юыл иса сервер. Это так называемый Secure NAT клиент.
объясняю более понятно: на \\isaserver\mspclient есть setup.exe
запусти его на машине клиенте и установи клиента брэндмауэра.
Теперь на ISA сервере сделай Client address set с ай-пи адресом этого компа-клиента.
Для этого client set'a создай два правила (протоколов и сайтов) разрешающее все (allow all). Теперь все будет работать.
Если у тебя простая сеть (одна подсеть) то можно и не устанавливать клиента, достаточно после настройки политик на сервере сконфигурировать у клиента настройки TCP/IP чтобы гэйтвэем юыл иса сервер. Это так называемый Secure NAT клиент.
kibkalo
У меня следующая ситуация:
На сервере стоит RAS и ISA. Я по модему звоню на сервер, вхожу в домен. Клиента поставить практически не возможно, т.к. тормозит сильно и часто связь рвется. Мне нужно, что бы у меня на машине заработала почта (The Bat) без прокси. Все нужные порты я открыл, но все равно не пашет. Сранно, что при этом на сетевых машинах почта работает.
У меня следующая ситуация:
На сервере стоит RAS и ISA. Я по модему звоню на сервер, вхожу в домен. Клиента поставить практически не возможно, т.к. тормозит сильно и часто связь рвется. Мне нужно, что бы у меня на машине заработала почта (The Bat) без прокси. Все нужные порты я открыл, но все равно не пашет. Сранно, что при этом на сетевых машинах почта работает.
PRiM
А почему бы тебе не попробовать работать через Terminal server.
Добавлено
То Алл Нашел интересную сылку на саит с готовыми скриптами для исы (спасибо автору) уже закинул в шапку.
MSN Messenger configuration for ISA Server 2000
DirectPlay configuration for ISA Server 2000
eDonkey 2000 configuration for ISA Server 2000
Sends your new dynamic IP address to a ftp server and modifies your ISA Server Publishing rules
А почему бы тебе не попробовать работать через Terminal server.
Добавлено
То Алл Нашел интересную сылку на саит с готовыми скриптами для исы (спасибо автору) уже закинул в шапку.
MSN Messenger configuration for ISA Server 2000
DirectPlay configuration for ISA Server 2000
eDonkey 2000 configuration for ISA Server 2000
Sends your new dynamic IP address to a ftp server and modifies your ISA Server Publishing rules
Цитата:
А почему бы тебе не попробовать работать через Terminal server.
Мне не хотелось бы в БАТе на серваке прописывать свои почтовые ящики!
PRiM
Цитата:
Тут не очень понятно. и настроики исы и твоей машины опиши.плюс
Цитата:
kibkalo советовал пробовал?
Цитата:
Мне нужно, что бы у меня на машине заработала почта (The Bat) без прокси.
Тут не очень понятно. и настроики исы и твоей машины опиши.плюс
Цитата:
достаточно после настройки политик на сервере сконфигурировать у клиента настройки TCP/IP чтобы гэйтвэем юыл иса сервер. Это так называемый Secure NAT клиент.то что
kibkalo советовал пробовал?
Borgia
Поскольку я подключаюсь через модемное соединение, в настройках TCP/IP мне шлюз не прописать (по крайней мере в WinXP такого нет). DNS ISA и провайдера, я прописал.
Клиента я себе установил, но он не может подконектиться по имени, только по IP. Но тоже почта не работает. Да и сам клиент быстро отключается, заменяя автоматом IP на имя компа.
Поскольку я подключаюсь через модемное соединение, в настройках TCP/IP мне шлюз не прописать (по крайней мере в WinXP такого нет). DNS ISA и провайдера, я прописал.
Клиента я себе установил, но он не может подконектиться по имени, только по IP. Но тоже почта не работает. Да и сам клиент быстро отключается, заменяя автоматом IP на имя компа.
PRiM
Цитата:
Цитата:
Даваи напиши сначала Что за сеть что на сервере стоит . как выходят в интернет в сети и тд . и как ты подключаешся.
Цитата:
В иса менаджмент в самом низу в своиствах клиента ..FWclient.. поменяи вместо днс имени аутентификацию по IP адресу.
Цитата:
Поскольку я подключаюсь через модемное соединение, в настройках TCP/IP мне шлюз не прописатьпонял.
Цитата:
DNS ISA и провайдера, я прописал.а вот отсюда поподробнее пожалуиста.
Даваи напиши сначала Что за сеть что на сервере стоит . как выходят в интернет в сети и тд . и как ты подключаешся.
Цитата:
Да и сам клиент быстро отключается, заменяя автоматом IP на имя компа.
В иса менаджмент в самом низу в своиствах клиента ..FWclient.. поменяи вместо днс имени аутентификацию по IP адресу.
Borgia
На серваке стоит AdvancedServer 2000 + SP4, ISA2000 + SP, RAS. В интернет выходим через ADSL. Т.е. на компе стоят две сетевухи, одна для локальной сети, другая для инета. Я подключаюсь к компу по модему и вхожу в домен локальной сети. Инет и аська работают через прокси. Фтп работает, а почта - ни в какую. Сканировал порты - все почтовые просто-напросто закрыты.
На серваке стоит AdvancedServer 2000 + SP4, ISA2000 + SP, RAS. В интернет выходим через ADSL. Т.е. на компе стоят две сетевухи, одна для локальной сети, другая для инета. Я подключаюсь к компу по модему и вхожу в домен локальной сети. Инет и аська работают через прокси. Фтп работает, а почта - ни в какую. Сканировал порты - все почтовые просто-напросто закрыты.
PRiM
Цитата:
это ты пр свой комп или про компы в сети?
Тоесть насколько я понял после того как ты подключился и зашел в домен.
1, У тебя работает выход в интернет?
а. фтп?
в. аска
г. Почта(неработает)
2, Попробуи с-без фаерволл клиентом.
3, В сети на остальных машинах почта работает? Установлены FWclient или нет.
4, В каком режиме установлена ИСА
Цитата:
Инет и аська работают через прокси. Фтп работает, а почта - ни в какую. Сканировал порты - все почтовые просто-напросто закрыты
это ты пр свой комп или про компы в сети?
Тоесть насколько я понял после того как ты подключился и зашел в домен.
1, У тебя работает выход в интернет?
а. фтп?
в. аска
г. Почта(неработает)
2, Попробуи с-без фаерволл клиентом.
3, В сети на остальных машинах почта работает? Установлены FWclient или нет.
4, В каком режиме установлена ИСА
Borgia
1. Инет работает через прокси.
а. ФТП работает (в иссе настроили).
в. аська также через прокси.
г. почта не пашет (т.к. в WinXP в удаленном доступе негде шлюз писать)
2. Файрвола нет, с клиентом пробовал - та же фигня.
3. В сети на машинах клиенты не стоят! А на некоторых дополнительных серваках даже инет без прокси пашет.
4. Режим не помню точно, напарник ставил.
1. Инет работает через прокси.
а. ФТП работает (в иссе настроили).
в. аська также через прокси.
г. почта не пашет (т.к. в WinXP в удаленном доступе негде шлюз писать)
2. Файрвола нет, с клиентом пробовал - та же фигня.
3. В сети на машинах клиенты не стоят! А на некоторых дополнительных серваках даже инет без прокси пашет.
4. Режим не помню точно, напарник ставил.
PRiM
Цитата:
Добавлено
kibkalo
Взято из фака http://winfaq.com.ru/ (спасибо ctolnik)
Ошибка 403
Q. при использование download manager таких ReGet и FlashGet
выдаётся ошибка 403. Хотя все права проставлены.
A. У меня всё заработало при: http://www.taxcontrol.ru/winfaq/ISA/http.jpg
On the computer that is running ISA Server, configure the HTTP redirector filter to send to the requested Web server:
Click Start, point to Programs, point to Microsoft ISA Server, and then click ISA Management.
Click the plus sign that is next to Extensions.
Click the Application Filters folder.
Double-click HTTP Redirector Filter.
Click the Options tab, and then click Send to requested Web server.
Статью можно взять отсюда: [URL=http://support.microsoft.com/support/kb/articles/Q287/9/21.ASP?LN=EN-US&SD=gn&FR=0&qry=denies%20the%20specified%20Uniform%20Resource%20Locator&rnk=1&src=DHCS_MSPSS_gn_SRCH&SPR ]http://support.microsoft.com/support/kb/articles/Q287/9/21.ASP?LN=EN-US&SD=gn&FR=0&qry=denies%20the%20specified%20Uniform%20Resource%20Locator&rnk=1&src=DHCS_MSPSS_gn_SRCH&SPR[/UR L] =ISAS
Добавлено
PRiM
http://www.isaserver.org/
http://www.isaserver.org/tutorials/Making_Outlook_Express_Work_with_ISA_Server_Quick_Start_Guide.html
http://www.isaserver.org/tutorials/Understanding_protocol_rules.html
http://www.isaserver.org/tutorials/Understanding_Site_and_content_rules.html
http://www.isaserver.org/tutorials/ISA_Clients__Part_1__General_ISA_Server_Configuration.html
http://www.isaserver.org/tutorials/ISA_Clients__Part_2_SecureNAT_and_Web_Proxy_Client.html
4. Режим не помню точно, напарник ставил.
Желательно знать.
Цитата:
3, В сети на остальных машинах почта работает?
Добавлено
kibkalo
Взято из фака http://winfaq.com.ru/ (спасибо ctolnik)
Ошибка 403
Q. при использование download manager таких ReGet и FlashGet
выдаётся ошибка 403. Хотя все права проставлены.
A. У меня всё заработало при: http://www.taxcontrol.ru/winfaq/ISA/http.jpg
On the computer that is running ISA Server, configure the HTTP redirector filter to send to the requested Web server:
Click Start, point to Programs, point to Microsoft ISA Server, and then click ISA Management.
Click the plus sign that is next to Extensions.
Click the Application Filters folder.
Double-click HTTP Redirector Filter.
Click the Options tab, and then click Send to requested Web server.
Статью можно взять отсюда: [URL=http://support.microsoft.com/support/kb/articles/Q287/9/21.ASP?LN=EN-US&SD=gn&FR=0&qry=denies%20the%20specified%20Uniform%20Resource%20Locator&rnk=1&src=DHCS_MSPSS_gn_SRCH&SPR ]http://support.microsoft.com/support/kb/articles/Q287/9/21.ASP?LN=EN-US&SD=gn&FR=0&qry=denies%20the%20specified%20Uniform%20Resource%20Locator&rnk=1&src=DHCS_MSPSS_gn_SRCH&SPR[/UR L] =ISAS
Добавлено
PRiM
http://www.isaserver.org/
http://www.isaserver.org/tutorials/Making_Outlook_Express_Work_with_ISA_Server_Quick_Start_Guide.html
http://www.isaserver.org/tutorials/Understanding_protocol_rules.html
http://www.isaserver.org/tutorials/Understanding_Site_and_content_rules.html
http://www.isaserver.org/tutorials/ISA_Clients__Part_1__General_ISA_Server_Configuration.html
http://www.isaserver.org/tutorials/ISA_Clients__Part_2_SecureNAT_and_Web_Proxy_Client.html
4. Режим не помню точно, напарник ставил.
Желательно знать.
Не отрабатываются запреты по http на файлы по расширению, Мелкомягкие рекомендуют исправить это спомощью след. фикса
28-Apr-2003 22:40 3.0.1200.264 178,448 Mspadmin.exe
28-Apr-2003 22:40 3.0.1200.264 102,160 Msphlpr.dll
28-Apr-2003 22:40 3.0.1200.264 391,440 W3proxy.exe
28-Apr-2003 22:40 3.0.1200.264 299,280 Wspsrv.exe
У кого есть возможность, помогите плз!
Статья: http://support.microsoft.com/default.aspx?scid=kb;EN-US;810493
28-Apr-2003 22:40 3.0.1200.264 178,448 Mspadmin.exe
28-Apr-2003 22:40 3.0.1200.264 102,160 Msphlpr.dll
28-Apr-2003 22:40 3.0.1200.264 391,440 W3proxy.exe
28-Apr-2003 22:40 3.0.1200.264 299,280 Wspsrv.exe
У кого есть возможность, помогите плз!
Статья: http://support.microsoft.com/default.aspx?scid=kb;EN-US;810493
У кого есть подписка MS помогите достать это обновление!!!!!
файл может называться isahf276.*
Title: 818136 Web Proxy Service May Crash When It Processes a Redirect Action
Hotfix: 1200.276
Link: http://support.microsoft.com/?id=818136
Files: 12-Jun-2003 07:37 3.0.1200.276 178,448 Mspadmin.exe
Files: 12-Jun-2003 07:37 3.0.1200.276 103,184 Msphlpr.dll
Files: 12-Jun-2003 07:36 3.0.1200.276 391,952 W3proxy.exe
Files: 12-Jun-2003 07:37 3.0.1200.276 299,280 Wspsrv.exe
Summary: The Web proxy service (W3proxy.exe) may crash (that is, experience an access violation) when it processes an HTTP redirect action on a site and content rule that denies access
файл может называться isahf276.*
Title: 818136 Web Proxy Service May Crash When It Processes a Redirect Action
Hotfix: 1200.276
Link: http://support.microsoft.com/?id=818136
Files: 12-Jun-2003 07:37 3.0.1200.276 178,448 Mspadmin.exe
Files: 12-Jun-2003 07:37 3.0.1200.276 103,184 Msphlpr.dll
Files: 12-Jun-2003 07:36 3.0.1200.276 391,952 W3proxy.exe
Files: 12-Jun-2003 07:37 3.0.1200.276 299,280 Wspsrv.exe
Summary: The Web proxy service (W3proxy.exe) may crash (that is, experience an access violation) when it processes an HTTP redirect action on a site and content rule that denies access
Borgia Не посмотришь, что ты имел в виду под <cm/>oKfl>
описывая WPAD
Цитата:
описывая WPAD
Цитата:
8.В текстовом поле String введите http://<cm/>oKfl>/Wpad.dat, где
<строка> определяется следующим образом:
•WPAD — если DNS поддерживает разрешение запросов WPAD;
•имя ISA-сервера или массива— если DNS не поддерживает
разрешение запросов WPAD
.В текстовом поле String введите http://<строка>/Wpad.dat, где
<строка> определяется следующим образом:
•WPAD — если DNS поддерживает разрешение запросов WPAD;
•имя ISA-сервера или массива— если DNS не поддерживает
разрешение запросов WPAD
<строка> определяется следующим образом:
•WPAD — если DNS поддерживает разрешение запросов WPAD;
•имя ISA-сервера или массива— если DNS не поддерживает
разрешение запросов WPAD
Borgia - так я тогда IIS на нем поднимать чтоли должен?
kibkalo
Да нет. посмотрел в книге нигде явного упоминания нет про IIS (странно, попробуй без) (Хотя у меня на 2003 поднят IIS стоит TRENDMICRO Server protect.и думаю ставить TRENDMICRO for ISA antivirus.
Да нет. посмотрел в книге нигде явного упоминания нет про IIS (странно, попробуй без) (Хотя у меня на 2003 поднят IIS стоит TRENDMICRO Server protect.и думаю ставить TRENDMICRO for ISA antivirus.
Borgia без IIS не прокатывает вроде
А его ставить на исе неохота.
А его ставить на исе неохота.
kibkalo
по идее должно все работать еще раз все перечитал нигде упоминания про IIS нету.
Занятие 3. Конфигурирование механизма автоматического обнаружения ISA-серверов
Автоматическое обнаружение ISA-сервера позволяет клиентам автоматически находить подходящий для обслуживания запросов ISA-сервер.
Изучив материал этого занятия, вы сможете:
*/ настраивать на клиентских компьютерах автоматическое
обнаружение ISA-сервера; •
s устранять неполадки автоматического обнаружения сервера
клиентами.
Автоматическое обнаружение
Настройка ISA-сервера на подключение клиентов брандмауэра и Web-прокси — весьма несложная задача. Однако последующие изменения конфигурации зачастую поглощают массу времени, в частности, это касается мобильных пользователей, которым, как правило, постоянно требуется дополнительная настройка. При наличии автоматического обнаружения клиенты Web-прокси и брандмауэра самостоятельно находят нужный ISA-сервер. Таким образом, мобильные пользователи подключаются к нужному ISA-серверу самостоятельно, не создавая администраторам дополнительной работы.
Настройка автоматического обнаружения ISA-сервера заключается в последовательном выполнении ряда операций, в том числе публикации возможности автоматического обнаружения на ISA-сервере, включения автоматического обнаружения на клиентских компьютерах, конфигурирования на DHCP-серверах записи протокола WPAD (Web Proxy Autodiscovery Protocol) и обеспечения наличия на DNS-сервере записи А узла ISA-сервера и записи-псевдонима (CNAME) с именем WPAD, указывающей на ISA-сервер. Для корректной работы автоматического обнаружения необходимо предоставить клиентским компьютерам доступ к внутреннему DNS-серверу и/или DHCP-серверу.
Публикация механизма автоматического обнаружения
1.В дереве консоли ISA Management щелкните правой кнопкой
мыши нужный массив и в контекстном меню выберите Properties.
2.На вкладке Auto Discovery страницы свойств массива установите
флажок Publish automatic discovery information (публиковать инфор
мацию об автоматическом обнаружении).
3.В поле Use this port for automatic discovery requests (использовать
этот порт для запросов автоматического обнаружения) введите
подходящий номер порта (по умолчанию используется порт 80)
Включение автоматического обнаружения на клиентах брандмауэра
1. На клиентском компьютере откройте Control Panel (Панель управления).
2. Дважды щелкните значок Firewall Client и установите флажок Automatically detect ISA server (автоматически определять ISA-сервер).
После включения автоматического обнаружения выполняются перечисленные далее операции автоматического обнаружения ISA-сервера клиентами Web-прокси и брандмауэра.
1.При выполнении Winsock-запроса клиент подключается к DNS-
серверу или DHCP-серверу.
На DNS-сервере или DHCP-сервере должна присутствовать запись протокола WPAD (Web Proxy Autodiscovery Protocol), указывающая на соответствующий ISA-сервер.
4.Запросы клиента обрабатываются ISA-сервером, указанным в записи
WPAD DNS-сервера или DHCP-сервера.
Настройка WPAD и WSPAD на DNS и DHCP-серверах
Автоматическое обнаружение позволяет клиентам брандмауэра или Web-прокси запрашивать объекты у ISA-сервера, настроенного на обслуживание подобных запросов. Если ISA-сервер не отвечает, клиент повторяет процедуру автоматического обнаружения.
ISA-сервер использует запись WPAD для определения подходящей записи WSPAD (Winsock Proxy Autodetect). Запись WSPAD не нужно явным образом конфигурировать на DNS-сервере.
Механизм автоматического обнаружения с использованием DNS-сервера поддерживает клиентов под управлением Windows 2000, Windows NT 4.0, Windows 98 и Windows Me.
Настройка DNS-сервера для автоматического обнаружения ISA-сервера
1.В меню Start (Пуск) последовательно выберите пункты Programs
(Программы), Administrative Tools (Администрирование) и DNS.
2.В дереве консоли щелкните правой кнопкой нужную зону прямо
го просмотра и в контекстном меню выберите New Host.
3.В поле Name введите имя ISA-сервера или массива.
4.В поле IP Address введите внутренний IP-адрес ISA-сервера.
5.Щелкните кнопку Add Host (добавить узел).
В случае получения сообщения об ошибке, предупреждающего, что запись узла нельзя создать, так как эта запись уже существует, проигнорируйте сообщение, щелкнув кнопку ОК.
6.В дереве консоли DNS щелкните правой кнопкой мыши нужную
зону прямого просмотра и в контекстном меню выберите New Alias
(новый псевдоним).
7.В текстовом поле Alias Name введите WPAD.
8.Щелкните кнопку Browse и выберите Host (А) нужного ISA-сервера.
9.Щелкните ОК.
Кроме того, для клиентов под управлением Windows 2000, Windows 98 и Windows Me автоматическое обнаружение можно настроить на DHCP-сервере.
Настройка DHCP-сервера для автоматического обнаружения ISA-сервера
1.В меню Start (Пуск) последовательно выберите пункты Programs
(Программы), Administrative Tools (Администрирование) и DHCP.
2.В дереве консоли щелкните правой кнопкой мыши нужный DHCP-
сервер и в контекстном меню выберите команду Set Predefined
Options. Откроется диалоговое окно Predefined Options and Values
(предопределенные параметры и значения).
3.Щелкните кнопку Add.
4.В поле Name введите WPAD.
5.В поле со списком Data Type выберите String.
6.В поле Code введите 252.
7.Щелкните кнопку ОК.
Откроется окно Predefined Options and Values, в котором в поле со списком Option Name выбрана запись 252 WPAD.
8.В текстовом поле String введите http://<cmрока>/Wpad.dat, где
<строка> определяется следующим образом:
•WPAD — если DNS поддерживает разрешение запросов WPAD;
•имя ISA-сервера или массива— если DNS не поддерживает
разрешение запросов WPAD.
9.Щелкните кнопку ОК.
10.В консоли DHCP щелкните правой кнопкой мыши Scope Options
или Server Options и выберите в контекстном меню команду Con
figure Options.
11.Пролистайте поле со списком Available Options (доступные пара
метры) и установите флажок напротив Option 252 WPAD.
12.Щелкните кнопку ОК.
Автоматическое обнаружение для клиентов брандмауэра
При настройке клиента брандмауэра в Control Panel (Панели управления) клиентского компьютера указывается либо конкретный ISA-сервер, либо конфигурируется автоматическое обнаружение. В последнем случае клиент автоматически определяет, к какому ISA-серверу надо подключаться. Существует также возможность централизованно настраивать автоматическое обнаружение ISA-сервера клиентами брандмауэра, эта операция выполняется в узле Client Configuration консоли ISA Management.
Проверка автоматического обнаружения для клиентов брандмауэра
После включения автоматического обнаружения на клиенте брандмауэра следует убедиться, что оно работает. Когда при включенном автоматическом обнаружении не удается обнаружить ISA-сервер или разрешить его имя, клиент брандмауэра рассматривается как клиент SecureNAT и сеанс клиента прекращает передавать на ISA-сервер информацию об учетной записи пользователя и имя клиентского компьютера. Чтобы определить, как клиентский компьютер подключается к ISA-серверу — как клиент SecureNAT или брандмауэра, следует инициировать с клиентского компьютера Интернет-сеанс, не связанный с Web, например почтовый или новостной сеанс, или выполнить команду nslookup. Затем нужно средствами наблюдения за сеансами консоли ISA Management проверить, передаются ли имена пользователя и компьютера. Если да, то клиент работает как клиент брандмауэра и поддерживает автоматическое обнаружение. В противном случае клиент ведет себя как клиент SecureNAT и автоматическое обнаружение не действует.
Автоматическое обнаружение для клиентов Web-прокси
ISA-сервер обеспечивает поддержку автоматического обнаружения для клиентов Web-прокси. Автоматическое обнаружение конфигурируется в разделе LAN Settings настройки Internet Explorer, после чего при входе в Интернет перемещающиеся клиенты Web-прокси самостоятельно подключаются к нужному ISA-серверу. Для поддержки автоматического обнаружения клиентами Web-прокси устанавливать и запускать клиент брандмауэра не нужно.
Автоматическое обнаружение поддерживается браузером Internet Explorer, начиная с версии 5.0.
*• Настройка Microsoft Internet Explorer 5 на автоматическое обнаружение ISA-сервера
5.Запустите Internet Explorer.
6.Последовательно выберите пункты меню Tools (Сервис) и Internet
Options (Свойства обозревателя).
7.На вкладке Connections (Подключение) щелкните кнопку LAN
Settings (Настройка сети).
8.Установите флажок Automatically Detect Settings (Автоматическое
определение параметров).Убедитесь, что флажок Use a proxy server (Использовать прокси-сервер) сброшен.
Устранение неполадок автоматического обнаружения
Если автоматическое обнаружение не работает, перед началом устранения неполадок следует ответить на некоторые вопросы.
1.Доступны ли локальные DNS- и/или DHCP-сервер клиентам и
ISA-серверу?
2.Исправно ли сетевое соединение между клиентом, DNS-сервером,
DHCP-сервером и ISA-сервером?
3.Опубликована ли возможность автоматического обнаружения на
ISA-сервере?
4.Для автоматического обнаружения брандмауэра. Установлен и за
пущен ли клиент брандмауэра на клиенте? Установлен ли флажок,
отвечающий за обнаружение брандмауэра, в диалоговом окне Fire
wall Client Options в Control Panel (Панель управления)?
5.Для автоматического обнаружения Web-прокси. Используется ли
Internet Explorer версии не ниже 5.0? Настроено ли автоматическое
определение параметров браузером Internet Explorer в диалоговом
окне Local Area Network (LAN) Settings (Настройка локальной
сети)?
6.При автоматическом обнаружении средствами DHCP-сервера. Корректно
ли настроена запись WPAD на DHCP-сервере? Какие ОС
установлены на клиентских компьютерах и относятся ли они к
перечню: Windows 2000, Windows 98 или Windows Me? (Автоматическое
обнаружение средствами DHCP не поддерживает клиентов
под управлением Windows NT или Windows 95.)
7.При автоматическом обнаружении средствами DNS-сервера. Есть ли
на DNS-сервере запись А узла ISA-сервера? Создана ли запись-
псевдоним (CNAME) с именем WPAD, указывающая на ISA-сер
вер? Определен ли данный внутренний DNS-сервер в качестве
дополнительного DNS-сервера в свойствах протокола TCP/IP?
Резюме
При корректной настройке автоматического обнаружения все клиенты Web-прокси и клиенты брандмауэра автоматически обнаруживают нужный ISA-сервер. Клиентам брандмауэра автоматическое обнаружение позволяет самостоятельно находить ISA-сервер для обслуживания их запросов. При использовании совместно со службой Web-прокси автоматическое обнаружение позволяет перемещающимся клиентам всегда находить нужный ISA-сервер при подключении к Интернету. Для нормальной работы автоматического обнаружения в сети необходимо соответствующим образом настроить DNS и/или DHCP. Для настройки автоматического обнаружения требуется: опубликовать возможность автоматического обнаружения на ISA-сервере, включить автоматическое обнаружение на клиентских компьютерах, настроить запись протокола WPAP на DHCP-серверах сети, убедиться, что DNS-сервер сети содержит как запись А узла ISA-сервера, так и запись псевдонима (CNAME) с именем WPAD, указывающую на ISA-сервер.
по идее должно все работать еще раз все перечитал нигде упоминания про IIS нету.
Занятие 3. Конфигурирование механизма автоматического обнаружения ISA-серверов
Автоматическое обнаружение ISA-сервера позволяет клиентам автоматически находить подходящий для обслуживания запросов ISA-сервер.
Изучив материал этого занятия, вы сможете:
*/ настраивать на клиентских компьютерах автоматическое
обнаружение ISA-сервера; •
s устранять неполадки автоматического обнаружения сервера
клиентами.
Автоматическое обнаружение
Настройка ISA-сервера на подключение клиентов брандмауэра и Web-прокси — весьма несложная задача. Однако последующие изменения конфигурации зачастую поглощают массу времени, в частности, это касается мобильных пользователей, которым, как правило, постоянно требуется дополнительная настройка. При наличии автоматического обнаружения клиенты Web-прокси и брандмауэра самостоятельно находят нужный ISA-сервер. Таким образом, мобильные пользователи подключаются к нужному ISA-серверу самостоятельно, не создавая администраторам дополнительной работы.
Настройка автоматического обнаружения ISA-сервера заключается в последовательном выполнении ряда операций, в том числе публикации возможности автоматического обнаружения на ISA-сервере, включения автоматического обнаружения на клиентских компьютерах, конфигурирования на DHCP-серверах записи протокола WPAD (Web Proxy Autodiscovery Protocol) и обеспечения наличия на DNS-сервере записи А узла ISA-сервера и записи-псевдонима (CNAME) с именем WPAD, указывающей на ISA-сервер. Для корректной работы автоматического обнаружения необходимо предоставить клиентским компьютерам доступ к внутреннему DNS-серверу и/или DHCP-серверу.
Публикация механизма автоматического обнаружения
1.В дереве консоли ISA Management щелкните правой кнопкой
мыши нужный массив и в контекстном меню выберите Properties.
2.На вкладке Auto Discovery страницы свойств массива установите
флажок Publish automatic discovery information (публиковать инфор
мацию об автоматическом обнаружении).
3.В поле Use this port for automatic discovery requests (использовать
этот порт для запросов автоматического обнаружения) введите
подходящий номер порта (по умолчанию используется порт 80)
Включение автоматического обнаружения на клиентах брандмауэра
1. На клиентском компьютере откройте Control Panel (Панель управления).
2. Дважды щелкните значок Firewall Client и установите флажок Automatically detect ISA server (автоматически определять ISA-сервер).
После включения автоматического обнаружения выполняются перечисленные далее операции автоматического обнаружения ISA-сервера клиентами Web-прокси и брандмауэра.
1.При выполнении Winsock-запроса клиент подключается к DNS-
серверу или DHCP-серверу.
На DNS-сервере или DHCP-сервере должна присутствовать запись протокола WPAD (Web Proxy Autodiscovery Protocol), указывающая на соответствующий ISA-сервер.
4.Запросы клиента обрабатываются ISA-сервером, указанным в записи
WPAD DNS-сервера или DHCP-сервера.
Настройка WPAD и WSPAD на DNS и DHCP-серверах
Автоматическое обнаружение позволяет клиентам брандмауэра или Web-прокси запрашивать объекты у ISA-сервера, настроенного на обслуживание подобных запросов. Если ISA-сервер не отвечает, клиент повторяет процедуру автоматического обнаружения.
ISA-сервер использует запись WPAD для определения подходящей записи WSPAD (Winsock Proxy Autodetect). Запись WSPAD не нужно явным образом конфигурировать на DNS-сервере.
Механизм автоматического обнаружения с использованием DNS-сервера поддерживает клиентов под управлением Windows 2000, Windows NT 4.0, Windows 98 и Windows Me.
Настройка DNS-сервера для автоматического обнаружения ISA-сервера
1.В меню Start (Пуск) последовательно выберите пункты Programs
(Программы), Administrative Tools (Администрирование) и DNS.
2.В дереве консоли щелкните правой кнопкой нужную зону прямо
го просмотра и в контекстном меню выберите New Host.
3.В поле Name введите имя ISA-сервера или массива.
4.В поле IP Address введите внутренний IP-адрес ISA-сервера.
5.Щелкните кнопку Add Host (добавить узел).
В случае получения сообщения об ошибке, предупреждающего, что запись узла нельзя создать, так как эта запись уже существует, проигнорируйте сообщение, щелкнув кнопку ОК.
6.В дереве консоли DNS щелкните правой кнопкой мыши нужную
зону прямого просмотра и в контекстном меню выберите New Alias
(новый псевдоним).
7.В текстовом поле Alias Name введите WPAD.
8.Щелкните кнопку Browse и выберите Host (А) нужного ISA-сервера.
9.Щелкните ОК.
Кроме того, для клиентов под управлением Windows 2000, Windows 98 и Windows Me автоматическое обнаружение можно настроить на DHCP-сервере.
Настройка DHCP-сервера для автоматического обнаружения ISA-сервера
1.В меню Start (Пуск) последовательно выберите пункты Programs
(Программы), Administrative Tools (Администрирование) и DHCP.
2.В дереве консоли щелкните правой кнопкой мыши нужный DHCP-
сервер и в контекстном меню выберите команду Set Predefined
Options. Откроется диалоговое окно Predefined Options and Values
(предопределенные параметры и значения).
3.Щелкните кнопку Add.
4.В поле Name введите WPAD.
5.В поле со списком Data Type выберите String.
6.В поле Code введите 252.
7.Щелкните кнопку ОК.
Откроется окно Predefined Options and Values, в котором в поле со списком Option Name выбрана запись 252 WPAD.
8.В текстовом поле String введите http://<cmрока>/Wpad.dat, где
<строка> определяется следующим образом:
•WPAD — если DNS поддерживает разрешение запросов WPAD;
•имя ISA-сервера или массива— если DNS не поддерживает
разрешение запросов WPAD.
9.Щелкните кнопку ОК.
10.В консоли DHCP щелкните правой кнопкой мыши Scope Options
или Server Options и выберите в контекстном меню команду Con
figure Options.
11.Пролистайте поле со списком Available Options (доступные пара
метры) и установите флажок напротив Option 252 WPAD.
12.Щелкните кнопку ОК.
Автоматическое обнаружение для клиентов брандмауэра
При настройке клиента брандмауэра в Control Panel (Панели управления) клиентского компьютера указывается либо конкретный ISA-сервер, либо конфигурируется автоматическое обнаружение. В последнем случае клиент автоматически определяет, к какому ISA-серверу надо подключаться. Существует также возможность централизованно настраивать автоматическое обнаружение ISA-сервера клиентами брандмауэра, эта операция выполняется в узле Client Configuration консоли ISA Management.
Проверка автоматического обнаружения для клиентов брандмауэра
После включения автоматического обнаружения на клиенте брандмауэра следует убедиться, что оно работает. Когда при включенном автоматическом обнаружении не удается обнаружить ISA-сервер или разрешить его имя, клиент брандмауэра рассматривается как клиент SecureNAT и сеанс клиента прекращает передавать на ISA-сервер информацию об учетной записи пользователя и имя клиентского компьютера. Чтобы определить, как клиентский компьютер подключается к ISA-серверу — как клиент SecureNAT или брандмауэра, следует инициировать с клиентского компьютера Интернет-сеанс, не связанный с Web, например почтовый или новостной сеанс, или выполнить команду nslookup. Затем нужно средствами наблюдения за сеансами консоли ISA Management проверить, передаются ли имена пользователя и компьютера. Если да, то клиент работает как клиент брандмауэра и поддерживает автоматическое обнаружение. В противном случае клиент ведет себя как клиент SecureNAT и автоматическое обнаружение не действует.
Автоматическое обнаружение для клиентов Web-прокси
ISA-сервер обеспечивает поддержку автоматического обнаружения для клиентов Web-прокси. Автоматическое обнаружение конфигурируется в разделе LAN Settings настройки Internet Explorer, после чего при входе в Интернет перемещающиеся клиенты Web-прокси самостоятельно подключаются к нужному ISA-серверу. Для поддержки автоматического обнаружения клиентами Web-прокси устанавливать и запускать клиент брандмауэра не нужно.
Автоматическое обнаружение поддерживается браузером Internet Explorer, начиная с версии 5.0.
*• Настройка Microsoft Internet Explorer 5 на автоматическое обнаружение ISA-сервера
5.Запустите Internet Explorer.
6.Последовательно выберите пункты меню Tools (Сервис) и Internet
Options (Свойства обозревателя).
7.На вкладке Connections (Подключение) щелкните кнопку LAN
Settings (Настройка сети).
8.Установите флажок Automatically Detect Settings (Автоматическое
определение параметров).Убедитесь, что флажок Use a proxy server (Использовать прокси-сервер) сброшен.
Устранение неполадок автоматического обнаружения
Если автоматическое обнаружение не работает, перед началом устранения неполадок следует ответить на некоторые вопросы.
1.Доступны ли локальные DNS- и/или DHCP-сервер клиентам и
ISA-серверу?
2.Исправно ли сетевое соединение между клиентом, DNS-сервером,
DHCP-сервером и ISA-сервером?
3.Опубликована ли возможность автоматического обнаружения на
ISA-сервере?
4.Для автоматического обнаружения брандмауэра. Установлен и за
пущен ли клиент брандмауэра на клиенте? Установлен ли флажок,
отвечающий за обнаружение брандмауэра, в диалоговом окне Fire
wall Client Options в Control Panel (Панель управления)?
5.Для автоматического обнаружения Web-прокси. Используется ли
Internet Explorer версии не ниже 5.0? Настроено ли автоматическое
определение параметров браузером Internet Explorer в диалоговом
окне Local Area Network (LAN) Settings (Настройка локальной
сети)?
6.При автоматическом обнаружении средствами DHCP-сервера. Корректно
ли настроена запись WPAD на DHCP-сервере? Какие ОС
установлены на клиентских компьютерах и относятся ли они к
перечню: Windows 2000, Windows 98 или Windows Me? (Автоматическое
обнаружение средствами DHCP не поддерживает клиентов
под управлением Windows NT или Windows 95.)
7.При автоматическом обнаружении средствами DNS-сервера. Есть ли
на DNS-сервере запись А узла ISA-сервера? Создана ли запись-
псевдоним (CNAME) с именем WPAD, указывающая на ISA-сер
вер? Определен ли данный внутренний DNS-сервер в качестве
дополнительного DNS-сервера в свойствах протокола TCP/IP?
Резюме
При корректной настройке автоматического обнаружения все клиенты Web-прокси и клиенты брандмауэра автоматически обнаруживают нужный ISA-сервер. Клиентам брандмауэра автоматическое обнаружение позволяет самостоятельно находить ISA-сервер для обслуживания их запросов. При использовании совместно со службой Web-прокси автоматическое обнаружение позволяет перемещающимся клиентам всегда находить нужный ISA-сервер при подключении к Интернету. Для нормальной работы автоматического обнаружения в сети необходимо соответствующим образом настроить DNS и/или DHCP. Для настройки автоматического обнаружения требуется: опубликовать возможность автоматического обнаружения на ISA-сервере, включить автоматическое обнаружение на клиентских компьютерах, настроить запись протокола WPAP на DHCP-серверах сети, убедиться, что DNS-сервер сети содержит как запись А узла ISA-сервера, так и запись псевдонима (CNAME) с именем WPAD, указывающую на ISA-сервер.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: Всё о DNS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.