На W2003EE+SP1 поставлена ISA2003Standart+SP1. В логе при включении компа постоянно пишется ошибка 5783 "The session setup to the Windows NT or Windows 2000 Domain Controller ... for the domain ... is not responsive. The current RPC call from Netlogon on \\.... to \\...... has been cancelled.". при этом с машины с ISA на др. машины зайти через Сетевое окружение не получается. Как победить ошибочку?
» MS ISA Server (часть 1)
Слышал что ИСА умеет ограничивать скорость, это правда?
чтото не могу найти подтверждения и описания...
чтото не могу найти подтверждения и описания...
begem0t
Была такая возможность в 2000-й, в 2004 нет
Была такая возможность в 2000-й, в 2004 нет
Vovann2003
Цитата:
Лобовое решение:
Rule 111 : localhost -> internal = all traffic/all user
Rule 222 : internal -> localhost = all traffic/all user
доработать напильником
Цитата:
при этом с машины с ISA на др. машины зайти через
Сетевое окружение не получается. Как победить ошибочку?
Лобовое решение:
Rule 111 : localhost -> internal = all traffic/all user
Rule 222 : internal -> localhost = all traffic/all user
доработать напильником
Lamo
Ну, такая обработка помогла, ну уж больно она грубая
Ну, такая обработка помогла, ну уж больно она грубая
Vovann2003
сказала же - нужно доработать напильником
там еще системные правила имеются
кто лучше идею подаст - я буду только рада.
сказала же - нужно доработать напильником
там еще системные правила имеются
кто лучше идею подаст - я буду только рада.
Hi 2 all!
Было получено указание от начальства разрезать траффик на две группы. Т.к. Kerio Winroute Firewall этого не мог делать, то пришлось инсталлить ISA 2004. Он вроде бы это умеет делать (по рассказам знакомых).
Установил. Попробовал разобраться. Туговато выходит.
Сеть из 30-ти машин. Клиенты - W2k SP4 и Win XP Prof SP2. Есть контроллер домена (192.168.0.1, W2k3+AD+DNS+MS Exchange 2003). ISA установил на другую машину (192.168.0.2, W2k3+Kerio Mail Server 6+Kerio Winroute Firewall(к-рый отключил)). На машине две сетевухи - одна смотрит в локал, другая - выделенка от провайдера. Вроде всё нормально настроил.
Т.к. до этого читал доки по 2000, то с 2004 не смог сильно разобраться. Смущает этот красивый интерфейс.
В Configuration-Networks поставил Back Firewall (правильно ли?). В Networks стоит External (IP adresses external to the ISA server networks), Internal (192.168.0.0-192.168.0.255), Local host (No IP [бла-бла-бла]), Quarantined VPN (No IP), VPN Clients (No IP).
В Firewall Policy два правила - одно дефолтное (Last Default rule - Deny), второе создал я. Назвал его, Action - Allow; Protocols - добавил всё, что можно придумать (DNS, Ping, ICQ, FTP, SMTP и т.д.); From - All Networks; To - Local Host, All Networks, Perimeter Adress range; Condition - All users.
Вроде бы больше ничего не делал.
В браузере прописываю 192.168.0.2:8080, и-нет работает.
Теперь задачи:
1. Нормальная работа почты (KMS 6+MS Exchange 2003)
2. Нормальная работа и-нета
3. Нужно разделить и-нет на группы. Например, на 10 юзеров (вытащить их из AD или просто забить IP) отдать 25%, на остальных 20 - 75% канала. (Выделенка 256/128). (это самая важная задача)
4. Обеспечить работу p2p (Bit Comet, eMule).
4. Подскажите, как и что нужно "правильнее" настроить. Где какие ошибки? Что можно добавить к настройкам, чтобы это всё нормально работало, а не криворуко?
Извиняюсь за длинное описание.
Очень срочно нужно.
Заранее спасибо.
ЗЫ привязка GFI к MS Exchange в логах мне пишет "Host mail.provider.com not found". И я не могу пингонуть ни один хост в и-нете с клиентов. Пингонуть могу только с машины, где ISА установлен.Что случилось с преобразованием имени в IP? В правило добавил всё, что только можно было добавить.
Меня юзера сожрут, если почту не получат.
Было получено указание от начальства разрезать траффик на две группы. Т.к. Kerio Winroute Firewall этого не мог делать, то пришлось инсталлить ISA 2004. Он вроде бы это умеет делать (по рассказам знакомых).
Установил. Попробовал разобраться. Туговато выходит.
Сеть из 30-ти машин. Клиенты - W2k SP4 и Win XP Prof SP2. Есть контроллер домена (192.168.0.1, W2k3+AD+DNS+MS Exchange 2003). ISA установил на другую машину (192.168.0.2, W2k3+Kerio Mail Server 6+Kerio Winroute Firewall(к-рый отключил)). На машине две сетевухи - одна смотрит в локал, другая - выделенка от провайдера. Вроде всё нормально настроил.
Т.к. до этого читал доки по 2000, то с 2004 не смог сильно разобраться. Смущает этот красивый интерфейс.
В Configuration-Networks поставил Back Firewall (правильно ли?). В Networks стоит External (IP adresses external to the ISA server networks), Internal (192.168.0.0-192.168.0.255), Local host (No IP [бла-бла-бла]), Quarantined VPN (No IP), VPN Clients (No IP).
В Firewall Policy два правила - одно дефолтное (Last Default rule - Deny), второе создал я. Назвал его, Action - Allow; Protocols - добавил всё, что можно придумать (DNS, Ping, ICQ, FTP, SMTP и т.д.); From - All Networks; To - Local Host, All Networks, Perimeter Adress range; Condition - All users.
Вроде бы больше ничего не делал.
В браузере прописываю 192.168.0.2:8080, и-нет работает.
Теперь задачи:
1. Нормальная работа почты (KMS 6+MS Exchange 2003)
2. Нормальная работа и-нета
3. Нужно разделить и-нет на группы. Например, на 10 юзеров (вытащить их из AD или просто забить IP) отдать 25%, на остальных 20 - 75% канала. (Выделенка 256/128). (это самая важная задача)
4. Обеспечить работу p2p (Bit Comet, eMule).
4. Подскажите, как и что нужно "правильнее" настроить. Где какие ошибки? Что можно добавить к настройкам, чтобы это всё нормально работало, а не криворуко?
Извиняюсь за длинное описание.
Очень срочно нужно.
Заранее спасибо.
ЗЫ привязка GFI к MS Exchange в логах мне пишет "Host mail.provider.com not found". И я не могу пингонуть ни один хост в и-нете с клиентов. Пингонуть могу только с машины, где ISА установлен.Что случилось с преобразованием имени в IP? В правило добавил всё, что только можно было добавить.
Меня юзера сожрут, если почту не получат.
error007:
В ISA невозможно ограничить ширину канала по пользователям, неверно тебя друзья информировали
В ISA невозможно ограничить ширину канала по пользователям, неверно тебя друзья информировали
renault
А некоторые говорят, что невозможно в 2004, а в 2000 можно.
Кто прав?
А некоторые говорят, что невозможно в 2004, а в 2000 можно.
Кто прав?
error007
Цитата:
в 2004 - нет
Цитата:
А некоторые говорят, что невозможно в 2004, а в 2000 можно.в 2000 - можно
Кто прав?
в 2004 - нет
Ладно, удалил 2004 и поставил обратно свой Винроут.
На выходных буду инсталлить 2000. Могут ли аналогичные проблемы возникнуть? В часности, интересует работа почты и деление полосы на группы.
На выходных буду инсталлить 2000. Могут ли аналогичные проблемы возникнуть? В часности, интересует работа почты и деление полосы на группы.
error007
Цитата:
Не помню где читал, но звучит примерно так: "из-за того, что bandwidth rules в ISA 2000 очень напонятно работали, а у части не работали вообще и для возобновления их работоспособности нужно было переустанавливать систему, в ISA 2004 они нафиг убраны". Это не значит, что у тебя будет именно так, просто FYI .
Цитата:
Могут ли аналогичные проблемы возникнуть? В часности, интересует работа почты и деление полосы на группы
Не помню где читал, но звучит примерно так: "из-за того, что bandwidth rules в ISA 2000 очень напонятно работали, а у части не работали вообще и для возобновления их работоспособности нужно было переустанавливать систему, в ISA 2004 они нафиг убраны". Это не значит, что у тебя будет именно так, просто FYI .
error007 с работой почты никаких проблем быть не должно.
Для полного доступа твоих ПК и серверов без авторизации сделай ису дефолг гейтвеем - тогда необходимо разрешить IP адресам (Client Address Sets) доступ а не юзерам (значит и сервисы будут иметь выход в инет). Exchange Server необходимо будет опубликовать (Publish Server). Если ставишь ISA 2000 на Win2003SR1 то кроме сервиспака к исе нужен еще отдельный хотфикс, решающий проблемы совместимости RPC с сервиспаком к 2003. Он доступн бесплатно с сайта майкрософт
Для полного доступа твоих ПК и серверов без авторизации сделай ису дефолг гейтвеем - тогда необходимо разрешить IP адресам (Client Address Sets) доступ а не юзерам (значит и сервисы будут иметь выход в инет). Exchange Server необходимо будет опубликовать (Publish Server). Если ставишь ISA 2000 на Win2003SR1 то кроме сервиспака к исе нужен еще отдельный хотфикс, решающий проблемы совместимости RPC с сервиспаком к 2003. Он доступн бесплатно с сайта майкрософт
kibkalo
Да я и так ставил Ису дефолтным шлюзом.
Экс тоже публиковал. Добавил 4 правила для всех возможных протоколов. Результат тот же. В логах пишется "не могу найти mail.firma.com". Что нужно делать? Указывать ip машины, на к-рой находится Экс?
Вопрос в том, почему запрещены пинги с клиентов в мир? Пинговать могу только с исовской машины. С других при пинге по имени domain.com вижу "такой хост не найден". Если пингую по ip, то вижу "превышение интервала запроса".
2000 буду ставить на w2k3 без вяских заплаток.
Какой сервиспак нужен для Иса 2000?
Остались открытыми вопросы про деление полосы на группы и работу p2p.
Да я и так ставил Ису дефолтным шлюзом.
Экс тоже публиковал. Добавил 4 правила для всех возможных протоколов. Результат тот же. В логах пишется "не могу найти mail.firma.com". Что нужно делать? Указывать ip машины, на к-рой находится Экс?
Вопрос в том, почему запрещены пинги с клиентов в мир? Пинговать могу только с исовской машины. С других при пинге по имени domain.com вижу "такой хост не найден". Если пингую по ip, то вижу "превышение интервала запроса".
2000 буду ставить на w2k3 без вяских заплаток.
Какой сервиспак нужен для Иса 2000?
Остались открытыми вопросы про деление полосы на группы и работу p2p.
Может кто подскажет какправильно настроить FTP на ISA 2000 хосте
error007 - когда публикуешь серве, надо указать его внутренний ИП адрес.
Для работы пингов необходимо отключить фильтрацию ICMP/PPTP пакетов и включить галку Use IP Routing. Пинг идет только с Secure Nat клиентов. Похоже, что у тебя им не разрешен DNS протокол или они используют внутренний днс, который не имеет доступа вовне.
Для работы р2р необходимо создать описание протоколов р2р (есть на www.isaserver.org)
Деление полосы - http://www.microsoft.com/resources/documentation/isa/2000/enterprise/proddocs/en-us/isadocs/m_p_c_bandwidthrule.mspx
Добавлено:
Igoriy FTP server?
Установить ПО фтп сервера и создать правило публикации.
Если протокол фтп нужен не только пассивный, то создать определение Active FTP Protocol (21 порт и как вторичное соединение 20 порт) и публиковать сервер именно с этим протоколом
Для работы пингов необходимо отключить фильтрацию ICMP/PPTP пакетов и включить галку Use IP Routing. Пинг идет только с Secure Nat клиентов. Похоже, что у тебя им не разрешен DNS протокол или они используют внутренний днс, который не имеет доступа вовне.
Для работы р2р необходимо создать описание протоколов р2р (есть на www.isaserver.org)
Деление полосы - http://www.microsoft.com/resources/documentation/isa/2000/enterprise/proddocs/en-us/isadocs/m_p_c_bandwidthrule.mspx
Добавлено:
Igoriy FTP server?
Установить ПО фтп сервера и создать правило публикации.
Если протокол фтп нужен не только пассивный, то создать определение Active FTP Protocol (21 порт и как вторичное соединение 20 порт) и публиковать сервер именно с этим протоколом
Подскажите, пожалуйста, как все-таки ПРАВИЛЬНО настроить ISA 2004 для доступа в Интернет через спутник. Имеется DVB карта, настроено VPN соединение с провайдером интернета через спутник клиентом операционной системы, наземный ADSL канал к местному провайдеру.
Если на ISA разрешить правилом выход с localhost-a во внешнюю сеть для протокола PPTP, то в принципе спутниковый канал работает, однако в логах операционной системы вываливаются сообщения, о том, что интерфейсы (vpn и dvb) не сконфигурированы. И такой подход, наверно, не правильный.
Если определяю дополнительный интерфейс для dvb в Configurations-> Networks -> Networks, то при подключении через vpn клиента, трафик через dvb карту не поступает на localhost.
Непонятно, также где настраивать vpn соединение: определять его как Site-to-Site VPN или оставлять, как клиента VPN операционной системы. Если определять через Site-to-Site VPN, то не могу осуществить соединение с VPN сервером провайдера.
Вопрос о маршрутизации, так же остается открытым
Если на ISA разрешить правилом выход с localhost-a во внешнюю сеть для протокола PPTP, то в принципе спутниковый канал работает, однако в логах операционной системы вываливаются сообщения, о том, что интерфейсы (vpn и dvb) не сконфигурированы. И такой подход, наверно, не правильный.
Если определяю дополнительный интерфейс для dvb в Configurations-> Networks -> Networks, то при подключении через vpn клиента, трафик через dvb карту не поступает на localhost.
Непонятно, также где настраивать vpn соединение: определять его как Site-to-Site VPN или оставлять, как клиента VPN операционной системы. Если определять через Site-to-Site VPN, то не могу осуществить соединение с VPN сервером провайдера.
Вопрос о маршрутизации, так же остается открытым
Подскажите, пожалуйста, как быть в моей ситуации
Совсем недавно начал переходить на ISA Server...
Поставил ISA 2004 SE
При его настройки столкнулся с такой проблемой:
Если создать любое правило, то оно работает только в том случае если в поле User стоит ALL Users, как только All users я заменяю на группу пользователей домена, то тут же у юзеров перестает работать все кроме HTTP.
в чем могут быть проблемы?
Совсем недавно начал переходить на ISA Server...
Поставил ISA 2004 SE
При его настройки столкнулся с такой проблемой:
Если создать любое правило, то оно работает только в том случае если в поле User стоит ALL Users, как только All users я заменяю на группу пользователей домена, то тут же у юзеров перестает работать все кроме HTTP.
в чем могут быть проблемы?
wea
Так и задумано. Нужно поставить Firewall Client юзерам - и будет тебе щастье
Так и задумано. Нужно поставить Firewall Client юзерам - и будет тебе щастье
renault
В том то и дело что Firewall Client стоит
без него помоему вообще никак ftp и pop3 не работают.
проблема в чем то в другом...
В том то и дело что Firewall Client стоит
без него помоему вообще никак ftp и pop3 не работают.
проблема в чем то в другом...
Привет всм!
Когда выставляю в свойствах Internal на вкладке Firewall Client использовать "Use automatic configuration script" то на клиентах при открытии IE и попытке открыть URL выскакиевает окно авторизации.
Когда вводишь доменную учетку пользователя, то дальше работает без выскакивания этого окошка, даже при закрытии и открытии IE. Но при перезагрузке компьютера клиента при попытке открыть URL в IE опять выскакивает это окошко авторизации.
Как сделать, чтоб окошко авторизации не выскакивало, но при этом использовался бы конфиг. скрипт???
Думаю, что если отключить "Require all users to authenticate", то проблем не будет. Прав?
И вообще, нужно ли включать данную опцию? Ведь если в Рулесах прописать правила на основе доменных уч. записей, то следовательно и анонимусы не смогут пролезть мимо этих правил? Тогда какой вообще смысл в "Require all users to authenticate"?
И ещё вопрос на засыпку: где можно почитать советы по порядку следования правил в Firewall Rules? Ну например, правила для All Users куда ставить: в начало или в конец?
Когда выставляю в свойствах Internal на вкладке Firewall Client использовать "Use automatic configuration script" то на клиентах при открытии IE и попытке открыть URL выскакиевает окно авторизации.
Когда вводишь доменную учетку пользователя, то дальше работает без выскакивания этого окошка, даже при закрытии и открытии IE. Но при перезагрузке компьютера клиента при попытке открыть URL в IE опять выскакивает это окошко авторизации.
Как сделать, чтоб окошко авторизации не выскакивало, но при этом использовался бы конфиг. скрипт???
Думаю, что если отключить "Require all users to authenticate", то проблем не будет. Прав?
И вообще, нужно ли включать данную опцию? Ведь если в Рулесах прописать правила на основе доменных уч. записей, то следовательно и анонимусы не смогут пролезть мимо этих правил? Тогда какой вообще смысл в "Require all users to authenticate"?
И ещё вопрос на засыпку: где можно почитать советы по порядку следования правил в Firewall Rules? Ну например, правила для All Users куда ставить: в начало или в конец?
wea
Цитата:
Добавлено:
Porolonchik
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
проблема в чем то в другомв авторизации скорее всего... посмотри в логи что там написано (мониторинг - логининг - ip клиеннта в фитр и попытаться законектиться).. всё не работает или только какие то протоколы!?
Добавлено:
Porolonchik
Цитата:
Думаю, что если отключить "Require all users to authenticate", то проблем не будет. Прав?так точно.
Цитата:
нужно ли включать данную опциюесли нужен детализированный отчёт по пользователям при условии что нет домена - то нужен, если есть домен то можно и уч.записями домена обойтись, главное что бы all users не было в правилах...
Цитата:
анонимусы не смогут пролезть мимо этих правил?анонимус в логах будет конечно, но в инет он не пройдёт! А нужно это ибо выход в инет можно делать не только по учёткам и тогда иса и спрашивать не будет эти кредентиалс - а так с поставленой галкой в логах всегда будут учётки кто куда и почему...
Цитата:
почитать советы по порядку следования правил в Firewall Rules?в 2004 всё идёт сверху вниз как и во многих современных файерах...
Цитата:
All Users куда ставить: в начало или в конец?от условий зависит...
Ещё вопрос, про странности ИСА2004.
У меня в Firewall Rules нет ни одного правила, разрешающего ICQ, тем не менее аська у меня пашет. Что это??? 8-( )
Далее, для меня разрешен ping с internal to external - однако не проходит, пишет "превышен интервал...". А это что?????
У меня в Firewall Rules нет ни одного правила, разрешающего ICQ, тем не менее аська у меня пашет. Что это??? 8-( )
Далее, для меня разрешен ping с internal to external - однако не проходит, пишет "превышен интервал...". А это что?????
Цитата:
У меня в Firewall Rules нет ни одного правила, разрешающего ICQ, тем не менее аська у меня пашет. Что это??? 8-( )
Я так думаю что последняя ICQработает не по своему протоколу а поверх http если разрешено http значит будет и ICQ.
А как на счет ping?
Porolonchik
Цитата:
Цитата:
Цитата:
У меня в Firewall Rules нет ни одного правила, разрешающего ICQ, тем не менее аська у меня пашет. Что это??? 8-( )icq клиент сейчас работает через многие протоколы - http, smtp, pop и т.д. (имеется ввиду их порты использует) что бы бедные пользователи могли ей пользоваться и через файер корпаративный...
Цитата:
А как на счет ping?пинг будет идти через фаш дефолтовый гейт - у вас гейтом стоит ИСА!? а так включить роутинг ip (jy по дефолту включён) + правила вроде создать: http://support.microsoft.com/default.aspx?scid=kb;en-us;838251
greenfox
Ваш файл log.rar (размер 3 кбайт)
доступен по адресу: webfile.ru/255840 в течение 21 день до 15:26 03.05.2005.
Выше ссылка на лог файл
лист1 это лог обращения к ftp в том случае если в поле Users стоят юзеры домена
лист2 это лог обращения к ftp в том случае если в поле Users стоит All Users
Цитата:
можно сказать так - работает только HTTP...
Ваш файл log.rar (размер 3 кбайт)
доступен по адресу: webfile.ru/255840 в течение 21 день до 15:26 03.05.2005.
Выше ссылка на лог файл
лист1 это лог обращения к ftp в том случае если в поле Users стоят юзеры домена
лист2 это лог обращения к ftp в том случае если в поле Users стоит All Users
Цитата:
всё не работает или только какие то протоколы!?
можно сказать так - работает только HTTP...
wea
с авторизацией что-то... вообще про ftp в иса отдельный разговор - там аплоад отдельно включается, активный режим тоже что-то глючил... + клиенты иногда работают неправильно...
у тя клиентские ос какие? ХП? СП2?? или что? В смтп-поп логе тоже самое!? Клиент видит сервер нормально? На исе АД видна?
с авторизацией что-то... вообще про ftp в иса отдельный разговор - там аплоад отдельно включается, активный режим тоже что-то глючил... + клиенты иногда работают неправильно...
у тя клиентские ос какие? ХП? СП2?? или что? В смтп-поп логе тоже самое!? Клиент видит сервер нормально? На исе АД видна?
Цитата:
ам аплоад отдельно включается
мне пока downloada хватило бы
Цитата:
у тя клиентские ос какие? ХП? СП2??
XP sp2
Цитата:
В смтп-поп логе тоже самое!?
я не проверял на уверен что тоже самое
Цитата:
Клиент видит сервер нормально?
да, без проблем
Цитата:
На исе АД видна?
видна, как же я тогда сделал группы в которые входят юзеры домена...
Самое интересное что проблема не в правилах и не в клиенте, а в чем то в другом...
возможно
Цитата:
с авторизацией что-то...
потомучто если стоит ALL Users то все работает, а если группа пользователей то пиши пропал... только HTTP...
если с авторизацией то где тогда копать?
Подскажите, пожалуйста в чём разница между ISA 2004 Standard Edition и ISA 2004 Enterprise Edition, а то вот дилема у меня в этом возникла. И ещё вопрос по ISA 2004: есть ли для этой программулины антивирус, который интегрируется в ISA и просматривает весь трафик на предмет вирусов и пр.?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: Всё о DNS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.