» MS ISA Server (часть 1)

Thinkerroo
Попробуй выключить встроенный репортер, выгрузить его из памяти и рестартовать ISA.
У меня в основном память съедал repgen.exe (встроенный в ISA генератор отчетов).

Если поможет - удаляй его из автозагрузки.

Thinkerroo

ISA Management - Isa Servers And Arrays - <YOUR SERVER> - Cache Configuration - Свойства - Вкладка "Advanced" - Percentage of free memory to use for caching.

По умолчанию 50, то есть 50 процентов... Поставь процентов 20, или 10, посмотри что стало с производительностью, тормозят ли страницы у клиентов... Сохрани параметры с перезапуском ИСА сервера, если перезапуск не критичен.

CoFFineR

Rain Connect, как я понимаю, это сторонняя приблуда к ИСЕ, позволяющая направлять на разные гейты пакеты из разных сетей (или, к примеру, от разных пользователей)?..

Посмотрел 2004 ИСУ, ничего подобного ВСТРОЕННОГО не нашел... ))) Пока обнаружил лишь одну приятную вещь в ИСА 2004 - паблишинг серверов немного доработан ))). Остальное не знаю - откатился обратно на ИСА 2000.. - мой антивирусник 2004 не понимает..

Laurent
Спасибо за информацию, именно это я и хотел узнать.

В Exchange 2003 появилась возможность проверки IP адреса отправителя в базе открытых релеев (relays.ordb.org) как у всех путевых почтовиков. Но вот пропустить ответ от relays.ordb.org обратно через ISA не могу.

Посылка запроса в базу открытых релеев - IP mysrv.6182 > groundzero.ordb.org.53: 3178+ [b2&3=0x500] A? 57.117.42.69.relays.ordb.org. (46)

Вместо ответа сообщение об ошибке - IP groundzero.ordb.org > mysrv: icmp 36: groundzero.ordb.org udp port 53 unreachable

Все попытки создать IP Packet filters/Allow/UDP/53/62.242.0.190 оказались безуспешными.
Подскажите кто настраивал это дело?

CoFFineR

Слушай, расскажи, что есть Rain Connect, что это? Дополнение к исе как самостоятельный продукт, или он входит в состав какого-то софта к ИСЕ?

Добавлено
Проблема: VPN-соединение останавливается на стадии аутентификации.

Условия:

Имеется домашний компьютер. Имеется на нем операционка Windows XP. Имеется софтина под названием VMware, выполняющая функции виртуального компьютера. На этой виртуальной машине крутится 2003 сервер с сетевым именем SERV, с поднятым доменом MYDOMAIN, и является его контроллером. На нем же живет ИСА 2004. Сетевые интерфейсы этого виртуального сервера имеют следующие адреса: 192.168.0.1 и 217.242.215.105 с масками 255.255.255.0. Невиртуальный компьютер имеет айпишник 217.242.215.106. Все это сделано с целью теста VPN-соединения.

На виртуальном сервере настроен сервер удаленного доступа/VPN. Все в исе настроено вроде бы нормально, соединение начинает устанавливаться, и на стадии обмена логином/паролем замирает. В группе RAS And IAS Servers в AD присутствует. Там же, в AD, контроллеру домена разрешено принимать подключения удаленного доступа. Подключаюсь под пользователем администратор, которому в AD также разрешено заходить удаленно.

Решил протестировать, какой будет результат, если подключаться не с реальной машины к виртуальному серверу, а с виртуального сервера не него самого. В ИСЕ немного изменил правило по умолчанию, позволив присоединяться не только клиентам из сети External, то есть к интерфейсу 217.242.215.105, а ко всем сетям, для теста – на виртуальном сервере создал такое же VPN-соединение, как на реальной машине.

И фишка в том, что с виртуального сервера ВПН-соединение к нему же устанавливается, а с реальной машины, как и писал, замирает… Где могла порыться собака?

В ИСЕ вижу, как начинается инициализация соединения…. Вижу применяющееся разрешающее правило на это соединение. И все…. Тишина… А получается, разница только в том, что в случае подключения сервака к самому себе все хорошо, а при поключении в реальной машины, являющейся компьютером из внейшней сети, все плохо…

Microsoft Knowledge Base уже изучил вроде бы…

В общем, такие пироги… а соединение, устанавливаемое с реальной машины к виртуальной, в итоге отваливается с ошибкой 619… И не отсылайте к статьям Майкрософт по этому поводу – я их уже читал… На VMware грешить вроде нельзя, ни разу не подводила…

Отбой ребята.

Вопрос-кандидат на занесение в FAQ:


Если для тестов используется виртуальная машина VMware, для тестирования VPN необходимо, чтобы сетевой адаптер виртуальной машины находился в режиме HOST-ONLY, а не в BRIDGE NETWORKING...

Вы не поверите, но грабли были именно в этом... Я на это убил примерно часов 20 времени, пока разбирался в отладочных логах RRAS...

Вопрос такой:
возможно ли на ису поставить какой нить плагин, которые считает интернет трафик локальных айпи адресов и сохраняет это всё в 2004-11.txt файл.
Т.е. в старого образца файл т-метера: год-месяц.тхт ?
Внутри файла всё как и прежне:

Код:

Время последней модификации : November, 09 2004 10:07:59
Id | Название фильтра | Всего байт | Перед. байт | Принято байт
-------------------------------------------------------------------------------
1 | k1 | 0 | 0 | 0
2 | k2 | 0 | 0 | 0
....

Хочу поставить
Цитата:

ISA Server 2004 Standard

, ну или ISA 2к
Есть ряд вопросов:
1. Будет ли ИСА работать на сервере 2к/2003 без домена?
2. Есть возможность ограничить трафик и скорость для каждого пользователя по IP?
3. Сейчас использую UserGate 3.10. Некоторые сайты иногда на сетевых машинах почему-то не открываются. Стоит ли вообще заморачиваться с ИСОй?

to PRiM
1. да
2. нет без изпользования дополнительного платного ПО
3. если тебе нужна дополнительная функциональность типа авторизации по юзерам AD, то стоит - но это похоже не твой случай ))

Цитата:

Стоит ли вообще заморачиваться с ИСОй?

её главный плюс - это то что она работает с правами из АД (те доменными) - нет домена, то и от ИСЫ толку не так много...

PRiM

Цитата:

2. Есть возможность ограничить трафик и скорость для каждого пользователя по IP?

Для ограничения трафика можно использовать TrafficQuota (www.digirain.com). Софтина классная, интегрирована с Исой, минус один - платная (хотя впрочем как и Иса). Для ограничения скорости тоже какие-то софтины вроде есть... В TQ кстати тоже обещают скоро ограничение скорости.

isa2004, в DomainNameSet -е создаю запрещ домен, например *.tetki.ru, затем на него запрещ правило - как результат на _www.tetki.ru (без подчёркивания естест) юзер не заходит, а вот просто на tetki.ru - заходит спокойно. На мс -е нашёл статью что так оно и должно быть. Но вот почему!? И как сделать так, что бы ИСА2004 резала не по такому формату (полностью имя машины, сайта там или с маской через точку) а просто искала в названии урла скажем "tetki" и резала такие запросы!? (а то что-то вариант *tetki* не катит) Что получается - только сигнатурой искать в заголовке!?

greenfox

Цитата:

а вот просто на tetki.ru - заходит спокойно

попробуй вместо *.tetki.ru - *tetki.ru


Цитата:

а просто искала в названии урла скажем "tetki" и резала такие запросы

Может такой вариант пройдет: *tetki*

res2001

Цитата:

Может такой вариант пройдет: *tetki*

написал же
Цитата:

а то что-то вариант *tetki* не катит

Цитата:

попробуй вместо *.tetki.ru - *tetki.ru

не пройдут такие запросы на фильтрацию хттп - формат строки не тот: надо указывать машину или группу машин (через точку - ну там www.microsoft.com или через маску *.microsoft.com), а так не прокатит... в доках написано вроде..

единственный вариант прописать сигнатуру "tetki" в фильтрацию хттп (запраш урла) - тогда работает...

Кстати, кто-н гонял 2004 на больших списка URLSet!? Как с быстродействием? Интересно, и что быстрее будет работать - URLSet или прописанные сигнатуры урлов в хттп фильтре!?

greenfox
ну так добавь просто tetki.ru и все будет Ок -)

Tabu13

Цитата:

ну так добавь просто tetki.ru и все будет

"шутку понял, смешно..." (G)
а если таких сетов будет штук 100 или поболее? Ну это то ещё ладно... можно и скриптом сделать... но ведь многие строки типа "sexy" встречаются в нескольких вариантах - supersexy, orgsexy ит.д. - вот интересен сам факт запрещения сайта не по всему имени а только по части в названии... это можно сделать включив стринг нужную как сигнатурку в анализатор хттп заголовков - но метод неудобен ибо придётся его делать на каждом правиле где есть хттп протокол... Может есть способ попроще?

Ну нет такой возможности в Исе по контексту фильтровать, как например в Винроуте. Хотя где гарантия, что фильтр *tetki* не отсеит нужного, непорнушного сайта про "нормальных" одетых теток -)
В сети можно найти кучу банлистов, которые впихнуть в ису можно, например http://winfaq.com.ru/ubb/Forum5/HTML/000021.html
http://winfaq.com.ru/ubb/Forum5/HTML/000023.html
там же есть и ссылка на скрипт, позволяющий из txt файла в SET Исы запихнуть. Скрипты можно найти также на Isatools.org.
Но лучше сеты не перегружать во-избежание тормозов. Я логи смотрю, если в топе несколько ненужных сайтов - их быстренько в банлист. Так через недельку к тебе обиженные юзера придут. Или побьют, или шоколадку принесут - все от тебя зависит -))

Добавлено
С некоторых пор в ISA Management\Monitoring\Services все сервисы Unavailable. И как следствие в Sessions - пусто. Все сервисы работают как прежде, отчеты формируются, вот только почему-то перестал работать выше указанный раздел ISA Management-а...
Помогите пожалуйста!!!

Tabu13

Цитата:

Ну нет такой возможности в Исе по контексту фильтровать

в 2004 возможность то есть - я же сказал - хттп фильтр наз-ся... только там неудобно это немного...

Подскажите как разрешить видео в msn messengere через Isaserver?
На сайте написано:
To support AV in both directions through the firewall, all UDP ports between 5004 and 65535 must be opened to allow signaling (SIP) and media streams (RTP) to traverse the firewall. This is required because dynamic ports are used. Application Sharing and WhiteBoard also use dynamic ports for signaling.
Но такой диапазон открыть нельзя ведь. Что делать?

Цитата:

To support AV in both directions through the firewall, all UDP ports between 5004 and 65535 must be opened to allow signaling (SIP) and media streams (RTP) to traverse the firewall. This is required because dynamic ports are used. Application Sharing and WhiteBoard also use dynamic ports for signaling.

Почему это их нельзя открыть? Что тебе не дает это сделать???
В крайнем случае, сходи на Isatools.org, поищи там скрипт который сделает это за тебя, ему можно... Билли ему разрешил

А вот подскажите, уважаемые, есть ли такая софтинка, которая обрабатывает логи ISa 2000, сложеные в SQL..? Очень было бы интересно...

А то все качать и проверять.... и времени нет, и желания..

Laurent
Лично мне нормальной не попадалось... Но можно написать самому, там простая структура таблиц да тот же Access в состоянии такое обработать...

Laurent
Если честно, я толком не знаю что это, тут ссылку как-то давали, я почитал, удивился цене, и на этом моё знакомство с этим продуктом закончилось.
А так вкратце вот: Представляет он из себя отдельный продукт, отдельной фирмы, но используется только вместе с ISA, умеет работать со множественными шлюзами. Т.е. несколькими интернет провайдерами. И стоит около 6К$ Так что для простых смертных не судьба...Но, как вариант - есть прога NAT32, она прекрасно разбирается с source routing`ом в среде виндоус(сам пробовал), и стоит не дорого - 25$ , но я думаю отказаться от решения этой проблемы таким(програмным) способом, поставлю 2 машины, и на этом вопрос закрою..

Есть такая проблемка...

ISA server стоит и не балуется , AD стоит и не плачет . тьпфу тьпфу тьпфу...

Но любители интернета кладут IE за неделю, что меня очень удивляет... но не об этом

скажите мне пож почему же opera 7x не хотит работать под ISA server-ом ??
как эту прелесть заставить работать ....

BFR

Цитата:

Но любители интернета кладут IE за неделю, что меня очень удивляет

И меня удивляет тоже, чего там класть? ВинАпдейты надеюсь все стоят? У меня ничего не кладут почему-то.

BFR
Это связано с аутенификацией
BAsic
Digest
integtrated
Я не помню что должно стоять посмотри в форуме на www.isaserver.ru я там находил решение

BFR
Разреши Basic аутентификацию и будет тебе счастье великое. Без этого только ИЕ сможет в инет ходить. Digest не вздумай включать. Глючно как-то работает.

NEED
Digest нормально работает, если пароли пользователей хранятся используя обратимое шифрование.

Такой скромный вопрос для тех кто уже разобрался что такое ISA 2004 и с чем ее едят, и заодно знает что такое OfficeScan.
Поставил ISA 2004 на Win2003 пытаюсь поставить OfficeScan компании Trend Micro... НУ как всегда помучался с установкой и т.п. вобщем удалось заставить обновляться эту прогу через инет со шлюза. Вроде все нормально все работает аж сердце радуется, но возникло две проблемы
1. Клиент от OfficeScan ставится через IE т.е. набираешь урл https://hermes/OfficeScan открывается страничка жмешь поставить клиент и усе должно быть нормально. Но эта страница открываться с клиенской машины ну ни в какую не хочет, как побороть эту проблему кто-нить знает? (OfficeScan когда ставил я его загнал на IIS и страницу выставил default порты общения 80 и 443)

2. Обошел эту проблему и в тупую поставил через сеть (не через IE) значек клиента упрямо показывает что нет сервера OfficeScan и все тут. Хотя по идее они должны общяться через разрешенный порт (на Isa 2004 порт открыл и на вход и на выход)

Добавлено
Laurent
Посмотри эту программу она есть для простых логов и для базы SQL
ProxyInspector for ISA Server


Добавлено
Laurent
Глянь программу "ProxyInspector for ISA Server" впринципе неплохо анализирует, существует две версии для Log файлов и для базы SQL