» MS ISA Server (часть 1)

Помогите!
ПОчему в логах время отстает на 4 часа?

Sergii_Gray
Время в логах типа w3c пишется по Гринвичу.

А как можно задать ограничение: каждому пользователю в день не больше 10 мег? Это вообще возможно?

DogEatGod
Н-да... тема разрослась, нормального фака на русском языке нет, а искать и/или переводить - лень...
Смотри в сторону навесных фильтров типа TrafficFilter, SurfControl и т.п.
Можно еще сделать обработку логов sql в реальном времени.

Подскажите плиз
как настроить авторизацию в ISA по IP сетам и одноврененно через AD
Желательно на пальцах

DedaFlint
Через вкладку "access policy" в оснастке для администрирования ISA.
Только учти, что при корректной настройке сервера, доступ по http
в твоем варианте лучше делать только через AD.

JcVai
Итак где я не прав:
- создаем rule "все нафиг" для пользователя test
far ftp клиент "Windows socket error" WSAECONNREFUSED - все верно
IE www.что-угодно.com - пропускает.
Станция где проводяться эксперементы в IP сеты не входит
FW клиент установлен

DedaFlint
А ты не забыл, что на каждый проход тебуется 2! правила: 1 в сайтах и 1 в протоколах.
Также смотри:
1. IP routing (в свойствах Packet Filters)
2. Требование аутентификации в свойствах сервера
3. Свойства фильта HTTP Redirector.
4. Настройки файрвол-клиента.

DogEatGod
на счет ограничения качания - действительно SurfControl, в нем есть тип правил TRESHOLD, можно ограничивать объем для конкртеных пользователей, при этом можно указать какой контент, в какое время (очень все гибко)

Добавлено

Продолжаю эпопею про Антивирусы для ISA
Поставил Symantec Antivirus 4.3 for ISA (дали триальную лицензию на 30 дней), Scan Engine установил на отдельную машинку, прокол возник с обновлением баз через LiveUpdate, в автоматическом режиме пишет - Failed, в ручную через cslive.exe /virusdefs (вроде так) - выкачивает список продуктов и их версий (zip-файл), потом определяет что надо качать VirusDef (как то называет 1.5) 4.5 метра, пытается начать качать и почти сразу прекрашает, потом пишет что LiveUpdate обновлен нормально, а Определения вирусов не прошли. Хотя если открыть ссылку в IE - все качается, а в настройкай LiveUpdate указано брать параметры подключения IE (т.е. через ISA).

Так вот, если отключить Symantec Web Filter в консоли ISA (т.е. отключить проверку антивирусов), обновление баз антивирусов проходит успешно, чудеса - антивирус не пускает скачать свои обновления!

Какие есть соображения?

All

1. На сервере имеется ISA и RRAS в режиме dial-in с парой модемов. IP подключаемых через модемы пользователей входят в LAT.
Проблема: WebProxy работает, SecureNAT не работает.
Как разрешить SecureNAT для модемщиков?

2. Во внешней сетке рядом с ISA'ой (компьютер А) стоит еще один компьютер Б. В инет есть выход только для одного IP который на внешнем интерфейсе ISA.
Проблема: надо предоставить доступ к Windows Update для компьютера Б через службу WebProxy на компьютере А.
Как?

SpiderPlus
1. Копай в направлении RRAS, но, имхо, стандартными (встроенными) средствами сделать нормальный роутинг..гммм..практически нереально.

2.Не понял: если Б во внешней сетке, то он имеет выход в инет и свой публичный ip.
А вообще, смотри в направлении соединения А и Б, в зависимости от этого используй
прокси на внешнем или внутреннем интерфейсе плюс destination set.

JcVai
2. у А адрес 10.210.1.10, у Б - 10.210.1.20.
где-то на грацице корп. сети адрес 10.210.1.10 заменяется на реальный инетовский 217.х.х.х
для Б такого нет и не будет.
поэтому и есть необходимость предоставить службу WebProxy для Б.

SpiderPlus
В свойствах своего сервера (в oснастке управления ISA) поставь авторизацию на "внешний" интерфейс 10.210.1.10 и используй этот адрес как прокси с компьютера Б

Есть проблемка с FW-клиентом. Вхожу из домашней локалки в корп.сеть через RRAS, поднятый на ISA-сервере. Дома на обеих машинах стоит FWC, но с серваком коннектится только один, шлюзовой. Причем без разницы, работаю через ICS (обе машинки на WinXP) или маршрутизирую сетку. При этом с прокси обе машины работают без проблем. SNAT использовать не смогу - выставлена обязательная аутентификация. Может какие настройки в FWC или ISA подкрутить? Есть подозрение, что FWC не может разрешить имя ISA-сервера (где-то читал, что FWC с DNS работает очень своеобразно). И еще, не очень понятно, почему на первой (с работающим FWC) машине credtool показывает правильные настройки, например, для Outlook Express, а на второй - настройки отсутствуют. Связано ли это с работоспособностью FWC?

HornetBlack


Цитата:

Вхожу из домашней локалки в корп.сеть через RRAS, поднятый на ISA-сервере. Дома на обеих машинах стоит FWC, но с серваком  коннектится только один, шлюзовой. Причем без разницы, работаю через ICS (обе машинки на WinXP) или маршрутизирую сетку.

Ты хоть сам то понял че сказал???


Цитата:

При этом с прокси обе машины работают без проблем.

Цитата:

Может какие настройки в FWC или ISA подкрутить?

Раза 3 перечитав твой пост, я так и не нашел проблемы. Такое впечатление как-будто сам с собой разговариваещь на своем же сленге.

UNKNOWING
Поясняю для непонятливых
Есть две сетки: офисная на Win2003+AD+ISA+RRAS и домашняя на двух WinXP. Выход на офисную сеть из домашней можно сделать либо с включением ICS (NAT) либо настроив роутинг. FWC, стоящий на гейтовой домашней машине с ISA-сервером коннектится без проблем (почти, иногда бывают небольшие тормоза). Со второй машины FWC ISA-сервер не видит напрочь. В логах файервола запросы со второй машины не отражаются. Вопрос: как заставить второй FWC коннектится к ISA-серверу, т.к. без этого не работают ни почта, ни аська?
Понятно разъяснил?

HornetBlack


Цитата:

Выход на офисную сеть из домашней можно сделать либо с включением ICS (NAT) либо настроив роутинг.

Так погоди, поясни пож. в терминах rfc IP, TCP/IP, не понимаю что ты имеешь ввиду под НАТом, роутингом (определись с терминами, применительно с конкретной системе)


Цитата:

При этом с прокси обе машины работают без проблем.

Каким образом ты это узнал?

И заодно расскажи что настраиваешь на WinXP, которые в домашней сети стоят.

З.Ы. А свичь за 20 уе поставить? и не маяца с ИП-форвардингом и тем, что "руотерская" машина должна быть включена постоянно

UNKNOWING

Цитата:

Цитата:
Выход на офисную сеть из домашней можно сделать либо с включением ICS (NAT) либо настроив роутинг.
Так погоди, поясни пож. в терминах rfc IP, TCP/IP, не понимаю что ты имеешь ввиду под НАТом, роутингом (определись с терминами, применительно с конкретной системе)

Ладно, не будем вдаваться в термины, не в этом вопрос. Суть в том, что одна сеть связывается с другой через модем, но FWC работает только на шлюзовой машине, а на второй он не может соединиться с ISA-сервером. Для меня важнее понять где идет затык - в DNS, роутинге или настройках FWC.


Цитата:

При этом с прокси обе машины работают без проблем.
Каким образом ты это узнал?

Как ты догадался речь идет о Web-proxy, через который пашет браузер. Так вот он работает на обеих машинах. Впрочем как и FTP (тоже идет через прокси)


Цитата:

И заодно расскажи что настраиваешь на WinXP, которые в домашней сети стоят.

В простейшем варианте - ничего Т.е. настраиваю дозвонку, включаю шаринг соединения и соединяюсь.


Цитата:

З.Ы. А свичь за 20 уе поставить? и не маяца с ИП-форвардингом и тем, что "руотерская" машина должна быть включена постоянно

[/q]

Свич на модем-с? Оригинально...

А вообще-то мне сейчас лучше бы найти человека, у которого моя схема вообще работает...

HornetBlack
гых. Ни в одном предыдущем посте ты не указал что соединяешься с помощью модема. Раз.

Два. Скорее всего происходит следующее:

http://www.microsoft.com/technet/prodtechnol/winxppro/plan/icf.mspx


Цитата:

Q: Can I run ICF on my corporate desktop? What will happen if I turn it on?

A: The user experience may be degraded as some basic functionality will not work, for example letting someone access a file share on your PC. Nor will you will receive notifications from remote services (this includes the ""print job completion"" and ""new mail"" notifications). In addition, because ICF has not been tested with the ISA client application, the effect they might have on each other remains unknown.

ICF думаю ты включил.

UNKNOWING

Цитата:

гых. Ни в одном предыдущем посте ты не указал что соединяешься с помощью модема. Раз.

Гмммм, про модем я действительно забыл упомянуть, хотя для чего бы нужен был RRAS, если бы я мог по ethernet-у с офисом соединиться?... (VPN не в счет)


Цитата:

ICF думаю ты включил.

Вот мне только ICF на соединении с офисом не хватает! В дополнение к ICS, который также не нужен
Зачем мне NAT и Firewall при выходе в защищенную сетку? Мне всего-то и нужно, чтобы firewall-клиенты из дома могли нормально работать через Firewall в офисе. Поясню: при NAT (ICS) обе машины в логах пишутся под одним IP, при настройке маршрутизации - под своими (это желательнее).

Подскажите как порнофильтры прикрутить, достали уже некоторые юзеры по порнухе шастать, трафика накручивают, а мне потом по шапке начальство дает.

HELP!!!!

Народ, не пойму, в чем дело- запрет есть, а юзер все-равно пролазиет!!!! Как закрыть его?
Суть такова- есть известный сайтик- www.gator.com, есть домен с AD и ISA установленным в AD, создаю правило в destinaton set, куда заношу такую строчкку *.gator.com, потом соответственно вношу его в site and content соотв с запретом, но результата нету- как открывался, так и открывается, только картинки не грузит, хотя закрыт весь контент, так же и к другим сайтам- картинки не показывает, а страницу грузит.
в чем может быть проблема и где рыть надо?

HornetBlack
ковыряй шлюз

Добавлено
Pantalone
Либо бокировать по destination sets и media content, либо использовать что-нибудь навесное типа surfcontrol superscout.

Добавлено
Argo
Проверь, чтобы было включено требование авторизовываться в свойствах сервера
и блокировало http от firewall и securenat клиентов в фильтре http redirector.

JcVai
Какой вид аутентификации лучше поставить? И можно ли сделать так, чтоб при выходе в инет ISA юзверя не спрашивал имя и пароль, а просто пропускали в соответствии с его правами в домене и политиках ISA или наоборот, молча блокировали? И если можно, то каким макаром?

Argo

Цитата:

Какой вид аутентификации лучше поставить?

Digest with domain


Цитата:

И можно ли сделать так, чтоб при выходе в инет ISA юзверя не спрашивал имя и пароль, а просто пропускали в соответствии с его правами в домене и политиках ISA

integrated


Цитата:

молча блокировали?

Для этого надо не блокировать, а перенаправлять...скажем на 127.0.0.1

Интегрированная аутентификация работает только с IE, для Оперы и пр. - нужна базовая, поэтому нужно включить обе.

HornetBlack

Если ISA и RRAS работают на одной машине, клиенты RRAS не могут использовать SNAT.
Надо или ставить ISA 2004, который все еще бета, или ставить RRAS на другой машине, как рекомендует Microsoft, или использовать SOCKS.

Можно встретить рекомендацию добавить через netsh интерфейс internal в список интерфейсов, для которых работает NAT - так это не работает с ISA 2000.

JcVai
А тогда аська не работает и почту тоже нифига не хочет получать....
И что свмое странное- когда пингую ICQ.com - пинга нет, пингую yandex - пинг есть? то-ли у меня крыша едет, то-ли у исы..., протоколы ICQ&ICQ 2000 включены



Добавлено
Усе вроде порешал таким макаром- в Site дал разрешения для всех на все, а в протоколах ограничил по группам пользователей, вопрос такой соответственно - при такой организации какие дырки остались чреватые последствиями и как их закрыть можно? Посоветуйте пожалста....

Argo
А файрвол клиент установлен и настроен?


Цитата:

какие дырки остались

Самая явная, насколько я помню: h.323 - решается просто отключением соответствующего фильтра.

JcVai
Клиент установлен, вот только чего там настраивать, я не нашел, за искл автоопределения сервака исы

h323 отключил нахрен, звонить некому и некуда.