» MS ISA Server (часть 1)

to Raice
В том то и прикол ,что он даже локально не хочет печатать. Я не думаю, что ИСА уж и локальную печать прибивает. А на счет публикование идея понятная, но я так понимаю это нужно в-общем то для печати снаружи.

З.ы. Всё, победили , проблема была вообще в ВИНСе :/

Raice

Цитата:

На всякий случай еще раз объясню
Сейчас у Вас сеть Corp по адресации перекрывается сетью External, и поэтому если у Вас есть разрешающее правило для Corp, но нет для External, то запросы будут блокироваться.

В ISA 2004 есть понятие порядка правил. Если твое правило Corp выше чем External и в нем разрешено, то все пройдет. Если оно ниже, и в External нет строгого запрета, то тоже пройдет.

Люди такой скромный вопрос по ISA 2004, точнее 2 вопроса
1. Как заставить проходить ping из внутренней сити во внешний мир? Если не влом перечислите настройки (Ответ типа поставь галочку рядом в с пунктом ping routing сразу говорю не проходит, помимо этого пытаюсь делать это под пиплом которому усе дозволено, т.е. все протоколы. Если пишу что то вроде ping www.ya.ru то могу получить только ip адрес а далее "Превышен интервал ожидания запроса")

2. Как настроить ее чтобы можно было лазить по FTP серверам? СЕйчас получается только подсоединиться, а далее виснет на попытке считать инфу на ФТП и обрывается.

kibkalo
В данном конкретном случае сеть Corp ничего из себя не представляет, и поэтому разрешения для Corp соответсвенно ничего не разрешают

Всем привет

Планирую в скором времени ставить иса 2004 но меня беспокоят 2 вопроса:
В сети работают Exchange 2000+SQL+FTP сервер.

1) После установки появляется одно правило Deny All, которое обрубает всю сетевую активность кроме DHCP, DNS итд.

Вопрос если я создам новое правило которое разрешит соединяться со всеми типами сетей(Internal, External...) будут ли у меня работать мои сервисы(exchange etc) ?

Дело в том, что желательно дать доступ в инет и к почте пользователям как можно быстрее.
Я планирую сделать так-сначала создать правило разрешающее всё, а потом не торопясь прописать более строгие правила именно под мою сеть, после чего удалить первое правило, которое разрешает всё.

2) Есть ли возможность установить иса не на тот компьютер который непосредственно подключен к интернету и если да, то как примерно это реализовать ?

alexnitalaut
Для того чтобы работали сервисы торчашие наружу необходимо делать публикации. Для этого создание правила которое разрешает все и всем не пройдет. Если необходимо просто дать возможность всем юзерам бегать в инет - без проблем

All
Помогите решить вопрос по ISA 2004:
1.есть комп с ISA и выделенная линия, стояла ISA 2000 на Win2000, скорость доступа в интернет хорошая
2. заменил на том же компе на ISA 2004 на Win2003, прописал правила, доступ в Интернет есть, но скорость никакая. Подскажите где копать!!!

Вопрос такой:
Сейчас есть сервер (домен контроллер под Windows 2003 server & Isa server 2000)
Стоит две сетевухи, одна смотрит в лан, другая к провайдеру.
Задача такая:
Поставить на этот же сервер 3ю сетевую карту, для того, чтобы на исе разграничить:
1 сетевая карта (192.168.1.1) - доступны определенные сети (например городские порталы).
2. сетевая карта (192.168.1.2) - доступны определенные сети (весь интернет).
3. сетевая карта смотрит провайдеру с внешний айпи.

Как настроить ИСА сервер?

Cuba
Во-первых начнем с того что КД+ИСА схема не есть гут, во-вторых, зачем городить третью сетевую карту? Все прекрасно делается и с двумя

IgorAl
Телепаты в отпуске, подробнее про то какие правила. Отключите все службы ISA и проверьте скорость

Cuba
Можешь настроить Destination sets и привязать их к определенным группам пользователей.

Raice

Цитата:

Во-первых начнем с того что КД+ИСА схема не есть гут

Почему?

Цитата:

во-вторых, зачем городить третью сетевую карту? Все прекрасно делается и с двумя

Мне нужно два локальных gateway'я, соответственно с двумя разными айпи... В исе нужно указать что через gate айпи ходить можно только сюда, а через тот gate только туда.
С двумя картами не представляю как это можно сделать.

Просто на клиентах, в зависимости от того кто сел, меняется айпи gateway'я.
NEED

Цитата:

Можешь настроить Destination sets и привязать их к определенным группам пользователей.

Причём здесь это?

Cuba

Цитата:

Почему?

ибо на шлюз контроллер не ставят + мс не рекомендует по техническим аспектам...
а по поводу вопроса - так что мешает прописать в файере правила для доступа с конктетных ip локалки наружу (need похоже этош и имел ввиду)!?

Cuba
Зачем менять GW (кстати как - скриптами?) если можно просто сделать правила по юзерам?

Мужики, задача простая:
нужно чтобы иса разграничивала с какой сетевой карты на какие сети можно ходить. ИСА может это? Как? роутинг настраивается или что?

Cuba

Цитата:

нужно чтобы иса разграничивала с какой сетевой карты на какие сети можно ходить. ИСА может это? Как? роутинг настраивается или что?

ISA2004 - Configurations - Networks - NetworksRule: тут прописываешь необходимы правила роутинга\натинга предварительно создав необходимы "группы_сетей" в NetwoeksObjects
вроде так.

greenfox

Цитата:

ISA2004

Я вверху написал, что у меня иса2000....

Вы мне скажите (кто реально знает) возможно так сделать с помощью исы или нет?
Если да, то как? Правилами роутинга?

1. По умолчанию ISA создает Internal Network. АДреса указываются при установке
2. Добавляем вторую карту
3. СОздаем Internal Network #2 тип Internal, адреса указываем
4. СОздаем нужные Network Rule (откуда-куда, Route/NAT)

Тока, имхо, в описанной Вами ситуации это нафиг не нужно

Raice

Цитата:

1. По умолчанию ISA создает Internal Network. АДреса указываются при установке
2. Добавляем вторую карту
3. СОздаем Internal Network #2 тип Internal, адреса указываем
4. СОздаем нужные Network Rule (откуда-куда, Route/NAT)

Тока, имхо, в описанной Вами ситуации это нафиг не нужно

Что-то мне кажется это не то... хм..

Cuba
Через таблицу роутинга ОС

Т.е. получается, что у меня на сервере при установке третей сетевой карты, будет три айпи. два локальных и один внешний.
Две локальные сетевый карты подключены к свитчу в лане, третья подключена к провайдеру.
В самой исе 2000 указать правилами роутинга что на одну сетевую карту ходить на такой destination, а на вторую только на такой destination. Правильно понял?

Cuba
Не, для этого уже надо ковырять правила.
1. Создаешь два clients set (для каждой сетки, подкллюченной через "свою" сетевушку)
2. Создаешь правила на основе этих Clients set.

JcVai

Цитата:

Не, для этого уже надо ковырять правила.
1. Создаешь два clients set (для каждой сетки, подкллюченной через "свою" сетевушку)
2. Создаешь правила на основе этих Clients set.

Как-то туманно всё описано... не понимаю мужик
Давай пример

Cuba
Если у Вас обе локальные сетевые идут в один свитч, ЗАЧЕМ Вам это вообще надо???
Зачем ДВА локальных гейта, если все можно рулить через один? Вам шашечки или ехать? Если уж так хочется ДВА гейта - создавайте ДВЕ сети в ISA Networks, только учтите что это должны быть разные подсети!

На 1 карточку можно повесить сколько угодно айпишников, в зависимости от айпи можешь устанавливать правила. Только зачем этот гемор, в исе можно все гораздо гибче сделать.

NEED

Цитата:

На 1 карточку можно повесить сколько угодно айпишников, в зависимости от айпи можешь устанавливать правила. Только зачем этот гемор, в исе можно все гораздо гибче сделать.

Ладно всем спасибо.. рушил проблему путём обычного батника
Через route add & route delete

Кто сталкивался с TimePhone ? есть проблема надо открыть для него порты кто это делал под ISA . Вот такие порты надо открыть. Внимание вопрос ! UDP у нас 4 видов Receiva,Send Receive,Send,Receive Send так какой все 4 вида.??
И как открыть все выше 4000 UDP полность до 6500

открыты ли порты у Вас или Вашего провайдера TCP 1720, UDP 1717, 1718, 1719.
RTP UDP выше 4000 и до 6500

Всем привет! Подскажите пожалуйста, есть isa2004, с двумя сетевыми интерфейсами - один инет второй локалка - все просто в приципе. Но с сожалению не устраивает качества инета, хотим подключить второго провайдера, получается что у нас на исе будет уже 3 интерфейса (один для локальной два для инета). Можно ли сделать какую-нибудь приоритезацию м/у этими двумя интерфейсами смотрящими в инет, т.е. что-то типа "если через первый интерфейс запрошенный узел не найден, пробуем смотреть через второй..."

uginx

У меня было немного по-другому.
Два шнурка от принципиально различных инет провайдеров втыкались в маршрутизатор, а иса сервер стоял непосредственно за маршрутизатором и даже не подозревал о существовании двух каналов.
На маршрутизаторе настроен протокол маршрутизации EIGRP, таким образом маршрутизатор выбирал путь с минимальной стоимостью и постоянно определял замещающий маршрут в случае отказа канала.
К сожалению, насколько я знаю, после разрыва Microsoft и Cisco, протокол EIGRP и IGRP не поддерживается в виндах, соответственно разрулить такую систему используя только сервер с ИСОЙ не получится. Хотя, может у кого-то другое мнение..

Люди как сделать, чтобы иса раздавала инет в одну сеть, где пользователи сидят в домене, и в другую где пользователи не в домене???

Web Proxy Filter 192.168.1.7 80 Denied Connection 192.168.1.2 anonymous CCM_POST /ccm_system/request


что делать с этим?