» MS ISA Server (часть 1)

Bebson

Цитата:

вот 2000 или 2004, не указано. Впрочем, это лечится просмотром логотипа в справке

это "лечиться" просмотром окошек в сомой остнастке - не помню как в 2000 а в 2004 в каждом окне вверху там и написано ISA2004 (в полной транскрипции)


Добавлено:
да и сама mmc консоль так и наз-ся ISA 2004 по умолчанию

кстати никто не задавался вопросом оптимальной настройки кэширования на isa 2k4?
у меня isa в кэширующем режиме стоит.. эффективность работы кэша мягко говоря не однозначна.. то 70 процентов в день, то 10...

хотелось бы увидеть какие параметры использует народ.. или у всех по дефолту?

стоит по дефолту, в отчётах больше 15% эфективност не поднимается...
да и бог с ним с этим кэшем... у меня вон только один чел играющий в бойцовском клубе гиг трафика в месяц делает

Цитата:

да и бог с ним с этим кэшем...

у меня вот куча народу на худом канале сидит..

MeGaBrAiN
у метя тоже сть в филиале такое - так там кэш не особо помог, помгло ограничение трафика 2\3 народа - разрешил им ходить только на разреш сайты, остав 1\3 - куда угодно... ну + отчёты посматривать кто так где "воюет" иногда...

Проблема с маршрутизацией
есть внутренняя сеть 192.168.0/24 в ней иса 2004 сп1 с внутренним ип 192.168.0.1 и "дмз" 10.0.0.1/24 там же есть циска 1841 с "дмз" 10.0.0.2/24 и вторым интерфейсом уже в инет.
на исе маршрут по умолчанию 10.0.0.2 (то есть циска). Эта циска связана туннелем с такой же циской, за которой есть сетка 192.168.14/24. Так вот иса упорно не хочет видеть сеть 192.168.14/24 хотя циску и весь инет она видит (если на циске нат включить), в правилах написано что 192.168.0/24-192.168.14/24 route и 192.168.0/24-10.0.0/24 route
разрешен весь трафик между любыми сетями
при этом при попытке пинговать из 192.168.0/24 любой хост из 192.168.14/24 в логах пишет сначала initiated по правилу такому то а потом все остальное denied без указания правила (на циску ни один пакет не попадает) при этом пишет Destination host unreachable. Если поставить любой комп и дать ему ип из диапазона 10.0.0/24 то он нормально видит и циску и сеть удаленную 192.168.14/24, если на этом компе два интерфейса, вторым его включить в локалку (192.168.0/24) и включить rras то все остальные компы через него все отлично видят. То есть проблема явно в исе вот где непонятно. Тоже самое кстати будет если циске дать адрес из внутренней сетки (например 192.168.0.2) и на исе написать туда маршрут, работать не будет, а если явно на компах написать маршрут то все ок.

isa 2004 настроена как нат, всё и вся пускает.
как сделать лишь по опред. протоколу, порту нат? возможно?

leputain

Цитата:

как сделать лишь по опред. протоколу, порту нат?

Для этого server publishing есть - т.е. проброс определенного порта с внешнего интерфейса на локальный или же на другой сервер в локальной сети.

Lamerok
в правилах публикации сервера разве можно сделать доступ по всем протоколам к опубикованному серверу, находящимся за нат?

leputain

Цитата:

всё и вся пускает

Клиентов в инет? Тогда два варианта:
1. в правиле доступа убрать"весь исходящий трафик" и указать только необходимые протоколы

или если необходимо ограничиить использование каких либо протоколов (например, 25), то

2. создать запрещающее правило, расположить его выше предыдущего правила, и в нем указать какие продоколы должны быть запрещены.

ЗЫ: не забывай, что эти правила действуют на тех пользователей и компьютеры, которые указаны в свойствах правил. если надо сделать проивелигерованные компьютеры (например, свой), то создай еще одно правило, поставть его первым в списке и дай в нем все на вся...

Xless
в правилах публикаций можно сделать проброс лЮбого порта на лЮбой сервак в локальной сети, в т.ч. и localhost
снаружи внутрь, а не наоборот

Lamerok
если есть нат, то ни кого снаружи вообще не пускает во внутрь, пока не сделаешь правило публикации, и в нем можно указать только один протокол.

но у leputain наоборот: всё и вся пускает, вероятнее всего речь идет про доступ из внутри во вне, а в этом случает правила публикации вообще ни при чем....

Xless
клЮчевое слово
Цитата:

вероятнее всего

я тогда вообще не понимаЮ о чем спич... у меня тоже иса локальнуЮ подсеть наружу натит.. ну и что...я создаЮ обычные рулезы куда кому и сколько.. а внутрь снаружи - это публикация....
какие могут быть варианты еще ?

Подскажите. Сдел BACKUP isa2000 на новой машине пытаюсь сделать востановление, а рн орет о том, что сильные различия м\ду версиями и востанавливать ничего не будет, хотя установка была сделана с одного каталога

Цитата:

Проблема с маршрутизацией
есть внутренняя сеть 192.168.0/24 в ней иса 2004 сп1 с внутренним ип 192.168.0.1 и "дмз" 10.0.0.1/24 там же есть циска 1841 с "дмз" 10.0.0.2/24 и вторым интерфейсом уже в инет.
на исе маршрут по умолчанию 10.0.0.2 (то есть циска). Эта циска связана туннелем с такой же циской, за которой есть сетка 192.168.14/24. Так вот иса упорно не хочет видеть сеть 192.168.14/24 хотя циску и весь инет она видит (если на циске нат включить), в правилах написано что 192.168.0/24-192.168.14/24 route и 192.168.0/24-10.0.0/24 route
разрешен весь трафик между любыми сетями
при этом при попытке пинговать из 192.168.0/24 любой хост из 192.168.14/24 в логах пишет сначала initiated по правилу такому то а потом все остальное denied без указания правила (на циску ни один пакет не попадает) при этом пишет Destination host unreachable. Если поставить любой комп и дать ему ип из диапазона 10.0.0/24 то он нормально видит и циску и сеть удаленную 192.168.14/24, если на этом компе два интерфейса, вторым его включить в локалку (192.168.0/24) и включить rras то все остальные компы через него все отлично видят. То есть проблема явно в исе вот где непонятно. Тоже самое кстати будет если циске дать адрес из внутренней сетки (например 192.168.0.2) и на исе написать туда маршрут, работать не будет, а если явно на компах написать маршрут то все ок.

сам нашел ошибку, я все сети всех филиалов сделал как отдельные network, а иса очень своеобразно понимает понятие network и поэтому та маршрутизация которая есть например в rras в исе работать не будет. Чтоб писанмну не разводить вот статейка где все понятно и по русски написано http://www.internetaccessmonitor.ru/rus/products/articles/Network_Behind_A_Network/Network_Behind_A_Network.php

W2k Server (Не Active Directory)
Isa2004 Standsrt

Вопрос. Как добавить пользователей в список достпа через VPN?
При нажати на Groups\ADD в свойтсвах VPN появляется окно в котором написано следующее:
В данном месте нет доступных объектов. Выбирите другое место.
Неужели обязательно необходимо наличие Active Directory?

Коллеги!
Есть вопрос по 2004 ISA.
У меня в данный момент стоит ISA2000 в паре с Surfcontrol, в данный момент развертывается ISA 2004 естественно тоже хочется резать пользователей по трафику.
Кто чем пользуется?
Чтобы я хотел видеть прежде всего:
1. Возможность резать ежедневный трафик
2. Если есть возможность резать его по пользователям, только чтобы аутентификация была "прозрачной" для пользователя (пароль вводится один раз при входе в систему)
3. Желательна возможность просмотра пользователем его трафика

Klisha
surfcontrol поддерживает ISA 2004, поэтому проблем не должно возникнуть.
System Requirements for SurfControl Web Filter for Microsoft ISA Server

ShriEkeR
SurfControl слишком уж монструозен... Кроме того, он считает только прокси трафик, и лимиты там совсем убогие. Хотя я давно его смотрел, не знаю может сейчас и лучше...

Klisha
Я бы порекомендовал TrafficQuota с www.digirain.com, там есть все что ты описал.

как 2004 настроить, если на ней есть модем, чтобы я на него звонил из дома и видел интернет?

Привет!!!
isa 2000 сжирает паяти просто гору (taskmgr пишет 240 мб но на самом деле около 600)
Вопрос такой как можно уменьшить кол-во памяти сжираемой isa???
Система win2000 server

rstar1979
Отключи reporting.

Никто не сталкивался - иса, вроде как рубит соединения с клиентских машин, периодически падает ICQ, Skype. Идентификация по юзерам, интегрированная... файервольные клиенты у всех стоят...

BigChe

Цитата:

вроде как рубит соединения

вроде или рубит?
что в логах есть?
ISA какая?

JcVai
отключил пока не помогло... при рестарте Microsoft ISA Server Control освобождается 800 метров... странно как-то...

Здорова отцы!!

Есть такая проблема
домен w2k3
isa 2004
рабочая станция wxp sp1 (входит в состав домена)

при попытке установить соединение через L2TP isa выдает сообщение:

Цитата:

The VPN connection attempt by user DOMAIN\user from VPN client IP address xx.xxx.xx.xxx could not be established. The failure is due to error: 0xc0040021

причем с сервера w2k3 SP1 все проходит на ура.
с рабочсей станции коннектится только через PPTP

кто нить сталкивался с подобной проблемой?

Lamerok
_http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isasdk/isa/error_codes.asp
После установки обновления безопасности MS05-019 или пакета обновления 1 (SP1) для Windows Server 2003 могут возникнуть сбои в сетевых соединениях между клиентами и серверами.

включен ли у тебя флажок "Block IP fragments" в ISA Server'e?

Добавлено:
leputain

Цитата:

как 2004 настроить, если на ней есть модем

разрешить входящие звонки. но до этого может потребовать донастройка офисной АТС /при наличии таковой/. можно сделать и callback для увеличения дешевизны звонков.

rstar1979

Цитата:

isa 2000 сжирает паяти просто гору

и почти всё наверняка w3proxy? можно попробовать отключить прокси, хотя зачем? памяти жалко?

ShriEkeR
да просто было 512 метров система сжирала 700, добавил гиг памяти думал что хрен что забьет такое кол-во и что... 1,5 гига занято... а я еще wsus поставить хочу...

rstar1979
ISA очень любит память и сжирает все что есть )

ShriEkeR

Цитата:

включен ли у тебя флажок "Block IP fragments" в ISA Server'e?

ноу.

на контроллере домена sp1 установлен, на isa не установлен , т. к. после установки оного возникли проблемы

Цитата:

Не удается подключиться к серверу терминалов.

может снести sp1 на контроллере?

Lamerok
народ, который жаловался на такую же проблему, сносил SP1, но ИМХО нужно читать доки по SP1. т.к. его снос это не решение проблемы, а временная пауза. ставить то его всё равно нужно будет.