» MS ISA Server (часть 1)

Еще один вопрос и я пойду все это пробывать))
Когда ставлю ИСУ она ставит проксю! Все кто лазает по сайту (сайт на этом сервере) имеют ИП сервера! Где отключаеться!?
Я нашел где-то , отключил но все равно не сменились!

Гуру по энтерпрайс версии подскажите, как корректно перенести сервер конфигурации исы 2004 с одного доменного контроллера на другой. на первом железо надо заменить вот на время куда-то переместить сервер конфигурации надо.

Может быть такой вопрос уже возникал. Но я ответа не нашел.
Можно ли через ISA прокидывать IP с внутренних на соответствующие внешние.
Типа Зарезервированных в стандартном нате. Чтобы весь трафик с внешнего ip шел на внутренний.

Установил ISA server 2004.
Создал разрашающее все правило для протоколов.
DNS на другом сервере, там где PDC.
Когда пытаюсь открывать сайты, работают почему-то только некоторые
mail.ru, rambler.ru.
На остальные в подавляющем большинстве получаю ошибку 11001, 11002.
Как победить проблему?

Добавлено:
И еще вопрос.
Можно ли с помощью иса вести протокол траффика по ип адресам внутренней сети.
Кто в каком объеме лазил с детализацией куда, по каким адресам

Orantius

Цитата:

Чтобы весь трафик с внешнего ip шел на внутренний

это так и работает. все запросы от клииента иса пропускает через себя и возвращает клиенту.

Цитата:

прокидывать IP с внутренних на соответствующие внешние

по моему нельзя. можно только порты прокидывать.

Как вариант можешь все протоколы прокинуть с ip на ip

---

Aladdinych

Цитата:

Можно ли с помощью иса вести протокол траффика по ип адресам внутренней сети.
Кто в каком объеме лазил с детализацией куда, по каким адресам

попробуй Internet Access Monitor
внутренними средствами по моему нельзя..

Цитата:

На остальные в подавляющем большинстве получаю ошибку 11001, 11002.

подробнее опиши по какому протоколу идешь , какие правила отрабатывают

Цитата:

Как победить проблему?

используй встроенный мониторинг

работаю по протоколу http
Правило
access policy\protocol rules
Свойства:
general - enable
action - allow
protocol - all ip traffic
shedule - always
applies - to any request

А в каком разделе форума можно спросить ниже перечисленное? ИЛи может тут кто ответтит!
Значиться как я уже говорил в компе 2 сетевухи, два провайдера! У обоих в настройках есть шлюз свой! Как мне настроить чтобы работали обо одновременно!?

Aladdinych
ты вроде про 2004 ису говоришь, а исходные данные для 2000.. protocol rules был в иса 2000..

как у тебя днс настроены на исе и на клиентах?
на исе должны быть внешние (провайдерские) днс провайдера

вообще подетальнее информацию надо бы дать..

XZNIK
иса не умеет раскидывать траф по разным шлюзам.. вариант был описан на предыдущих страницах с поднятием массива ISA серверов..

альтернатива ставить линух

РРР мне ненадо чтобы это Деала ИСА! Насчет ИСА у меня с ВПН вопрос и все! Я думал мне ктото подскажет как виндой 2-й шлюз настроить!

Стоит ISA 2004 ED на Win2003 SE
Кеш отказывается работать в упор - не знаю что делать... Возникают следующие Warning'и : Инициализация кеша провалена, Невозможно инициализировать кеш.

Также формируются всё время пустые отчёты и идут следующие ошибки и warning'и (каждые 2 минуты): Ошибка при удалении лога, Исчерпано место на диске - логи будут перезаписанны, Неудается обновить лог.

Места на диске ещё ~20 гигов - я запарился лазить по инету - ничего найти не могу... Подскажите, хотя бы в каком направлении глюки искать?

Находил следющее:
У Network Service отстутствуют полные права на диск. (бестолку)
Размеры логов надо увеличить - сделал всем логам размер по 2 гига - пишутся в базу mdf - вроде (всё равно логи занимают ококло 20 метров - вроде по чуть-чуть увеличиваются ).


Добавлено:
Вот - подробное описание ошибок:
Description: Log storage free disk space limit exceeded

Description: Disk cache C:\urlcache\Dir1 failed to initialize. Identify the reason for cache failure by examining previous recorded events, or the error code. Check that the disk is connected and that it is not corrupt. (Internal code: 504.1395.4.0.3439.50)
The failure is due to error: Недопустимые данные.

Description: The cache was not properly initialized. All cache drives failed to initialize properly. caching will be disabled (internal code 503.337.4.0.3439.50). Identify the specific reason for the failure from previous relevant event logs. Fix the problem, and then restart the Firewall service to enable caching.
The failure is due to error: Ошибка ресурса кластера.

В ISA я новичек, поэтому прошу помочь разобраться с веб-доступом извне к почтовому серверу по фиксированному IP (без всяких DNS-имен).

Есть сервер под W2k3 EE: сетевуха в локалку (192.168.0.x) и сетевуха в инет (фиксированный внешний IP).

На этом сервере (192.168.0.2): ISA 2004 EE и почтовый сервер MDaemon Pro 8.1.3, который имеет встроенный Web-сервер WorldClient для веб доступа к почте. Он слушает http-запросы по порту 3000 (настраивается).

Единственный вариант как работает этот веб-доступ - только на самом сервере по запросу http://localhost:3000. Но по http://192.168.0.2:3000 уже не работает ни с самого сервера, ни с машин в локалке. По внешнему IP (что в общем-то и нужно) тоже никак не работает.

В логах, при http://(внешний IP):3000 с сервера, ISA пишет:

Client IP: 192.168.0.2
Destination IP: 192.168.0.2
Destination Port: 8080
Protocol: http
Action: Denided Connection
Rule: [Enterprise] Default Rule
HTTP Status Code: 12202 The ISA Server denided the specified URL
Client User Name: anonymous
Source Network: Local Host
Destination Network: Local Host
URL: http://(внешний IP):3000
Log Record Type: Web Proxy Filter

Т.е. как обыно режется последним правилом по умолчанию. Пытался просто создавать правило пропускать из External в Localhost HTTP для All Users. Пробовал публиковать и как веб сервер, и как почтовый сервер с выбором Outlook Web Access (я так понял аналогичная штука для Exchange), но тщетно, видимо путаюсь в этих настройках.

Помогите пожалуйста разобраться

Цитата:

Стоит ISA 2004 ED на Win2003 SE
Кеш отказывается работать в упор - не знаю что делать... Возникают следующие Warning'и : Инициализация кеша провалена, Невозможно инициализировать кеш.

Посмотри, под каким аккаунтом запускается служба ISA (Firewall) и посмотри для этого аккаунта квоты на диск, на котором пишутся логи.

Добавлено:

Цитата:

В ISA я новичек, поэтому прошу помочь разобраться с веб-доступом извне к почтовому серверу по фиксированному IP (без всяких DNS-имен).

В ISA см. Firewall Policy - Tasks - Publish web server
Приведённый лог означает, что обращение к веб-серверу не подошло ни под одно из правил, и Denied Connection по Default Rule. Т.е. ОК. Осталось сервер опубликовать.

Цитата:

В ISA см. Firewall Policy - Tasks - Publish web server
Приведённый лог означает, что обращение к веб-серверу не подошло ни под одно из правил, и Denied Connection по Default Rule. Т.е. ОК. Осталось сервер опубликовать.

Это всё я прекрасно понимаю, я же написал что пытался по разному публиковать сервер, но видимо что-то путаю там в параметрах. Сейчас попробую описать что указывал при попытке опубликовать как веб-сервер...

Такой вопрос, вроде обсуждалось, не нашел.

В MS ISA 2000 есть такая полезная галочка типа, принудительно спрашивать авторизацию на прокси. То есть, если машинка не в домене или юзер не в домене - то происходит запрос на авторизацию для выхода в инет. В MS ISA 2004 такого не нашел.
Вопрос к гуру, как реализовать такую фишку в MS ISA 2004?

P.S. есть несколько машин не в домене и несколько машин на VPN'е. Так вот для них и нужна такая весчь, как запрос авторизации при выходе в инет.

MSerg
конфигурат - нетворкс -св-ва нужной сети - web proxy - auth - requre all to auth
это!?

MSerg
greenfox
Достаточно поставить тип авторизации Basic и тогда пользователи смогут заходить под учетными записями типа DOMEN\User и вводя пароль
Если
Цитата:

requre all to auth

то прокся будет спрашивать имя и пароль при каждой новой сессии

Хмм, сейчас под рукой нету 2004, только 2000. Точно не могу сказать (даже поставить пока некуда). Буду очень благодарен, если найдешь . Просто встал вопрос о переходе на MS ISA 2004, так что придется копаться и не хотелось бы наступать на грабли, на которые кто-то уже наступал

Я уточнил, у меня такая проблема с ISA.
DNS сервер стоит на PDC. Раньше он был шлюзом и работал через NAT.
Теперь на другом компьютере поставил ISA и она должна быть шлюзом.
DNS остался на прежнем месте.
Вариант 1.
На машине с ISA на внешней карточке прописываю DNS провайдера.
Все работает. Машины ходят в интернет.
Вариант 2.
На машине с ISA на внутренней карточке прописываю DNS своего сервера (PDC).
На PDC на внутренней карточке в качестве шлюза указываю внутренний адрес ISA машины.
В результате механизм DNS не работатет.
Пинги по адресам на внешние хосты идут, а по именам нет.
т.е. ping www.yandex.ru не работает.
Как победить проблему.
Должен ISA как-то работать через внутренний DNS сервер.

Цитата:

На машине с ISA на внутренней карточке прописываю DNS своего сервера (PDC).

это еще зачем? там ничего не должно быть!

на крайний случае можно у основного адаптера ПОСЛЕДНИМ поставить адрес внутреннего ДНС...

MeGaBrAiN

Цитата:

это еще зачем? там ничего не должно быть!

вы чт то путаете - как написано в книжке Шиндлера т.е. если внутри сети есть DNS который резолвит и внутрение адреса и внешние он и должен быть прописан на внутр интерфейсе исы - на внеш.соот пусто. Подробнее - см.книгу его.

да пародон.. почему-то подумал что у него на ПДЦ иса стоит.. бывает

Ну что кто-нибудь подскажет какии программамии или средствами виндовз можно поставить на каждую сетевуху по шлюзу(сетевухи две)!
Ну кто даст инфу,как поднть ВПН в исе 2004!

MeGaBrAiN
Альтернатива - не только линух, но Kerio Winroute Firewall

Arakcheev
он глючит с ntlm аутенфикацией юзеров на терминальных серверах

Есть еще проблема.
При отправке почты, иса ругается что неизвестны хосты pop.xxxx.xx.
У меня компьютер, где стоит иса не является членом домена.
Возможно проблема в этом.
И у меня так и не получился вариант с внутренним ДНС.
Можно ли решить проблему?
Если на карточке прописать днс провайдера то по крайней мере по http компьютеры работают

все по моему же вопросу!
Имею в ИСЕ 2 правила!
1) Для локалки! Разрешает любой траф в сети
2) From - vpn client, to EXTERNAL!
Для обоих ставлю all user

Потом в rraas подымаю ВПН сервер, создаю группу, подключаюсь к серверу сс другого компа и......и ничего! Конектиться но Нета нет на 80%! Заххожу в игру она показывает сервера игр, аська подключаеться и маил ру агент(больше нет прбывал) А вот ХТТП не робит!
В чем баг!

Aladdinych

Цитата:

У меня компьютер, где стоит иса не является членом домена.

вообще желательно чтоб была


Aladdinych
XZNIK
СМОТРИТЕ логи исы и вычисляйте по какому правилу вас оная инета отбирает.. если непонятно то кидайте лог в студию.. Ибо как вы вопросы задаете такие ответы и получаете..

Как лог посмотреть))))

Цитата:

Как лог посмотреть))))

ну здрасьте приехали..

ISA Management -> Monitoring -> Logging

дальше разберешься, может и сам догонишь где трабл

Вопрос

у ИСЫ есть такая штука
Microsoft Firewall Client Management
работает всё красиво и пушисто.

вопрос - он что - ВЕСЬ траффик заворачивает для начала на ИСУ ?

для чего спрашиваю - есть несколько подсетей - можно ли так сделать чтобы трафик - из одной локальной подсети в другую не направлялся сначала на ИСУ ?