» MS ISA Server (часть 1)

Porolonchik
http в исе 2004 идет через http-фильтр (раньше это бала служба web proxy) и если ты настроил

Цитата:

Веб-прокси (require all users to authenticate),

то он всегда будет требовать авторизацию.
поэтому
1. отключаешь это требование.
2. первым ставишь правило для secury nat клиента а вторым для http.
3. в правиле для http указаны пользователи, которым разрешен выход в инет, следовательно http фильтр потребует авторизацию у пользователя, что тебе и надо.

К вопросу о http-proxy. Как в ISA Server 2004 сделать так, чтобы пользователи не могли ходить по HTTP в обход прокси? Т.е. у меня есть правило которое определенной группе пользователей разешает ходить по протоколам HTTP и HTTPS, галка require all users to authenticate снята. но пользователь не обязан ходить через прокси. он может в Internet Explorer убрать прокси и ходить напрямую. Соответственно весь трафик без прокси попадает в firewall log, а хотелось бы всё-таки чтобы весь http-трафик был в webproxy log.

ivanopulos

направь весь трафик наружу через ISA, т.е. сделай ISA гейтом - у тебя будут клиенты Secure NAT и WebProxy, или в политиках домена пропиши проксю для всех и убери эту вкладку, чтоб не могли редактировать.

Есть проблема.
ISA 2004.
Правило - весь трафик для всех сетей. Группа all_users (родная исашная). Инет есть абсолютно у всех в этом случае. Надо сделать разграничение.
Если меняю эту группу на группу full_right, созданную в AD - инет не работает + невозможно достучаться на шлюз.
Где копать?

Dmitriy_Volodin
что значит
Цитата:

+ невозможно достучаться на шлюз

?
пинги? так на них иса и не отвечает.
не работает удаленной рабочий стол? надо добавить ip компьютера с которого выполняется вход в соответсвующий computer set.


Цитата:

Если меняю эту группу на группу full_right

Цитата:

инет не работает

что не работает? поподробнее раскажи какие протоколы не работают.

MaksC
Так оно у меня и есть. Но если например есть приложение которое работает по http-протоколу? Т.е. пользователь в настройках не укажет прокси и полезет напрямую.

Вопрос остается открытым.

Народ, подскажите пожалуйста.
Значит так:
Установлена ISA2004 на Win2003 SP1
на сервере установлен Default SMTP Virtual Server, выход в интернет через Dial-Up.

Если соединение с интернет на сервере установлено и пользователь отправляет почту (используя Default SMTP Virtual Server), то почта шустро уходит и доставляется куда надо. Если же соединения нет, то сообщение падает в папку c:\Inetpub\mailroot\Queue\ и лежит там мертвым грузом.

Какие настройки необходимо сделать, чтобы при появлении сообщения на Default SMTP Virtual Server, сервер автоматом подключился к интернету и отправил сообщение?

Xless
На пинги отвечает. Если создано правило для локальной сети....

С юзерами вроде разобрался, но так до конца и не понял.
Опять таки - all users - все летает.
full_right - уже работает, скорость на http оставляет желать лучшего. Аська и почта ходят нормально. Закачка тоже идет на хорошей скорости. Но вот страницы.....

Dmitriy_Volodin

попробуй дать достип DC на localhost
В вообще то у тебя LDAP не работает... между домен кнтроллером и локалхостом исы....

Lamerok
А можно на пальцах, если не сложно?

Dmitriy_Volodin
создаешь руль что from домен контроллера ( ip XXX.XXX.XXX.XXX) to localhost allow all outbound traffic
потом смотри в мониторинге какие протоколы ходят между исой и домен контроллером и покаким протоколам идет deny

Добавлено:
если этот руль отработает , то поставь не all outbound traffic а по протоколам LDAP , DNS...

Lamerok
Не работает.
Денай идет по dns, dhcp и net bios.
Кстати, есть правило разрешен ВЕСЬ трафик во ВСЕЙ локальной сети.
Да и еще...
В мониторинге висит, что ad, dhcp, dns - not configured....
я так понял, что их включить где-то можно?

Isa 2004
доступ в локальную сеть чере интернет по средствам VPN ISA

Как сделать так чтобы ISA сообщала на мыло о каждом конекте VPN пользователя?

Найдено решение по доступу к http ТОЛЬКО через Web Proxy.

_http://support.microsoft.com/default.aspx?scid=kb;EN-US;891241

З.Ы. Первоисточники рулят

Dmitriy_Volodin

Цитата:

я так понял, что их включить где-то можно?

правой педалью на "Firewall policy" пункт "Edit system policy"


ivanopulos
ну и как работает? я из этой статьи не понял тлько 2-х вещей:
1. на кой создавать MyHTTP если уже есть предопределённый протокол HTTP???
2. на что доступ там запрещается - на 80-й порт самой исы (те локалхост) что ли?

greenfox
Там как раз все это включено)
А вот monitoring -> dashboards -> connectivity... там список ad, dhcp, dns, others, published servers, web (internet). И напротив каждого значения стоит - not configured.
Вот где их сконфигурить можно?
Или я не там копаю?

Dmitriy_Volodin


Цитата:

Денай идет по dns, dhcp и net bios

дай доступ "туда обратно" по этим протоколам. Она по нет биосу его не видит

Lamerok
Неа.
Даю доступ, инет вообще отваливается.

Dmitriy_Volodin

Цитата:

А вот monitoring -> dashboards -> connectivity

это вообще не из той оперы - это нужно для того, что бы отслеживать "доступность" тех или иных серверов в реалтайме и не более... а тебе систем полиси нужна...
настрой логи на весь трафик на свой контроллер с GC и посмотри их...

greenfox
Ага работает. Создаешь правило в котором делаешь "Deny" на этот новый протокол от "Internal" к "External". Смысл в том, что в свойствах этого нового протокола НЕ ВКЛЮЧЕН "Web Proxy Filter", а в протоколе HTTP определение которого есть изначально в ISA 2004 этот "Application Filter" ВКЛЮЧЕН.

привет
кто занет, почему когда используется прозрачный прокси (у клиента стои FWC, isa 2004, клиенты в терминалке) очень долго (~5секунд) открываются страницы, а при указании прокси всЁ происходит гораздо быстрее?

было бы хорошо если найдутся сбособы лечения данной болезни, а то мне не нравиться когда надо указывать прокси

Добавлено:
и еще, может кто поделится списком бан листов (порно, баннеры) для isa 2004
кидать на cubic_76@list.ru
заранее благодарен

gyt FWC где стоит то у клиента и/или на терминал-сервере ?
бан листы есть но устаревшие,если надо кину..

Не подкинете ссылочку по настройке ISA2004, желательно на русском.

FinistSokol
клиенты сидят в терминалке, соответственно на терминал сервере


Цитата:

бан листы есть но устаревшие,если надо кину..

кидай

Подскажите почему при настройке клиента работает только установка сервера ИСА в ручную???
при автомате сервер не тестится....

sergiigray

Цитата:

при автомате сервер не тестится

было такое.. толи баг, толи ещё что - рекомендуют ручками прописывать сервер иса....

Цитата:

было такое.. толи баг, толи ещё что - рекомендуют ручками прописывать сервер иса....

Эх. Жаль... Ну не критично...
Вопрос вот встал с WUS. не ползет гад за обновлениями..... что где куда смотреть?

sergiigray

Цитата:

не ползет гад за обновлениями

не ползёт сам? Тогда это в отдельную ветку - по фильтру найдёшь... Или не ползёт через ису? Тогда:
Цитата:

что где куда смотреть?

смотреть логи

Привет народ!
Тут ису поставил 2004, вроде разобрался почти во всем, но при добовлении юзверей из домена говорит типа ошибка вызываемой процедуры. В чем трабл? или опять ручки кривые

Адептам ISA 2004 несколько вопросов...

Можно ли на одном сервере сделать так:

1) При наличии двух внешних интерфейсов и одного внутреннего раздавать инет например HTTP c одного(внешнего) - а POP-SMTP c другого(внешнего)???

2) При наличии двух внешних интерфейсов и одного внутреннего раздавать инет чтоб входящий траффик шел на один интерфейс(внешний) а исходящий на другой интерфейс(внешний)...

3) Насколько стабильна и прожорлива ISA 2004??? Какой у вас max Uptime??? Сколько ей нуна памяти для 50 юзеров???