» MS ISA Server (часть 1)

Killer88

Цитата:

Будут все равно, т к запросы проходящие через Firewall этим правилам подчиняются. Хотя тут некоторые нюансы появляются. Можешь почитать статью на www.isaserver.ru про Site and Content Rules. Там все написано.

В двух словах что за нюансы? Статью прочел, но слишком заумно она написана для меня.

У меня такой вопрос к тем кто на ISA уже как грится собаку съел:
У меня в сети стоит сервер-домен, плюс есть сеть из 20 компов в интернет надо сделать выход через одтельную машину на которой надо поставить ISA. На эту машинку уже закатал Win2000 AS ввел ее в общую сеть. Теперь ьакой вопрос для того чтобы поставить ISA и нормально через нее выходить надо ли делать из этой машины вторичный домен?

st23
Не знаю как правильно, но у меня этот комп просто подключен в домен и на нем стоит ISA и все работает. Хотя в инете встречаются экстремалы, которые ставят ису на контроллер домена

Pantalone
У меня просто этот вопрос возник после прочтения парочки статеек по установке ISA в них советуют ставить ISA в Active Directory, а AD ставится только на домен, без домена его нет на сколько я понимаю.

У тебя список учетных записей на выход через ISA берется с домена?

st23
Лучше бы тебе профи ответили, я не мастер разглагольствовать. AD доступна по сети. У меня например стоит ISA 2000 Enterprise, там перед установкой нужно инициализацию какую-то призвести чтобы ISA в AD вжилась. Но повторю, подожди пока профи че-нить скажут, я только примерно говорю.


Цитата:

У тебя список учетных записей на выход через ISA берется с домена?

Ага.

Людиии, ответьте мне чтонить на мой очень тупой вопрос, смотрите как выходит:
Сервак вин2000 с настроенной dhcp и роутингом, рядом комп через хаб поключен, у него 98 винды, все пашет, интернет работает. Ставлю иса2000, сервак перестает в инет ходить комп второй тоже, ставлю rules чтоб разрешить все, ни кто из них все равно не ходит ни куда. Но самое интересное то что: я сношу ису2000, сервак начинает ходить в инет, а другой комп больше ни чего не включает, но пинг наружу проходит...
Что скажите хорошего ?

st23
Цитата:

Теперь ьакой вопрос для того чтобы поставить ISA и нормально через нее выходить надо ли делать из этой машины вторичный домен?

нет... будет стоять как отдельный сервер, просто авторизация клиентов будет идти не через АД - те на этой исе придётся прописывать группы заного, а когда она в АД интегрирована (в домене те) - она доменные группы использует, что удобно...

greenfox
А для того чтобы авторизация бралась с главного домена, как лучше сделать? А то чет не тянет дублировать в двух местах учетные записи.

st23
Во-первых - ису без разницы как ставить, с доменом или без. Она может поставиться и просто на сервере без домена.
Во-вторых - лучше не делать сервер с исой домен-контроллером: ломанут ису - ломанут все.
Третье - у Win2000 нет понятия главный домен-контроллер и второстепенный. Они все равноправные.
Четвертое - в сети должно быть как минимум 2 домен-контроллера: если один вылетает - сетка работает с другим.

Выход в твоей ситуации - cтавишь второй контроллер домена. Покупаешь еще один комп и ставишь на него Windows 2000 (или 2003) Server Standart (чего люди AS ставят - ума не приложу. Это типа круто что-ли, когда к серверу приписочка Advanced Server. Или ису будут ставить на 32-процессорную тачку с 64 гигами мозгов или на кластер??? Непонятно.).

NEED

Цитата:

Третье - у Win2000 нет понятия главный домен-контроллер и второстепенный. Они все равноправные.
Четвертое - в сети должно быть как минимум 2 домен-контроллера: если один вылетает - сетка работает с другим.

Вот тут тебя жестоко обманули

NEED
Твое первое и так понятно, что можно и так и эдак иначе бы у меня вопрос и не возник если бы был один вариант установки.

С твоим вторым полностью согласен но еще остается вариант со вторичным доменом, который не берет права с основново домена, а тащит свои учетные записи, плюс настройка доверий между доменами и впринципе работать должно, но это осьминог какой-то получается.

Насчет четвертого хм... совет конечно интересный, и я и без него знаю что второй нужен только это зависит от финансов которые не выделяются.

Хм... AS ну правильно только SS нажо еще встаит поискать, а AD под руками валяется, так что мог бы и не умничать.

Вобщем из того что ты написал делаю вывод: Поствить ИСУ без домена просто на вторую тачку которая входит в сеть, так?

Стоит ISA Server 2000 SP2 на контроллере домена под управлением 2003 Server, и кладет свои логи в SQL Server 2000 SP3. К несчастью, стоит куча еще другой гадости - Терминальные службы Citrix Metaframe, Apache, FTP-server, DHCP, и прочее, прочее )))

При загрузке не применяются пакетные фильтры и/или не запускаются службы ИСЫ, кладущие логи в SQL. Напрашивается мнение, что ISA стартует до SQL Server, и после безуспешной попытки положить что-то в лог через System DSN, не запускает службу, должную логиться в SQL....

Поэтому, вопрос - как настроить зависимости служб, или же, если кто сталкивался, подскажите, как избежать сих печальных последствий.

Добавлено
st23

Идеальный вариант:

1. Два сервера - контроллера домена. Для надежности .
2. Еще один сервер, НЕ контроллер домена - под ису.
3. Сервер на котором стоит ИСА включить в домен, но не делать контроллером домена. При этом в полисях можно будет использовать учетные записи пользователей домена, но при этом, учетные записи с паролями НЕ будут храниться на сервере с исой.

ЕСЛИ НЕ ПРАВ - ПОПРАВЬТЕ

Мой путь более экстремальный )) Поскольку в распоряжении только два сервака, приходится из двух зол выбирать - либо один контроллер домена и один сервак с исой, либо два контроллера домена и на одном из них иса.

Безопаснее извне но менее надежно с точки зрения отказоустойчивости AD поставить один контроллер домена и один сервер с исой.

Мне в силу причин пришлось выбрать второй вариант.

NEED

Насчет равноправности - оно конечно так, но не совсем... Существует такое понятие как мастер операций )) Так что о полной равноправности все равно говорить не приходится.

Насчет двух контроллеров - у меня в сетках филиалов по 5-9 машин ))) Не жирно ли два контроллера на них вешать?

st23
Сервак включаешь в домен, но не делаешь его контроллером домена. На него ставишь ИСУ.

Laurent
Это конечно твое дело, но у меня на филиале 3 компа. 2 из них выполняют функции контроллеров домена. При этом рабочая машинка только одна. На серваках никто не работает кроме меня в терминале, если что настроить нужно.

По твоему вопросу. Посмотри, какой сервис не стартует, поставь в его свойствах на закладке Recovery First failure и т.д. Restart the service. Ну и так далее. Сам разберешься, все просто, как дети в школу.

А кто нибудь публиковал Citrix MF3 на серваке windowsserver2003 за исой 2004-ой??? если да просьб стукнуть в пм а то чаго-то у меня не хотит никак...или тут отписать какие настройки для этого нужны... WEB от цитрикса опубликован намано а вот приложения не запускаются ошибка - There IS no Citrix Metaframe Server configured on the specified adress.

Товарищи, скажите мне пожалуйста, как мне в исе2000 заблокировать для пользователей слова sex и games, ни как не могу найти, где это можно прописать.
Дайте хинтец.

RandomUser
Я не публиковал. У меня другой подход - юзер подключается по VPN, а потом идет туда, куда ему надо. Плюсы - защищенный канал, доступность всех портов компа, к которому нужно подключиться, нужно только роутинги настроить правильно. Минус - та же доступность ко всем портам компа, то есть можно хватануть вирусяку. Выход из ситуации в создании DMZ для VPN-подключений.

id83
В принципе твоя проблема решаема, но не без помощи сторонних прог. Поможет LanGuard for ISA server. Прога в принципе рульная (пробовал пару лет назад) но кое-какие вещи мне не понравились. Хотя, если основательно подойти к настройке...

Если я в чем-то не прав - поправьте меня.

у кого были глюки с 2004? А то у меня что-то она режет smtp на разрешающем(!!!!!) правиле! блин...

greenfox
Где-то читал инфу по этому вопросу. Там вроде SMTP фильтр в ISA не знает команду AUTH. По-этому ее просто нужно добавить.

NEED

Цитата:

Где-то читал инфу по этому вопросу. Там вроде SMTP фильтр в ISA не знает команду AUTH. По-этому ее просто нужно добавить.

это команда есть... проверил... да я и фильтр отключал, не помогает... конючит и всё - у меня в фильре пакетном только одно запрещ правтло - дефолтовое, сомое последнее, а иса режет то на первом то на втором, которые разрешаюшие!!!! Как такое может быть!? вот парюсь сижу...

id83
Попробуй SurfControl - она, вроде, может...

ALL

А вот у меня проблема -
при подключении удалённого клиента по RRAS и попытке залезть в инет isa2000 режет его.. В логах фаервола

Цитата:

2004-10-0600:00:19 192.168.1.200 255.255.255.255 Udp 137 137 BLOCKED ***.***.***.***

Где 192.168.1.200 - адрес моего сервера, который присваевается серверу RRAS.
Как бороть? Тупо открыть, посчитав, что 255.255.255.255 - это удалённый комп?

При этом почта через MDaemon, который на этом сервере крутится, работает нормально...

Добавлено
vamp

Порт для клиентов меняется - правой кнопкой на сервер в консоли isa-свойтсва-outgoing web requests...

Damnien

Цитата:

2004-10-0600:00:19 192.168.1.200 255.255.255.255 Udp 137 137 BLOCKED ***.***.***.***

Цитата:

Где 192.168.1.200 - адрес моего сервера, который присваевается серверу RRAS.
Как бороть? Тупо открыть, посчитав, что 255.255.255.255 - это удалённый комп?

Вообще то данная запись логов не имеет отношения к пропусканию в и-нет.
Если RAS поднят на сервере с ISA, то стоит попробовать добавить его адреса в LAT и разрешить dns lookup с сервера.
Кроме того, стоит проверить таблицу роутинга на сервере и настройки браузера (прокси) у клиента.

JcVai
В lat добавлено сразу было...
Интерестно то, что isa даже не откликается на запросы на этот интерфейс... При этом с двумя другими, которые в два сегмента сети смотрят - всё в порядке...
у клиента - всё ок...
а на серваке что должно быть? имеется ввиду таблица видов или isa?

Что ставить " с нуля" для небольшой сетки (будет порядка 10 компов, сейчас - 5) 2000 или 2004 версию? Сейчас стоит винроут, но он задолбал...

Приветствую... Не пинайте ногами, знаю, что ковыряться доллго, кто знает - ответьте...

Имею филиал, в нем стоит иса 2000, домен, к примеру, М107. Имею головной офис, в нем своя локальная сеть, домен, к примеру, К78.... Хочу перенаправлять весь трафик из филиала с доменом М107 на ису в главном офисе(на вебпрокси), домен К78, для того, чтобы через исовый веб-прокси в главном офисе проходил весь веб-трафик филиала.

Возможно ли такое, и в общих чертах, что надо будет сделать? Самыми общими словами, типа того, просто ли можно будет ограничиться указанием в исе филиала upstream-ISA ?

Damnien
RAS клиенты не работают через ISA 2000, если RRAS сервер на том же компе. Ставь Firewall client пользователю, или используй SOCKS, или переходи ISA2004, или разноси RRAS и ISA на разные машины

Refugee
Firewall client ставил - то ж самое...
Млин... Ладно, сделаем через одно место... Влепим рядышком с isa другой маленький
проксик... В связи с этим - какой попроще? Безо всяких там NATов, фаеров, и проч...

Damnien
Проверь, что бы у клиента был настроен прокси в браузере (адрес:порт) и, соответственно, что бы он авторизировался с учеткой "домен\аккаунт", если доступ через них.

EzhickATwork
Без разницы - смотри по фичам, но мне 2004 не нравится.

Laurent
Нужно указать в роутинге upstream и в свойствах внешнего сетевого интерфейса прописать адрес ISA главного офиса гейтом по умолчанию.
Тогда весь трафик будет идти через "K78".
Кста, не забудь разрешить данный трафик на ISA в "К78".

Если нужно роутить только траффик, идущий через http-прокси,
то достаточно просто upstream.

Refugee
При нужной заточке конечностей - все работает и на одном сервере.

Цитата:

у кого были глюки с 2004? А то у меня что-то она режет smtp на разрешающем(!!!!!) правиле! блин...

нашёл вроде... у него (почтовика) шлюз был прописан так же иса2004 - поменял на гейт главный - заработал нормально вроде...

Кстати вопрос в догонку, как лучше эксчендж в инет пустить - секьюр-нат или FWC - при условии что он не опубликован (те только наружу отсылает)!?

JcVai

Цитата:

При нужной заточке конечностей - все работает и на одном сервере.

Рецепт в студию, пожалуйста

JcVai - Спасибо, попробую.

Вопрос ко всем..

Имеет место быть следующая ситуация http://steinelural.ru/netmap.jpg

Необходимо организовать доступ рабочей станции на складе к веб-серверам.

В главном офисе стоит сервак с ISA Server, который слушает Outgoing Web Requests на порте 8080. На складе стоит рабочая станция, которая находится за файрволом сторонней организации, у которой арендуется склад. Рабочей станции на складе файрволом сторонней организации разрешено ходить только по 25 и 110 портам.

Возникает идея - использовать прокси, слушающий запросы на 110 порте, в данном случае, ISA Server в главном офисе. Ладно, фиг с ним, если бы порт 8080 был доступен машине на складе, опубликовал бы его на ISA Server и все. А вот можно ли сделать так, чтобы запрос от машины на складе шел на ису, на порт 110, а она бы перенаправляла его не на локальный айпишник сервера, порт 110, а на 8080?

Используется 2000 ИСА. Какая ситуация в 2004 ИСЕ? Такая же?