» MS ISA Server (часть 1)

Цитата:

Подскажите как заставить dialup не звонить в определенное время. А то он у меня иногда ночью звонит провайдеру.

1-е решение - проверить, почему он звонит? По есть какой из клиентов или прочему сам сервер by demand запрашивает что-то извне. что заставляет, ест-но звонить (см. протоколы)

2-е решение - если 1-е не пройдет, то по шедулеру ночью деактивировать нужную dial-up entry. Я сам так делаю, с тех рор как как-то ночью непонятно почему врубился канал и я чуть полинял.


Цитата:

Вторая проблема - как заставить его разрывать соединение (либо в определенное время, либо при отсутствии запросов в течение 10 минут)?

10 минут - это совсем просто, в свойствах inactivity timeiot
В определенное время - например, по шедулеру c:\WINNT\system32\rasdial <connection name> /disconnect

izograv

Цитата:

2-е решение - если 1-е не пройдет, то по шедулеру ночью деактивировать нужную dial-up entry. Я сам так делаю, с тех рор как как-то ночью непонятно почему врубился канал и я чуть полинял.

Можно получить скрипт, который отключает dial-up entry?


Цитата:

10 минут - это совсем просто, в свойствах inactivity timeiot

Это нужно выставлять в свойствах подключения (Network and Dialup connections)?

Цитата:

Это нужно выставлять в свойствах подключения (Network and Dialup connections)?

да


Цитата:

Можно получить скрипт, который отключает dial-up entry?

У меня универсального нет. Где-то есть доки, как это на vbs рекомендует делать ms. Можно еще проще, ничего не изучая: все настройки подобного рода иса хранит в реестре. Меняя соответствующий ключ, меняются и настройки. Чтобы автоматизировать в шедулере, нужен простой редактор реестра, работающий из командной строки, например родной Reg от мс, + пароль админа. Далее можно менять что угодно и как угодно любые настройки, у меня так пару раз в день очень многие настройки исы меняются.

Если не хочень сам искать - напиши в пм, вышлю готовый батничек с пояснениями, но только на той неделе - сейчас писать подробные объяснения просто не могу, нет времени

Подскажите как просмотреть статистику dialup подключения в ISA 2000. Меня интересует когда он включился, сколько времени был активным и когда выключился.

можно ли решить следующую задачу с помощью ISA:
есть в локальной сети два прокси (платформа неизветсна), требующих авторизации:
proxy1.zzzz.by (login1:password1)
proxy2.zzzz.by (login2:password2)

есть подсеть с сервером win2000 c ISA
необходимо: с 8:00 до 12:00 весь http трафик отправлять на proxy1, с 12:01 до 17:00 - на proxy2, с 17:01 до 8:00 - запретить доступ.

тоесть задача в следующем: смена каскадного прокси по расписанию

зы: может существует какая еще программулина (прокси с поддержкой каскадирования) для этих целей?

zobik
ISA настройки (в режиме stand-alone) хранит в реестре.
Первое, что приходит в голову - запускать по шедуллеру
соответствующий импорт в реестр между перезапусками сервиса.

JcVai

Цитата:

ISA настройки (в режиме stand-alone) хранит в реестре.

А можно путь к ключику в реестре?

zaharmd

Код: HKLM\SOFTWARE\Microsoft\Fpc\

**********************
СУТЬ ПРОБЛЕМЫ:


При перезагрузке сервера не работают пакетные фильтры, а точнее, два, судя по количеству сообщений об ошибках. Суть этих пакетных фильтров - разрешить прохождение любых пакетов между Default IP address(es) on the external interface(s) и IP-адресами удаленных узлов - наших серверов в других офисах. Помимо этого есть фильтр, позволяющий смотреть веб-страницы. Он работает на ура.

Сервер смотрит двумя карточками в инет(если отваливается один провайдер - работаем по другому каналу), одной - в локалку.


Бывает 2 ситуации:

Либо службы ISA не запускаются вообще, либо запускаются, но фильтры не работают. После того, как делаешь фильтрам сначала Disable а потом Enable, все

начинает замечательно работать!

**********************

В журнале событий следующее:

Тип события: Ошибка
Источник события: Microsoft ISA Server Control
Категория события: Отсутствует
Код события: 14123
Дата: 03.08.2004
Время: 9:17:12
Пользователь: Н/Д
Компьютер: SERV
Описание:
Failed to create the Internet Protocol (IP) packet filter. For more information about this event, see ISA Server Help.Дополнительные сведения можно найти в

центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 41 01 00 c0 A..&#192;


А вот что пишет по этому поводу майкрософт:


Event ID

14123

Event Message
Failed to create the Internet Protocol (IP) packet filter. For more information about this event, see ISA Server Help.

Top of page
Explanation
A static packet filter could not be created. System configuration might be incorrect, and the service might have attempted to create the filter for an

external remote host on an ISA Server internal interface, due to incorrect configuration for default routing. Otherwise, memory resources might be low.

Top of page
User Action
For system configuration problems, check the Local Address Table (LAT) configuration, run ipconfig/all to check TCP/IP configuration, and run Route -Print to

obtain a list of registered, persistent routes. To check the LAT, in the ISA Management console tree, click Servers and Arrays, click Name, click Network

Configuration, and then click Local Address Table. For low memory resources, close other applications or stop and restart the services.

**********************
Софт:

Windows 2003 Server English + MUI со всеми заплатами
Active Directory Domain Controller
Citrix Metaframe XP FR3 (база данных в Access)
Microsoft ISA Server 2000 SP2 (логи в MS SQL)
MIcrosoft SQL Server 2000 SP3
Panda EnterpriSecure (база данных в MS SQL)

*********************
Железо:

Мать Intel, 3 сетевухи Intel, RAM 2Гб Kingston


*********************
Топология сети:

ВНИМАНИЕ! Основные шлюзы настроены в службе маршрутизации и удаленного доступа, в не в свойствах интерфейса!!!


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : serv
Основной DNS-суффикс . . . . . . : k78.xxx.ru
Тип узла. . . . . . . . . . . . . : широковещательный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да
Порядок просмотра суффиксов DNS . : k78.xxx.ru
xxx.ru

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 CT Network Connection
Физический адрес. . . . . . . . . : 00-02-B3-E9-89-F8
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.1

Интернет:

SKYNET - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) InBusiness(TM) 10/100 Network Ad
apter
Физический адрес. . . . . . . . . : 00-03-47-79-EB-B9
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 117.114.13.94
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 117.114.13.81
DNS-серверы . . . . . . . . . . . : 117.114.13.94

RELCOM - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/100 M Network Connection
Физический адрес. . . . . . . . . : 00-02-B3-E9-89-F9
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 113.242.215.105
Маска подсети . . . . . . . . . . : 255.255.255.240
Основной шлюз . . . . . . . . . . : 113.242.215.106
DNS-серверы . . . . . . . . . . . : 113.242.215.105


ШЛЮЗЫ *******

МАРШРУТИЗАЦИЯ НАСТРОЕНА ЗДЕСЬ!

В службе "маршрутизация и удаленный доступ"!

Назначение: 0.0.0.0
Маска подсети: 0.0.0.0
Шлюз: 113.242.215.106
Интерфейс: RELCOM
Метрика: 1

Назначение: 0.0.0.0
Маска подсети: 0.0.0.0
Шлюз: 117.114.13.81
Интерфейс: SKYNET
Метрика: 2


DHCP-сервер ********

Настроен DHCP-сервер, привязка - только к адаптеру LAN
Раздает адреса из диапазона 192.168.0.51-192.168.0.99

Адрес 192.168.0.1 подключения LAN настроен статически!


ISA SERVER *********

LAT: 192.168.0.0-192.168.0.255

ИДЕИ?


Я УЖЕ УПОТЕЛСЯ ИСКАТЬ СУТЬ ПРОБЛЕМЫ. То же самое на другом сервере в другом офисе, с единственной карточкой в интернет. Самое смешное, что третий сервер работает нормально....

С недавнего времени задумался - ИСА кеширует все, что через него проходит... А нельзя ли оттуда картинки повыдёргивать?


ЗЫ: Завелись тут любители порнухи... Свежачок качают...

Цитата:

С недавнего времени задумался - ИСА кеширует все, что через него проходит... А нельзя ли оттуда картинки повыдёргивать?

C ISA2000 в дистрибутиве лежала прога для просмотра кэша. Она с ISA вместе не ставилась, надо ее было отдельно копировать. Как в ISA2004 сделано не могу подсказать.

Береш прогу из дистрибута ISA 2000, кладеш ее туда где установлена ISA 2004 и юзаеш ее, кароче, все также как и с ISA 2000


Добавлено
ЗЫ если не ошибаюсь, обзывается она CacheDir.exe

Когда сижу на компьютере с ISA2004 он почему то меня не авторизует. Т.е. в мониторинге про меня пишет anonimous, а ip определяет с той сетевухи, которая смотрит в инет. И соответственно на localhost'е у меня правила не работают, которыя для себя создавал. Как решить проблему?

И ещё, в Firewall Policy создал правило, разрешающие пользователю User POP3 и SMTP.
На компе User'а стоит Firewall Client. Однако, при проверке почты, Microsoft Outlook (из Office 2003) выдает ошибку "... не удается подключиться к серверу входящей почты (POP3)...". А в Logging вообще запросы на mail-сервер не показывает!!! Почему так происходит?

Laurent
Проверь запуск с отключенной одной из внешних сетевушек.

Porolonchik

Цитата:

ip определяет с той сетевухи, которая смотрит в инет.

А ты в браузере указал в качестве прокси внутренний IP ISA?..

Цитата:

Firewall Policy создал правило, разрешающие пользователю User POP3 и SMTP.

???
AFAIK, POP3 и SMTP надо разрешать в Protocol Rules.

ЗЫ: А Firewall CLient на одну машину с ISA Server-ом вообще ставить нельзя.

Цитата:

На компе User'а стоит Firewall Client. Однако, при проверке почты, Microsoft Outlook (из Office 2003) выдает ошибку "... не удается подключиться к серверу входящей почты (POP3)...". А в Logging вообще запросы на mail-сервер не показывает!!! Почему так происходит?

По умолчанию на сервере ISA2004 в Configuration->General->Define Firewall Cilent Setting на закладке "Application Settings" установлено Outlook - Disable - 1, что запрещает работу приложения outlook через ISA Server. Меняешь 1 на 0, или вообще удаляешь эту строку, обновляешь настройки firewall client'ов на рабочих станциях и радуешься жизни!

JcVai

Цитата:

AFAIK, POP3 и SMTP надо разрешать в Protocol Rules.

У меня ISA2004


Цитата:

А Firewall CLient на одну машину с ISA Server-ом вообще ставить нельзя.

У меня и не стоит. Он стоит на той машине, где сидит User.
Но почту не получает!!! А FW Client даже не показывает, что происходит использование Firewall Client (на значке FWC в систрее не появляется стрелочка).

Пожите люди !!!

Поскажите как отключить в реестре dialup соединение. Нужно, чтобы ночью нельзя было выйти в интернет, а то сервер повадился ночью ломиться в интернет. А утром включить его обратно. Какое значение нужно менять?

Код: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\{05225126-E68F-4617-9E2E-33A4ACD85381}\PolicyElements\DialupEntries

ivanopulos, SergeyCVS, чего-то я с разгону не могу понять как оно работает - запустил и ничего не показывает... Может не туда положил файлик?

DogEatGod
класть нужно туда где у тя иса стоит

SergeyCVS
положил в C:\Program Files\Microsoft ISA Server\CacheDir.exe - не вижу контента! В левой части имя моего ИСА-сервака и всё... и что за пункт "Mark as obsolete"? Что значит "устаревший"?

Цитата:

положил в C:\Program Files\Microsoft ISA Server\CacheDir.exe - не вижу контента! В левой части имя моего ИСА-сервака и всё... и что за пункт "Mark as obsolete"? Что значит "устаревший"?

По умолчанию кэш в ISA2004 ОТКЛЮЧЕН!!!

ivanopulos а кто тебе сказал про ИСА2004? у меня ИСА2000! Кеш 5 гиг

zaharmd

Цитата:

Поскажите как отключить в реестре dialup соединение. Нужно, чтобы ночью нельзя было выйти в интернет, а то сервер повадился ночью ломиться в интернет. А утром включить его обратно. Какое значение нужно менять?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\{05225126-E68F-4617-9E2E-33A4ACD85381}\PolicyElements\DialupEntries

Не тут нужно, нужно в роутинге убрать галку use dial-up entry for primary route

ключ ...\proxy routing rules\тут идут лично твои цифири\primary route\autodial\
параметр msfpsEnableAutodial Значение ff ff ff ff - есть дозвон, нули - нет дозвона

izograv
BIG THX!!!

Сразу задам еще вопросик. Есть работающее dialup соединение. Включается оно обычно вначале дня (on demand). Но в конце дня оно не всегда хочет отваливаться (on idle), т.к. какие-то пакеты гуляют туда-сюда. Вот хотелось бы знать как грохнуть его по рассписанию. Я как-то пытался его вручную вырубить, так он мне ругнулся, что типа он был запущен другими сервисами и отключить мне его не получится.

to Porolonchik: ivanopulos тебе правильно посоветовал, не помогает?
можно еще так проверить - попробовать забрать почту например The Bat - если заработает, то значит дело точно в настройках Firewall Client на сервере ISA
Если нет, то значит дело в другом

Позволю себе немного поправить ivanopulos - "что запрещает работу приложения outlook через ISA Server" - запрещает работу outlook именно через Firewall Client, если же есть разрешающее всем (не по юзерам) правило и на клиенте в качестве шлюза прописана машина с ISA - то должно работать и без Firewall Client

Уважаемые мастера, подскажите как одолеть ошибку при установке ISA Firewall Client на компьютере под WinXPProSP1.

Ошибка вот такая:
Цитата:

Failed to copy C:\.....FWC\internal_setup\setup_a.ini to C:\....FWC\internal_setup\setup.ini Internal Error: 0x2

Заренее весьма благодарен за оказанную помощь

Цитата:

Позволю себе немного поправить ivanopulos - "что запрещает работу приложения outlook через ISA Server" - запрещает работу outlook именно через Firewall Client

Именно это и имелось ввиду, так как речь велась о настройке Firewall Client'а.

renault

Цитата:

to Porolonchik: ivanopulos тебе правильно посоветовал, не помогает?

Спасибо! Заработало!!! Правда применение правил в ИСА как-то очень медленно работает. Правило стало работать примерно минут через 15-20 после применения правила на ИСЕ.
Вопрос: поможет ли AutoDiscovery в ускорении применения правил?

Ещё один вопрос: опять по авторизации пользователя на Localhost. Для авторизации пользователя используется Файерволл клиент. Но на Localhost его разумеется не ставят. Как сдлеать, чтобы ИСА могла авторизировать пользователя на Localhost'e? Или это в принципе не возможно и придётся сидеть анонимусом?

Цитата:

Спасибо! Заработало!!! Правда применение правил в ИСА как-то очень медленно работает. Правило стало работать примерно минут через 15-20 после применения правила на ИСЕ.
Вопрос: поможет ли AutoDiscovery в ускорении применения правил?

Надо было в Firewall Client'е нажать "Test Server" сразу бы новые настройки прилетели.

З.Ы. Никто не подскажет через какое время firewall client обновляет свои настройки с сервера. Я что-то запамятовал и нигде найти не могу

DimaDVP
У тебя файловая система NTFS и запрещены имена файлов в формате 8.3 надобно разрешить.