» MS ISA Server (часть 1)

MeGaBrAiN
так это просто перечиление стандартных опций и к тому же для NTLM-авторизации клиентов
а мне нужно авторизоваться на паренте
к слову, вопрос, собственно не в этом, иначе зачем бы я писал в тему про ISA, а не Squid
вопрос в том, можно ли задействовать безболезненно basic-авторизацию на исе, если всё уже настроено на NTLM

Добавлено:
ага, вот я и наткнулся на нужное
[q="microsoft"]ISA Server 2004 supports strong user authentication with integrated Windows authentication (Windows NT/LAN Manager and Kerberos) for its firewall and Web proxy clients. For Web proxy clients, the product supports client certificates as well as digest, basic, forms-based, and anonymous Web authentication. ISA Server 2004 Enterprise Edition can authenticate users against the local user database on the firewall in Active Directory, or it can use RADIUS to authenticate against any RADIUS-compliant directory.[/q]
интересно, что такое forms-based?
но это так, оффтоп...
теперь, может ли кто-нибудь мне сказать, поддерживает ли сабж одновременно для разных клиентов различные схемы?
и есть ли принципиальная разница при доступе к ресурсам для клиентов, прошедших аутентификацию по разным схемам?

Teo

Цитата:

теперь, может ли кто-нибудь мне сказать, поддерживает ли сабж одновременно для разных клиентов различные схемы?

да, ты просто включаешь те типы аутентификации, которые хочешь

Цитата:

и есть ли принципиальная разница при доступе к ресурсам для клиентов, прошедших аутентификацию по разным схемам?

нет - или прошел аутентификацию - или нет - а как - какая разница

и каждому клиенту можно назначить свой метод авторизации?
тогда я совершенно не понимаю, почему у меня до сих пор был (и остаётся) покоцанный инет, если проблема решается двумя кликами мышки (образно выражаясь)...

каждому объекту типа Network можно включить тот или иной метод аутентификации
а клиенту конкретно нет

Цитата:

MeGaBrAiN

Цитата:

если пропишешь у "мобильных" клиентов в браузерах свой прокси то ходить будут.. ну и соотвественно подсети должны быть правильно настроены на исе

Так мне не надо, чтобы "мобильные" ходили через прокси - через SNAT. Так сказать - прямое соединение с инетом.
Можно ли указать машинам/клиентам способ входа? Т.е. этому IP (или пользователю) - только Firewall Client, а этому SNAT. Если да - то куда посмотреть, какая настройка?
И как сделать т.о., чтобы всем, кому надо - автоматически установился F-Client?
Заранее спасибо.

Iv Michael
у меня например ходят и без установки прокси в браузере.. но только по HTTP.. HTTPS уже не работает

Помогите неграмотному.
итак, есть сетка, машина-файрволл с ISA 2004 Std на Win 2003 все без контроллера домена
хочется аутентифицировать и тарифицировать внутренних пользователей при посещении ими интернета (установил для этих целей рекомендованный выше TrafficQuota)
Никак не иогу врубиться - как на ISA 2004 аутентифицировать пользователей, если у меня нет AD.

Народ, я тут про проблемку с vpn писал... ни у кого никаких мыслей не появилось?
Что то никак сам ничего по этой теме найти не могу : ((

Такая же проблема с аутентификацией юзеров на ИСЕ в рабочей группе, как и у ilion. На ИСЕ вроде есть RADIUS-авторизация, но как это работает я понятия не имею. Нужно чтобы пользователи автоматически авторизовывались, не вводя пароля.

ilion

Цитата:

итак, есть сетка, машина-файрволл с ISA 2004 Std на Win 2003 все без контроллера домена
хочется аутентифицировать и тарифицировать внутренних пользователей при посещении ими интернета (установил для этих целей рекомендованный выше TrafficQuota)
Никак не иогу врубиться - как на ISA 2004 аутентифицировать пользователей, если у меня нет AD

Так заведи локальных юзеров на этой машине. Только надо чтоб у юзеров на локальных компах были те же логины/пароли. Авторы траффикквоты вроде добавляют в 2.0 поддержку SecureNAT клиентов (по крайней мере, в Beta1 оно есть, тока пока не работает).

Цитата:

Так заведи локальных юзеров на этой машине. Только надо чтоб у юзеров на локальных компах были те же логины/пароли.

Естественно, так и сделано (а иначе в сетке не поработать). Но если в правилах для протокола прописать не "All Users", а "All Authenticated Users" или "Своя группа", в которую положить искомых юзеров, то выход в Инет отрубается (что можно предположиь заранее). При этом в системных политиках в аутентификации галочку на Active Directory можно и ставить и снимать - все одинаково.
На клиентских машинах стоит Firewall Client.

Собственно, вопрос к знающим - можно ли аутентифицироваться без AD или его подьем обязателен?

Может у кого есть сходная конфигурация сервака:
Windows Server 2003
Exchange 2003
ISA Standart 2004
RRAS (VPN)
SUS.

Все это смотрит одной сетевухой в инет, второй в локалку. В домене естественно.

Как правильно настроить правила, чтобы Exchange нормально полноценно работал (POP3, SMTP, OWA, OMA), ISA пускала в интернет изнутри, на SUS серваке, на OWA изнутри и снаружи, на ОМА снаружи, на VPN снаружи.

Не пролазит WSUS в инет через ISA2000. Прется под анонимусом (по логам исы). Пробовал и пароли прописывать и домен, и через FWC. Никак не получается его авторизировать. Кто поборол уже?
WSUS стоит в локалке, ISA2000 на другой машине, все включено в домен.

Server 2003 SP1 + AD + ISA 2004 EE
Проблема в том, что интернет с ИСОй работает медленно (медленнее, чем с Винроутом 6). Может кто сталкивался?

Цитата:

Server 2003 SP1 + AD + ISA 2004 EE

Это все на одном компе ?
Лучше чтоб iSA и AD на разных были иначе с запросами сервер не справлется.

zeleniy
Я знаю, что лучше раздельно, но у меня не 10 серваков.
Похоже проблема с кешем. Текстовая часть грузится быстро, а вот картинки очень-очень долго.

Добавлено:
PRiM
Самое интересное, что в опере все быстро грузится, а ИЕ пока загрузит - умереть можно

Добавлено:
Блин, нашел проблему! С файрволклиентом все быстро грузится, а с проксей - долго. Что посоветуете?

Помогите настроить VPN.
Нужно, чтобы из филиала могли пользоваться 1C SQL базой из главного офиса.
В офисе стоит Server2003EESP1 + ISA2004EE. AD, домен.
В филиале стоит WinXP + общий доступ к интернету. Группа (домена нету).

grambler
В протокол рулез создаёшь правило, которым разрешаешь отдельным пользователям (gambler users) ходить в инет по протоколу gambler (tcp 7000)
gambler users и gambler создаёшь предварительно в policy elements

Когда подключаюсь с филиала в главный через ВПН, в филиале рубит интернет. В чем может быть проблема?

PRiM
VPN настроен неправильно. Нужно не входящее подключение регистрировать, а через RRAS Demand Dial Interface

Люди, помогите решить проблему:
Сразу после установки ISA server 2004 на Windows server 2003 Std, если установить на клиентской машине Firewall client, то клиент говорит, что подключен к серверу, однако на сервере Firewall sessins 0, в списке сессий этого пользователя нет и соответственно аудетнификация не проходит. для сети Internal, Firewall client разрешен, правило для доступа в Internet настроено, WebClients нормально аудентифицируются.
Три дня промучался, ничего не получается и ничего похожего по форумам и в документации не нашел. Может такое было у кого?

NEED

Цитата:

VPN настроен неправильно. Нужно не входящее подключение регистрировать, а через RRAS Demand Dial Interface

Я RRAS настраивал через ISA. Может ссылку подкинешь или подскажешь, как исправить?

Добавлено:
Проблема следующего характера.
Есть главный офис 192.168.О.0 домен Win2003EESP1+ISA2004EE, есть ADSL
Есть филиал 192.168.Ф.0 WinXPProSP1+ICS, есть ADSL
В ISA я настроил входящие VPN соединения 192.168.В.0

При включении VPN в филиале (для подключения к офису) с галочкой "Использовать основной шлюз локальной сети" происходит соединение с офисом и сразу пропадает Интернет в филиале, но компы офиса видны.
При включении VPN в филиале со снятой галочкой, происходит соединение с офисом, Интернет не пропадает, но и компьютеры офиса не видны.
Чтобы и Инет работал и компы офиса были видны, приходится прописывать на VPN клиенте:
route add 192.168.О.0 mask 255.255.255.0 192.168.В.1 IF 0хY000Z
Можно решить проблему другим способом?

При установке Microsoft ISA 2004 Enterprise на Windows 2003 (Service Pack 1, v. 1039) вылетает с ошиькой Setup failed while creating ISA Server Storage). И все. Если есть какие-то мысли по этому поводу, прошу поделиться.

Das
К диску есть доступ Netwok Service?

А есть ли в ISA возможность авторизации клиентов по связке login/passwd, типа как это сделано в USerGate?

Цитата:

А есть ли в ISA возможность авторизации клиентов по связке login/passwd

Я уже задавал этот вопрос, но никто не ответил. В ISA 2000 - да, а вот в ISA 2004, по моим наблюдениям, - нет!

ИСУ стал внедрять пло причине того, что в скором времени компьютерный парк разрастётся и будут необходимы ограничения к доступу в интернет и прочее, пока ИСУ поставил для изучения.

По этой причине сейчас необходимо только, чтобы ходила почта и был доступ интернет без ограничений.

Что касается домена: домен есть, но машина с ИСОй и почтарем(MDaemon), да и пока в этом нет необходимости, почтовый сервер также неопубликован в ИСЕ.
Грубо говоря, я просто поставил ИСУ, в которой из насттроек определил свою внутреннюю сеть, а на клиентах прописал, чтобы пользователи в интернет ходили через проксю и указал порт. Далее крутил только фаервол.

Что непонятно в ИСЕ:

1. Есть internal, external и local host. С этим всё понятно, а что собой представляет AllNetworks понятно не до конца.

2. По второму правилу у меня открыт доступ из Internal в External по протоколам: DNS, DNS Server, HTTP, HTTPS, ICQ, ICQ2000, IMAP4, RDP(Terminal Services) Server, SMTP, SMTP Server, POP3, POP3 Server (кстати, ничего лишнего?), но если интеренет идет и ко мне, то получается извне доступ как минимуп по 80 порту есть, а его не открывал.

3. По третьему правилу у меня открывается доступ для SMTP и SMTP Server из AllNetworks в AllNetworks. Почта нормально начинает работать только после того как разрешаю доступ только из AllNetworks в AllNetworks (или я туплю?).

Паникую из за того, что хотелось бы быть увереным, что порт 8080 не открывается по каким нибудь моим правилам и чтобы с меня почту не отсылали.

Заранее спасибо.

strizzz

Цитата:

собой представляет AllNetworks понятно не до конца

это просто группа, в которую входят все остальные сети: экстернал. интеранл и всё что ещё определишь - сделали для удобства логического деления (соотв в правилах означает что разреш доступ с=на любой адресс)
Цитата:

По второму правилу у меня открыт доступ из Internal в External по протоколам: DNS, DNS Server, HTTP, HTTPS, ICQ, ICQ2000, IMAP4, RDP(Terminal Services) Server, SMTP, SMTP Server, POP3, POP3 Server (кстати, ничего лишнего

а что вам надо? Если вы не публиковали почтовый сервер, то соотв он сможет почту только отправлять, а забирать её придётся по поп3 - тогда правила смтп_сервер и поп_сервер лишнии... но тут вам надо дорассказать что вам нужно во внутренней сети...
Цитата:

но если интеренет идет и ко мне, то получается извне доступ как минимуп по 80 порту есть, а его не открывал.

ну тут вы путаете - то что идёт к вам это ответы на ваши же запросы и в случае если вы сеть натите то ничего на вход открывать не надо, в отличии от роутинга...
Цитата:

По третьему правилу у меня открывается доступ для SMTP и SMTP Server из AllNetworks в AllNetworks. Почта нормально начинает работать только после того как разрешаю доступ только из AllNetworks в AllNetworks (или я туплю?).

смотреть логи надо - тут или вы в правилах неправильно сети прописали или неправильно выставили отношение между сетями интернал\экстернал - нат\роутинг + что вы понимаете не работает почта - поп, смтп или и то и другое? Смотрите логи.
Цитата:

Паникую из за того, что хотелось бы быть увереным, что порт 8080 не открывается по каким нибудь моим правилам и чтобы с меня почту не отсылали.

для того что бы через вас отсылали почту - нужно открыть релей, а для этого надо: а. опубликовать сервер почтовый в иса, что бы его файер пропускал входящие запросы; b. открыть релей на своём почтовике. Конкретизируйте вопрос.






Добавлено:
ps а картинку то зачем присобачили такую?!?

У меня, вообщем-то всё работает, но смущает то, что в рипортах в Traffic by users наряду с моими внутренними адресами появляются неизвестные мне айпишники, так что паника ещё и из за этого.


Цитата:

неправильно сети прописали

В Internal у меня только мои внутренние адреса.


Цитата:

отношение между сетями интернал\экстернал

Извиняюсь за тупость, как понять отношения между сетями, всмысле откуда куда?


Цитата:

а забирать её придётся по поп3

То есть. насколько я понимаю отрытого протокола POP3 из интернал в ектернал достаточно для получения почты? Но у меня почему то начинает получать почту, только когда я открываю 25 порт со всех сетей всем сетям.

Спасибо за помощь.

Картинку для наглядности влипил. Там конечно всё не увидешь, что я там накрутил, но всё же..

strizzz

Цитата:

Извиняюсь за тупость, как понять отношения между сетями, всмысле откуда куда?

что такое нат\роутинг знаешь? Если нет - в инете полно литературы... Так вот из интернал в экстеннал можно ходить с использованием ната или роутинга, что настраивается в конфигуратионс - нетворкс - нетворкс рул
Цитата:

То есть. насколько я понимаю отрытого протокола POP3 из интернал в ектернал достаточно для получения почты? Но у меня почему то начинает получать почту, только когда я открываю 25 порт со всех сетей всем сетям.

забирать по попу - хватит. Но ты сказал что у тя почтовик в интернал - он тоже поп-фильтром почту гребёт от прова или по смтп получает!? Я что-то ничего не понял.

То что у тебя на картинке - такого быть не должно. Серверные правила публикуются и стоят отдельным парвилом в самом верху, потом идут остальные. Аська вообще по всем портам работать может (ну по многим).

Короче конкретезируй вопросы, чётко расписывай что надо, что есть в сети. Почитай данный топ + на isaserver.ru немало инфы.