» MS ISA Server (часть 1)

Винду поставили - трабла началася
Меня тоже isa прокатил - никак к двум провам одновременно не подключиться без покупки за бешеные бабки программы. Вот так.
А "папа" у нас тут наверное kibkalo sorry,... вроде бы, cетями из тысяч компов командует. Уж он-то может сказать про аську...

Трабла меня тоже достаёт:
не могу сквозь прокси на внешние фтп закачивать, но не на все, а конкретно на нестандартные порты типа 21212. FTP-клиент пишет ошибку про протокол HTTP 1.1 в этом случае, а когда работаю со стандартным 21 всё в норме.

Цитата:

на линухе до этого работало всё номрально с одного айпи...ща прост овиндовый сервак поставили и вот трабла началася
чё делать "папы" ? это не есть гуд...

Как это могло работать на линухе с одного IP... чего-то я такого не видел.... Ты чего-то путаешь

блин мужико может быть конечно и путаю, но поверьте не спецом вру
А ща то чё на винде делать чтобы всё работало?

З.Ы. как сделать ограничение по скорости скачивания через ису?

Cuba

Цитата:

как сделать ограничение по скорости скачивания через ису

никак! только приоритеты расставить можно (Bandwidth Rules)
но вообще вроде tmeter.ru хиляет, но у меня когда-то он на двухпроцовом сервере не пошёл.

а чё, большая скорость?

Leonid_Z

Цитата:

но вообще вроде tmeter.ru хиляет,

ну им помоему

Цитата:

ограничение по скорости скачивания через ису

не сделать.

гдето проскальзывала прога по ограничению лимита на скачиание.
вот сылка http://forum.ru-board.com/topic.cgi?forum=35&topic=5358&start=120#lt


Cuba
несовсем по теме но глянь может понравится

http://forum.ru-board.com/topic.cgi?forum=8&topic=4879#1

Cuba
Ограничить скорость скачивания - никак, а трафик можно ограничить....Куча решений от сторонних производителей

Цитата:

ISA выдает ошибку -
HTTP 502 Proxy Error - The size of the response header is too large. Contact your ISA server administrator. (12216)

Что, только я такой везучий? А-у-у, люди! Спасайте, совсем уж сил нет!

Dymond
Это выдается только на одном компьютере или на всех???

Dymond
У меня тоже сегодня днём через ISA так было из локалки.

А щас вот на другую работу пришёл и прямо с сервера, где ISA это пишу
Тут всё открывается. Может Батва уже исправил заголовки?

Подобные баги весной наблюдались
http://forum.ru-board.com/topic.cgi?forum=8&topic=0239&start=40#14

Gipro

Цитата:

я, например, из предопределённых протоколов выбрал ICQ2000 и все у нас спокойно общаются

У меня 2003 ася, не работает Убрал все свои фильтры, оставил только дефолтный icq 2000.... меня вежливо послали

Klisha

Цитата:

Проблема не в рулезах.. работать у тебя в сети могут всего 10 человек, первых зарегистрировавшихся.....(ограничение ICQ на количество коннектов с одного IP).... вот и весь прикол.. ISA не умеет раскладывать трафик по разным IP...

Klisha

Цитата:

Как это могло работать на линухе с одного IP... чего-то я такого не видел.... Ты чего-то путаешь

Это ты чего то путаешь... ограничение на 10 пользователей стоит в клиентской асе. Ставишь лекарство и всё работает нормально, хоть 1000 человек...

Мужики вопрос открыт. У меня не работает ася при дефолтных настройках Так же не работает если вписать всё выше написаное мной.
В ip packet filter что-то писать надо?

D destination set вместо *.icq.com написал login.icq.com, а то на странички могли заходить пользователи..

Cuba


Цитата:

Это ты чего то путаешь... ограничение на 10 пользователей стоит в клиентской асе. Ставишь лекарство и всё работает нормально, хоть 1000 человек...

Какое лекарство??? куда ставить???

Ася настраивается так....:

на клиенте ставишь:

В преференсах
Вкалдка general:
ICQ server
host: login.icq.com
port 5190

Proxy settings:

Using proxy: Socks4

Вкладка Firewall

тип: Socks4

server - твой ISA сервер.
порт 1080

При этом надо на ISA разрешить Socks... он вроде по умолчанию не активен... работает все как часы..

Klisha
Пока только на одном (Ось - XP SP1, с установленным клиентом ISA). Проверял еще на одном (Win2000server, клиент SecureNAT) - все нормально.... Попробовал почистить все куки и заново авторизоваться на Ру-Борде, - заработало и пока этого глюка не наблюдается.
Но что еще интересно - нигде, ни в хелпе, ни в ТехНете такой ошибки вообще нет!!! Недо-документированный глюк???

Dymond
Может и документированный ) просто ни у кого еще ни разу не вылезал

Klisha

Цитата:

Using proxy: Socks4

этот протокол точно использовать не буду....старьё как мир....
надо что-то дургое делать...
да и пойди всем объяснять как теперь асю нада вклбчать..всем объяснять что надо там написать прокси какой-то...

Cuba


Цитата:

этот протокол точно использовать не буду....старьё как мир....
надо что-то дургое делать...

Зато работает как часы

Не хочешь Socks.. используй HTTP прокси.. или HTTPS... вроде она по всем живет нормально.
У меня по HTTP иногда коннект теряла.. а по Socks висит неделями...

Dymond

Цитата:

Но что еще интересно - нигде, ни в хелпе, ни в ТехНете такой ошибки вообще нет!!! Недо-документированный глюк???

Вот что batva мне ответил на этот счёт:

Цитата:

Проблема известна нам.


Это браузер глючит при работе с куками, когда трафик идет через прокси.

Лечится просто:

Просто закрываем все окна браузера, потом идем к нему в настройки, и очищаем куки, и кеш!

После этого все нормально будет.

То бишь, браузер глючит, а микрософт в ус не дует!
Так что, Dymond всё ты правильно сделал.

Gipro

Цитата:

Так что, Dymond всё ты правильно сделал.

Служу Советскому Союзу!!!
to Admins
Но что-то все же делать-то надо.

Цитата:

Если нет пока решения с багом, может есть возможность указать какие именно куки надо "руками" почистить, т.к. есть очень "полезных" куков, ваших и других программ, которые "помнят" нужные "вещи" и приходится начинать всё с начала...

(C) mihas83

Подскажите плиз есть ли возможность подружить оперу с исой. Сенкс

linear
Ага...Сам вот пару дней как нашел...Кстати, на оффсайте, в FAQ`е!!!

А решение называется - NTLM Authorization proxy server v0.9.8, спасибо создателю Dmitry Rozmanov!!!

Кстати, вопрос к юзающим его гуру (сорри за офф!): как бы его запустить в качестве сервиса, в фоновом режиме (что такое srvany - знаю, только там какие-то дополнительные параметры для Питона требуются) ?

Господа, хотел поставить фтп на машину с иса, не вышло, так как открытие 21 порта не помогает. Надо ведь открыть и случайные порты. Как это сделать чтобне повлиять уж очень сильно на безопасность системы?

Dymond

Это частичное решение, так как при большом потоке запросов питон, по крайней мере у меня, иногда дуреет и жрет до 95 % спу. Как сервис - запускаю через FireDaemon без всяких доп. параметров, думаю через srvany будет аналогично.


Добавлено
Dreem

Ну если фтп родной от ms - то только в port, если, например, поставить RAIDENftpd - там есть опция, какие именно динамически выделять порты в pasv

Dreem


сходи на http://www.isaserver.org/ и сделаи поиск по фтп серверу там очень были толковые обьянения по поводу как и какие динамические порты
http://www.isaserver.org/articles/How_the_FTP_protocol_Challenges_Firewall_Security.html
http://www.isaserver.org/tutorials/Publishing_FTP_server_on_ISA.html

Кто нить встречался с проблемой кода ISA не работает с отдельными аккаунтами (при раздаче инета), а раздаёт его тока тода, кода разрешено всем (надо тока некоторым)?

если же указать конкретные аккаунты, кому мона кому нет, тоды вооще никому не даёт!

я уверен что трабл скорее всего не с исой!

поднят DNS DHCP AD; абсолютно всем юзверям даны учётки!

Bacilla

попробуй подругому вобще то это не хорошая практика давать какие то права отдельным юзерам (потом концов не наидеш ) создай группу разреши ей выход в инет а уже в нее помести юзеров которым хочеш дать инет.

Создал группу InternetGroup в Policy elements\Client Address Sets
и всё заработало так как нуна!

Borgia псибо большое!

но просто интересно почему же не работало кода я добавлял отдельные учётки ?
(может кто-то нает)



Добавлено
естесено добавил группу InternetGroup в правило, которое разрешает использоват инет (Protocol Rules)

Добавлено
Borgia
заработать заработало! ну что получается, что при создании группы я прибиваю айпухи, а не аккаунты, и инет раздаётся айпухам этой группы, тода зачем надо было подымать AD?
а мне инет нуна раздавать по аккаунтам, а не по айпухам!

Народ, помогите! Уже второй день пытаюсь опубликовать внутренний FTP-сервер в инете через ISA. Делаю все, как написано: создаю правило публикации, внешний адрес ISA-сервера, внутренний адрес FTP-сервера, тип сервера - FTP. После этого пытаюсь соединиться с ним через другую проксю (WinGate) - и ни фига. Причем в логах FTP-сервера фикисируется попытка коннекта, а дальше - ERROR и кранты. Уже все перепробовал. Причем на другие FTP типа ftp.microsoft.com попадаю без проблем.
Что может быть? Крыша уже едет...

Bacilla
1. Проверь тип авторизации на outgoing web requests
2. Учти, что бы получить доступ в сеть, надо что бы юзеру разрешался
выход и в site and content rules, и в protocol rules.
3.Проверь настройки HTTP Redirector.

Dymond
Облазил весь фак не нашел етой проги.
Извиняюсь,не подскажете хде качнуть?

JcVai


Цитата:

1. Проверь тип авторизации на outgoing web requests

стояло Integrated, менял на Basic - та же беда!


Цитата:

2. Учти, что бы получить доступ в сеть, надо что бы юзеру разрешался
выход и в site and content rules, и в protocol rules.

всем и всё разрешено!


Цитата:

3.Проверь настройки HTTP Redirector

Фильтр включен; response = Redirect To Local Web Proxy Service

позже я проэкспериментирую с этими настройками и сообщу результаты!

а вооще всё так стоит как надо?

skylined
http://www.opera.com/support/search/supsearch.dml?index=463 - Authentication method not supported message (MS Proxy Server, IIS, and others)
http://www.geocities.com/rozmanov/ntlm/ - NTLM Authorization Proxy Server
Удачи!