» MS ISA Server (часть 1)

Помогите разобраться, это нормально :
192.168.0.15 anonymous N15:29:45.000192.168.0.1 8080http Web Access Only Failed GET http://forum.ru-board.com/forum.cgi?forum=8&show=40

192.168.0.15 anonymous N15:29:45.000192.168.0.1 8080http Web Access Only Denied GET http://forum.ru-board.com/forum.cgi?forum=8&show=40

192.168.0.15 DOMAIN\UserX Y15:29:51.00065.75.176.229 80 http Web Access Only Allowed GET http://forum.ru-board.com/forum.cgi?forum=8&show=40

192.168.0.15 - клиент, 192.168.0.1 - isa server
на клиенте IE натроен на прокси 192.168.0.1:8080, на исе integrated autenthication
странички все открываются, но часто не с первого раза, как видно из логов (постарался покороче) вначале клиент ломится почему то анонимом на прокси (при этом порт 8080 распознают как http) и его кидают (такое всегда) а только потом в логах появляется коннект на 80 порт уже непосредственно на сайт и уже с нормальным username. Такое происходит только если на клиенте включена прокси, если пускать напрямую (через NAT) то все ок. И еще фишка, параллельно этим логам в прокси, в логах файрвола появляются еще записи, например:
15:29:46.000 192.168.0.15:3539 192.168.0.1:8080 Establish -Unidentified IP Traffic -
15:29:51.000 192.168.0.15:3542 192.168.0.1:8080 Establish -Unidentified IP Traffic -
где прочерки как раз rule и username, и еще порт 8080 уже не определяется как http а вообще считается неопознанным (Unidentified IP Traffic) что в принципе правильно, он в списке портов не определен на isa. Может я много чего не понимаю, но может кто нить обьяснит в чем тут прикол.

hardhearted
Я лично у себя сделал описание порта 8080
и Юзерам дал доступ по этому порту

ShriEkeR

Цитата:

снос это не решение проблемы, а временная пауза. ставить то его всё равно нужно будет.

согласен.
M$ как обычно жмет

я пока поставил обновление безопасности MS05-019 на ису..
С тестовой машинки (wxp sp2 ) все завелось как из пушки.
Вот приедет шеф из командировки будем на нем тестить...
У меня еще такое подозреение , что у него с машинкой не все в поряде.
Но это ничем не подтвержденный факт...
Первый раз в жзни встречаЮ ситуациЮ когда при одинаковых условиях с одного клиента все пашет, а с другого нет...Хотя ось на них разная
Спасибо за наводку.

Lamerok

Цитата:

hardhearted
Я лично у себя сделал описание порта 8080
и Юзерам дал доступ по этому порту

а доступ на какие destinations?
а во вторых в логах то анонимусы
а в третьих denied пишет на 8080 который описан почему то как HTTP, и в то же время в файрвол логах есть другой 8080 (у меня он описан как Proxy) на который тока initiated и closed без указания правил и username

hardhearted

из интернал в в экстернал.
попробуй правило новое создать. и дай доступ на родную группу иса, а не доменнуЮ. в эту группу добавь учетные записти пользователей.
У меня пару раз был глЮк , когда не работала авторизация по группе из AD

Lamerok

Цитата:

из интернал в в экстернал.

192.168.0.15 anonymous N15:29:45.000 192.168.0.1 8080 http Web Access Only Denied

и причем тут экстернал? если лезет то на 192.168.0.1 а это адрес исы то есть никак не экстернал, во вторых 8080 я опысываю как proxy но в логах он фигурирует как http, то есть если я дам разрешение на описанный мною порт 8080 как proxy то это ничего не изменит, потому что прокси этот порт узнает как http, то есть правило не примениться
в третьих, правило Web Access Only работает на Authenticated users

Доброго времени суток!
Подскажите в чем может быть проблема - никак не получается настроить работу ISA 2004 SE SP1
Исходные данные: сервер win 2003 sp1, включен в домен. Контроллер домена - на другом сервере, там же DHCP и DNS. На ISA две сетевые карты: одна наружу, вторая внутрь. На сервере ISA 2004 SE SP1. Систем полиси не изменял.
Почтовый сервер postfix на линухе крутится в этой же сети и имеет внешний айпишник из той же подсети что и внешний айпишник сервера на котором установлена ISA .
На клиентах win2000proff установлен FWC. FWC сервер с ISA опознает. В настройках IE прописаны автоконфигурация, прокси через порт 8080. Включена аутентификация - basic и integrated. Галка "требовать аутентификацию всех" не стоит.

Прописываю правила для протоколов HTTP и HTTPS: allow from internal to external для all users. Если вместо all users подставлять группу пользователей из домена, то все тоже прекрасно работает. К правилу по HTTP претензий совсем нет. Работает,и если в настройках карт клиентов шлюз с ISA прописан, и если не прописан.

Второе правило для почты: allow pop3 smtp from internal to external для all users.
Если в настройках карт клиентов шлюз прописан, то сие правило работает; если подставить вместо all users группу пользователей из домена, то в логах denied connection (вроде понятно почему - SecureNAT аутентификацию не поддерживает)
Хорошо, убираю шлюз из сетевых настроек клиента. Почта не работает ни с all users, ни c доменной группой. Outlook пишет :
Задача 'xxxxxxx - получение' сообщила об ошибке (0x800CCC0F) : 'Подключение к серверу было прервано. Если ошибка повторится, обратитесь к администратору сервера или поставщику услуг Интернета.'
В логах ISA вообще ничего нету.
Попробовал разрешить доступ в инет для Miranda, создав соответствующее правило для порта 5190, тоже нет коннекта.

В общем, при попытке работать через FWC работает только web. Закралось сомнение, что по каким то причинам почтовый клиент( и miranda) не подхватывают настройки FWC. Или есть еще какая причина, которую я по своему чайничеству пока еше уразуметь не могу.
В настройках FWC на сервере поставил outlook disable 0, но ничего не поменялось. Клиента пробовал переустановить - все пустое.

Поможите, пожалуйста в разрешении ситуевины... что то совсем туго

Спасибо. Дмитрий

hardhearted

открой доступ из интернал на локал хост по порту 8080

PlanerX

для коректной работы на клиентах обязательно в качестве default GW должен быть прописан внутренний ip иса сервер, он же localhost
на локальном интерфейсе исы должны быть прописаны DNS сервера AD.
Аутентификация должна работать для всех протоколов , вклЮчая pop3, smtp, icq и т.д. по группам в том случае если установлен fw client, если же он не установлен то будет работать только по ip.
на клиентах в fw client попробуй убрать автоконфигурацию и прописать руками прокси сервер.
Настройки прокси нужны только для IE остальные проги работаЮт через direct connect, если установлен fw client.

Цитата:

для коректной работы на клиентах обязательно в качестве default GW должен быть прописан внутренний ip иса сервер, он же localhost

странно....везде говорят, что если в качестве default gateway в настройках сетевого соединения прописывать ip компа с ISA, то получится SecureNAT клиент, который авторизацию не поддерживает. Так у меня почта работает (для All users). Для доменных групп сие не прокатывает, потому что ну не поддерживает SecureNAT аутентификацию.
Для аутентификации, правильно ты сказал, нужен Firewall Client. Стоит. Но как заставить клиента ходить через Firewall client а не через SecureNAT? Ответ: убрать пропись дефолтового шлюза. Но без прописи нифига не работает - такое впечатление что тот же аутлук не понимает что ISA это шлюз. Мож что в этом конфигурационном скрипте что не так прописано?


Цитата:

на клиентах в fw client попробуй убрать автоконфигурацию и прописать руками прокси сервер

это где такие настройки в FWC? и причем тут прокси сервер?

PlanerX

Цитата:

нужен Firewall Client. Стоит. Но как заставить клиента ходить через Firewall client а не через SecureNAT? Ответ: убрать пропись дефолтового шлюза

ерунда какая... если стоит FWC - то клиент через него и подёт ибо он перехватывает winsocks вызовы... + от каждого клиента всегда открывается нат сессия вне зависимости от того как он подключён

Lamerok

Цитата:

для коректной работы на клиентах обязательно в качестве default GW должен быть прописан внутренний ip иса сервер, он же localhost

у меня деф гейтевей и иса разные - т.е. 2 точки выхода наружу - всё работает (fwc)...



Добавлено:

Цитата:

Outlook пишет :

при fwc на клиентах
конфигуратионс - дженерал - Define Firewall Client Settings -апликейшен - найти строчку аутлук и поменять disable 1 на 0 - после обязательно переаплаить настройки (апдейт запустить fwc)

Цитата:

при fwc на клиентах
конфигуратионс - дженерал - Define Firewall Client Settings -апликейшен - найти строчку аутлук и поменять disable 1 на 0 - после обязательно переаплаить настройки (апдейт запустить fwc)

да делал...и апдейт, и просто сносил и заново ставил - все одно

так все таки при наличии ISA в качестве единственного шлюза нужно ли убрать его айпи из настроек в качестве дефолтового gateway, если мы не хотим иметь дело с SecureNAT клиентами?

Добавлено:
и еще повторюсь: ежели в настройках прописан ISA как дефолтовый шлюз
то все работает, НО ...только для All users/ Для доменной группы или доменного пользователя выходит denied connection

PlanerX
Цитата:

так все таки при наличии ISA в качестве единственного шлюза нужно ли убрать его айпи из настроек в качестве дефолтового gateway, если мы не хотим иметь дело с SecureNAT клиентами?

нет, не нужно. При условии что на клиентах стоит fwc клиенты к исе будут подкл именно по fwc ... всё что будет лететь в обход ему - будет уже идти по секьюр-нату на ису. который она будет отбивать если включена авторизация.

напишите как выглядят правила в файере... куда там конектяться клиенты по смтп-попу и т.д.

Цитата:

напишите как выглядят правила в файере

да вроде все просто:

allow pop3 smtp from internal and localhost to externall always for all users

в таком виде, если оставить прописанный шлюз, все пучком.

ежели вот так:

allow pop3 smtp from internal and localhost to external always for domainname\user

или

allow pop3 smtp from internal and localhost to external always for domainname\usergroup

то пишет в логе denied connection

*********************************************
проверил только что - такая же ерунда и с мирандой - не дает доступа для domainname\user или domainname\usergroup при этом в логах как и для почты client usernamе не пишет. И в сессиях ни одного firewall client. Тока SecureNAT и WebProxy

1. у вас аутглюк почтовая программа? Батом не пытались?
2. куда конектяться проги - на внешний сервак илисвой почтовик (спрашиваю тк вы что-то говорили что у вас внутри сетки есть)


Добавлено:

Цитата:

И в сессиях ни одного firewall client. Тока SecureNAT и WebProxy

а вот это странно... у вас он вообще стоит на клиентах? Он ручками прописан в настройках клиента? (там есть получать автоматом - попробуйте вручную написать - только полное доменное имя fqdn) В настройках исы стоит раздавать fqdn исы или netbios вариант? (должно быт fqdn)

Lamerok

Цитата:

открой доступ из интернал на локал хост по порту 8080

не работает
как такового порта 8080 в исе не определено, если его определить (как Proxy например)
и внести в правило разрешающее из интренал в экстернал+локал хост всем, то на это правило в логах не будет ни одной записи
зато появляются в прокси логах (в фаервол нет) то что я приводил в начале, отбрасывает пакет который идет с клиента на ip_isa:8080 (пишет что http, хотя я определил его как proxy) под анонимом с GET http://..... причем в нетворках указано что это из интернал в экстернал, хотя пакет адресован на ип исы

Батом пытался - та же ерунда. Я ж говорю - тут дело не только в почтовых клиентах.
Все ломятся как SecureNat клиенты и ессно что они не авторизовываются.
Клиент FWC стоит, сервер с ISA видится отлично, тестится, прописан как имякомпа.имядомена, то есть fqdn.
Почтовые клиенты коннектятся на внешний сервера(хотя один из серверов и прописан во внутренней сети, коннектятся к нему по его внешнему айпишнику)

PlanerX
на мс -е есть утилита http://www.microsoft.com/downloads/details.aspx?FamilyId=F20F6267-273D-4870-B1E8-799B261B4786&displaylang=en
скачайте и запустите тест на клиенте...

C:\>fwctool PingServer

FwcTool version 4.0.3439
Firewall Client for ISA Server 2004 support tool
Copyright (c) Microsoft Corporation. All rights reserved.

Action: Verify ISA Server connectivity

Error: Firewall Client Winsock providers are not installed properly

Result: The command failed and was not completed.

PlanerX
у вас случаем не NOD32 Antivirus стоит на клиентах!?
(http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=27;t=000050)
(http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=27;t=000274)
клиенты какие (xp_sp2!?)

2 greenfox:

Спасибо огромное за наводку! NOD32 и вправду стоит, но не в нем дело. И клиенты у меня win2000prof. Короче все решилось сносом и повторной установкой протокола TCP/IP на клиенте

Ура!

зы.оказывается, если firewall клиент работает, то значок у него в трее - с зелененькой в белом кружочке стрелочкой!

еще раз спасибо!


вот на всякий случай как должно быть:


C:\>fwctool pingserver

FwcTool version 4.0.3439
Firewall Client for ISA Server 2004 support tool
Copyright (c) Microsoft Corporation. All rights reserved.

Action: Verify ISA Server connectivity

Firewall Client Windows Sockets 2 Service Provider:

DLL Name: FwcWsp.dll
DLL Version: 4.0.3439
Client Protocol Version: 11

Firewall Client Agent service:

Firewall Client Agent service is responsive

ISA Server:

Firewall Server: xxxxx.xxxx.xxx.xx
Server address: xx.xx.x.xxx
Server Protocol Version: 11
Control Channel ping: OK

Result: The command completed successfully.

В чем может быть проблема?

ISA 2004 ЕЕ подключена к нету через VPN.

В ручную подключение к VPN проходит на ура.

При установке автодилера ISA (соотв. вводится логин и пароль от прова) VPN не подключается. Потоянно происходит перенабор.
Такое впечатление, что для подключения используется учетная запись компьютера (домена).

Здорова, отцы!

Кто нить настраивал VPN коннект на ису используя EAP User Certificate Authentication?

При попытке установить соединение выдается сообщение

Цитата:

Cannot load dialog
Error 798:A certificate could not be found that can be used with this Extensible Authentication Protocol.

Сертификат на Юзера храниться в local store на компе...
Где он должен еще присутствовать?
на isaserver.org есть статья как установить соединение site to site используя сертификаты, а как сделать для клиентов?

Добавлено:
ViktorVal
у меня лично так и не получилось обучить ису автодозвону. Проблему решил заменой adsl модема на роутер. Теперь он сам дозванивается , а на серваке только настройки ip.
p.s.
2000-я звонить умела....

Добавлено:
hardhearted
кинь кусок лога чего у тебя там происзходит. Я посмотрЮ как у меня настроено.

Lamerok

Цитата:

кинь кусок лога чего у тебя там происзходит. Я посмотрЮ как у меня настроено.

я уже кидал в первой мессаге, повторяю, вот кусок из прокси логов (для краткости не все поля)

192.168.0.15 anonymous N 15:29:45.000 192.168.0.1 8080 http Web Access Only Failed GET http://forum.ru-board.com/forum.cgi?forum=8&show=40

192.168.0.15 anonymous N 15:29:45.000 192.168.0.1 8080 http Web Access Only Denied GET http://forum.ru-board.com/forum.cgi?forum=8&show=40

192.168.0.15 DOMAIN\UserX Y 15:29:51.000 65.75.176.229 80 http Web Access Only Allowed GET http://forum.ru-board.com/forum.cgi?forum=8&show=40

это при открытии любой странички, при это страница открылась, если последней записи не будет то не откроется, вот иногда последней не бывает (

192.168.0.15 - клиент, 192.168.0.1 - isa server

У меня странность, где собака порылась понять не могу. Стоит Microsoft ISA Server 2004 St. SP1. Разрешаю для всех любой исходящий трафик, всё работает, почта бегает, в инет ходится, НО. Пробую зацепиться клиентом на защищенный фтп(SSL) и хрен
Welcome to Core FTP, release ver 1.3c, build 1423.01 (U) -- © 2003-2005
WinSock 2.0
Mem -- 523,752 KB, Virt -- 2,097,024 KB
Started on Friday August 12, 2005 at 04:07:AM
Resolving ***-mos.ru...
Connect socket #408 to 195.*.*.*, port 21...
220 *** FTP Ready.
AUTH TLS
550 Access is denied.
USER tmp
331 User name okay, need password.
PASS **********
530 Non-SSL access to this server is not permitted.
Waiting 5 of 5 seconds for retry #1...
ну и так же дальше.
Отключаю сервисы ISA и проблема исчезает, клиент конектится, появляется предложение принять сертификат и далее конект на защищенный фтп.
Кто-нибудь с такой проблемой сталкивался? Подскажите, куда тыкнуться.
Заранее всем отозвавшимся большое спасибо.

Дамы и Господа, кто сталкивался с подобной проблемой прошу откликнуться
1. Условия есть пограничный сервер на базе 2к3 с установленой ИСА 2004 Ст
2. При снесенной ИСА в логах постоянно ошибка 1091 от Userenv,
но это отдельная тема http://support.microsoft.com/default.aspx?scid=kb;en-us;823608
3. Стоит поднять ИСИк как тутже получаем еще и 1053 от тогоже Userenv
"Не удалось определить имя пользователя или компьютера.
(Сбой при удаленном вызове процедуры. Вызов не произведен. ).
Обработка групповой политики прекращена."
т.е. она что-то блокирует... как это разрешить?
ставили правила такого порядка
111 localhost to internal alluser allow
222 internal to localhost alluser allow
толку нет... на другом теже правила и все ок :/
+ не дает удаленно администрировать себя-
состояние правил показывает, а применить изменения
не дает - "Сбой при удаленном вызове процедуры"

внешний периметр пока не интересует-сетевой шнур выдернули
надо разобраться с 1053

hardhearted

попробуй написать нтакое правило

allow all from dc to localhost
в закладке from и to пропиши dc & localhost
т.е. открой весь трафик между контроллером домена и локал хостом в обе стороны. и посмотри что получится.

Lamerok

не помогает,
а вообще такие логи это нормально? я просто не знаю где еще проверить это, может у тебя тоже самое если включить прокси, integrated authentication и посмотреть что monitoring->logging пишет
в микрософтовской книжке есть такая фразочка (MCSA/MCSE Self-Paced Traning Kit (Exam 70-350)) :
Web Proxy clients do not automatically send authentication information
to the ISA Server computer. By default, ISA Server requests credentials from a
Web Proxy client only when processing a rule that restricts access based on a user set element.

может эти логи и правильные, то есть клиент посылает сначала запрос на прокси без аутенфикации а потом когда иса его откинет и попросит, тогда уже клиент отправляет аутенфикацию?

и еще я тут тока что заметил что периодические глюки с открыванием страниц (Error Code 502: Proxy error. The parameter is incorrect. (87)) часто совпадают с ошибкой логов (The Microsoft Firewall failed to log information to ODBC Data Source fwlogs, Table: FirewallLog, under User Name []. The ODBC Error description is: [State=01004][Error=0][Microsoft][ODBC SQL Server Driver]Fractional truncation [State=22001][Error=8152][Microsoft][ODBC SQL Server Driver][SQL Server]String or binary data would be truncated. [State=01000][Error=3621][Microsoft][ODBC SQL Server Driver][SQL Server]The statement has been terminated. .) может это и из-за этого.

Привет!!!
на 76 странице я задавал вопрос писал "isa 2000 сжирает паяти просто гору (taskmgr пишет 240 мб но на самом деле около 600)
Вопрос такой как можно уменьшить кол-во памяти сжираемой isa???"
так вот если кому интерестно решение этой проблемы так вот оно:
"Саche Configuration - Advanced - Percentage of free memory to for use caching"
уменьшаем с 50 процентов до...
взято с http://www.isaserver.ru/ShowPost.aspx?PostID=665

hardhearted

Посмотрел у себя. У меня все как полагается работает....
anonymous только там где правила для all users
у меня также стоит Integrated auth , fw client настроен вручнуЮ.

В одном месте у меня иса работает как 3 Leg Perimeter в другом как edge firewall ( хотя я не думаЮ что в этом может быть дело)
У меня откыто все между контроллером м локалхостом в обе стороны. Это единственное правило , кот подходит под твоЮ ситуациЮ.
Логи у меня кстати не на скуль пишутся а на локалке обрабатываЮтся...
назвел ряд вопросов:
Это у тебя со всех клиентов или только с одного?

Какие настройки ip на локалхосте ( не нужно конкретный ip)
ip, subnet mask, dns AD
def GW только на на внешнем инетерфейсе?

у меня еще руками прописано правило на allow dns request на все подсети в обе стороны


p.s. что бы я сделал на твоем месте: зная как работаЮт мелкософтовские продукты ( хотя к исе нареканий нет) я бы всЮ конфигурациЮ исы с нуля сделал. начиная с конфигурации сети. И самом конце работы ваизарда сказал блокировать весь трафик и настроил все правила с нуля.
Кстати, к вопросу "с нуля" попробуй правило для начала это грохнуть, и создать заново.
у меня пару раз кривели правила.....

Lamerok
у меня fwclient не используется, только прокси (вернее используется но тока там где надо, таких немного)
такое у меня со всех клиентов, но только когда иду через прокси, если я на машинах с fwclient отключаю прокси, то все гуд (что понятно ибо пропадают первые две записи из того куска лога которые на локалхост 8080 остаются просто коннекты на сайты 80)
на локал хосте настройки как обычно
на внутреннем
192.168.0.1/24
гейта нет
dns 192.168.0.3 (DC)
на внешем
10.0.0.2/24
гейт 10.0.0.1 (у меня два файрвола, второй циска которая просто натит)
DNS 127.0.0.1 (стоит кеширующий dns на который форвардяться все запросы с DC и который сам форвардит все кроме внутренней зоны на dns провайдера, а внутреннюю зону форвардит на DC, сам dc не может стучаться во вне ни под каким соусом)

руками прописано правило allow dns from dc to localhost for all users
системное правило соответственно allow dns from localhost to all networks for all users

у клиента
192.168.0.x/24
гейт 192.168.0.1
dns 192.168.0.3 (dc)
прокси в експлорере 192.168.0.1:8080

Цитата:

у меня fwclient не используется, только прокси

погоди.. я чет не понял...
что значит "только прокси"?

fw client нужен как раз для того чтобы аутентификацией заниматься. если у тебя на машине нет его тогда у тебя будет deny на anonimous или прописывать правила не для группы а для all users

на счет dns я не понял.. вернее понял, но зачем так сложно? не проще ли на внешнем интерфейсе прописать dns провайдера?

Короче...
Ставь на ВСЕХ клиентах fw client ( ставится через gpo на раз)
конфигурить его лучше все таки ручками.. с автоматической настройкой бываЮт глЮки. Руками надежнее.

создаешь правила:
Allow HTTP (admin access)
Allow HTTP ( get only) *(optional)
Allow HTTP (limited post) *(optional)

в исе создаешь одноименные группы туда загоняешь группы из AD

если все таки у тебя будут проблемы с установкой и т.д тогда пусти определенных Юзеров по ip ( я так например сделал для админских машин и серверов).
В этом случае тебе клиент не нужен. Все будет работать директ конект.

У меня в правилах на HTTP три протокола HTTP , HTTPS и HTTP:8080

По крайней мере попробуй хотя бы с одним клиентом так. И помониторь в лога х че там будет.
Чедес не бывает. У меня все работает ведь.

good luck & good frag's