» MS ISA Server (часть 1)

Тут мелькнуло, но вопрос не разрешился!
Существует реальная проблема в конфигурашке win2003 sp1+ISA2000+VPN
VPN настроены, но как только ставится sp1 каюк всему. Проблема описана на МС, но вот загвоздочка - фикс дадут только по заявке, а там ессно спросят кто я такой. Но вот понимаете ли не купит моя прижимистая фирма винду, не купит : ((
Так что вот уповаю на вас люди, может есть у кого то фикс этот самый? Или может кто то просто знает как проблему решать по иному?
А может просто файлики б кинули. В ту ли ветку пишу не знаю ( может в варез стоило б, но наверное все же сюда).

Модераторам - фикс не варез (я так себе думаю и надеюсь что прав).


ссылка на статью мс:
_http://support.microsoft.com/default.aspx?scid=kb;en-us;897651

Добавлено:
В смысле у меня два офиса, соединены по ВПН. Почта, терминал работают, а вот пинг пакеты не идут! И инет на серваке не работает на котором эта замечательная связка стоит тоже не пашет хоть ты тресни : ((

Логи ISA на SQL кидать удобно безусловно, можно будет без запарок будет смотреть кто чего когда и где если что
Правда что будет если SQL встанет, ISA тоже встанет? Т.е. она не будет инет пущать или будет дыра?
Кто знает, тому пирожок

Добавлено:
Pantalone

Цитата:

Жаль что никто не знает как видео запретить. Которое на вести ру

MeGaBrAiN

Цитата:

например можно попробовать так как описано в этой статье
_http://isaserver.org/tutorials/Using_ISA_Content_Groups_to_Restrict_the_Use_of_Non_Business_Related_Traffic.html

Так в примере по ссылке видео не зарубить. Я спрашиваю про потокое видео, которое можно глянуть на сайте vesti.ru. Можешь сам попробовать, ни одно правило его не запрещает.

Господа, скажите мне пожалуйста, почему могут повышаться задержки при пинге через ISA 2004 St Ed буквально в 2 раза?
причем одинаковая картина наболюдается как при пинге с самого севера, так и с рабочих станций

Pantalone
за**ся но нашел метод.. грубый но все же..
итак применительно к ISA2004

1. У тебя есть правило которое разрешает юзерам ходит из интернала в экстернал
2. Открываем правило и идем на закладку Protocols
3. Жмем кнопку Filtering -> Configure HTTP
4. Жмем закладочку Extensions
5. Выбираем Block specified extensions
6. Add и вводим .asf
7. OK -> Apply

В итоге ASF траф должен отпасть.. правда это будет относится и не к потоковому видео

У меня вот такая проблемка возникла... Стоит ISA 2000 SP2 и TMeter. Почему-то по многим юзерам TMeter показывает больше трафика, чем ISA (сравнивал с родными исовскими отчетами и с использованием IAM). По некоторым юзерам различие в разы! Еще стоит TrafficQuota, она тоже показывает больше (значения близкие к TMeter). Такое чувство, что ISA не все логит. Хотя логирование всего что можно включено. Как это можно объяснить?

вопрос по ISA 2000
есть прога-клиент Gambler
у нее в настройках: online.gambler.ru:7000
как разрешить отдельному юзеру доступ

Информация:

ISA 2000. Ставлю proxy-клиент на клиентский компьютер. Клиент выдает ошибку:

Cannot Run 16-Bit Windows Program

Cannot find file C:\Progra~1\Microsoft Firewall Ient\Internal_setup\Setup_a.exe (or one of its components). Check to ensure the path and the file name are correct and that all required libraries are available.

и не ставится.

1. Посмотреть сюда:
.http://www.isaserver.ru/PrintPost.aspx?PostID=2371
сделать и перезагрузиться.

Если не помогло:

2. Посмотреть сюда:
.http://support.microsoft.com/default.aspx?scid=kb;en-us;294409
сделать и перезагрузиться.

Если не помогло:

3. Если на клиентском компьютере установлен Kaspersky Antivirus, отключить Control Center и поставить клиент. После перезагрузки клиент и Control Center друг другу вроде как не мешают.

стоит isa 2004,спутниковый инет через vpn, и дсл'ка.
впнка создана в сетевом окружении и в исе используется как диалап соединение в качестве шлюза.
проблема в том, что отсылка почты размером в 1мб превращается в кромешный АД. как можно сделать, чтобы смтп трафик шел напрямую через дсл (перенаправление трафика)????

надеюсь вопрос понятен

Подскажите как можно в ISA 2004 настроить квоты по трафику для пользователей? Например, чтобы каждый мог в день выкачивать не больше 5 Мб.

Hi ALL !
Помогите разобраться с настройкой Firewall Client ISA 2004St.
Хочу разрешить компу с установленным FWC обращаться по Netbios (Shared folders) к компу расположенному в "Интернете".
Если настраиваю комп как SecureNAT клиент (разрешив протоколы: Netbios Datagram; Netbios Name Service; Netbios Session; Microsoft CIFS(TCP+UDP) - все работает.
Если пытаюсь настроить через FWClient - не получается: пробую подключить shared folder через Map Network Drive --> \\200.200.200.200\DOCS. Не подключается, (по логам вижу что трафик не перенаправляется на ИСу сервер со стороны клиета и на иконке FWC статус "Configured ISA Server").
FWC работает ( проверял пробовал по фтп подключится к инетовскому серверу - в логах исы видно, что FWC подключился к серверу и на иконке FWC на компе статус "Connecting to ISA".
Что дополнительно нужно прописать, чтобы клиетн FWC смог обращаться к Shared folders в Интернете?
Может надо настраивать Application Settings для этого???

Народ!
МС выпустил заплатку для проблемы, которую я описывал выше:
При установке SP1 на Win2003Server Outlook с Localhost не может подключиться к серверу Exchange...

Вот что пишет Microsoft:
ISA Server 2004 RPC Filter Blocks Outlook Traffic from Computers Running Windows Server 2003 SP1
Microsoft Office Outlook 2003 or earlier running on Microsoft Windows Server 2003 SP1 cannot connect to a server running Microsoft Exchange Server 2003 through ISA Server 2004.
Windows Server 2003 SP1 makes significant changes to the Remote Procedure Call (RPC) service. Some of the changes may cause conflicts with ISA Server’s RPC filter (rpcFltr.dll). As a workaround, disable the RPC filter. Install this update to fix this issue without disabling the RPC filter.
In Small Business Server (SBS) scenarios, this may commonly occur when Outlook is installed on a server running Terminal Services in application sharing mode.


Скачать по ссылкам:
For Standart Edition
For Enterprise Edition
http://www.microsoft.com/isaserver/downloads/2004/default.mspx (Общая страница для скачивания к ISA)

Народ, помогите. Не могу поставить ISA 2004 Enterprise на Windows 2003 SP1 в самом конце установки выскакивает ошибка:
setup failed while creating the services configuration

Добавлено:
Решение нашел здесь:
http://www.kbalertz.com/kb_898720.aspx
Если в кратце, то нужно было на Server 2003 перебросить хозяина PDC.

Добавлено:
Блин, опять траблы:
Из локальной сети на ISAServer зайти могу, а с ISAServer на компы не пускает, хотя в списке есть. Может кто подскажет?

Цитата:

Блин, опять траблы:
Из локальной сети на ISAServer зайти могу, а с ISAServer на компы не пускает, хотя в списке есть. Может кто подскажет?

правило настрой Internal - Internal полный доступ

MeGaBrAiN
Настроил вроде. Может не там только?! Где конкретно его надо настраивать?

Добавлено:
Я в Firewall настроил Allow-All Otbound-Internal, Local Host-Internal,Local Hist-All Users

Еще никак не могу найти внедрение пользователей из АктивДиректори.

PRiM
1. Для начала объясни на кой ты поставил Enterprise Edition?
Если у тебя куча файрволов то тогда я понимаю, если одни то НЕ понимаю..
2. Настройка Enterprise несколько сложнее чем Standart, так как правила есть отдельно для конкретного файрвола и групповые правила для всех..
3. Ж*па в согласовании этих правил (сам не разобрался до конца )


Цитата:

Я в Firewall настроил Allow-All Otbound-Internal, Local Host-Internal,Local Hist-All Users

непонял что ты настроил совсем.. я ж говорю в Firewall Policy лучше поднять правило Internat to Internal со всем Outbound трафом (если конечно у тебя юзеря по струнке ходят и каку в сеть не несут)


Цитата:

Еще никак не могу найти внедрение пользователей из АктивДиректори.

вообще при нормальной инсталляции он сам все должен подхватить

MeGaBrAiN
ISA 2002 Enterprise Edition
Правило настроил, как ты сказал. В результате могу с ИСА сервера поподать только на контроллер домена. Остальная сеть видна, а доступа к компам нет.

Цитата:

ISA 2002

Это что за версия?


Цитата:

Правило настроил, как ты сказал. В результате могу с ИСА сервера поподать только на контроллер домена. Остальная сеть видна, а доступа к компам нет.

А предыдущие правила оставил?

Открывай мониторинг и смотри по какому правилу у тебя блокировка...

У меня при тех же условиях (только ИСА стандарт) доступ к компам есть.. единственный трабл что бродкасты по нетбиосу отбиваются и в результате тормоз при просмотре компов домена но мне это не принципиально..

MeGaBrAiN
Вроде разобрался, были проблемы с сетевым интерфейсом. А чем лучше квоты для юзеров настроить?

не занимался такой проблемой... многие рекомендуют TrafficFilter (_http://www.isaserver.com.ru_).. Но ничего более сказать не могу

Как запретить какому-либо приложению из Internal выползать в External?

Я так понимаю, что надо в Configuration->General->Define Firewall Client Settings->(вкладка) Application Settings тыкнуть New... зтем вписать имя exe-шника (без расширения) выбрать Key: Disable, а Value: 1.

Правильно?
Будет ли это работать для NAT-клиентов???

Цитата:

Будет ли это работать для NAT-клиентов???

для SecureNat точно не будет

Добавлено:
а вообще в ИСЕ есть пупильон разных способов как что-нить заблокировать..
в зависимости от ситуации

PRiM

Цитата:

А чем лучше квоты для юзеров настроить?

TrafficQuota - http://www.digirain.com

ISA2004 Standart, 2 сетевые карточки: одна в инет, другая в локальную сеть, настроен vpn
Подсоединаяюсь по vpn, но не могу потом подключиться радмином. Говорит невозвозжно соединиться. Хотя РАдмин-сервер на машине с исой запущен и работает. В какую сторону смотреть? Правило "VPNclients, localhost, все исходящие" имеется

при установке ISA 2004 просят вот такое:

Configuration storage server (type the FQDN)

что это? что не ввожу, не идет.

Добавлено:
все разобрался ..

KDSKDS
пропиши явное правило для RA

ISA 2004 Std, w2k3.
Клиенты ходят через SNAT.
Можно ли настроить таким образом, чтобы часть клиентов ходила через клиент-файрволл, а часть (мобильные компьютеры и DialUp/VPN-подключения) через SNAT?
Если да - то как?
Заранее спасибо!

Добавлено:
Чуть не забыл. В сети следующие подсети:
VPN 192.168.100.0
внутренние 192.168.1.0 и 192.168.2.0
внешняя (файрвол/роутер) 192.168.0.0
Адреса раздаёт DHCP.
Надо три четыре типа клиентов:
1. Есть интернет (файрволл-клиент)
2. Нет интернета (сейчас решено через введение группы адресов 192.168.1.100 - 192.168.1.200 и в DHCP прописано, что таким компам давать фиксированные адреса)
3. Мобильные компьютеры подключаются к любой из внутренних сетей (проводное или WiFi подключение) - SNAT.
4. DialUp/VPN - SNAT.

итак .. поставил isa2004 .. теперь интерисует очень, на нее русификатор существует? .. или учить албанский? (


и еще вопрос .. я сервер щас настраиваю отдельно, инет отдельно идет, потом хочу перекинуть просто с adsl модема шнурок с свича на сетевуху сервера, и пользоватся инетом дальше .. так получится? или надо сразу все соединять как оно должно быть, и настраивать? (в таком случаи, пока не настрою останусь без инета)

народ, есть такая ситуёвина
есть squid, он раздаёт инет клиентам
squid сидит под парентом, как вы уже догадались, ISA 2004, и аутентификация была по ип адресу, выдаваемому моему шлюзу с внешним WAN (dial-up)
так вот мой прокс получает доступ только к http и ftp (только GET, сами понимаете, никакого удовольствия от такого протокола нет)
мне было сказано, что если поставить клиента исы, то доступ получается полный по всем протоколам
я для эксперимента воткнул его и увидел, что всё что он умеет - это аутентифицировать NTLM+Kerberos
мой сквид, естесственно, понимает только basic-аутентификацию на паренте

у меня пару вопросов:
1. есть ли способ заставить сквида использовать эту связку NTLM+Kerberos?
2. теоретически, могу ли я получить нормальный доступ в инет, если на исе всё грамотно настроить, например, вместо NTLM+Kerberos->basic (настраиваю не я, естесственно, а потому даже в теории настройки исы я несведущ) или админы там просто поленились сделать как надо?

заранее благодарен

Iv Michael
если пропишешь у "мобильных" клиентов в браузерах свой прокси то ходить будут.. ну и соотвественно подсети должны быть правильно настроены на исе

Wizzard_ua
учи албанский.. русской версии не будет


Цитата:

и еще вопрос .. я сервер щас настраиваю отдельно, инет отдельно идет, потом хочу перекинуть просто с adsl модема шнурок с свича на сетевуху сервера, и пользоватся инетом дальше .. так получится? или надо сразу все соединять как оно должно быть, и настраивать? (в таком случаи, пока не настрою останусь без инета)

останешься без инета.. на исе 1 интерфейс внешний остальные внутренние.. и вообще опиши подробнее, а то бог знает что ты там и как соединил

Teo
_http://squid.visolve.com/squid/squid30/externalsupport.html#auth_param_

посмотри там.. есть кое что интересное про внешнюю авторизацию по NTLM

Цитата:

останешься без инета.. на исе 1 интерфейс внешний остальные внутренние.. и вообще опиши подробнее, а то бог знает что ты там и как соединил

Сейчас отдельно сетка с инетом, роутер dsl-500t раздает через свитч инет на всю сетку. Отдельно установил Win2003, поднял контроллер домена и DSN .. установил ISA2004 .. и на этом застрял .. на сервере 2 сетевые карты, на одну хочу подать с роутера инет, а с другой через свитч раздавать инет.

от ..