» MS ISA Server (часть 1)

Keugh
сделай правило в ИСЕ доступ всех ко всем по всем протоколам,сними все фильтры, если проблем пропадет то причина в ИСЕ
drros

Цитата:

Название сервера -> Configuration -> Networks -> вкладка Web Chaining -> в списке задач справа Create New Web Chaining Rule. и там выставляешь Redirect to нужный сервер и порт

вроде пошел траф с ИСЫ на их прокси, во всяком случае страницу с ошибкой теперь генерит их пркси. завтра буду копать дальше. если прокатит глубокий риспект то drros

drros
BR0NC0

Да, это я уже проверил. Если разрешить весь трафик через все протоклы, то проблема исчезает. Знать бы только какие порты/протоклы надо открыть....

у меня стоит тоже на контроллере, разрешено следующее:из LAN to localhost, протоколы: всё что относится к Kerberos, всё что относится к LDAP.

Salvo

Цитата:

для включения аутлука, выкинь из настроек строку outlook disable.
в ISA Server Managment сделай Configuration-> Define Firewall Client Settings -> Application settings -> Outlook | Disable | поставь вместо "1" "0" и рестартни клиента.

Сделал так - всё равно работать не хочет Оутлук по POP3/SMTP. При этом с Exchange как связывался, так и связывался и работает.
PS: в продолжение темы о настройке Firewall Client.
PPS: обнаружил, что доступа нет ИЗ-ЗА аутентификации. Стоит поставить вместо Internet group (группа ISA - содержит группу пользователей домена, которым можно в интернет) - поставить All users и начинает работать! (с All Auth Users тоже не работает)...
Ещё раз проверил по статье http://www.internetaccessmonitor.ru/rus/products/articles/Using_Outlook_2003_with_the_Firewall_Client/Using_Outlook_2003_with_the_Firewall_Client.php (рекомендую!!!) - и никак.

непонятно из за чего но седня за 20 мин дважды уже упал firewall сервис на исе.

win2k3 sp1 полностью пропатчена, isa 2004 sp2, никаких левых фильтров или софта не стоит, только иса с родными фильтрами, сегодня в 13.04 и в 13.21 просто свалился сервис, никаких сообщений перед падением нет. оба раза пишет одно и тоже

Source: Microsoft firewall

Event ID: 14057

The Firewall service stopped because an application filter module C:\Program Files\Microsoft ISA Server\w3filter.dll generated an exception code C0000005 in address 6477DCC5 when function CompleteAsyncIO was called. To resolve this error, remove recently installed application filters and restart the service.

А ISA 2006 beta уже кто-нибудь смотрел? Ограничение по трафику они туда добавили?
http://www.microsoft.com/isaserver/2006/default.mspx

PRiM
а что значит ограничение? если ты имеешь ввиду квотирование по юзер/ип то врядли
а приоритезацию http по destination скорее всего оставили (diffserv из 2004 sp2)

Цитата:

[/q]
[q]непонятно из за чего но седня за 20 мин дважды уже упал firewall сервис

Сервис падает когда посещяеш определенные сайты посмотри в логе исы какой сайт открывали в это время. У меня например при заходе на сайт fxclub.org иса падать стала после установки второго сервиспака.

Ждем разъяснений Microsoft.

dumsik

Цитата:

Сервис падает когда посещяеш определенные сайты посмотри в логе исы какой сайт открывали в это время. У меня например при заходе на сайт fxclub.org иса падать стала после установки второго сервиспака.

А вот интересно, выполнена ли настройка HTTP Compression Preferences или Diffserv Preferences? Может в них дело?

Цитата:

А вот интересно, выполнена ли настройка HTTP Compression Preferences или Diffserv Preferences? Может в них дело?

difserv отключен, компресия включена на external. но есть мнение что это не причем
http://www.tech-archive.net/Archive/ISA/microsoft.public.isa/2005-11/msg00338.html
тут мессага на эту же тему датирована ноябрем, когда sp2 еще не было, то есть компрессии и diffserv тоже

Добавлено:

Цитата:

Сервис падает когда посещяеш определенные сайты посмотри в логе исы какой сайт открывали в это время. У меня например при заходе на сайт fxclub.org иса падать стала после установки второго сервиспака.

логи я смотрел, там никакого криминала, сайты обычные куда юзера постоянно ходят, и не так много (время обеда, нагрузка не такая большая). возможно "плохой" сайт как раз и не попал в логи, если на нем сервис упал то и в лог записать не смог.

Я продолжаю воевать с Firewall Client на WinXP SP2(сервер ISA 2004 SP2, домен на w2k3).
Картина такая, смотрю логи Monitoring-Logging.
И в поле Client Username - пусто. При этом протокол ICQ2000 или http. И, на правиле, по которому пропускать должен в интернет по имени пользователя - не пропускает - Denied пишет. Проявляется это так, что ICQ и IE не всегда работают! Аська так и вообще почти перестала.
Пробовал в ICQ прописывать и работу через прокси и файрволл, и имя пользователя - всё задавал. Соединится (иногда), а потом сообщения не даёт передавать...
Что-то я прямо растерялся даже... почему пользователь то не определяется?! Ведь, что характерно, ИНОГДА работает - потом отваливается. Сейчас отключил проверку аутентификации в ISA - когда стоит All users - отлично работает.
Может быть дело в том, что в предыдущих правилах везде стоит All Users? Хотя это то тут при чём...
Куда покопать?

И у меня проблем нерашается... ISA перенапрвляет траф на upstream proxy спутникового провайдера (на этой же машине), это я с вашей помощью сделал, от прова приходит ответ на тарелку и наэтом все... Бровзер находит сайт ждет от него ответа, а ответ гдето пропадает на серваке между DVB картой и ИСОй...
Причем что любопытно джентельмены, почта летает как пуля...
Раньше работал с другим провом по VPN все заработало за полчаса, а тут комплекс неполноценности развивается... В общем HELP!!!

BR0NC0

пинги проходят? только надо Ping открыть в исе.
HTTP открыто?
если ты сидишь на машине на которой и стоит ИСА, то HTTP открыто для localhost в External (у мя по другому почему-то не заработало)?
что в логах?

drros
пинги ходят нормально,
был открыт http весь траф из AllProtectedNetworks сети в All Networks,
заработало после того как открыл "весь траф" из "All Networks" в "All Networks"
но этож ненормально
пробую ставить хотя бы "весь траф" из "AllProtectedNetworks" в "All Networks" - HTTP встает колом а POP/SNTP с таким же правилом летает
наверное я упускаю какуюто деталь

All
Никак не могу понять, как открыть компу доступ в инет через SNAT? И чем это грозит? Можно ли правилами этого пользоваля порезать? Или на него проксёвые правила не распространяются? Авторизация-то не по доменному имени.

Кстати, а как открыть порты 1000 и 443 в две стороны? Как правила создать? Я создаю тупо правила, но ничего работать не начинает. Может, надо создавать Server Publishing Rule-ы? Доступ по этим портам требуется для проги, установленной на компе в локалке. Портмаппингом надо играться что ли? Так ИСА сама вроде как умеет маршрутизировать...

kaskad

Цитата:

Никак не могу понять, как открыть компу доступ в инет через SNAT? И чем это грозит? Можно ли правилами этого пользоваля порезать? Или на него проксёвые правила не распространяются? Авторизация-то не по доменному имени.

То же самое, что и через прокси или коиента, только авторизация по IP или имени компа.

Добавлено:

Цитата:

Кстати, а как открыть порты 1000 и 443 в две стороны?

В ИСЕ, если нужно сделать доступ к какому-то сервису, даже если он на том же компе, где и ИСА, нуно делать publishing. Вроде бы, я эту тему сильно не копал

Internet Security and Acceleration (ISA) Server 2006 Standard Edition Beta
http://go.microsoft.com/?linkid=4501047
Quick Details
Version: 5272
Date Published: 2/9/2006
Language: English
Download Size: 12 KB - 53.7 MB*

BR0NC0

логи в студию!
можно мне в мыло.

Iv Michael

точно такая же проблема.
Стояла на win2k3 ISA2004 SP1 (домен правда win2k)
было правило "Users", им было разрешено ходить в инет через http, ftp, icq2000, pop3, smtp правило было разрешено для юзеров из домена (DC был на сервере win2k AS).
после установки SP2 юзеров напроч перестало пускать по протоколам icq2000, pop3, smtp авторизация происходить только по протоколам http, ftp. Режим аутентификации как стоял так и стоит "Integrated" галочка "Req all users to authentificate" не стояла. Весьма интересная проблема. Есть подозрение что проблема с новым механизмом аутентификации FWC о которой писалось выше. Была одна идея помучать FWCCreds.exe - это утилита для прописывания учетной записи для запускаемого типа приложения. Но это не помогло. Заметил что в логах FW клиенты аутентифицируются не как был раньше, например Vasya, а под (?)Vasya - что рзначает (?) хз.. Попробовал обновить FW клиентское ПО - не помогло. кто сталкивался? Есть соображения?

kaskad

Цитата:

Кстати, а как открыть порты 1000 и 443 в две стороны? Как правила создать? Я создаю тупо правила, но ничего работать не начинает. Может, надо создавать Server Publishing Rule-ы?  Доступ по этим портам требуется для проги, установленной на компе в локалке. Портмаппингом надо играться что ли? Так ИСА сама вроде как умеет маршрутизировать...  

Есть статья по настройке eMule в ISA. В ней описывается похожая ситуация. Статья здесь

Winnie_The_Pooh
иса как иса, я импортировал новшества в 2004 и пока на этом успокоился

Настройки безопасности Demand Dial интерфейса сбрасываются на Typical (secured password)

Win2003 (domain member), ISA 2004 EE --> router-to-router VPN L2TP <-- Win2003, RRAS VPN (domain member)
Настройки RRAS на обоих серверах идентичны за исключением RRAS ISA - Accounting provider (None)

На ISA сервере сбрасывается протокол и метод аутентификации, не запоминается установленный в Security options (Demand Dial Interface) параметр Advanced (custom setting) \ Logon security EAP (certificate)
При конфигурирования учитывал Remote Access settings are overridden by ISA Server
и следовал этому EAP configuration is done using Routing and Remote Access.

Lignor
Не работает ссылочка.

Добавлено:
После установки СП2 для ИСЫ, перестали работать все правила для доступа

Monitoring\Logging показывает, что все соединения запрещает дефолт руле

Вообще у кого-нибудь Firewall Client с ISA 2004 SP2 нормально работает?

Etalon давно уже было потерли видать...могу поробовать на мыло выслать 8,5 метра в архиве.

Iv Michael

Цитата:

Вообще у кого-нибудь Firewall Client с ISA 2004 SP2 нормально работает?

у мя. причём как обновлённый так и старый. никаких нареканий.

drros
Мгм... а ICQ, mail? Тоже работают? Или подних отдельное правило?
Напомню проблему:
Ставлю в ИСЕ правило - что выход во внешнюю сеть только для пользователей из группы "Доступ в интернет" - и с удивлением смотрю в мониторинге, что не всегда клиент аутентифицируется, на десять записей у одного и того же клиента только одна - с обозначеной аутентификацией.
Не было такого? И что предпринять? Хоть посмотреть то в какую сторону - всю голову поломал...

Iv Michael
скачай тулпак и прогони на стороне клиента...

Lignor
Буду признателен, только я не знаю как мыльный ящик из скрытого в раскрытый сделать.

Etalon в пм.