» MS ISA Server (часть 1)

Помогите разобраца!! Сушествует сеть 10.0.3.0/24 к сети подрублен ADSL модем через него роутингом ходят на другие сети типа 10.0.1.0/24.....10.0.0.9/24(т.е маршрут на ети сети являеца 10.0.3.1).Интерент поднимаеца по впн на ип 80.273.xx.xx маршрут на етот ип опять же 10.0.3.1(все маршруты прописаны ввдиде пирсенд роутов).Сотит сервер 2000(без ад)+иса2004 (1 сетевой адептер 10.0.3.10),как все ето дело заставить а именно сеть 10.0.3.0/24 c маршрутом по уморчанию 10.0.3.10 ходить в инет(диал ап впн не хотит поднимаца не видит 80.237.xx.xx)(и еше в логах исы пишет обнаружен маршрут 80.237.xx.xx.для него в исе не задана подсеть)Пробовал На 2000 исе(впн поднимаеца) всем все протололы на все сайты,по проксе все ходют ,NAt не работает....
Поднимал все на голом RAS с NAt(впн тогда заводил как диамал диал соединение) все нормально работает в чем грабли???
П.с Мне не понравилось что в исе2004 на Диаман диал соединения нельзя задать маршурт типа 0.0.0.0 mask 0.0.0.0

Прочитал много ответов на форуме сделал вывод иса плюет на таблицу маршрутизации,и что мне придеца вставить еше сетевой адаптер и разделить сеть(10.0.3.0/24 как внешняя и например 192.168.1/24 внутреняя) если нетак поправте

Всякие бан-листы на мой взгляд не справляются с задачей, сайтов с порнухой развелось немерянно и каждый день сидеть корпеть над логами обновляя список это не выход. Может знает кто способ устроить фильтрацию по содежримому загружаемях страниц? Ведь есть проги типа ParentControl для компов который предназначены для ограждения шастания детей по всякому разврату, и в этих прогах как раз такие фильтры есть.

Ситуация такая -- стоит сервакWin2003+AD+Isa2000 на нем 2 сетевухи одна в инет другая в локалку, та что в инет имеет внешний IP, так вот зарегил я домен на nic.ru и secondary DNS, первичный я использовал свой IP, так вот прописал все эту бодягу в DNS, в ISA прописал фильтры TCP и UDP 53 портом, также TCP 80, с помощь сайта http://www.network-tools.com/nslook/Default.asp проверяю свой DNS отклик идет информация выводиться о моём DNS сайт открывается с наружи.....НО от nic.ru постоянно идут письма такого содержания...

При очередном обновлении содержимого зоны был зафиксирован
отказ от передачи зоны со стороны родительского сервера.
С момента формирования предыдущего отчета эта ошибка появлялась 2 раз.
Последний раз она была зафиксирована 27.04.2005 04:53:24.

Возможные причины:
1. Ошибка конфигурации первичного сервера.

что за хрень может быть....може я какой фильтр не прописал... если кто сталкивался с такой проблемой то помогите пожалуйста...
Спасибо

У меня проблема с удалением isa 2004 Standart. застопил сервис и после этого не могу ни запустить сервисы, ни удалить isa, ни переставить
стопил через консоль управления isa 2004.
при удалении давет ошибку: setup files while restoring the services configuration.
OS Windows Server 2003 SE SP1 English.
Подскажите, что делать, где искать.

Спасибо.

AD_MAX
Это проблема не в ISA - разреши передачу своей зоны через оснастку администрирования dns-сервера.

Andryuha
Попробуй просто удалить сервисы (вручную или с помощью srvinstw.exe из русурс кита Win2k), файлы и почистить соответсвующие ветки реестра.

проблема была в настройках политики безопасности контроллера домена. На моем серваке я как раз второй поднял и началось.
снес контроллер (т.к. он криво встал из-за isa 2004) и все удалилось.

а вот как надо делать, чтобы ISA 2004 работала на контроллере домена:

http://groups.google.ru/groups?hl=ru&lr=&selm=%23iB0LCjxEHA.3808%40TK2MSFTNGP15.phx.gbl

IF YOU RUN ISA2004 on a Domain Controller Windows 2003 Server:

1. If you get RED X near Microsoft Firewall service in a Monitoring ->
Services tab of ISA 2004 manager then:
You must add rights for NETWORK SERVICE to login as service in the Domain
Controller Security Settings:
Click Start -> Programs -> Administrative Tools -> Domain Controller
Security Policy.
Expand Local Policies -> User Rights Assignment -> click on Log on as
service.
Click "Add User or Group" button -> enter "NETWORK SERVICE" -> Click OK.
You may also need to add NETWORK SERVICE to "Adjust memory quotas for a
process", "Generate Security Audits" and "Replace a process level token"
policies.

Reboot server.

2. If you can't reinstall, uninstall or repair ISA2004 installation on a DC
and get messages like:
"Setup failed while creating the services configuration" or/and "Setup
failed while restoring the services configuration" then:

You must transfer FSMO roles to DC running ISA2004 and reboot server.

http://groups.google.es/groups?hl=es&lr=&selm=OXY5oLEnEHA.1236%40TK2MSFTNGP09.phx.gbl

- Make sure that "Authenticated Users" is a member of the "Pre-Windows 2000
Compatible Access Properties" (check in Administrative Tools-"Active
Directory Users and Computers")
- Verify that the user has permissions to change the "Network Configuration
Operators" local domain group. You can do that with adsiedit.msc, or by
running dsacls.exe "CN=Network Configuration
Operators,CN=Builtin,DC=jonb,DC=local" (both adsiedit.msc and dsacls.exe are
part of Windows 2003 Resource Kit).

Andryuha
Спасибо большое за подсказку, сейчас поставил галочки попробую.

поставил 2004... 3 часа возни и вернулся на 2000 !
А причина? Может конечно времени мало было, но я не нашёл где поменять стандартный порт 8080 и, самое главное, так и не удалось выпустить ИСУ через ДМЗ.
И вообще, меня прибивают такие пресеты, типа External ! Интернет видете ли это...
Странный зверёк вобщем, эта ИСА...

Цитата:

не нашёл где поменять стандартный порт 8080

В ISA2k4 многие настройки для каждой NetWork могут быть свои поэтому:
Configuration --> NetWorks -->
Internal ( или другая сеть) --> Properties --> Web Proxy --> HTTP Port

Прошу прощения за офтоп, но где в этой ветке флейм? Вопрос по скрещиванию Netware и NT задать нужно.

что-то не работает у меня ftp...

1. Win2003 Ent + ISA 2004 Ent
2. Win2003 Ent: DC, DNS, WINS и пр. + SAV CE

на 1 настроено правило разрешающее для 2 весь трафик ip для всех пользователеей.
на 2 firewall клиент не установлен, сеть сконфигурирована как NAT.

при попытке скачать обновления для SAV на сервере 2, используя стандартную программу ftp.exe получаю следующее:

Код:
D:\>ftp -s:d:\cegetter.txt
ftp> open ftp.symantec.com
Connected to ftp.symantec.speedera.net.
220-
220- This system is for the use of authorized users only. Individuals using
220- this computer system without authority, or in excess of authority, are
220- subject to having all of their activities on this system monitored and
220- recorded by system personnel. In the course of monitoring individuals
220- improperly using this system, or in the course of system maintenance,
220- the activities of authorized users may also be monitored. Anyone using
220- this system expressly consents to such monitoring and is advised that
220- if such monitoring reveals possible evidence of criminal activity, system
220- personnel may provide the evidence of such monitoring to law enforcement
220 officials.
User (ftp.symantec.speedera.netnone)):
331 Password required for USER.

230 User anonymous logged in.
ftp>
ftp> cd AVDEFS/norton_antivirus/static
250 CWD command successful
ftp> lcd D:\
Local directory now D:\.
ftp> bin
200 TYPE set to I.
ftp> hash
Hash mark printing On ftp: (2048 bytes/hash mark) .
ftp> prompt
Interactive mode Off .
ftp> get navup8.exe
200 PORT command successful.
150 Opening BINARY mode data connection for navup8.exe (17946360 bytes).

Xless
>> на 1 настроено правило разрешающее для 2 весь трафик ip для всех пользователеей

ну раз пассив не ходит значит не настроено

Master_Alex
по конкретнее можно про
Цитата:

ну раз пассив не ходит значит не настроено

где в настройках ISA 2004 Ent настраиваются пассивный и активный режимы?

Про FTP можно здесь почитать:
http://isaserver.org/articles/How_the_FTP_protocol_Challenges_Firewall_Security.html

Есть 2 выхода в инет. Узкий, но безлимитный и широкий, но с помегабайтной оплатой. Хотелось бы через безлимитный пусть ftp, smtp и закачку всего типа mp3, avi, rar, zip и прочее. Можно ли такое сделать?

Товарищи заседатели, нужен хелп!
Полез на сайт vesti.ru, ткнул там на ссылку Видео и преспокойно в окне IE прогрузился WinMediaPlayer и начал транслировать видео. Что на нафиг? Поковырявшись в логах так и не нашел как его резать.
Запрещать политиками WMP некрасиво, сайт в черный список помещать тоже коряво как-то, найдется и другой сайт с потоком видео.
Значит так, на той машине где прогрузилось видео установлен FWC, все через него идет точно. В логах от анонимуса была попытка взять .asf, но его не пустило, потому что во первых анонимусы отрубаются железно (проверено), а во вторых стоит правило на запрет контента, в котором галка стоит и на группе video, к которому и относится .asf (можно посмотреть в перечислении группы). Логи с видео идут по двум файлам - по http и по fwc. Этот .asf у анонимуса есть только в http логах, помимо этого там menu.swf (меню какое-то видимо, swf тоже зарублен точно весь) и немного жпегов, вряд ли видео шло посредством картинок. Далее в логах fwc есть какие-то записи что IE куда-то ломится именно под именем этого юзера, а точнее ломится на video.rfn.ru по 1755 порту без каких-либо препядствий в правилах. Закрыл порт. Такое впечатление что закрытие порта этому потоку по барабану. Порт закрыл запретив его в списке стандартных портов. В результате видео все равно идет.

Вот сопутствующие ссылки по работе служб WM:

тут

Tyt

И тут

Может кто сообразить как его придушить?

Начальные условия: Win2003Std+ISA2004Std(SP1)+Office2003.

Outlook нормально работал с Exchange, в смысле в общими папками.

После установки SP1 на Windows с ISA, Outlook стал глючить:
т.е. общие папки не открывает, пишет: "Не удается показать папку. Не удается подключиться к серверу Microsoft Exchange Server из-за ошибок в сети".
Однако содержание Личной папки показывает, но очень долго синхронизирует, порядка 2 минут (Процесс "Синхронизация изменениц на сервере в папке "такая-то").

Да и вообще, очень долго открывается сетевое окружение.

В чем дело?
Правил на ISA не менял. Даже разрешил всё с Localhost на Internal.
Не помогает.

Porolonchik
порты 135-137 у тебя закрыты..
смотри "Logging" в исе на предмет по какому правилу у тебя срабатывает запрет..
если Default Rule то ты непонятно что за правило создал

Porolonchik

Changes in RPC client/server behavior in Windows Server 2003 Service Pack 1 cause the ISA Server RPC filter to deny RPC access to computers running Windows Server 2003 with Service Pack 1. Install this update to fix this compatibility issue.

To apply this fix in ISA Server 2004 Standard Edition, install ISA Server 2004 Standard Edition Service Pack 1.

MeGaBrAiN

Цитата:

порты 135-137 у тебя закрыты

Открыты.
goose7k

Цитата:

To apply this fix in ISA Server 2004 Standard Edition, install ISA Server 2004 Standard Edition Service Pack 1.

Как видно в моем первом посте, у меня ISA2004Std+SP1.

Явно открыл протокол "Exchange RPC Server" с Localhost to Internal.
Всё равно не пашет.
В логах нет ни одного Deny соединения с компьютером Exchange.

Никто не подскажет как убить видео?

Porolonchik
проглядел что ты SP1 на винду накатил

вот почитай тут
_http://www.isaserver.org/IsaNews/win2003sp1update.html

Не подскажет ли кто, как найти самую свежую версию
ipnat.sys = 5.2.3790.2437
size = 102 912
date = 04.05.2005 02:22

VPN clients can no longer access internal resources after you install Windows Server 2003 Service Pack 1 on a computer that is running ISA Server 2000
_http://support.microsoft.com/?scid=kb;en-us;897651

Спасибо.

Porolonchik
SP1 на ISA 2004 ставился до установки SP1 на 2003 или после? Если до, я бы попробовал плставить еще раз, а если после то надо думать. А Outlook в режиме кэшироваия Exchange? Включить лог в Outlooke, может что всплывет там.

goose7k
Последовательность была такая:
1. Стваил Windows 2003 Server Standard
2. Ставил Office2003
3. Ставил SP1 на Office2003
4. Ставил SP1 на Windows 2003
5. Ставил ISA2004 Standard
6. Ставил SP1 на ISA2004 Standard

При этом, после шага 3 Outlook нормально работал с Exchange.
После шага 6 - ошибки.

Да, Outlook работает в режиме кэширования.
В логах Outlook ошибок нет.
В Windows проскакивает только один Warning:
Event Type: Warning
Event Source: Outlook
Event Category: None
Event ID: 25
Date: 24.05.2005
Time: 15:57:34
User: N/A
Computer: SERVER2
Description:
Не удается развернуть папку. Не удается подключиться к серверу Microsoft Exchange Server из-за ошибок в сети.

На поддержке Microsoft ничего нет по этому предупреждению.

Porolonchik
у тебя RPC фильтр включен на исе?

MeGaBrAiN
RPC фильтр на протоколе Exchange RPC Server включен.
Но я его выключал. Результат тот-же.

Спецы ! Подскажите !!! ...
Не могу настроить работу по https. Конкретнее:
Использую ISA 2004. В настройках сетки разрешил использование SSL по порту 8443, добавил сертификат с сервера центра сертификации (установленного в той же сетке, что и ISA). Когда пользователь заходит на сайт по https (используя Mozill-у), то появляется значек замочка, т.е. якобы трафик защищен. Но самое интересное, когда смотрим веб-лог то там видим следующее:
10.10.1.195 anonymous 2005-05-26 10:17:00 L1-S7-10 - gmail.google.com 64.233.183.106 443 - 4333 6811 SSL-tunnel - gmail.google.com:443 Inet 64 Admin2 - Internal External 0x1 Failed

т.е. ошибка при создании туннеля, если я правильно понимаю. И затем весь трафик идет через http. Правило, через которое разрешается работа, не ограничено ни типами контента, ни чем, кроме адресом пользователя. Кто нибудь сталкивался с подобным ?

Жаль что никто не знает как видео запретить. Которое на вести ру

Pantalone

Цитата:

Жаль что никто не знает как видео запретить

например можно попробовать так как описано в этой статье
_http://isaserver.org/tutorials/Using_ISA_Content_Groups_to_Restrict_the_Use_of_Non_Business_Related_Traffic.html