» MS ISA Server (часть 1)

Подскажите, как в ИСА 2004 резать банеры.

ламерский вопрос:
как в 2004 посмотреть логи - не в реальном времени, а те что он пишет в mdf и ldf формат!? понять блин не могу...

Добавлено
Да и ещё, что-то у меня через новую остнастку mmc (для 2004 isa) не получается к старой isa (2000) подконектится... это так и должно быть!?

w2k3, ISA2004 - не могу понять:
1. Почему в рапорте появляются ip вместо имён!? Например взять тот же "forum.ru-board.ru" - он в репорте свититься и как "forum.ru-board.ru" и как ip соответствующий - и на обе записи отдельная статистика!?!?!?!?!
2. Просмотрел топ так и не понял, почему в сессиях появляется анонимус - сижу на исе новой только я, менее чем резез минуту обязательно появляется анонимус, если дропнуть сессию, она опять вырисовывается... почему!?!?!
3. Если у меня установлен файер-клиент, то почему в сессиях есть ещё и секьюр-нат с моего ip!?
4. При установки консоли от иса2004 не могу соединиться через неё с исой 2000!!?? Как пофиксить!?

1-3 вопросы сняты, нашёл ответы на m$ и забугорных форумах...
4-й так и не смог пофиксить блин, то что советуют на сайте мс не помогает!

greenfox
а можещь ответить на 1-3 здесь а ?
заранее шпасиба

Цитата:

Почему в рапорте появляются ip вместо имён!?

всё дело в разрешении доменного имени в ip - только если клиент сконфигурирован как web-прокси клиент он разрешает имя в ip через Иса сервер, остальные типы подключения в ИСЕ (секьюрнат и файер) - разрешают имя в ip сами и соотв в логах появляется уже только ip. Выход избежать этого? M$ говорит однозначно: использовать web-proxy клинет.
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/faq-monitoring.mspx
(кстати, тут проскакивала мысля что в альтернатив логосчиталках это всё же может быть учтено, ибо тот генератор рапортов, что уже встроен в ИСА 2004 этого не делает - неудобно.. m$ как говорится тут сказала А и не сказала Б - репорт всроенный есть, но походу опять придётся пользоваться сторонним )


Цитата:

Просмотрел топ так и не понял, почему в сессиях появляется анонимус - сижу на исе новой только я, менее чем резез минуту обязательно появляется анонимус, если дропнуть сессию, она опять вырисовывается... почему!?!?!

вс дело в авторизации, вот что m$ пишет:
The user sends an anonymous request. ISA Server responds with a 407 error and terminates the connection. An anonymous request is logged.
The user sends the same request with Keep-Alive and NTLM authentication user information. ISA Server responds again with a 407 error€”and with an authentication challenge. The connection is not terminated. Another anonymous request is logged.
The user sends the same request with the authentication response. Now the request is authenticated and served.
If anonymous log entries are followed by requests from an actual, authenticated user, the reason is probably this configuration. If not, check your configuration settings.
(взято из фака выше) Типа висит он себе и никому не мешает...


Цитата:

Если у меня установлен файер-клиент, то почему в сессиях есть ещё и секьюр-нат с моего ip!?

где-то в m$-вском форуме прочитал, что типа при установлении вэб- или файервол-сесии обязательно появляется секьюрнат-сессия, те типа в обязательном порядке, ну вот так сделали ИСУ2004 - на каждого такого пользователя по 1-й секьюнат-сессии!


Цитата:

При установки консоли от иса2004 не могу соединиться через неё с исой 2000!!?? Как пофиксить!?

насколько я понял из постов на забугорных форумах - никак! Ставить терминалку! Через mmc консоль к обоим сервакам не подконектишься.

Подскажите, умеет ли ISA 2004:
1. Динамически разделять скорость пользователям ходящих через proxy и NAT
2. Разрешить пользователям лазить через proxy, а не через NAT, а NAT разрешить только на определенные порты (25, 110)
3. Разрешать доступ только по определенным IP и MAC

Mirus

Цитата:

Динамически разделять скорость пользователям

это как? Динамически регулировать ширину канала для каждого пользователя?

Цитата:

Разрешить пользователям лазить через proxy, а не через NAT

да, ставишь на комп пользователя вэб-клиента и вуаля....

Цитата:

NAT разрешить только на определенные порты (25, 110)

хм... это смотря как - если стоит просто нат-клиент, то в пакетном фильтре привязать с ip и прописать запрещающее правило не проблема или ты что-то другое имел ввиду!?

Цитата:

Разрешать доступ только по определенным IP и MAC

по ip да, по mac - вроде нет.

У кого какие впечатления и кто чего может сказать по поводу апгрейда ISA 2000 - ISA 2004. Не хочется эксперементировать на рабочем серваке. Где могут быть грабли?

NEED
Впечатления, оч даже положительные, натестировался и наставился в трех конторах, благо туда с нуля серваки ставил, на этой неделю у себя на работе менять буду.... оч удобно все и с настройками просто....


Добавлено
tiaf
оч просто сначала создаешь URL лист который нужно блокировать
(1. In the Microsoft Internet Security and Acceleration Server 2004 management console, expand the server name and then click on the Firewall Policy node.
2. In the Firewall Policy node, click the Toolbox tab in the Task Pane. In the Toolbox, click the Network Objects tab.
3. In the Network Objects tab, click the New menu and click URL Set.
4. In the New URL Set Rule Element dialog box, enter URLs in the Name text box. Click OK), потом топаешь в правило которым ты пользователям разрешаешь выход в нет по ХТТП и там где указан Destenation/external(network) ниже можно выбрать Исключая(не помню как по англицки под рукой исы нету не глянуть) и там указываешь этот самый URLлист который ты создал...
URL лист кста мона скриптом загнать...подробно об этом тут http://www.isaserver.org/articles/2004domainseturlset.html написано, кста там и скрипт приведен как этот самый URL лист из текстовика в ису загнать чтоб в ручную не набирать....

Народ, подскажите - как ИСЕ 2000 сказать, что б разрешал пользователь зайти например на

https://mail.eamail.net:8081/ ... типа что б использовала протокол https на 8081 порту..

Ставлю ISA 2004 на Windows Server 2003
Выкидывает ошибку. В логах такая ботва:
Product: Microsoft ISA Server 2004 -- Setup failed while registering ISA Server filters.
Помогите.

Помогите понять по логам ISA чего проге не хватает для выхода в инет.
В общем вот что прога делает судя по логам ISA, звиняйте, сам пока логи не очень читать умею, вот что в логах:

когда в проге ставлю галку "работать через прокси" и прописываю имя прокси и его порт в логах видно:


Код:
- файл WEB... после пары запусков
194.0.0.16anonymousJam-DesktopPC/1.1.4.8N2004-09-2210:10:27w3proxyVENUS-roadinfo.vessolink.ru-80-914258httpTCPGEThttp://roadinfo.vessolink.ru:80/roadinfo.txt--407---

194.0.0.16anonymousJam-DesktopPC/1.1.4.8N2004-09-2210:12:04w3proxyVENUS-roadinfo.vessolink.ru-80-914258httpTCPGEThttp://roadinfo.vessolink.ru:80/roadinfo.txt--407---

На странице Microsoft канула в небытие страница с различиями ISA 2000 Standard и ISA 2000 Enterprise. Не подскажете ли отличия между ними? Уж очень не хочется стандарт ставить чтобы вспоминать.

Laurent

Цитата:

различиями ISA 2000 Standard и ISA 2000 Enterprise.

вторая поддерживает кластер из севреров (те несколько в массив вкл можно) + хранит свои данные в АД, что удобно при всяких перестановках...

--------------------------------------------------------------------------------
Всем здрасте... Сразу переду к проблеме: есть ISA сервер в домене(win 2003). В настройках авторизации ставлю integreted. Кодга захожу сам, то ничего не спрашивает и в инет выпускает (я адним домена). Других - нет Создал еще одного пользователя (тоже с правами админа домена) - его выпускает также как и меня без проблем.... Короче - пропускает только админов домена. Делать всех админами не выход... А что делать?

Дай пользователям права на использование протоколов. У админа и так все права есть, а вот юзеры без них не могут.

greenfox - не смеши меня словами
Цитата:

вторая поддерживает кластер

- массив, это далеко не кластер. Ибо ничего кроме веб запросов не спасает. ИСА 2000 НЕ поддерживает кластеризацию в принципе! Чего я очень жду от 2004 энтерпрайз.

kibkalo

Цитата:

greenfox - не смеши меня словами

yну же там оговорился
Цитата:

те несколько в массив вкл можно

- массив... массив... не кластер... не спорю... моя вина...

Цитата:

ИСА 2000 НЕ поддерживает кластеризацию в принципе! Чего я очень жду от 2004 энтерпрайз.

а что будет если энтерпрайз будет поддерживать кластеризацию? может просветишь, а то что-то я это пропустил при чтении?

Да и уменя ещё вопрос - в 2004 можно сделать так, чтобы при кэшировании разного типа контента оно хранилось разное время? Те типа на мэйл.ру например сама html форма обновлялась бы через каждые 20 минут, а картинки с этого сайта и флэш - раз в день?

greenfox - если будет поддерживать кластеризацию, то я и неинтренет протоколы пущу через ису - сейчас доступы раздают на циске. Просто меня совсем не устраивает возможный простой в связи с ребутом сервера. Ну а т.к. в исе2004 нет теперь отдельного веб сервиса, то им придется придумывать механизм дублирования для ай-пи содинений.

У меня возник возник по поводу сессий в ISA2000.

Server: Windows2000AS+ISA2000
Clients: XP + ISA Firewall Client

Когда смотрю в ISA Management список сессий, видно:


Вопрос:
Почему для Web-сессий отображается имя пользователя в домене, а для Firewall-сессий отображается IP компа?

Для сервера, где стоит ISA имя пользователя отбражается нормально (192.168.0.1).

PS: кроме того ISA не хочет разграничивать доступ по Users/Groups, приходится пока давать всем одинаковый доступ через одно правило, где стоит Allow для All requests.

zaharmd По IP показываются только SNAT клиенты (тип сессии в скриншоте у них такой же). Нормальные Firewall клиенты (где софтина клиента стоит) показываются по имени и права по имени можно давать. Для SNAT клиентов по определению доступ только по адресам, так как до имени не доходит.
Если у тебя с этим косяки, то ковыряй настройки днс на исе

kibkalo

Цитата:

если будет поддерживать кластеризацию, то я и неинтренет протоколы пущу через ису - сейчас доступы раздают на циске. Просто меня совсем не устраивает возможный простой в связи с ребутом сервера. Ну а т.к. в исе2004 нет теперь отдельного веб сервиса, то им придется придумывать механизм дублирования для ай-пи содинений.

прости, не понял... можно подробней чуть или линк хотя бы!? И что там насчёт вопрос про кэш!? Не вкурсе случаем?

Прокомментируйте плиз кто-то этот скрин...

Читал хелпы, так и не понял что дает Intergated + Basic with this domain?
У меня щас стоит только Intergated.
Send to requested Web server насколько я понял позволит FlashGet и прочим прогам лезть в инет беспрепядственно. И стало быть юзерам тоже. Если же поставить дополнительно к галке Intergated еще и Basic with this domain то юзеры будут пускаться как и раньше по правилам? А FlashGet сможет качать только разрешенный контент?
Слышал что при basic аутентификации действует какой-то один пароль на всех, это как??

RandomUser

Ну с нуля - это понятно. Интересует именно апгрейд 2000-2004.
Жду ответа

Pantalone


Цитата:

Читал хелпы, так и не понял что дает Intergated + Basic with this domain?
У меня щас стоит только Intergated.

Basic означает авторизацию клиента обращающегося к службе Web proxy открытым текстом, пароль при этом не шифруется.


Цитата:

Слышал что при basic аутентификации действует какой-то один пароль на всех, это как??

Нет не так, пароли у всех разные



Цитата:

Send to requested Web server насколько я понял позволит FlashGet и прочим прогам лезть в инет беспрепядственно.

Нет это означает, что HTTP запросы от firewall и NAT клиентов отправляются в интернет напрямую, а не переадресуются службе Web proxy.

Killer88

Цитата:

Basic означает авторизацию клиента обращающегося к службе Web proxy открытым текстом, пароль при этом не шифруется.

Чем это грозит если в сети нет кулхацкеров?
На входящий трафик как-то действует?


Цитата:

Нет не так, пароли у всех разные

Т.е. пароли учетных записей домена?


Цитата:

Нет это означает, что HTTP запросы от firewall и NAT клиентов отправляются в интернет напрямую, а не переадресуются службе Web proxy.

Т.е. эти запросы не будут подчиняться правилам Site and Content Rules?

Народ. Объясните по-русски, какую роль в ИСА выполняет Message Screener и зачем нужен.

Pantalone

Цитата:

Чем это грозит если в сети нет кулхацкеров?
На входящий трафик как-то действует?

Ну если нет, то ничем...
На входящий трафик не действует.


Цитата:

Т.е. пароли учетных записей домена?

Конечно.


Цитата:

Т.е. эти запросы не будут подчиняться правилам Site and Content Rules

Будут все равно, т к запросы проходящие через Firewall этим правилам подчиняются. Хотя тут некоторые нюансы появляются. Можешь почитать статью на www.isaserver.ru про Site and Content Rules. Там все написано.