» MS ISA Server (часть 1)

Borgia, а что у тебя будет в броузере если пойти на адрес http://<cmрока>/Wpad.dat ? и есть ли файл Wpad.dat на исасервере (где и какой)

kibkalo


Цитата:

Borgia, а что у тебя будет в броузере если пойти на адрес http://<cmрока>/Wpad.dat ?
ничего ерорр


и есть ли файл Wpad.dat на исасервере (где и какой)

нет такого фаила, я так пониаю что это стринг валуе вид записи такой вот и все .




Добавлено
Появился

ISA Server 2000 Required Updates for Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyID=77d89f87-5205-4779-b1ab-fc338283b2d9&DisplayLang=en


Кто ставил ? Какие наблюдения?

Цитата:

Кто ставил ? Какие наблюдения?

Те же яйца, только в профиль ))). Всё ставить по мастдаевским рекомендациям.
Особых отличий ненашел. Работает с апреля Windows Server 2003 Enterprise +ISA Server 2000 без глюков.

Borgia - Я сегодня перевел исы на Win 2003 Datacenter. Полет нормален...
Наблюдение по поводу
Цитата:

http://<cmрока>/Wpad.dat

- работает нормально для 2003 и ХР клиентов. 2000 + сп4 не видят. IIS не инсталирован. В DNS и DHCP сконфигурированы WPAD. WSPAD не трогал.

kibkalo

Цитата:

2000 + сп4 не видят

Странно интересно в чем проблема? На днях попробую покопаться. И как ты выясняеш что

Цитата:

2000 + сп4 не видят

опиши чуть одробнее если не трудно.

Borgia - при всех остальных одинаковых настройках, свежезаточенная вин2003 лезет в инет сразу подхватывая автоконфиг, а 2000 нет

Подскажите, плиз, как посмотреть содержимое кэша.
Забыл
Спасибо.

Leonid_Z
Интерактивный FAQ по ISA - форум на WinFAQ.com.ru
Q: Как в ISA управлять файлом кэша. Например посмотреть что в нем лежит, удалить, вырезать. Есть ли стандартные средства?
A: Угу. На дистрибутиве
\support\tools\TroubleShooting\CacheDir.exe
перепишите его в папку с ISA не забудьте.
вот и на здоровье


Добавлено
kibkalo

Может здесь трабла с ср 4 на isaserv.org может уже есть что то по этому поводу или на макрософт у меня такое ощущение что я гдето чтото видел по сервиспаку 4

Borgia

Цитата:

CacheDir.exe

спасибо!
хорошо подколол , но бывают по жаре клины, бошка перегрелася. Thanx!

Никак не могу понять, почему у меня в логах WEB-proxy присутствуют такие записи:
Domain/User, Domain.ru/User и User. Соответственно пользователь один и тот же, только его имя в трех вариантах, и трафик в отчетах считается как бы отдельно для каждого варианта.

Borgia - а ты скрипты для управления Enterprise политиками не писал? Я из import/export для stand-alone кое-что вырвал и переделал так чтобы формировать Destination Sets и политики из .vbs файла. А вот теперь задача все что есть в Enterprise загнать в файл, снести все нафиг и начисто восстановить - причем очень желательно восстановить не в Enterprise а в политику нового массива... как быть?

kibkalo
врядли здесь смогу чтонибудь посоветовать
хотя глянь здесь
http://www.toolzz.com/ISAToolzz.htm
http://www.isatools.orgTools & Scripts помоему там что то проскакивало.

Borgia - там только для Stand-Alone - это я и использовал как "рыбу" для ввода destination sets... с выводом из AD тяжело - команды явно другие, а какие - бог знает

Цитата:

Вопрос назрел - пытаемся повысить отказоустойчивость. Никто не объединял исы в array? Вообще, как это делать? Какие подводные камни и т.д. и т.п.?

ну что, неужели никаких идей?

EndoR - array это только первый шаг. Ибо это нормально для проксирования. Если же стоит NAT то маршрутизатору точно надо знать КУДА (IP) надо маршрутизировать. Из чего возникает проблема - если основной сервер накрылся, то проксирование работает, а вот маршрутизация - нет.
Потому вывод такой: делаем два сервера в array и загоняем их в кластер. Общий ресурс это как раз внутренний IP адрес. Именно на него все маршрутизируем.. Проксирование может идти тоже через него, а можно и по стандартной схеме.
Кэш иса сервера делят автоматически - если файл скэширован на сервере А, то массив передаст обработку запроса именно этому серверу.
Если уж идти совсем далеко в отказоустойчивость, то нужно ставить RainWall и RainConnect for ISA. Это позволяет еще и справиться с возможностью падения внешнего канала (в случае если их два, автоматически перевести всех на второй) и в отличии от микрософтовской реализации кластера, когда нагрузка вся на основной, а второй стоит в резерве, у RainWall оба сервера делят нагрузку.

Наш сервер, где установлен ISA Server, имеет 3 сетевых интерфейса.
Через них он подсоединен в 2-е разные, физически разделённые, сети и в хаб с DSL-модемом.
В обеих сетях подняты AD, сервер входит в один из доменов и авторизует его пользователей по идентификаторам домена, а пользователей из второй сети идентифицирует по их IP-адресам.

Мне интересно, можно ли привязать ISA и ко второму домену таким образом, чтобы он авторизовал пользователей именно из AD?

shaggy2003 - легко! установи доверие между доменами и пропиши на ISA сервере вторым DNSом контроллер второго домена.

ПриветствуЮ всех!!!
Всех с прошедшим Днем Админа!!!
Вопрс такой:
есть ISA , есть Exchange. установлены на разных машинах. Пробема в ИСА: не могу открыть 25 порт. Ip Filter есть , в Protocol Rules тоже прописано. Публикацию сделал. Наружу почта уходит , но не приходит на exch... с DNS зонами у прова все в поряде...
Может еще чего нить надо...RTFM не помогает уже...
Заранее всем спасибо.

Добавлено
Прричем при попытке опубликовать через визард 110 и 25 порт, 110 открывается, а 25 -й - нет....понятно что 110 мне наружу не нужен, но как в принципе...в чем тогда разница?

Добавлено
коточе народ: поблему локализовал, тока как ее решить правильно теперь - не знаЮ.
фишка вся в том, когда открываешь в ip packet filtering allow all, то все работает как из пушки...110 и 25 порт просто открывать ему не достаточно...нужно еще открывать диапазон от 1024 - 65665 для динамических портов...
отсЮда вопрос: как в исе открыть диапазон портов?

Borgia - ты как-нибудь настраивал балансировку нагрузки для firewall клиентов? а то они у меня все висят на одном сервере...

Поможите!
Может че проглядел...
Есть два контроллера домена. На обоих ISA. Соединяю через ISA VPN один на прием - другой на передачу.
И никого кромя себя не вижу...
В чем фишка? Если моно попроще...

На работе Advansed Server 2k + SP4 и интернет через ADSL. На сервере установлены ISA и RAS. Звоню из дома (WinXP+SP1), вхожу в сеть. Браузеры и аська отлично работают через прокси сервер. Но вот почту не настроить. Поставил у себя Firewall Client, настроил все что надо на сервере. Проблема в том что файрвол, если прописать в нем ИП адрес сервера, говорит все ОК. Но как только пытаюсь запустить браузер автоматом заменяет ИП на имя сервера и кричит ОБЛОМИСЬ. Помогите советом, как заставить его работать или же, как сделать, чтобы доступ в интернет был напрямую без прокси!!!

PRiM - проще всегно настроить NAT. Выстави у себя в IP свойствах RAS соединения гейтвэем IP RAS серера. Если не получится пости сюда результат.
Для корректной работы Firewall клиента, ты должен либо настроить маршрутизацию у себя на компе, чтобы видеть внутренние DNS либо поставить определение сервера не по имени. Начнем по порядку:
Я бы рекомендовал тебе (на собственном опыте) в свойствах RRAS добавить протокол RIP (Routing Information Protocol) в его свойствах добавить все сетевые адаптеры которые возможно. В результате в RRAS у тебя теперь есть вкладка RIP где перечислены сетевые карты. В их настройках должно быть по порядку: Periodic update mode; RIP version 1 broadcast; RIP version 1 and 2.
Теперь ты у себя в WinXP в Add/remove programs (windows components/network components) добавь протокол RIP Listner. Его на клиенте настраивать не надо. он будет брать с RRAS таблицу маршрутизации.
Теперь о firewall клиенте - в настройказ ISA (Client Configuration/Firewall Client) переключи режим поиска с DNS имени на IP адрес. и включи автоматическое обнаружение сервера. Вуаля...
Жду результатов..

kibkalo

Цитата:

Выстави у себя в IP свойствах RAS соединения гейтвэем IP RAS серера

Я так понял это надо выставлять на клиенте WinXP. Проблема в свойствах удаленного соединения негде прописывать шлюз, т.к. нет такого. Там стоит галочка использовать стандартный шлюз и все.

Цитата:

Я бы рекомендовал тебе (на собственном опыте) в свойствах RRAS добавить протокол RIP (Routing Information Protocol) которые возможно.

Добавил RIP Version 2 for Internet Protocol.

Цитата:

в его свойствах добавить все сетевые адаптеры

Добавил 2ва интерфейса ADSL и Domen.

Цитата:

В их настройках должно быть по порядку:  Periodic update mode; RIP version 1 broadcast; RIP version 1 and 2. 

Режим переодического обновения
Для RIP версии 1, широковещательная
Для RIP версии 1 и 2.
Остальное проверю дома и сообщу о результатах.

Добавлено
kibkalo

Цитата:

Теперь о firewall клиенте - в настройказ ISA (Client Configuration/Firewall Client) переключи режим поиска с DNS имени на IP адрес.

Сделал. Только зачем тогда нужен RIP?

PRiM - RIP это один вариант, IP вместо DNS это второй
Хотя RIP никогда не лишний. Роутинговая таблица удаленной сети всяко пригодится.

kibkalo
Спасибо! Все заработало!!!

Очень рад за тебя
Ты тоже администришь ису?
Есть ли опыт по ее fault taulerance?
Как сделать чтобы соединение не разрывалось при падении того сервера через который оно идет, а автоматом перебегало на второй? а то я уже никак не могу найти решения.

kibkalo

Цитата:

а автоматом перебегало на второй

совсем без перерыва наверное врядли ( еслиб в клиенте можно было бы прошить несколько ИП с опросом по приоритетУ наверное это было бы самое удобное . а какие решения ты уже пробовал))
Кстати кто нибудь имел дело с TRENDMICRO OFFICESCAN Антивирус Клиент-сервер модель . Ни как не могу добится чтоб клиенты делали упдате с сервера (стоит на серваке вместе с Исой не видят его и все )

Borgia - я эксперементирую с NLB (когда два сервера имеют одинаковые мак-адреса на внутренних интерфейсах и один общий ай-пишеик.
С точки зрения непрерывности работы все хорошо, файервол клиенты и прокси настроены на использование именно общего ай-пи адреса, когда один ребутается второй сразу же берет на себя двойную нагрузку. Но вот соединения рвутся.
В идеале мне нужно что-то типа RainWall или RainConnect, когда я могу ту же фигню намутить и с внешними интерфейсами сразу, тогда нат пакету будет пофигу как идти, коли маки и ай-пи везде одинаковы... но эту шнягу я достать не могу никак.

kibkalo
Слушай, у меня под WinXP все заработало. Сегодня попробовал законектиться с Win98SE, так клиент вроде конектиться к исе по ИП, а как начинаю грузить странички, так сразу пишет НЕДОСТУПЕН ИСА СЕРВЕР. Может это из-зи Rip-а, я такого в 98 не нашел. А еще, когда странички начинаю грузиться внизу експлоер пишет ОШИБКА ДНС.

PRiM - в случе с вин98 трабл может быть в двух бяках:
Если DNS не пингуется после установки соединения (то есть он в другой подсети) то его маршрут надо статически указать (route add 192.168.1.0 mask 255.255.255.0 10.1.1.100) в случае когда IP DNS в 192.168.1 подсети, а IP RRAS = 10.1.1.100)

Или же у тебя в иса сервере разрешена только Integrated и Digest аутентификация. это не прокатит с вин98 - нужен бейсик.