vworld
Merak
Merak
» MS ISA Server (часть 1)
Homuha
не обязательно интегрировать, чтобы был интернет на каких нужно компах, но удобней, если требуется только конкретным юзверям раздавать инет, особенно если нада поставить прогу ограничивающую траффик
не обязательно интегрировать, чтобы был интернет на каких нужно компах, но удобней, если требуется только конкретным юзверям раздавать инет, особенно если нада поставить прогу ограничивающую траффик
Homuha
В домен включать не обязательно, можно раздавать по ip аресам, но менее удобно отслеживать, кто куда ходил. Ну, если юзверей много, то и разграничение доступа удобнее по юзерам делать, для этого комп должен быть в домене.
Насчёт варианта установки - ставь Stand Alone, второй вариант установки, насколько я помню - это для интеграции нескольких ISА серверов, для одного-единственного нафиг не нужно.
В домен включать не обязательно, можно раздавать по ip аресам, но менее удобно отслеживать, кто куда ходил. Ну, если юзверей много, то и разграничение доступа удобнее по юзерам делать, для этого комп должен быть в домене.
Насчёт варианта установки - ставь Stand Alone, второй вариант установки, насколько я помню - это для интеграции нескольких ISА серверов, для одного-единственного нафиг не нужно.
Режим Enterprise много удобнее тем, что политики массива (даже одного сервера) хранятся в АД. Таким образом переустановка исы не испортит их. Повышается отказоустойчивость.
Gipro
А сама Isa не может? Подскажи чем пользоваься для решения этого вопроса.
2 All
А после установки в stand alone можно будет перейти потом на энтерпрайз или все переставлять придется? И смогут ли пользователи MAC OS X через нее работать?
А сама Isa не может? Подскажи чем пользоваься для решения этого вопроса.
2 All
А после установки в stand alone можно будет перейти потом на энтерпрайз или все переставлять придется? И смогут ли пользователи MAC OS X через нее работать?
Народ! Расскажите как более правильно инициализировать соединение VPN (через него я выхожу в инет), так чтобы Isa с ним нормально работала:
есть 2 способа (а может и больше)
1 RRAS с интерфейсом по требованию
2 Самой ISA как соединение dial-up (как тогда в таком случае работает firewall??)
есть 2 способа (а может и больше)
1 RRAS с интерфейсом по требованию
2 Самой ISA как соединение dial-up (как тогда в таком случае работает firewall??)
Homuha
Цитата:
Встроенными средствами - нет.
Только с помощью скриптов или стороннего ПО.
Цитата:
Я работал с TrafficFilter и SurfControl.
Цитата:
Можно, просто в свойствах сервера выбрать "promote". А вот обратно - только через переустановку.
Цитата:
Смогут через любую.
Kolyanius
ISA где, на сервере vpn или на клиенте?
Цитата:
А сама Isa не может?
Встроенными средствами - нет.
Только с помощью скриптов или стороннего ПО.
Цитата:
Подскажи чем пользоваься для решения этого вопроса.
Я работал с TrafficFilter и SurfControl.
Цитата:
А после установки в stand alone можно будет перейти потом на энтерпрайз или все переставлять придется?
Можно, просто в свойствах сервера выбрать "promote". А вот обратно - только через переустановку.
Цитата:
И смогут ли пользователи MAC OS X через нее работать?
Смогут через любую.
Kolyanius
ISA где, на сервере vpn или на клиенте?
появился ISA2004 standard 120 дней триал
TrafficFilter на 2004 работает, cлучаем никто не пробовал?
Подскажите кто знает.
При использовании Trafficquota, когда user исчерпывает свой лимит, то выводится html страница-уведомление о запрете доступа, но если установлен FWC, то эта страница не загружается. Почему и возможно ли это исправить?
При использовании Trafficquota, когда user исчерпывает свой лимит, то выводится html страница-уведомление о запрете доступа, но если установлен FWC, то эта страница не загружается. Почему и возможно ли это исправить?
Такая проблема возникла с firewall-сервисом в ISA 2004 (ктонить его юзает уже, надеюсь 
)
1. Firewall сервис стратует, но на странице dashboard в uptime напротив него пишется error и красный крест (хотя статус running).
2. При внесении каких-либо изменений появляется сверху APPLY (стандартно), нажимаешь, говорит "изменения сохранены, но какой-то сервис их не смог загрузить".
3. Если пойти в сервисы и вручную все сервисы исы перестартовать, измения начинают действовать.
Что это может быть, мелкомягкие молчат...
) 1. Firewall сервис стратует, но на странице dashboard в uptime напротив него пишется error и красный крест (хотя статус running).
2. При внесении каких-либо изменений появляется сверху APPLY (стандартно), нажимаешь, говорит "изменения сохранены, но какой-то сервис их не смог загрузить".
3. Если пойти в сервисы и вручную все сервисы исы перестартовать, измения начинают действовать.
Что это может быть, мелкомягкие молчат...
Поставил 2004, но подобных глюков не замечал
Применяются все настройки нормально
Но у меня есть такой глюк - поставил консоль администрирования на свою машину, и в ней вываливается в некоторых местах ошибки о неподдерживаемом интерфейсе. На самом же серваке все ок. Так что админю пока терминально.
Версию финальную пользуешь надеюсь?
Применяются все настройки нормально
Но у меня есть такой глюк - поставил консоль администрирования на свою машину, и в ней вываливается в некоторых местах ошибки о неподдерживаемом интерфейсе. На самом же серваке все ок. Так что админю пока терминально.
Версию финальную пользуешь надеюсь?
wand
Нет, с подобным не сталкивался. Должно тебя утешать, что это для функциональности не критично
Нет, с подобным не сталкивался. Должно тебя утешать, что это для функциональности не критично
renault
Финальная, со wzor'a
p.s. админить терминально рулез, иначе этих консолей миллион будет стоять на админской машине
izograv
>для функциональности не критично
вообщем вроде бы да, только подозрительно это, да и monitoring->sessions не работает.
Кстати на форуме isaserver.org ряд людей столкнулись с той же проблеммой.
Финальная, со wzor'a
p.s. админить терминально рулез, иначе этих консолей миллион будет стоять на админской машине
izograv
>для функциональности не критично
вообщем вроде бы да, только подозрительно это, да и monitoring->sessions не работает.
Кстати на форуме isaserver.org ряд людей столкнулись с той же проблеммой.
Есть 2 сети. Сеть 1 для выхода инет(192.168.x.x), Сеть 2 - локальная.
(128.28.x.x)
В Сети один стоит фаервол под линуксом, потом прокси, потом шлЮз, потом ISA
Юзера ходят из сети 2 через ISA,потом шлюз, потом прокси(squid).
На ISA сервере 2 интерфейса:
1.В локальную сеть.
2.Напрямую на интерфейс шлюза.
На шлюзе тоже 2 интерфеса:
1.Напрямую на интерфес прокси.
2.Напрямую на интерфейс ISA.
На прокси 2 интерфейса:
1. Напрямую на интерфейс фаервола с подключенным модемом.
2. Напрямую на интерфейс шлюза.
ISA сервер стабильно 2 раза в день(не в одно и тоже время) определяет следуюшую ошибку
Event ID: 15108
Description:
ISA Server detected a spoof attack from Internet Protocol (IP) address IP_address. A spoof attack occurs when an IP address that is not reachable via the interface on which the packet was received. If logging for dropped packets is set, you can view details in the packet filter log.
где IP_address - это интерфейс прокси сервера.
MS пишет что пишет какую-то чушь ( http://support.microsoft.com/default.aspx?scid=kb;en-us;840681 ), которая не помогает.
Если кто сталкивался с подобной проблемой помогите разрулить!
(128.28.x.x)
В Сети один стоит фаервол под линуксом, потом прокси, потом шлЮз, потом ISA
Юзера ходят из сети 2 через ISA,потом шлюз, потом прокси(squid).
На ISA сервере 2 интерфейса:
1.В локальную сеть.
2.Напрямую на интерфейс шлюза.
На шлюзе тоже 2 интерфеса:
1.Напрямую на интерфес прокси.
2.Напрямую на интерфейс ISA.
На прокси 2 интерфейса:
1. Напрямую на интерфейс фаервола с подключенным модемом.
2. Напрямую на интерфейс шлюза.
ISA сервер стабильно 2 раза в день(не в одно и тоже время) определяет следуюшую ошибку
Event ID: 15108
Description:
ISA Server detected a spoof attack from Internet Protocol (IP) address IP_address. A spoof attack occurs when an IP address that is not reachable via the interface on which the packet was received. If logging for dropped packets is set, you can view details in the packet filter log.
где IP_address - это интерфейс прокси сервера.
MS пишет что пишет какую-то чушь ( http://support.microsoft.com/default.aspx?scid=kb;en-us;840681 ), которая не помогает.
Если кто сталкивался с подобной проблемой помогите разрулить!
Вопрос к ГУРУ по ISA2000.
Есть Access Policy (Protocol Rule):
-------------------------------------------------
Action: Allow
Protocol: ICQ2000, HTTP
Schedule: Active 08:00 - 09:00
Applies To: Any Request
-------------------------------------------------
В заданное время пользователи могут удачно подключаться и пользоваться аськой. В 9:00 (как я планировал), аська у всех должна отрубаться. Но происходит другое: пользователи продолжают спокойно работать с аськой, запрет вступает в силу только если они выключат и включат аську. То же самое происходит и с браузером - пользователи могут лазить в интернет до тех пор, пока не закроют браузер.
Посдкажите, где копать?
Есть Access Policy (Protocol Rule):
-------------------------------------------------
Action: Allow
Protocol: ICQ2000, HTTP
Schedule: Active 08:00 - 09:00
Applies To: Any Request
-------------------------------------------------
В заданное время пользователи могут удачно подключаться и пользоваться аськой. В 9:00 (как я планировал), аська у всех должна отрубаться. Но происходит другое: пользователи продолжают спокойно работать с аськой, запрет вступает в силу только если они выключат и включат аську. То же самое происходит и с браузером - пользователи могут лазить в интернет до тех пор, пока не закроют браузер.
Посдкажите, где копать?
zaharmd
Вставь в шедуллер сервера на время, когда юзеров надо отрубать, скрипт:
Код:
'===kill_all_isa_sessions.vbs===
Option Explicit
On Error Resume Next
Dim objFPC, objArray, objServer, WebSession, FirewallSession, blnRtn
Set objFPC = CreateObject ("FPC.Root")
objFPC.Refresh
Set objArray = objFPC.Arrays.GetContainingArray
For each objServer in objArray.Servers
For Each FirewallSession in objArray.Servers(objServer.Name).FirewallSessions
FirewallSession.AbortSession
Next
For Each WebSession in objArray.Servers(objServer.Name).WebSessions
WebSession.AbortSession
Next
Next
Set objFPC = Nothing
Вставь в шедуллер сервера на время, когда юзеров надо отрубать, скрипт:
Код:
'===kill_all_isa_sessions.vbs===
Option Explicit
On Error Resume Next
Dim objFPC, objArray, objServer, WebSession, FirewallSession, blnRtn
Set objFPC = CreateObject ("FPC.Root")
objFPC.Refresh
Set objArray = objFPC.Arrays.GetContainingArray
For each objServer in objArray.Servers
For Each FirewallSession in objArray.Servers(objServer.Name).FirewallSessions
FirewallSession.AbortSession
Next
For Each WebSession in objArray.Servers(objServer.Name).WebSessions
WebSession.AbortSession
Next
Next
Set objFPC = Nothing
zaharmd
Вообще все это описано в
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isa/isaobj2_0fg4.asp
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isa/isaabout_4xws.asp
так что отбор просто сделать
Вообще все это описано в
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isa/isaobj2_0fg4.asp
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isa/isaabout_4xws.asp
так что отбор просто сделать
All
Поставил ISA 2004 на комп: 2 сетевухи, одна в локалку другая к прову через ADSL. Разрулил инет по локалке, все работает, но теперь из локалки не виден комп на котором стоит ИСА и соот. с этого компа не видна сеть локальная, где копать?
Поставил ISA 2004 на комп: 2 сетевухи, одна в локалку другая к прову через ADSL. Разрулил инет по локалке, все работает, но теперь из локалки не виден комп на котором стоит ИСА и соот. с этого компа не видна сеть локальная, где копать?
dnz63
C .vbs у меня очень туго
Может кто-то сделает пример, например чтобы отрубить сессию у юзера USER123 ???
Плиз, очень надо!!!!
C .vbs у меня очень туго
Может кто-то сделает пример, например чтобы отрубить сессию у юзера USER123 ???
Плиз, очень надо!!!!
Цитата:
Поставил ISA 2004 на комп: 2 сетевухи, одна в локалку другая к прову через ADSL. Разрулил инет по локалке, все работает, но теперь из локалки не виден комп на котором стоит ИСА и соот. с этого компа не видна сеть локальная, где копать?
Это стандартная настройка ISA 2004 по умолчанию. "Видимость" по определенным протоколам нужно разрешать отдельным правилом
Oldster
Покопайся здесь:
To show system policy rules
-Microsoft ISA Server 2004
--Server_Name
---Firewall Policy
On the Tasks tab, click Show System Policy Rules.
Покопайся здесь:
To show system policy rules
-Microsoft ISA Server 2004
--Server_Name
---Firewall Policy
On the Tasks tab, click Show System Policy Rules.
All
установил ISA 2004 в чистую, настроил правила подобные тем, которые были на ISA 2000, но появилась одна особенность - firewall клиенты не могут просматривать каталоги на ftp серверах, а secure nat клиенты могут.
а передача файлов проходит успешно у любых клиентов.
в чем может быть причина?
добавлено
firewall клиенты могут просматривать содержимое каталогов, если у них в программе клмента ftp включен пассивный режим.
что настроить в ISA 2004 чтобы просмотр работал и без пассивного режима?
установил ISA 2004 в чистую, настроил правила подобные тем, которые были на ISA 2000, но появилась одна особенность - firewall клиенты не могут просматривать каталоги на ftp серверах, а secure nat клиенты могут.
а передача файлов проходит успешно у любых клиентов.
в чем может быть причина?
добавлено
firewall клиенты могут просматривать содержимое каталогов, если у них в программе клмента ftp включен пассивный режим.
что настроить в ISA 2004 чтобы просмотр работал и без пассивного режима?
All
Может кто-то все таки имеет скрипт, чтобы грохать не все сессии, а для конкретного пользователя?
Покопавшись в доках, вот изменил скрипт для удаления сессий по IP или по имени пользователя.
Код:
Option Explicit
On Error Resume Next
Dim objFPC, objArray, objServer, WebSession, FirewallSession, blnRtn
Set objFPC = CreateObject ("FPC.Root")
objFPC.Refresh
Set objArray = objFPC.Arrays.GetContainingArray
For each objServer in objArray.Servers
For Each FirewallSession in objArray.Servers(objServer.Name).FirewallSessions
If ((FirewallSession.ClientIpAddress<>"192.168.0.3") and (FirewallSession.ClientIpAddress<>"192.168.0.4")) Then FirewallSession.AbortSession
Next
For Each WebSession in objArray.Servers(objServer.Name).WebSessions
If ((WebSession.ClientIpAddress<>"192.168.0.3") and (WebSession.ClientIpAddress<>"192.168.0.4")) Then WebSession.AbortSession
Next
Next
Set objFPC = Nothing
Option Explicit
On Error Resume Next
Dim objFPC, objArray, objServer, WebSession, FirewallSession, blnRtn
Set objFPC = CreateObject ("FPC.Root")
objFPC.Refresh
Set objArray = objFPC.Arrays.GetContainingArray
For each objServer in objArray.Servers
For Each FirewallSession in objArray.Servers(objServer.Name).FirewallSessions
If ((FirewallSession.UserName<>"Admin") and (FirewallSession.UserName<>"Boss")) Then FirewallSession.AbortSession
Next
For Each WebSession in objArray.Servers(objServer.Name).WebSessions
If ((FirewallSession.UserName<>"Admin") and (FirewallSession.UserName<>"Boss")) Then WebSession.AbortSession
Next
Next
Set objFPC = Nothing
Может кто-то все таки имеет скрипт, чтобы грохать не все сессии, а для конкретного пользователя?
Покопавшись в доках, вот изменил скрипт для удаления сессий по IP или по имени пользователя.
Код:
Option Explicit
On Error Resume Next
Dim objFPC, objArray, objServer, WebSession, FirewallSession, blnRtn
Set objFPC = CreateObject ("FPC.Root")
objFPC.Refresh
Set objArray = objFPC.Arrays.GetContainingArray
For each objServer in objArray.Servers
For Each FirewallSession in objArray.Servers(objServer.Name).FirewallSessions
If ((FirewallSession.ClientIpAddress<>"192.168.0.3") and (FirewallSession.ClientIpAddress<>"192.168.0.4")) Then FirewallSession.AbortSession
Next
For Each WebSession in objArray.Servers(objServer.Name).WebSessions
If ((WebSession.ClientIpAddress<>"192.168.0.3") and (WebSession.ClientIpAddress<>"192.168.0.4")) Then WebSession.AbortSession
Next
Next
Set objFPC = Nothing
Option Explicit
On Error Resume Next
Dim objFPC, objArray, objServer, WebSession, FirewallSession, blnRtn
Set objFPC = CreateObject ("FPC.Root")
objFPC.Refresh
Set objArray = objFPC.Arrays.GetContainingArray
For each objServer in objArray.Servers
For Each FirewallSession in objArray.Servers(objServer.Name).FirewallSessions
If ((FirewallSession.UserName<>"Admin") and (FirewallSession.UserName<>"Boss")) Then FirewallSession.AbortSession
Next
For Each WebSession in objArray.Servers(objServer.Name).WebSessions
If ((FirewallSession.UserName<>"Admin") and (FirewallSession.UserName<>"Boss")) Then WebSession.AbortSession
Next
Next
Set objFPC = Nothing
zaharmd
Не хочешь ты маны читать Если устроит не по юсеру, а по конкретному IP - пиши в пм
Не хочешь ты маны читать
Если устроит не по юсеру, а по конкретному IP - пиши в пмЗдорова, отцы!!!
Есть ISA 2004 с тремя интерфейсами ( 3-й - DMZ)
Есть сервак в DMZ Exchange 2003 Front End.
В правилах на сети прописаночто из DMZ -> Internal Route...
Все порты и правила сделаны в соответствии со статьей: http://www.isaserver.org/articles/2004dmzfebe.html
Однако, сервер в DMZ не видит локальных DNS, соответственно с AD дружить не хочет....
Вопрос следующий: Кто нить поднимал соответствуЮщуЮ схему?
В чем могут быть подводные камни?
Заранее 10x
fixed
Есть ISA 2004 с тремя интерфейсами ( 3-й - DMZ)
Есть сервак в DMZ Exchange 2003 Front End.
В правилах на сети прописаночто из DMZ -> Internal Route...
Все порты и правила сделаны в соответствии со статьей: http://www.isaserver.org/articles/2004dmzfebe.html
Однако, сервер в DMZ не видит локальных DNS, соответственно с AD дружить не хочет....
Вопрос следующий: Кто нить поднимал соответствуЮщуЮ схему?
В чем могут быть подводные камни?
Заранее 10x
fixed
А есть ли для ISA Server какой-нить addin, позволяющий управлять полосой пропускания для клиентов, как это сделано в UserGate 2.8.
Спасибо
Добавлено
И ещё, никто не проверял, а появилась ли поддержка callback в версии 2004 ?
Спасибо
Добавлено
И ещё, никто не проверял, а появилась ли поддержка callback в версии 2004 ?
SpiderPlus
А чем плох пассивный режим?
А чем плох пассивный режим?
SpiderPlus - надо описать протокол Active FTP c открытым набором динамических портов на вход
All
Дано: ISA2000+LAN+ISDN. Подскажите как заставить dialup не звонить в определенное время. А то он у меня иногда ночью звонит провайдеру. Вторая проблема - как заставить его разрывать соединение (либо в определенное время, либо при отсутствии запросов в течение 10 минут)?
Дано: ISA2000+LAN+ISDN. Подскажите как заставить dialup не звонить в определенное время. А то он у меня иногда ночью звонит провайдеру. Вторая проблема - как заставить его разрывать соединение (либо в определенное время, либо при отсутствии запросов в течение 10 минут)?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: Всё о DNS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.