» MS ISA Server (часть 1)

PIL123
Enterprise Edition - может быть членом массива, NLB, единая политика, независиммое хранилище конфигурации и тд. а проще - если ты не планируешь использовать несколько серверов под ISA и сеть/кол-во юзеров небольшое - то EE тут не нужна.
2. насчет антивирусов - их море выбирай любой - поиск поможет
http://www.yandex.ru/yandsearch?text=antivirus+isa+2004&stype=www
http://www.google.ru/search?hl=ru&q=antivirus+isa+2004&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=

FinistSokol
Ходил по ссылкам. Про то, что появилась Panda для ISA 2004 понял, а вот меня больше Symantec интересует - про него я что-то ничего не выяснил - нету что ли?

ALL
Подскажите, пожалуйста, альтернативные методы авторизации.
я где то слышал что можно сделать авторизацию по IP
Только найти не могу как и где, в правило добавить IP клиента...

wea

Цитата:

Только найти не могу как и где, в правило добавить IP клиента

создать какой-н комп сетс (на правой панели) и потом пихать в source...

greenfox
все заработало
спасибо за советы

PIL123
вроде как под 2004 нет и не будет

Интернет теперь работает нормально
Посоветуйте, пожалуйста, решение для ограничения трафика...
понимаю что тема уже поднималась не раз, но трафикквота и трафикфильтер не подходят по причене того, что платные(а лекарства так и не придумали), но все же
кто- нибудь нашел нормальное решение этой проблемы, подскажите как быть...

Может удалось прикрутить к ISA серверу такую прогу как BSB (_www.bsb.net.ru)
поделитесь тогда ходом действий...

Скажите пожалуйста, а есть ли смысл ставить ISA на небольшую сеть 15-20 машин, или воспользоваться альтернативными программами?
Необходимо: Firewall, посчитать траффик по mac, прозрачность для пользователей...

samcfv
домен (AD) есть!? Если нет - то смысла ставить нет ибо сквозной аутентификации не будет всё равно...

ps
Цитата:

траффик по mac

может по ip имелось ввиду!?

greenfox
ему надо наверняка исключить возможность подмены IP... ISA вроде так не может

2 greenfox:

Домен есть.
Траф. по физ. адресу сет. карты, кстати IP DHCP раздаёт по MAC.

XMMS

Цитата:

ISA вроде так не может

да... кажись такое не может... это вроде вообще обычно на активке настраивают, но да не об этом речь...

samcfv

Цитата:

Домен есть.

ну тогда если нужна сквозная аутентификация. причём не только для HTTP но и для всего трафика - то ИСА поможет... хотя для 15-ти машин может и попроще есть решение...
Цитата:

кстати IP DHCP раздаёт по MAC

это понятно...

Спасибо.

В Санкт-Петербурге скоро будет технический семинар по ISA 2004. Если кто-нибудь заинтересуется - стучитесь в ПМ.

P.S. Я надеюсь, что это не будет расценено как реклама, а как возможность узнать для себя что-то новое и пообщатся со знающими людьми.

Добавлено:
Кстати, поскольку я туда пойду, можете задать мне свои наболевшие вопросы, а я спрошу специалистов

PRiM
А этот семинар больше чтоб пообщаться, или больше чтоб посмотреть/послушать? Хотелось бы последнее, т.к. пока мои вопросы будут слишком банальны. Просто с исой никогда не работал, но рассматриваю возможность поставить на сервер.

EZH
Посмотреть/послушать + задать свои вопросы после окончания. Смотри ПМ.

Цитата:

Посмотреть/послушать + задать свои вопросы после окончания. Смотри ПМ

"сдаётся мне это была... комедия"(с) ... мне кажется что все эти семинары это по большей части обычные пиар-акции, подразумевающие "купите то-то и то то"...
что бы понять что такое эт за продукт этот "ISA2004" достаточно инфы на мс-е пару тройке сайтов (типа isaserver.org) и книжки типа аля Шиндлер и Ко...

greenfox
Этот как раз ЧИСТО ТЕХНИЧЕСКИЙ. А вообще, это личное дело каждого. Я тоже решил с Юзергейта на Ису перейти, но хотелось бы иметь хоть какое то представление о ней. Лучше один раз увидеть вживую, чем сто раз услышать.
P.S. Я вот недавно был на семинаре по резервному копированию Эксчендж 2003, так там много интересного узнал и увидел. Хотя он был не чисто технический, а смешанный и про купите ххх там тоже было. Сорри за оффтоп.

PRiM

Цитата:

ЧИСТО ТЕХНИЧЕСКИЙ

компания М$ не проводит "чисто технических" семинаров как и любая другая фирма на западе да будет вам известно...
Цитата:

так там много интересного узнал и увидел

ну всё познаётся в сравнении - если на семинаре первый раз слышал про то, что такое exchange то конечно инфы море будет...

А так всё есть в инете и книгах - дешевле и информативней...

ps "такое моё мнение"(G)

greenfox
А я не говорил, что семинар проводит M$.

PRiM

Цитата:

А я не говорил, что семинар проводит M$.

и о чём это говорит!? Ни о чём! Продукт мс-овский так что проводят такие семинары только либо "мс и Ко" либо их адепты ибо всё равно всё завязано на рекламу и послед привлечени клиентов ...

ps это не значит что я против семинаров. просто нужно понимать их органиченный смысл в информативном плане...

НУЖНА ПОМОЩЬ!

Нужен WEB сервис для просмотра пользователями собственного трафика.
У пользователей имеется месячный лимит трафика, соответственно они требуют биллинг, для контроля текущего использования трафика.

Подскажите лучшее решение.

Isia
а каким образом у тебя сделано лимитирование?
ALL
Проблему с лимитированием сам решить пока не смог, но остановился на способе рассказанном сдесь:
_http://forum.ixbt.com/0007/018643.html
но там требуеться хранение логов в SQL:
начал настройку записи логов ISA в SQL вот по этому мануалу...
_http://www.isaserver.ru/ShowPost.aspx?PostID=2113
дошел до 17 пункта, а дальше там идет настройка самой ISA 2000.
НО в ISA 2004 я не могу найти ничего похожего
Подскажите плиз, где объяснить ISA 2004, что логи нужно записывать в SQL?

wea
Известно где. в Monitoring\Logging. Команда Configure Firewall Logging или Web Proxy Logging.

Люди,подскажите,пожалуйста,я новечок в таких делах, мы с другом решили организовать локальную сеть между несколькими компами в доме. Использовать хотим либо нульмодемное соединение, либо через сетевую карту и хаб.Так вот как это проще сделать,можно ли использовать для этого Win XP как ведущую систему,а другие ведомые или нет?Как вообще настраивается такая сеть и какие прикладные программные обеспечения к ним нужны? Если вы располагаете такой информацией,пожалуйста поделитесь со мной или скинте на ящик vita_sh@rambler.ru

Можно ли в ISA 2000 блокировать доступ определенному браузеру например Opera? В логах ведь пишется тип браузера.

P.S. Правила доступа прописанны для IP. AD нет. Домен NT 4.0, там где прописаны пользователи.

Поскажите каким обрахом открыть прохождение SSL пакетов по 7000 порту внутри прокси пакетов

Добрый день All,
Нужна помощь в настройке ISA2000.

Предистория: есть следующая конфиг. сети -
есть хардварный фаерволл (Forte ...) с адресами WAN:100.100.100.100 и
LAN:192.168.30.1 - он же гейт для всей LAN.
на нем открыто снаружи 5 портов (POP,IMAP,SMTP,WWW,FTP) все они прокидываются
на сервак (192.168.30.11). На серваке Exchange,DSN локальный и остальная ботва. (Исы нету )
Этот же фаервол поддерживает VPN туннели в главное подразделение. Конфигурировать я его не могу (те открыть\закрыть порты , мапить эти порты на другие адреса и тд).
После того как трафик вырос с до 4Г , начальство захотело видеть кто скока чего

Тк настраивать фаервол я не могу (и выкинуть тоже - люди ходят SAPом и другой хренью по VPNу) решил сделать след.конфиг.
всей локалке из 192.168.30.x назначается 192.168.0.x
ставиться сервак с двумя сет. (192.168.0.1 и 192.168.30.11) на него ставиться ISA
который должен все приходящее кидать во внутреннию подсеть и при этом вести весь трафик.
поставил ISA , везде где можно поставил Allow All
сразу обломался
попробовал снаружи SSH зайти на сервак - фильтр пакетов не пущат - пишет типа спуфинг у вас , как ему можно обьеснить что это не спуф а просто фаервол сам пакеты правит при маппинге.
как еэто можно все поправить ( при этом мне нужно учет всего трафика - почты , Веба, нестандартых портов ).
Памажите обьяснить откуда у меня растут руки
Питерцам Пыва или другой мотивации обесчаю.

Никто не сталкивался со следующей проблемой?

Есть два офиса Главный (Г)с сетью 192.168.0/24 и Филиал (Ф) с сеткой 192.168.2/24. В обоих офисах стоит ISA Server 2004 и между ними настроен site-to-site VPN через IPSec. В каждом из офисов подняты DC и создано два сайта в AD. Зоны DNS AD-integrated и на каждом домен-контролере установлен DNS-сервер. Также в каждой подсети свой WINS и DHCP сервера. На обоих ISA-серверах правилами разрешен ВЕСЬ трафик для ВСЕХ компьютеров между двумя офисами (т.е. через VPN). На всех клиентских компьютерах установлен Firewall Client и до кучи они еще настроены как SecureNAT клиенты.

С Главного офиса в Филиал работает АБСОЛЮТНО ВСЁ!!! Т.е. например это и пинги и RDP и Microsoft Network и RPC.

С филиала в Главный офис не работает microsoft network через имена UNC т.е. нневозможно зайти по такому пути \\srv\distrib. НО!!! Прекрасно заходит через \\192.168.9.2\distrib. Причем дело не разрешении имен так как команда ping srv прекрасно работает и на филиальной машине с которой пытаешься получить доступ к \\srv по команде nbtstat -c видно что в кэще лежат записи ипа SRV <020> UNIQUE 192.168.0.2

Но самое интересное, что с DC который находится в филиале прекрасно получается работать и через имена. Т.е. нормально заходит по путям типа \\srv\distrib. НО ТОЛЬКО С DC!!! С других машин только по ip-адресам.

Также из мониторинга обоих ISA-серверов видно, что пакеты при входе на \\srv\distrib прекрасно уходят c ISA "Ф" и приходят и пропускаются ISA "Г".

В чем может быть проблема??? Бьюсь второй день.

З.Ы. Причем приходилось в другой конторе настраивать такую же инфраструктуру, так там всё работает отлично! Настройки сходятся один в один!

помогите, может кто поборол следущий глюк -
Поставил все с нуля - Win 2к3 сп1 + ISA2004 ЕЕ в Edge Firewall,
настроил минимум - правило в инет для http/https/ftp
и попытался опубликовать терминал сервер в локалке - и получил полный облом-
клинет не коннектится, иса в логи пишет -
Establish 0x0 RDP (Terminal Services) Server
Terminate 0x80074e20 RDP (Terminal Services) Server ( в мониторе это так выглядит - 0x80074e20 FWX_E_GRACEFUL_SHUTDOWN )
не пойму в чем дело, терминал с самого компа с исой нормально напрямую коннектит на публикуемый сервер
на Isa2004 Std , стоящей рядом - такое же правило работает -все нормально
может кто сталкивался ? как победить?, а то хотел на ЕЕ array намутить..
а теперь вот и с локалки не могу на ее терминал попасть таже ошибка в логах
и на IIS свой же (стоящий на машине с ISA-й)тоже не пускает. бред какой то...