» MS ISA Server (часть 1)

Klisha

Opera, Mozilla, FireFox , а также с разнообразные менеджеры закачек и т. д. работают чере fwc в режиме директ коннект.

Lamerok
В том то и дело что Opera ну никак не хочет работать.

Klisha
попробуй в опере настройки прокси прописать.
Например эксплорер без них рабоать не хочет, не взирая на fwc
M$ однако

Требуться помощь!!!!
Установил ISA 2000 на Сервер 2003. Пытаюсь установить СП1, а он пишет ошибку
Setup error
The program cannot read the registry entry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FPC\InstallDirectory

Попоробывал снести ISA, а она несноситься!!!!

Вот и не знаю что делать?
Работать в ней немогу, т.к. нет СП1 и т.д.
И ISA 2004 немогу, т.к. тот видит 2000 ИСУ и ставиться соответсвенно нехочет.

Убей все службы ИСЫ(разрегистрируй), ручками похерь папочку, ну и реестр почисть.
Ставь потом 2004 и не мучайся - я так сделал и все нормально работало...

ЗЫ Только не вздумай ставить ИСУ на DC

Admin CSB

Почему нельзя ставить ISA на DC????

axit
Потому что, нежелательно - она не редко рубит то что не надо рубить, даже при все разрешено. Есть у нее косяки. Да и ставить DC смотреть в инет ИМХО неправильно.

Admin CSB

нежелательно и нельзя это немного разные слова (даже очень разные)
У меня нет альтернативы (нет свобдной машины с теми же параметрами, остальные компьютеры слабы и заняты)
А в сетке у меня всего лишь 1 сервер.
Да и ставить я хотел ИСУ 2000, а не 2004

Тебе обязательно ставить ИСУ ???
У меня сейчас на одной из работ стоит Kerio Winroute Firewall - ИМХО работает гораздо надежней, чем ИСА, меньше гемора и т.д. Стоит на P3 1GHz с 512 рамы, хотя реально работает без проблем и на тачке слабее.

Admin CSB


Мне нужна статистика и нуны квоты для Юзеров
+ ИСу я знаю

axit
И то и другое в вироуте есть.... + для винроута есть куча анлизаторов логов...
Настривать его, кстати, легко.
В общем дело твое, но будь готов к возможности кривой работы сервака из-за ИСЫ...

Admin CSB

Кривой из-за версии ИСА и версии Сервера или из-за Контроллера?

axit
Из-за самой ИСЫ....

PS Нашел:

Цитата:

И следующее , на инсталяционном диске с ISA2K в каталоге \isa\i386 есть утилитка rmisa.exe. Эта утилитка жестоко убивает ISA в любых ситуациях...
Microsoft рекомендует ей пользоваться в случае не удачной инсталяции, когда даже в "Установке и удалении" isa не видится...

А насчет нежелательности установки ИСЫ на DC - почитай http://isaserver.ru/ShowPost.aspx?PostID=3226

Lamerok
Настройки прокси прописаны.

А что делать с авторизацией?

Что-то надо поправить в настройках FWC, но я не знаю что. Может кто ткнет в статью по его настройке?

Статистика исы пишется в логи.w3c. Чем можно посмотреть и составить отчеты по сайтам, на которых сидят юзеры???
Пробовал Инспектор для ИСЫ, так он СИКВЕЛ требует... есть что-нибудь попроще?

Добавлено:
axit
У меня та же ситуевина... Пришлось ставить ИСУ на КД. Проблема в том, что ИСУ надо ставить до АД!!! После АД она не ставиться.

Добавлено:
Admin CSB
Стоял у меня винроут 6й (предыдущий админ поставил)... до ИСЫ... вещь настолько кривая была, что я побыстрее от него избавился.

Добавлено:
Lamerok
Как раз настройки прокси надо из Оперы убрать. Она работает только через клиента.
Я тоже долго мучался с ней.

Добавлено:
Klisha
Опера не поддерживает необходимую для ИСЫ авторизацию. Единственное решение - убрать из настроек прокси и поставить файрвол-клиент.

PRiM

Цитата:

Опера не поддерживает необходимую для ИСЫ авторизацию. Единственное решение - убрать из настроек прокси и поставить файрвол-клиент.

странно у меня то работает через прокси... и вообще пытался я настроить фаервол клиент, так с ним как мне показалось только больше геммороя...
честно говоря я не совсем понял для чего он вообще может понадобиться.

Klisha

Цитата:

А что делать с авторизацией?

In Microsoft Internet Security and Acceleration Server 2004 management console, expand the server name and then expand the Configuration node. Click on the Networks node. While on the Networks node, click the Networks tab in the details pane and then double click on the Internal Network.
In the Internal Properties dialog box, click the Domains tab. On the Domains tab, click the Add button. In the Domain Properties dialog box, enter the FQDN domain name
In the Internal Properties dialog box, click the Web Proxy tab. On the Web Proxy tab, click the Authentication button. In the Authentication dialog box,click Integrated check box. ClickOk.

---

PRiM


Цитата:

Проблема в том, что ИСУ надо ставить до АД!!! После АД она не ставиться

ничего подобного. 2004-Ю можно ставить как и после так и до. Если поставить до , соответственно будет работать без аутентификации по ip address.
Как показал опыт установленная иса нормально встает в домен.

---

rstar1979

Цитата:

честно говоря я не совсем понял для чего он вообще может понадобиться.

он как раз нужен для того чтобы аутентификацию по пользователям делать. Если ты всех пускаешь по ip тогда он тебе не нужен.

Lamerok
так на всякий случай у меня 2000 иса и аутентификация у меня по пользователям
правда не из домена а с этой машины... т.е. для того чтоб кто- либо вышел в нет я завожу на машине с исой пользователя и включаю в нужную группу прописанную в Исе...
вот так либо я чего-то не понимаю либо...

Lamerok
Это то понятно.
P.S. победил.. оказывается опера автоматом хватала настройки прокси для эксплорера и ни в какую не хотела работать. Вручную убираешь прокси - и пашет.

Подскажите как настроить ису 2004 по такой схеме.
Есть сервер с двумя интерфейсами к одному инет подключен а к другому местная сеть, так вот мне надо организовать доступ через VPN пользователям в инет и защититься фаирволом то внешнего мира

Народ, у меня проблема с ICQ
Иса 2000 стоит на 2003 сервере
постоянно отваливается аська у всех пользователей и тутже конектиться обратно. В логах заметил постоянную атаку (all potr scan) с айпи адресов аськи.
Где-то читал что это из-за сп1 на 2003 сервере. Но как-то не хочется убивать сервиспак на работающем сервере. Может кто нашел выход из этой проблемы?

KrafTMDK
у тебя firewall клиенты ипользуются?

Кстати, конкретно аська стабильно работает через socks.

Если может кто нибудь обьяснить почему при установки иса я ставлю промежуток ip адресов как доверенные т.е локальная сеть (internal) а фаирвол это айпишники не пускает на сервер не говоря уже об интернете

Цитата:

Народ, у меня проблема с ICQ
Иса 2000 стоит на 2003 сервере
постоянно отваливается аська у всех пользователей и тутже конектиться обратно. В логах заметил постоянную атаку (all potr scan) с айпи адресов аськи.
Где-то читал что это из-за сп1 на 2003 сервере. Но как-то не хочется убивать сервиспак на работающем сервере. Может кто нашел выход из этой проблемы?

Поставь sp2 на ISA и будет тебе счастье.

Zagat
поставил... та же проблема, ничего не помогает, только снос и заново установить, работает с полтора месяца нормально и опять та же история.
KrafTMDK, ты как нить решил эту проблему?

dimonte

Цитата:

может кто нибудь обьяснить почему при установки иса я ставлю промежуток ip адресов как доверенные т.е локальная сеть (internal) а фаирвол это айпишники не пускает на сервер не говоря уже об интернете

ISA 2004?
ISA>Monitoring>Dashboard>Connectivity - все тесты проходят?

Leonid_Z

Да, у меня ISA 2004/

Может есть какое описание по установке и настройке на русском?

PRiM

Цитата:

Admin CSB
Стоял у меня винроут 6й (предыдущий админ поставил)... до ИСЫ... вещь настолько кривая была, что я побыстрее от него избавился.

Значит руки кривые у кого-то - у меня единственный сбой KWF произошел по моей же вине - поставил SAV? а они не дружат... Пользуюсь теперь встроеным антивирем и все прекрасно работает.

rstar1979

Цитата:

правда не из домена а с этой машины...

а домен есть?
Если есть то можно работать по правилу UGGL ( user-global group-global group-local group). Т.е. в твоем случае создать глобальную группу и включить ее в локальную. На локальную раздавать пермишены. При добавлении в глобальную группу через AD пользователь сразу получает доступ к необходимым ресурсам. Так рекомендует делать M$.
На практике часто назначают пермишены на глобальные группы. При удалении машины из домена и т.п. NTFS пермишены на локальной машине ломаются - остаются только SID.

но если ты не через домен рулишь - логика правильная.
В случае с AD локальные юзеры лишний геморрой



Добавлено:
dimonte


Цитата:

Может есть какое описание по установке и настройке на русском?

Могу раздать книгу Шиндлера (на английском правда), но это лучшее что есть из документации по исе.

rstar1979

Цитата:

странно у меня то работает через прокси... и вообще пытался я настроить фаервол клиент, так с ним как мне показалось только больше геммороя...
честно говоря я не совсем понял для чего он вообще может понадобиться.

У тебя в настройках ИСЫ не стоит галочки ТРЕБОВАТЬ АУНТЕФИКАЦИИ, поэтому и пашет.
А у меня ИСА берет юзеров из домена. А опера такой метод аунтефикации не поддерживает.

Добавлено:

Цитата:

ничего подобного. 2004-Ю можно ставить как и после так и до. Если поставить до , соответственно будет работать без аутентификации по ip address.
Как показал опыт установленная иса нормально встает в домен.

А если ставить ИСУ2004 после установки АД, то надо какого-то хозяина перенести на комп с ИСОЙ... иначе она просто в конце установке вылетает с ошибкой.