» MS ISA Server (часть 1)

gen12

Цитата:

клиенты та не причем это сам иса не может разрешить имя днс т.к. клиенту иса возвращает ошибку о том что он не смог разрешить имя ...вот

ты же говоришь, что настроил на нем днс... ошибку в студию...

Цитата:

на этом днсе прямая зона точка т.к. он локальный

!!!???? мож я чего не так понял?

Цитата:

на этом днсе прямая зона точка т.к. он локальный

Это как-то не так как надо...

В том то и дело SNAT у мя нету ведут себя так обычные прокси клиенты ... т.е. которым я в браузере вбиваю адрес прокси и порт. прокся и возвращает на любой адрес в браузере ответ не можу разрешить имя

Добавлено
Имеется 2 сервера один сервре контроллер домена под 2000 а второй иса с 2 интерфейсами ... днс стоит на контроллере домена как рутовый... на сервере с исой в параметрах внешнего сетевово подключения прописан внешний айпишник и днс серверы провайдера на внутреннем интерфейсе внутренний айпишник и днс сервер контроллера домена.
Если в браузере клиента вбить адрес иса прокси и порт соответственно, вводим адрес любова сайта, иса возвращает ответ что неможет разрешить имя сайта

Воо

Проблема-то точно в настройках ДНС. Форвардинг по любому делай.

gen12

Помоему люди запутались напиши подробнее что за сеть где есть днс и что есть на иса сервере плюс вкратце настроики исы и желательно днс ( у меня создалось мнение что иса здесь непричем проблема с днс.)

Цитата:

на внутреннем интерфейсе внутренний айпишник и днс сервер контроллера домена.

А как он тебе разрешает внешние имена?

Ок . сенк буду пробывать

Скоро напишу о результатах -)

Цитата:

Если в браузере клиента вбить адрес иса прокси и порт соответственно, вводим адрес любова сайта, иса возвращает ответ что неможет разрешить имя сайта

а у клиентских компов какои днс прописан?

Цитата:

Пипл подскажите никто не сталкивался с такой проблемой? при попытке подключить сервер с ИСА к консоли управления ИСА на удаленном компьютере выдает следующую ошибку:
you do not have the necessary permissions to perform this action. Failed to connect! На сервере пользователь прописан как Администратор. не подскажете что подкрутить что-бы подключить всет-ки консоль?

возникла такая же трабла... как быть? подозреваю, что какой-то сервис не запущен...

ЗЫ а как putty заставить работать через ису?

срочно нужно решение...

Вообщем пишу.

Имеется внутренняя сеть c параметрами
10.100.1.0-10.100.7.255
маска 255.255.248.0
В сети имеются 2 сервера
1) IP 10.100.1.10 WIN2000,AD,DNS,WIND,DHCP
2) IP 10.100.1.16,IP 213.147.35.243,win2000,ISA

Дальше, настройки области DHCP(10.100.2.1-10.100.2.240) :
1) Gateway - 10.100.1.16
2) dns - 10.100.1.10
3) wins - 10.100.1.10

Иса стоит как стандалон, в смешанном режиме, на котором открыто все для всех

Результат:
1) Работу с SNAT клиентами не пробывал пока
2) Клиенты WebProxy имеют такую настройку в браузере proxy:10.100.1.16:8080 и возникает собственно проблема если обращатся к сайтам по айпишникам грузится все ОК если по днс имени от иса возвращает ,что не может разрешить имя ( я замечу что возвращает именно исасервер ответ об ошибке в виде пейджа в интернет експлорере)
3) клиенты фаирвола не тестились (те которые должны быть с msproxyclien-ом)

Добавлено
Еще в настройках интерфейса с айпишником 213.147.35.243 прописаны соответсвенно dns сервера провайдера

gen12

Ставь на dns сервер microsoft firewall client (\\твой прокси\mspclnt\setup.exe),
в dns удаляй зону "." и включай форвард на сервер провайдера.

JcVai Это в этом дело ?

EndoR

Цитата:

при попытке подключить сервер с ИСА к консоли управления ИСА на удаленном компьютере выдает следующую ошибку:
you do not have the necessary permissions to perform this action. Failed to connect! На сервере пользователь прописан как Администратор. не подскажете что подкрутить что-бы подключить всет-ки консоль?

Попробуй подключать консоль по полному и сокращенному имени
(proxy.domain.com и proxy).
Еще можно запустить консоль от имени администратора домена,
подконектится к серверу, сохранить консоль, а затем
уже запускать под нужным аккаунтом.


Цитата:

putty заставить работать через ису?

Фильтры или firewall client.

Добавлено
gen12
Как уже сказали: у тебя ISA не пропускает dns запросы.
Еще создай в Access policy фильтр
------------------
name: DNS resolve:
type:prdeefined - DNS lookup
local: адрес твоего dns сервера или всю сеть
remote: все либо сервер провайдера.
--------------

Тек-с... разобрался. Все работает.
JcVai
Не, не в этом дело. Там в DCOM (dcomcnfg) надо было добавить в default access запись NETWORK.
А с путти пока разбираюсь...

Добавлено
С putty тоже разобрался. Если запущен WebProxy, то работает при указании в putty этого порта (ну и адреса, ессно ) и выбора типа прокси none.

Привет народ!
простенький вопрос: хочу настроить обрезание баннеров в ИСЕ, но как сделать не знаЮ. Подскажите, плиз!

И еще один вопрос: ИСА настроена и работает как из пушки , но через какое то время отказывается сотрудничать. Рестарт сервисов ничего не дает, после полной перезагрузки сервака все опять работает как из пушки. В логах время от времени появлется event id 14044. The packet filter is dropping Internet Protocol (IP) packets. For more information about this event, see ISA Server Help.
никаких ошибок в логи не пишет.

Подскажите в каком направлении копать?

Lamerok

Цитата:

настроить обрезание баннеров в ИСЕ

Средствами ISA этого нормально не сделать.
Можно запретить доступ к определенным типам файлов
(читай отрубить все флэшки, картинки и т.д.)
и запретить доступ к определенным сайтам
(типа xxx, spylog и т.д.), а можно воспользоваться
софтом сторонних производителей...


Цитата:

через какое то время отказывается сотрудничать.

Виснет, выключается или тормозит?


Цитата:

The packet filter is dropping Internet Protocol (IP) packets.

Это нормально - сервер покоцал какой то пакет, которому,
по его мнению, не место в сети.


Цитата:

Подскажите в каком направлении копать?

До ближайшего банка.

приблизителоьно раз в сутки призодится перегружать

Lamerok
Ээ.. тебе просто в лом было посмотреть, что это за ошибка?

Цитата:

Event ID

14044

Event Message

The packet filter is dropping Internet Protocol (IP) packets. For more information about this event, see ISA Server Help.

Explanation

The IP packet drop rate of the ISA Server exceeds the specified level. The Internet Protocol (IP) packet drop rate is configured in ISA Management. To configure the drop rate, in the ISA Management console tree, click Servers and Arrays, click Name, click Monitoring Configuration, click Alerts, and then click Dropped packets alert properties.

User Action

An administrator can examine the packet filter logs to detect the nature of the drop rate and take further action.

EndoR
я первым делом посмотрел что это за ошибка , но дело не в ней...
грабли где то в другом месте.
если бы у меня была бы неправильно сконфигурена иса , то она бы не работала....а так она отваливается приблизительно раз в сутки.

Lamerok
Смотри, что в логах сервера и ISA за последние 30 минут до "вылета".
Как и куда кидаются логи? (Если в SQL, то без связи с ним ISA не работает).
Достаточно ли места на диске под кэш (так же проверь его размер),
под своп и логи?

Вообщем в продолжение темы , с днс я разобрался усе работает , вот терь возник еще один геморой ....кароче
вот такой :
На ИСЕ в политиках протоколов и узлов и содержимого стоит доменная группа GGVU\Internet как имеющая доступ к инету по всем протоколам и т.д. в группе домустим есть чувак Ivanov.

Иду я к компу иванова и вбиваю ему в браузер настройки proxy - 10.100.1.16:8080 пробуем лесть в инет.... все работает сайты грузятся , идет и сморим на ИСА сервере в мониторинге кто сидит . сидит юзер GVSU\Ivanov все нормально.
Дальше , идем опять к иванову и ставим ему прокси клиент , перезагружаем компьютер и лезем в инет и получаем такое сообщение от ИСЫ
403 FORBITTEN
THE ISA SERVER DENIED THE SPECIFIED UNIFORM RESOURSE LOCATOR (url) (12202)
иДЕМ к ИСа серверу и сморим в мониторинг мас сидит уже не GVSU\Ivanov а Ivanov а в логах показывает что ломился анонимус и доступ ему был запрешен

Кто может помоч с этой проблемой??

gen12
Extensions-Aplication Filters-HTTP Redirector Filter
Options-Reject http request from firewall and securenat clients

JcVai
А не получится ли тогда что юзера с установленными клиентами прокси начнут ходить в инет по http нормально а другие протоколы так же будут денайдится ИСОЙ??

P.S.
Не дело в том что если на комп клиентов ставишь прокси клиент он перестает их пускать так как определяет иx не как DOMAIN\USER а как USER просто(видно в Monitoring), хотя все они входят в домен , а на исе доступ разрешен только DOMAIN\USER


Добавлено
JcVai
Помойму ты прав седня дойду до сервера и проверю

gen12

Цитата:

А не получится ли тогда что юзера с установленными клиентами прокси начнут ходить в инет по http нормально а другие протоколы так же будут денайдится ИСОЙ??

Если нормально настроены Access Policy, то все будет работать.

Народ! Приветы!
Подскажите: нужна резалка банеров для ИСы. ( Через Content резать не хочется больно это гиморно) ипа Surf Control но для баннеров?
Или подскажите как в ИСЕ это грамотно сделать?
Заране 10х



Добавлено
Взято с форума www.winfaq.com.ru
от Sacrificer
Q.Как настроить ISA Standart на DialUp по вызову - очень просто.
A. Имеем W2kServerSP2rus + ISA server Standart ed. (без SP1 не было времени поставить )) Никакого RRAS не устанавливаем. Создаём удалённое соединение, назовём его Internet, в СВОЙСТВАХ параметры набора номера убираем всё кроме Отображения хода подключения, на вкладке Безопасность - небезопасный пароль или Дополнительно но ничего там не менять. В ISE в DialUp Entries указываем Internet, DiulUp Network Accaunt - тут указываем логин и пароль которые даёт провайдер, Домен оставляем пустым. Всё ISA настроен. Ну а теперь тот самый камень, при щелчке на удалённом компе по значке IE модем начинает звонить и обрывает связь. Почему? Лезем в WINNT\System32\ras, там видим Router. Щёлкаем на нём, выскакивает окно с выбором удалённого соединения (в моём случае Internet) нажимаем звонить и что видим: имя пользователя какое угодно но не то что дал провайдер. Изменяем на правильное значение, соответственно пароль тоже. Убираем лишние галки. Я настроил там также как и в удалённом соединении. Снова пробуем IE с удалённой машины и приходит rules forever. That's all. На это у меня ушло два месяца. А сколько людей отказалось от ISA из за такой мелочи.

Lamerok

Цитата:

нужна резалка банеров для ИСы

Если у тебя стоит Surf Control, то через него.
Можно еще BTIsaFilter... Вообще любой фильтр,
который удобно работает с категориями сайтов.

Не помню точно, помоему с помощью
GFI DownloadSecurity можно даже pop-up-ы обрубать...

ЗЫ: Все равно полностью избавится от баннеров не получится:
сначала занесешь в базу крупные рекламные и статистические
проекты, а затем будешь потихоньку добавлять...

PPS:Кто-нибудь скидывает логи в MySql?
Есть ли разница с MsSQL?

JcVai но Surf Control режет сайты а не банеры....

Lamerok
Дык а баннеры где висят?
Просто что есть баннер - это картинка с гиперссылкой на сайте.
Теперь варианты:
Резать все такие картинки либо резать их хостеров...

JcVai
я хочу каккуЮ нить софтинку под ИСУ чтобы она резала картинки по размеру ( меньше такого то - резать , больше - пропускать.)
Наглядный пример: на ixbt.com уменя 3 банера зарезала а 2 оставила....ссылки на банеры одни и теже...Вот вопрос: почему она так делает? я лично не пойму..

По размеру - не знаю,. Есть такая софтина,.

www.8e6technologies.com

Она ружет сайты по контенту,. Баннеры по адресам,. Есть обновление баз,. И т.д.,. Себе сделал так,. Скачал базу тока на баннеры,. Включил фильтр тока их,. + добавлял адреса баннеров которые встречались в репортах,. Гы,. через неделю такой практики баннеры пропали,. Практически везде,. а те 20-30 Кб что остались,. Ну и фиг с ними,.

З.Ы. Ксати она режет и баннер в аське,. )