» MS ISA Server (часть 1)

JcVai

Цитата:

Создать набор правил на ISA и, используя оснастку,
включать/выключать (если работа по расписанию не устраивает).

не понял.

Кто нить скажите почему скрипт в принце может то выполняться то нет?

То ли не в ту ветку скинул я вопрос, то ли что...

Помогите, плз, кто чем может...

Есть сервер w2k+ISA 2000. К инету подцеплен при помощи ADSL USB модема. Кроме того, есть ещё два интерфейса Ethernet, один смотрит во внутреннюю сетку, другой пустой. Провайдер выделил 8 внешних статических ip адресов. Один из них прописан на модемном соединении. Свойства соединения позволяют прописать только один ip адрес. Далее. Есть у меня железка, которой нужен внешний ip адрес, отличающийся от того, который уже используется сервером. Теперь вопрос. Могу ли я использовать для неё свободный Ethernet на сервере? И, если да, то каким образом конфигурится контроллер и ISA? Ибо просто взять и прописать на Ethernete один ip, а на железке - другой несколько странно с точки зрения роутинга. Роутинг же только адреса сетей воспринимает, и интерфейсы, которые с ними работают. А вот чтобы маршрузизацию на конкретный ip адрес...

Заранее сенькс.

Cuba

Цитата:

не понял.

1. поставь себе на рабочую станцию оснастку для администрирования ISA.
2. Заведи на все, выходящие в нет компы, правила и расписание для них.
Каждый будет выходить в строго отведенное время. Если это не устраивает
- можно просто либо изменять расписание (как делаю я), либо
время работы указывать круглосуточное, а самому просто включать
и выключать соответствующее правило.


Цитата:

Кто нить скажите почему скрипт в принце может то выполняться то нет?

Телепаты в отпуске. Сравнивай "параметры среды" при успешном
и неудачном запусках. Учти, что право на изменение праметров ISA Server-а
по умолчанию имеют только локальные админы ОС, на которой он установлен.

[b]GreatMouse
Смотри в оснастке сервера Network Configuration-Routing.

JcVai

Цитата:

Телепаты в отпуске. Сравнивай "параметры среды" при успешном
и неудачном запусках. Учти, что право на изменение праметров ISA Server-а
по умолчанию имеют только локальные админы ОС, на которой он установлен.

Воо !! вот это уже интересней... как это по-умолчанию изменить?
а и всё равно странно... он то ставит из под power user то не ставит. Из под админа всегда ставит.

Cuba

Цитата:

как это по-умолчанию изменить?

В консоли, правой кнопкой на сервере, безопасность, "а дальше мать-природа поможет".


Цитата:

он то ставит из под power user то не ставит

Возможно фишка в том, что изменять можно как через консоль, так и через реестр.
Плюс надо разобраться, читает ли сервер настройки только при старте
или есть "периодический опрос".

Привет, народ!

помогите решить следующую проблемку.

вводная такая:
1) в разделе разрешения: протоколов траффик http и https - всем иожно без ограничений.
2) в разделе сайтов и содержания: аннонимусы запрещены; запрещающих правил нет, а есть только разрешения на нужный контекст для определенных групп пользователей; запрета на "дистинэйшен" тоже нет.

проблема: у тех пользователей, которые имеют ограничения на контекст, не работают многие форумы, не пашет "аська" и т. п. Причем, даже если для у этих пользователей отметить все группы контекста как разрешенные, то проблема остается...
Помогает только установка "разрешить весь контекст", но тогда ограничения летят к черту...

ИМХО проблема в нехватке у ISA некороых доп. групп с соответствующим содержанием

Помогите, пожалуйста, советами как решить эту проблему, не прибегая "запретным правилам"

Вопросы:
1) Можно ли и как поправить логи ISA? (девушка одна залетела с траффиком на сайтах знакомств, не поздоровится ей если не помогу..)
2) Откуда Report берет инфу, ведь не из логов же, если вайлы логов из папки Log удалить, отчеты все равно формируются, да и сами логи не хранятся более 7 дней.
3) Как узнать полный список сайтов на который лазил юзер? Вчера за вечер один кекс, якобы подрабатывающий после работы, угробил недельный траффик конторы. Начальство вздернет меня если не отчитаюсь подробно.
Спасибо
3) Еще в репорте фигурирует помимо юзеров просто IP адрес ххх.0.0.хх, который пожрал прилично траффика. Предполагаю что это апдейты, которые комп производил в этот день. Можно ли узнать где именно он апдейтился и что качал?

Caviller
Посмотри в направлении: Policy Elements -> Content Groups
А с запретами намного проще... хотя и дольше.

Pantalone
1. Зависит от того, куда они складываются и прав у тебя на изменения там.
Логи обычно кидаются либо в файлы, либо на sql-сервер.

2. Логи+анализатор логов, либо заранее установленный фильтр,
либо собственный обработчик.

3. В логах все есть.
И это могут быть не только обновления.

ну наконец-то смог понять причину того почему не выполнялся скрипт удалённо.
Вот что смог увидет ьв логах:

Цитата:

Couldn't access main:
Multiple connections to a server or shared resource by the same user, using more
than one user name, are not allowed. Disconnect all previous connections to the
server or shared resource and try again..

Итак теперь думаю решить проблему будет легче Хоть знаем причину

Напомню, что запускается удаленно программа psexec из под прав:
Локальный компьютер - power user
Домен - domain user

В строке запуска сам скрипт выполняется из под прав Domain Admins.
А вот коннект к серверу получается из под того же Domain User !
Сам сервер говорит что на шару только один коннект, и выкидывает пользователя.
Итак как же мне указать на сервере, что определенным аккаунтам (из под кого запускается psexec) разрешается подключение к серверу больше чем один раз?

Pantalone

1. Зависит от формата, в котором хранятся. Судя по всему, у тебя они в текстовом виде. Их править, конечно, можно, но толку, см п.2

2. Ищешь файлы с расширением *.ils - обычно они кладутся в папку ISASummaries. В них и хранится инфа по общему траффику юзера, топ юзерс, топ сайтс и т.п. Формат специфический, стандартными средствами его не поправишь. Инфа из логов попадает туда, судя по всему, практически сразу. По-видимому, параллельно с логами.

3. Список сайтов можешь посмотреть в логах. Самый простой вариант - открыть лог экселем и сортировать по юзеру.
Да, кстати, за юзера ты боишься получить по шапке, а за барышню - нет? Дискриминация, однако...

4. Ты выясни, что за комп с таким ip, да посмотри по логам. Возможно, у тебя разрешён анонимный прокси для всей твоей сетки, тогда тот комп мог и без логина в домене заходить.

b]Q:[/b] Как запустить Safari в MAC OS X через Microsoft ISA Server? Microsoft Internet Explorer под MAC при этом работает.
A: В настройках Outgoing WEB Request на ISA Server необходимо поставить Basic Authentification



Q: Как запустить ICQ ( ver.3.4 for MAC OS X)
Версия MAC OS 10.2 (Ягуар) & MAC OS 10.3 (Пантера)
A: В ISA Server создаетя Client Set с IP address макинтошей. На этот Client Set создается правило протоколов, разрешаЮщее протоколы ICQ & ICQ 2000. если выдается сообщение: spam_detected your passorwd and icq number. необходимо изменить login.icq.com на ip address 64.12.161.185 (login.login-grt.messaging.aol.com)

Остаются нерешененным вопрос как запустить ftp на MAC OS X

Может кто поможет с проблемой ?

Есть внешняя сеть с реальными адресами (скажем 212.х.х.1-212.х.х.254),
есть внутренняя за NAT (192.168.0.0).
Задача состоит в следующем, к некоторым клиентам из внутренней
сети привязать определенные адреса из внешней, с возможностью
обращаться к ним по внешнему IP (естественно фильтруя по портам).
Например 192.168.0.1 <=> 212.х.х.1, 192.168.0.2 <=> 212.х.х.2

Как реализовать это на ISA ?
Может быть в ISA 2004 Beta это можно сделать ?

С помощью NAT на RRAS это делается просто,
(указываем пул внешних адресов > Reservation(какой IP на какой IP ) >
плюс ставим галку на Allow incoming session to this address).

Но надо поставить именно ISA

Кто знает, файлы *.ils содержат такую же полную инфу по посещениям юзерами сайтов как и текстовые логи, или же там общая инфа? Дело в том что у меня стояла галка "хранить логи 7 дней" и нужные мне логи уже удалены исой, остается вся надежда на *.ils.

Pantalone - Как я понимаю .ils НЕ хранятся сами логи - только суммарная информация, плюс по 10 самым активным юзерам, 10 самым прсещаемым сайтам,...

Когда меня наша Безопасность потребовала предъявить логи, которые по моему расдолбайству уже были удалены пришлось брать старые логи, переименовывать и заменять внутри цифау месяца - то есть восстановить удаленное шансов нет, тока сделать видимость, если начальство приперло.
Сейчас у меня скриптами логи раз в неделю архивятся и переносятся на файловый сервер..

А не подскажет кто-нибудь, нормально что ISA "съедает" 500Мб виртуальной памяти?
Можно ли это исправить?

AlexB21
это вэб-прокси

2bob_sinclair

То что это W3PROXY.EXE я увидел в таск менеджере А вот почему mem usage 181 + 496 VM я не понял.
Есть ли где-то возможность регулировать объем занимаемой памяти?

Нужна помощь в таком вопросе:
необходимо бы мне сделать правило, которое запрещает весь Интернет (это я примерно представляю) и еще одно, которое разрешит список сайтов (как в Китае ).
Как это лучше сделать ?

есть:
WAN (корпоративная сеть) - ISA0 - DMZ (пара серверов) - ISA1 - LAN (400+ PC)

надо добавить еще одну сеть, что-то типа:
WAN (корпоративная сеть) - ISA0 - DMZ (пара серверов) - ISA1 - LAN1 (400+ PC)
|
ISA2 - LAN2 (30+ PC)

при этом пользователи сетей LAN1 и LAN2 должны иметь доступ к ресурсам обоих сетей, и контроллеры AD обоих сетей должны быть в одном лесе.

как это реализовать с помощью ISA2000 или ISA2004? какие должны быть настройки?

Добавлено

или может быть просто добавить еще один сетевой интерфейс в ISA1 и поднять маршрутизацию между сетями?
вопрос вот в чем: есть юЗвери в сеть LAN1 которые периодически "заваливают" внутренний сетевой интерфейс по типу DoS, и это они делают в самый не подходящий момент. идея в том, чтобы критически важных пользователей "выделить" в самостоятельную локальную сеть LAN2. будут ли они иметь нормальный доступ к WAN в тот момент, когда интерфейс LAN1 на ISA1 будет "завален"?

Pantalone

Цитата:

Кто знает, файлы *.ils содержат такую же полную инфу по посещениям юзерами сайтов как и текстовые логи, или же там общая инфа? Дело в том что у меня стояла галка "хранить логи 7 дней" и нужные мне логи уже удалены исой, остается вся надежда на *.ils.

При настройках "по умолчанию", ИСА каждый день в 00:30 обрабатывает текстовые логи (см. задание в планировщике ОС) и сохраняет результат в файлах *.ils. Так вот - эти файлы представляют собой ни что иное как базу Access 97. В точно таком же формате, используя эти *.ils, генерятся отчёты ИСА, только файлы там имеют расширение *.irp.


AlexB21

Цитата:

Есть ли где-то возможность регулировать объем занимаемой памяти?

По умолчанию, ИСА занимает под кеш в памяти 50 проц. оперативки. Выставляется в свойствах кеша.

SpiderPlus - идея с двумя исами вполне прокатит. Лан2 сможет ходить в инет при мертвом Лан1. На самом деле я бы посмотрел как именно тебя заваливают и включил бы фильтрацию портов на исе. Более того, если в лан1 используют только прокси и файервол клиента (без снат) то можно почти все порты на исашном лан1 закрыть. фиг завалят.

Кто знает, как поправить ISA, чтобы офисные компы светились в сети под своими локальными IP, а не под статическим, общим для всех IP?

Bebson
Никак, локальные IP являются зарезервированными, к использованию в и-нете запрещены и будут резаться первым же роутером isp.
(Если используются адреса 10.0.0.0/255.0.0.0, 172.16.0.0/255.255.0.0 или 192.168.1.0/255.255.255.0,
что, скорей всего и имеет место быть)

А как же получается, что в моем форуме несколько участников светятся именно под такими IP, типа 10.0.0.26? Причём с одним я знаком лично, он не из моей сетки, а из другого города.

Bebson
Скорей всего либо некорректное определение адреса (скажем через скрипт/аплет, исполняемый на клиентском компьютере), либо адрес передается в какой-либо дополнительной информации...

Спасибо, пойду рыться дальше. Про передачу в доп. информации я не подумал. Хотя сомнительно это.

есть 2 адреса (внешние):
адр1 101.101.101.101
адр2 202.202.202.202
есть 2 протокола:
1 рор3
2 скажем порт 2170

Как сделать, чтобы пользователи могли обращаться на адр 1 +рор3 и адр2 +2170, а на адр1+2170 не могли?
Спасибо.

DP_TM
В зависимости от ситуации, либо IP Packet Filters, либо Server Publishing rules

Кто подскажет какие настройки надо сделать для того чтобы опубликовать Citrix?

JcVai
То есть это фильтровать конкретные IP в зависимости от задач уже самим сервером или же ISa-й? Можно ли это сделать с помощью одной ИСЫ для всех юзеров или придется выбирать кому доступ на адр1 +почта, кому на адр2+порт2170?