st23 - создай правило доступа к исе по 80 и 443 портам в виртуальную директорию с OfficeScan из сети Internal в сеть Local Host для всех юзеров
» MS ISA Server (часть 1)
Проблемма такая: есть сервер на windows 2003 sp1 encorporate c установленными сервисами: AD,DNS,DHCP, File server , Print Server . Сетка из 12 компов - все сидят на домене. Интернет счас раздается с сервера (модемный) через общий доступ к интернет.
Я решил установить Ms ISA2004 дабы прокси был и фаервол ИБО нужна нам скорость и безопасность. Установил я - добавил правила на разрешение всего чего можно - и фиг мне - сеть перестала работать - dhcp перестал выдавать ip.
В натройках стоит и DNS и DHCP. А работать ничего не работает-ЧТО ДЕЛАТЬ ГОСПОДА?
(из внутренних сервисов в сети должны работать Pop3 smtp http ftp icq bankclient)
Фаервол клиент - я не ставил и не хочу ставить.
HELP!!!!!!!!!!!!! me ИБО человек человеку должен помогать!!!
Я решил установить Ms ISA2004 дабы прокси был и фаервол ИБО нужна нам скорость и безопасность. Установил я - добавил правила на разрешение всего чего можно - и фиг мне - сеть перестала работать - dhcp перестал выдавать ip.
В натройках стоит и DNS и DHCP. А работать ничего не работает-ЧТО ДЕЛАТЬ ГОСПОДА?
(из внутренних сервисов в сети должны работать Pop3 smtp http ftp icq bankclient)
Фаервол клиент - я не ставил и не хочу ставить.
HELP!!!!!!!!!!!!! me ИБО человек человеку должен помогать!!!
king_krimson
ну такой зверинец на одном серваке разводить вообще не рекомендуется...
по dhcp - ты в System Policy включил галку Enable с занесенеем соответствующего компа в нужные группы!? Логи что кажут!?
ну такой зверинец на одном серваке разводить вообще не рекомендуется...
по dhcp - ты в System Policy включил галку Enable с занесенеем соответствующего компа в нужные группы!? Логи что кажут!?
понятно что сервисов многовато для одного сервака - но что делать - сам видиш сетка небольшая и держать два сервка н 12 компов в вобщем накладно.
в System policy включил все - и DHCP и DNS ...
а вот про группы если можно то по подробнее (хотя скорее всего я просто не понял о чем реч!)
логи к сожалению я грохнул (все это дело я развертывал после работы дабы к утру все работало - помучался 3 часа и снес все - счас сижу голову ломаю в чем проблема была)
в System policy включил все - и DHCP и DNS ...
а вот про группы если можно то по подробнее (хотя скорее всего я просто не понял о чем реч!)
логи к сожалению я грохнул (все это дело я развертывал после работы дабы к утру все работало - помучался 3 часа и снес все - счас сижу голову ломаю в чем проблема была)
king_krimson
Цитата:
Цитата:
понятно что сервисов многовато для одного сервака - но что делать - сам видиш сетка небольшая и держать два сервка н 12 компов в вобщем накладнов такой сетке можно и без AD и DHCP обойтись запросто - но это кому как и не в эту тему... а про группы - ну так там 2 вкладки - на первой делаешь Enable - а на второй указываешь с каких компов-сеткок-групп разрешаешь раздавать dhcp - рисуешь туда localhost наск я понимаю...
greenfox
Ad - это ведь удобно - и сетка работает впринципе быстрее если все на DNS завязано - и права можно раздавать очень гибко.....
Цитата:
это у меня сделано - во второй вкладке указана Internal сеть (диапозон - 192.168.0.0- 192.168.0.255)
какие еще идеи?
Ad - это ведь удобно - и сетка работает впринципе быстрее если все на DNS завязано - и права можно раздавать очень гибко.....
Цитата:
ну так там 2 вкладки - на первой делаешь Enable - а на второй указываешь с каких компов-сеткок-групп разрешаешь раздавать dhcp - рисуешь туда localhost наск я понимаю...
это у меня сделано - во второй вкладке указана Internal сеть (диапозон - 192.168.0.0- 192.168.0.255)
какие еще идеи?
king_krimson
Цитата:
поэтому
Цитата:
Цитата:
это у меня сделано - во второй вкладке указана Internal сеть (диапозон - 192.168.0.0- 192.168.0.255) какие еще идеи?комп с исой не входит в интернал
поэтому Цитата:
рисуешь туда localhost
Может кто нить выложит список black list?
У меня есть несколько файликов, но они блокируют только зарубежные банерные сайты, а вот русские банерные сайты нет
Может есть у кого самописный - "дополненный"
У меня есть несколько файликов, но они блокируют только зарубежные банерные сайты, а вот русские банерные сайты нет
Может есть у кого самописный - "дополненный"
greenfox
Кстати, такой вариант не прокатывает на 2004-й исе, только 2000-я. Кто подскажет для нее решение, как ходить с компа с ИСА 2004 в интернет.
Кстати, такой вариант не прокатывает на 2004-й исе, только 2000-я. Кто подскажет для нее решение, как ходить с компа с ИСА 2004 в интернет.
NEED
Цитата:
Как раз для 2004 этот метод и прокатит, тк в ней используется именно "группа" localhost для определения самой исы... Так для того что бы например разрешить ей выход в инет надо прописать разрешающее правило в фаере её же для http этой самой "группе" localhost и в настройках прокси IE на исе указать её же имя и соответствующий порт!
Цитата:
Кстати, такой вариант не прокатывает на 2004-й исе, только 2000-я. Кто подскажет для нее решение, как ходить с компа с ИСА 2004 в интернет.что-то вы батенька путаете!
Как раз для 2004 этот метод и прокатит, тк в ней используется именно "группа" localhost для определения самой исы... Так для того что бы например разрешить ей выход в инет надо прописать разрешающее правило в фаере её же для http этой самой "группе" localhost и в настройках прокси IE на исе указать её же имя и соответствующий порт! greenfox
Спасибо. Сам нашел только что. Разница только в том, что название группы Local Host в 2004 пишется раздельно в отличие от всем известного localhost (127.0.0.1). Именно этот факт и вводит в заблуждение.
Спасибо. Сам нашел только что. Разница только в том, что название группы Local Host в 2004 пишется раздельно в отличие от всем известного localhost (127.0.0.1). Именно этот факт и вводит в заблуждение.
NEED
мда есть такое... они её ещё называют network... странно конечно...
http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=24;t=000069 - буржуйский топ на эту тему - там главный чел пишет ещё что надо на этом локал хосте открывать Enable Web Proxy Clients при этом... правда у меня и без этой галки только с прописанными в файере правилами машина с исой выходит в инет... к чему бы это!?
мда есть такое... они её ещё называют network... странно конечно...
http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=24;t=000069 - буржуйский топ на эту тему - там главный чел пишет ещё что надо на этом локал хосте открывать Enable Web Proxy Clients при этом... правда у меня и без этой галки только с прописанными в файере правилами машина с исой выходит в инет... к чему бы это!?
Проблема. Как защитить внешний сетевой интерфейс ISA server 2000 в случае если падает служба firewall. При упавшей службе firewall внешний интерфейс полностью открыт.
dumsik
За три года эксплуатации у меня ни разу не падала эта служба. Может не стоит искать тараканов там, где их нет?
За три года эксплуатации у меня ни разу не падала эта служба. Может не стоит искать тараканов там, где их нет?
Klisha
Очень редко, но у меня такое было. Как вариант - мониторить службу и в случае ее падения отключать внешний интерфейс, если уж так это критично.
Очень редко, но у меня такое было. Как вариант - мониторить службу и в случае ее падения отключать внешний интерфейс, если уж так это критично.
dumsik
izograv
Не знаю как у вас, но у меня если падает фаервол (сделать это получилось только специально, просто так он не падал) внешний интерфейс как будто вообще отсутствует. То есть сетевуха есть, настройки сети прописаны, но ни один пакет не проходит ни туда ни обратно.
izograv
Не знаю как у вас, но у меня если падает фаервол (сделать это получилось только специально, просто так он не падал) внешний интерфейс как будто вообще отсутствует. То есть сетевуха есть, настройки сети прописаны, но ни один пакет не проходит ни туда ни обратно.
Я тут начал разбираться и понял что isa ставит специальный пакетный драйвер (ISA Server Packet Filter Extension Driver) который запускается при старте системы и не зависит от службы firewall т.е. даже если выключить службу firewall пакеты на внешнем интерфейсе пропускаться не будут. Искал более подробную инфу в technet пока нечего не нашел. У кого нибудь есть информация на эту тему ?
Кто нибудь пользовался при настройке ISA 2004 готовыми Network template ?
Ваши впечатления.
Меня больше интересует установка ISA 2004 как Back end firewall & proxy.
И еще вопрос ни у кого не было проблем с пропусканием трафика SQL через iSA 2004 ?
Ваши впечатления.
Меня больше интересует установка ISA 2004 как Back end firewall & proxy.
И еще вопрос ни у кого не было проблем с пропусканием трафика SQL через iSA 2004 ?
Вышла новая версия программы TrafficFilter for Microsoft ISA Server 2.6.0
new Немедленное применение настроек без рестарта сервисов
new Создание правил на ограничение трафика отдельно по входящему и исходящему трафику
new Выбор пользователей из доменов находящихся в доверительных отношениях с текущим
new Автосохранение последних значений счетчиков
Отключение пользователя немедленно при превышении лимита;
Групповые операции (multiselect) при работе с записями пользователей/групп
Возможны следующие периоды времени на который выдается лимит:
день, неделя, месяц, год;
Правила создаются на основе информации о пользователях и группах
Active Directory или локальных учетных записях;
Просмотр состояния с любой машины в сети (в браузере):Администратор может посмотреть текущее состояние трафика всех пользователей, пользователь получает информацию только о своем трафике.
Возможность создавать произвольное сообщение о превышении лимита;
Поддержка Windows Server 2000, 2003 , ISA Server 2000, 2004.
Простота установки;
new Немедленное применение настроек без рестарта сервисов
new Создание правил на ограничение трафика отдельно по входящему и исходящему трафику
new Выбор пользователей из доменов находящихся в доверительных отношениях с текущим
new Автосохранение последних значений счетчиков
Отключение пользователя немедленно при превышении лимита;
Групповые операции (multiselect) при работе с записями пользователей/групп
Возможны следующие периоды времени на который выдается лимит:
день, неделя, месяц, год;
Правила создаются на основе информации о пользователях и группах
Active Directory или локальных учетных записях;
Просмотр состояния с любой машины в сети (в браузере):Администратор может посмотреть текущее состояние трафика всех пользователей, пользователь получает информацию только о своем трафике.
Возможность создавать произвольное сообщение о превышении лимита;
Поддержка Windows Server 2000, 2003 , ISA Server 2000, 2004.
Простота установки;
ВОпрос:
как разрешить работать программе которая обращается на динамические порты?
Полный доступ (исходящий) для компьютера давать не хочется....
Есть ли в ISA контроль клиентских приложений с возможностью конфигурирования доступа(типа этой проге - можно, той - нельзя)?
Необходимо разрешить работу DC++.
как разрешить работать программе которая обращается на динамические порты?
Полный доступ (исходящий) для компьютера давать не хочется....
Есть ли в ISA контроль клиентских приложений с возможностью конфигурирования доступа(типа этой проге - можно, той - нельзя)?
Необходимо разрешить работу DC++.
Проблема такая:
когда в домене установил иса клиенты на все компьютеры, то соответственно все компьюетры стали выходить в интернет через прокси: server:8080
Но, на сервере стоит T-Meter, который считает весь трафик каждого клиента и сохраняет раз в несколько секунд в спец. файл. Вот как раз при включении прокси на компьютерах, т-метер перестал видеть вообще клиентский трафик
Только выключаешь файервол иса клиент и всё встаёт на свои места, т-метер нормально начинает считать
Может кто знает как обходить это?
когда в домене установил иса клиенты на все компьютеры, то соответственно все компьюетры стали выходить в интернет через прокси: server:8080
Но, на сервере стоит T-Meter, который считает весь трафик каждого клиента и сохраняет раз в несколько секунд в спец. файл. Вот как раз при включении прокси на компьютерах, т-метер перестал видеть вообще клиентский трафик
Только выключаешь файервол иса клиент и всё встаёт на свои места, т-метер нормально начинает считать
Может кто знает как обходить это?
Вопрос по логам:
Поставил ISA 2004 standart. Она сама поставила утилиту управления MS SQL сервером, хотя с к нему приконнектится не смог...ну подумал фиг с ним и забил.
Пару дней заглянув в диспетчер задач увидел процесс sqlservr.exe съевший 130 мегов памяти. Подумал - убил... Иса глюканула, я ребутнулся - посмотрел, 10 мегов.
Сегодня утром снова 128 мегов съел.... Как-нибудь можно с этим бороться?
Что самое интересное - логи пишутся у меня по умолчанию - в MSDE
Ребутать сервер каждый день - это слишком.
Поставил ISA 2004 standart. Она сама поставила утилиту управления MS SQL сервером, хотя с к нему приконнектится не смог...ну подумал фиг с ним и забил.
Пару дней заглянув в диспетчер задач увидел процесс sqlservr.exe съевший 130 мегов памяти. Подумал - убил... Иса глюканула, я ребутнулся - посмотрел, 10 мегов.
Сегодня утром снова 128 мегов съел.... Как-нибудь можно с этим бороться?
Что самое интересное - логи пишутся у меня по умолчанию - в MSDE
Ребутать сервер каждый день - это слишком.
XMMS
MSDE это урезанная версия MS SQL. Можешь настроить логи в текстовый файл, тогда MSDE столько памяти есть не будет.
MSDE это урезанная версия MS SQL. Можешь настроить логи в текстовый файл, тогда MSDE столько памяти есть не будет.
Цитата:
Проблема такая:
когда в домене установил иса клиенты на все компьютеры, то соответственно все компьюетры стали выходить в интернет через прокси: server:8080
Но, на сервере стоит T-Meter, который считает весь трафик каждого клиента и сохраняет раз в несколько секунд в спец. файл. Вот как раз при включении прокси на компьютерах, т-метер перестал видеть вообще клиентский трафик
Только выключаешь файервол иса клиент и всё встаёт на свои места, т-метер нормально начинает считать
Может кто знает как обходить это?
Использовать квотер для Исы. например TrafficQuota - http://www.digirain.com
BadGuy
Цитата:
А причём здесь трафикквота то?
Цитата:
Использовать квотер для Исы. например TrafficQuota - http://www.digirain.com
А причём здесь трафикквота то?
Cuba
вместо Tmeter-а юзать предложили тебе
вместо Tmeter-а юзать предложили тебе
Вопрос уже звучал, но остался открытым. Чем ограничивать пропускную способность канала. Скажем на ip не более 2 Кб/сек. У кого какие решения?
Цитата:
Вопрос уже звучал, но остался открытым. Чем ограничивать пропускную способность канала. Скажем на ip не более 2 Кб/сек. У кого какие решения?
Честно говоря, таких продуктов именно под Ису я не видел. Но очень скоро будет - авторы TrafficQuota обещают этот функционал в 2.0 (мы как их зарегистрированные пользователи периодически с ними общаемся). Предварительную версию обещают выпустить в этом месяце или в крайнем случае в январе.
XMMS
Цитата:
У меня подсчёт трафика идёт не по пользователям, а по айпи. Плюс, в каком виде сохраняет данное ПО свои логи? В xml умеет?
Так же в т-метере у меня указаны определенные сети которые нужно считать, а не все.
Цитата:
Cuba
вместо Tmeter-а юзать предложили тебе
У меня подсчёт трафика идёт не по пользователям, а по айпи. Плюс, в каком виде сохраняет данное ПО свои логи? В xml умеет?
Так же в т-метере у меня указаны определенные сети которые нужно считать, а не все.
Цитата:
У меня подсчёт трафика идёт не по пользователям, а по айпи. Плюс, в каком виде сохраняет данное ПО свои логи? В xml умеет?
Так же в т-метере у меня указаны определенные сети которые нужно считать, а не все.
В 2.0 обещают подсчет трафика по пользователям, группам, айпишникам, группам айпишников. Будет возможность импорта статистики в SQL Server (или вообще там будет хранится, я не совсем понял). Кстати, насчет xml хорошая идея, надо им толкнуть
Исключение определенных подсетей из подсчета тоже будет. Вообще интересно посмотреть, что за софтина получится...Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: Всё о DNS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.