» MS ISA Server (часть 1)

zeleniy
Разрешите ping c какого-либо адреса наружу и проверьте что он пишет. После этого - в логах отследите активность с этого адреса и напишите. Так же неплохо было бы узнать как отконфигурирована иса в Networks и увидеть правило разрешающее почту.

zeleniy
Если ИСА 2004, то там еще играет роль последовательность правил. Пока не разобрался какая последовательность правильная, поэтому просто снес 2004 и поставил 2000.

Raice


Цитата:

Разрешите ping c какого-либо адреса наружу и проверьте что он пишет. После этого - в логах отследите активность с этого адреса и напишите.

Это уже проверено пишет превышен интервал ожидания для запроса.
tracert пишет заданный узел недоступен.
В system policy для ISA разрешен smtp на этот сервер.
ISA (Local host) в Networks не изменялась как там есть так и стоит, т.е. по моему route на ALL Networks (и это не переустанавливается).
Кстати внешний прокси на который я переадресовываю web запросы на него все нормально и Ping есть и tracert.

NEED
Оригинальная методика решения проблем...

zeleniy
Так по-моему или нет?
В Networks у Вас должны быть External, Internal, Localhost
В Network Rules - Localhost access - там стоит Route и это изменить нельзя. А вот Internet Access - тут есть выбор NAT или Route. Что у Вас?
В подсетке где стоит сервак чтонибудь пингуется?

Raice

Цитата:

А вот Internet Access - тут есть выбор NAT или Route. Что у Вас?

Пробовали и так и так поставить не проходят запросы.


Цитата:

В подсетке где стоит сервак чтонибудь пингуется?

Только сам прокси-сервер все остальное нет. Поэтому у меня и возникло подозрение на маршруты. Когда ISA нет все нормально за маршрутизацию на внешнюю сетку (по отношению к корпоративной сетке) отвечает не мой компьютер а какой-то другой. Когда ISA встает она берет маршрутизацию на себя и вот на прокси она правильно маршрутизает а на все остальное нет.

NEED
Сейчас так и сидим опять на ISA 2000 в режиме cache-mode, но из-за некоторых проблем решили перейти на ISA 2004 но уже в полном варианте. Все настроили кроме почты.

zeleniy
Опишите подробно структуру Вашей сети

Raice
Есть корпоративная сетка 10.0.0.0-10.255.255.255
Есть несколько внешних серверов 21Х.ХХХ.ХХХ.ХХХ используемых для связи со внешним миром прокси, почта и т.п.
Есть моя сетка 10.ХХХ.0.0-10.ХХХ.255.255.
Есть корпоративные сервера: базы данных, web, mail И т.п.

Сейчас между моей сеткой и корпоративной сетью стоит ISA 2000 (в cache mode), несколько месяцев назад пробовали ее перевести в Integrated mode но не смогли пропустить правильно SQL трафик и еще кое-что в корпоративную сетку.
Недавно нам посоветовали заняться ISA 2004 поставили ее все настроили кроме прохождения почты с внешнего сервера до нас и обратно.
Корпоративная почта ходит правильно, весь корпоративный трафик тоже все нормально без ошибок.

zeleniy
Понятно. Т.е. почтарь с которым проблемы находится во внешней сети (сиречь интернете). Правильно?
Связь с инетом и внешними серверами осуществляется через Вашу ИСА непосредственно или через корпоративную сеть?

Raice

Цитата:

Связь с инетом и внешними серверами осуществляется через Вашу ИСА непосредственно или через корпоративную сеть?

Через корпоративную сеть.

Давайте начнем сначала.
Если что поправляйте меня.
1. В ИСе два интерфейса. Одинн с адресом вашей сети другой - с адресом корпоративной. На внутренней сетевой карте в поле шлюз ничего нет, на внешней - прописан хост из корпоративной сети который рулит Вас дальше (в Инет и т.д.). Настройки ДНС на ваше усмотрение главное чтоб работало

2. Соответственно в ИСе есть две сконфигуренных сети: Internal c вашей адресацией и External с корпоративной.3
3. В Network Rules должно быть правило Internet Access, From Internal to External. Для начала поставим его в NAT
4. Создайте правило для всех на все протоколы From Internal to Extarenal

У меня проблема была, когжа при разрешающих правилах Local Area Network - Localhost всем и все пакеты на сервак вообще не ходили. Только пинги. При остановке сервиса все становилось на места.

Raice
В ИСЕ есть следующие сети:
Internal: 10.XX.0.1 -10.XX.255.254
External
Corp: вся корпоративная сеть разделенная на два группы до моей подсетки и после нее.
Соотвественно правила в Network rules:
Internal->Corp - route
Internal->External - NAT
Есть правила:
internal->external - только тем кому разрешено (Интернет доступ)
internal<->corp - все для всех разрешено в обе стороны

Тепрь если там где все для всех разрешено поставить и External почта ходит.

zeleniy
Каким образом Вы делите сеть на External и Corp?

Raice
Во вкладке Networks записано к тому что есть по умолчанию еще и то что я выше написал уточняю.
Internal: 10.XX.0.1 -10.XX.255.254
Corp: 10.0.0.1-10.(XX-1).255.255, 10.(XX+1).0.0-10.255.255.255
XX - номер моей подсетки.
External как там есть так и записано.

Народ, если кто знает, посоветуйте бесплатную прогу для подсчета траффика по каждому юзверю. Я нашел только ProxyInspector, но она платная, зараза...

zeleniy

Цитата:

В ИСЕ есть следующие сети:
Internal: 10.XX.0.1 -10.XX.255.254
External
Corp: вся корпоративная сеть разделенная на два группы до моей подсетки и после нее.
Соотвественно правила в Network rules:
Internal->Corp - route
Internal->External - NAT
Есть правила:
internal->external - только тем кому разрешено (Интернет доступ)
internal<->corp - все для всех разрешено в обе стороны

Тепрь если там где все для всех разрешено поставить и External почта ходит.

Не ходит POP3/IMAP/SMTP через Ису для правила "internal->external - только тем кому разрешено", так? Мейлер какой используете - Аутлук? Firewall Client стоит?

zeleniy
ИМХО, все проблемы в таком разделении. Насколько я понимаю в ИСЕ 2 интефейса, в один - корпоративная сетка, в другой - Ваша. Так вот, Вы не можете делить сетку на две части на Вашей ИСЕ. Уберите Corp. Должна остаться только Internal с Вашей адресацией и External.

Raice
Я вот думаю что нет в чем-то другом. ИСА должнаразрешать такую ситуцию тем более что у нее в шаблонах сети есть похожая.


Добавлено
DaveDaddy
Wrspy - есть в шапке я ее использую.

zeleniy
Какая?
Если Вы имеете ввиду 3-Leg Perimeter - то Вы не правы. ДЛя этого требуется наличие 3-х интерфейсов и третий интерфейс служит для организации DMZ или Perimetet Network в которой будут размещены публичные сервисы для большей безопасности. Это не Ваш вариант

Raice
Back End network template - как раз мой случай.

zeleniy
ИМХО, нет. Два файера в данной конфигурации необходимы для организации Perimeter Network. Да и в любом случае, там ДВА интерфейса, и Вы не можете делить корпоративную сеть на два сегмента. Для Вас это ОДНА сеть поэтому убирайте Corp (она в Вашем случае перекрывается External)

zeleniy
Если у тебя используется:
1. ISA 2004
2. Firewall Client
3. Outlook
и при этом не принимается почта из External (и не отправляется), решение простое.
ISA Management | Configuration | General | Define Firewall Client Settings, ищешь "outlook Disable 1" и меняешь 1 на 0. Потом надо обновить конфигурацию клиента на компах юзеров (даблклик на иконке клиента, Test Server, Close, OK). Инфа с isaserver.org, работает, проверено.

BadGuy
Там проблема не с Outlook а с тем что Exchange Не может почту забрать с другого сервера.

zeleniy
Ну так смотри правила получше. Exchange наверняка работает либо под LocalSystem, LOCAL SERVICE, NETWORK SERVICE, либо под каким-то своим аккаунтом (не юзал exchange, так что наверняка не знаю). В любом случае стоит создать под него отдельный аккаунт и запускать сервис под ним. Ну и в правилах Исы его прописать...

Почему я про Аутлук писал - у меня с ним проблема была, я запарился искать где собака порылась. В правилах Исы все ОК, а в настройки клиента я не заглядывал. Потом набрел на статью на isaserver.org, она мне раскрыла глаза

zeleniy
Ну как есть результат? На всякий случай еще раз объясню
Сейчас у Вас сеть Corp по адресации перекрывается сетью External, и поэтому если у Вас есть разрешающее правило для Corp, но нет для External, то запросы будут блокироваться.

Raice
Спасибо нашли одного человека у которого ISA 2004 работает и седня пойдем к нему посмотреть.
Потом может продолжим обсуждение.

НАРОД, подскажите! Стоит ИСА 2004 на 2003м серваке. Надо поднять принтсервер через сетевой порт, Lexmark Optra S1650. Дрова залились, но при попытке печати кричит ,что принтер в оффлайне. Грешу на ИСУ, хотя вроде как все протоколы с локалки на локалхост и обратно открыты.

EgOus
http://support.microsoft.com/default.aspx?scid=kb;en-us;838256
Сюда пробовали?

Сейчас попробую ,может и получится
З.Ы Неа ,не прокатывает. Всё сделал как написано. Задание прилетает на принсервер, дальше висит в состоянии offline-printing и выкидывает ошибку. Причем печать не идет даже локально, с самой исашной машины. Хде грабли?

EgOus
Пробовали и локально и с удаленного компа?

Добавлено
EgOus
Посмотрите что в логах
Как принтер подключен?