» Microsoft ISA Server 2006/2004/2000 (Часть II)

greenfox

две смотрят наружу, одна в локалку.


Цитата:

Networks

ISA Server 2000 supports only two networks: Internal and External. A perimeter network (also known as DMZ, demilitarized zone, and screened subnet) could be implied by creating packet filters to route traffic from the External network to the perimeter network.

ISA Server 2004 supports multiple networks. The following networks are created by default on ISA Server 2004:
•

Internal, derived from the ISA Server 2000 local address table (LAT). The Internal network on ISA Server 2004 does not include IP addresses in the VPN static address pool configured on ISA Server 2000. It also does not include the broadcast address.
•

External
•

Local Host
•

VPN Clients

Взято отсюда

angelweb

Цитата:

Взято отсюда

про то что она "supports multiple networks" это понятно - просто мс трактует это по своему. Странно что route add можно маршруты исе приписывать и заставить её т.о. через несколько адаптеров наружу ходить... странно, мне казалось не держит она этого...

angelweb

Цитата:

route add -p 62.141.x.x mask гейт.провайдера метрика интерфейс

гейт провайдера - это какого провайдера, у меня иса берет и все блин через одну сетку пускает, бесит уже блин...
Сорри но не применял никада мтрики и не знаком с ними.... интерфейс тоже загадка!

IceFusion

Цитата:

это какого провайдера

тот, через которого хочешь ходить.

читай спавку.

route /?

Ой а маска там чья должна быть? Как узнать какой это интерфейс, первый или второй?

IceFusion

Цитата:

Ой а маска там чья должна быть?

та, которую тебе провайдер дал


Цитата:

Как узнать какой это интерфейс, первый или второй?

указывай вместо интерфейса - ip адрес "нужной" сетевухи.

Сэнкс попробую обязательно... Пока не нашел утилиты которая может постоянно замерять скорость интернета и писать логи Начальство ругается!

Цитата:

утилиты которая может постоянно замерять скорость интернета и писать логи

на исе такого нет. из сторонних Tmeter. сам ею пользуюсь. логи тож писать умеет.

Я общался с представителем Майкрософт по поводу ограничения скорости для внутренних юзеров, приоретизации трафика и ограничения по количеству информации, выкачаной из интернета. Как мне сказали, такого они в ИСУ вставлять не будут, посколько решение это нацелено для больших организаций с хорошими каналами. Работу с несколькими провайдерами Интернет планируется добавить. Так что нам с нашими каналами в 128 или 256 этот продукт по их мнению не подходит.

NEED
хороший ответ на все вопросы касающиеся шейпинга, квот и т.д.

А пробовал ли кто-нибудь свежую заплатку
KB 916106 на ISA 2004 SP2 ?
По описанию, включает в себя:
KB 915045: Error 502 "The HTTP request includes a non-supported Header" when accessing certain web servers. This occurs when accessing certain Web servers that return headers that are incompatible with each other.
• KB 915421: Errors 11001 or 400 when accessing certain web servers. This is caused by a misinterpretation of spaces in headers provided by ISA Server, and results in a corrupted URL and failure to load the Web page.
• KB 915422: Event ID 23004 when accessing web sites that respond with compressed content. Some Web servers always return compressed content, which is denied by ISA Server when it did not request compressed content.
• KB 916573: Error 500 (Internal Server Error. Not implemented (-2147467263)) when trying to download zip attachments from an Outlook Web Access server. The header returned by Outlook Web Access causes ISA Server to deny the response.
• KB 917134: Grayed out checkbox “Enable caching of content received through the BITS service”

Взять можно
http://www.microsoft.com/downloads/details.aspx?FamilyID=ebc32d50-2e9f-4d55-aeff-eeba511827b0&DisplayLang=en
и
http://www.microsoft.com/downloads/details.aspx?FamilyID=2aa53ee6-527c-4398-ab7c-fcf8e8dde8ce&DisplayLang=en

А никто не воевал со всякими Операми и Лисами при включенной галочке "Ruquire all users to authentificate"? Опера мне кокретно говорит, что не поддерживает такой метод авторизации. А за каким растаким тогда я ставил везде Клиент-агента? Он же должен инфу подбрасывать исе о пользователе. Какой функционал у агента? Уже задолбала эта иса страшно....

8888
Я поставил, полет пока нормальный. Исчезла ошибка, которая доставала

Цитата:

Error Code: 502 Proxy Error. Not implemented

8888
Так же поставил, исчезла ошибка Error 502 "The HTTP request includes a non-supported Header"

Цитата:

А никто не воевал со всякими Операми и Лисами

Насколько я знаю, проблема заключается в NTLM авторизации.
Firefox ее как, я понял, нормально поддерживает.
Опера 9.х поддерживает, если набрать opera:config и в разделе Network поставить галку NTLM... Но при этом все равно остаются косяки - методы GET и POST не проходят (в форумах сидеть не сможете). Для Оперы пока единственное решение NTLM Authorization Proxy Server (никак оперцы не могут добавить нормальную авторизацию).

Почему Оперу не перехватывает FWC не понятно

SunStroke
Т.е. ставить счастливому обладателю Оперы вот такую вот софтину вдовесок? Прикольно...

Гооспода подскажите анлизатотор логов для ISA2004,
IAM чета не нравитцо(чето где то не так считает)...
или подскажите как грамотно оформить складирование в SQL....и как потом мониторить

Присоединяюсь к lel_it, только как настроить логи в SQL это понятно, а вот чем их потом можно читать. Типа отчета или еще чего...

Цитата:

Гооспода подскажите анлизатотор логов для ISA2004

Я пользуюсь _http://www.studenikin.ru/ProgramDetail.asp?fn=SVAISASLogAnalizer
Правда анализирует логи только w3c формата, но зато заодно и логи IIS тоже.
Чувствуется, что автор писал в первую очередь для себя (проге не хватает коммерческого вида и некоторого функционала). Но зато считает как мне кажется без ошибок

а подскажите, есть что нибудь, что может логи из SQL читать. В смысле если ISA их кладет в SQL.

Стоит такая задача - на одной ISA 2 канала в инет.
Задача - раздавать через один канал инет для юзеров, через второй настроить site-to-site.
Провайдеры каналов разные, Ip адреса на каналах тоже разные.

Все настроено нормально, но инет юзерам через второй интерфейс не идет, а идет через первый.

В RRAS и командой route делал пути - но результата нет.
Создавал отдельную сеть ISA, сетевые правила - и назначал политику раздачи Internet Access через эту сеть.
Также создавал политику доступа HTTP и указывал там не External - а созданную сеть на втором инет интерфейсе - результата нет.

Если прописать на втором интерфейсе шлюз - то результата тоже нет, т.к. иса не знает куда гнать трафик.

Отмечу, что это не стандартная конфигурация с 3 интерфейсами вида - Internal, DMZ, External.

True Slayer

Цитата:

командой route делал пути

покажи route print

что в логах исы ?

в трастедах все подсети ?


Цитата:

через второй настроить site-to-site.

второй маршрутизатор знает "путь" к исе ?

angelweb
Вываливать роут в открытую - неразумно, могу в личку.

Про Трастеды не понял.

1 канал - 2 мбит - настроен впн и тунели site-to-site
2 канал - 512к - для инета.

1 канал - маршрутизатор знает путь к исе, связь работает.
2 канал - вроде тоже все верно настроено, т.к. сейчас по нему работает и другой комп - нормально.

Шлюз указан на канале 1.

Есть правило разрешающее HTTP трафик на External сеть. Веб трафик ходит через 1 канал.

В логах ничего не отловил криминального.


Знаю, что вариант с 2мя каналами будет работать если они идут к одному провайдеру и находятся в одной подсети.

True Slayer

Цитата:

ываливать роут в открытую - неразумно

можно подправить и показать


Цитата:

Про Трастеды не понял.

в enterprise networks и в networks все подсети прописаны ?


Цитата:

через второй настроить site-to-site

подсеть должна быть указана в конфиге исы (см.выше) и маршрутизация должна быть настроена на соответствующий интерфейс.

angelweb
Сейчас маршруты поубивал все на тот интерфейс.

Для канала 2 я создал отдельную сеть, а так они все в External входят.


Сеть указана в исе в и маршрутизация была настроена.
Сейчас все настроено на external.

Добавлено:
http://isadocs.ru/articles/isa-2004-unsupported-configs.html

-------------------


ISA-сервер не поддерживает несколько внешних интерфейсов

Проблема: ISA-сервер не поддерживает несколько внешних соединений с Интернет.

Причина: ISA-сервер не поддерживает настройку нескольких соединений на внешнем сетевом адаптере.

Решение: Нет решения. Существует большое количество сторонних продуктов, которые могут решить проблему. Дополнительную информацию можно узнать из статьи High Availability and Load Balancing (Высокая доступность и выравнивание нагрузки) на сайте Серверных систем Windows.
----------------------------------------
http://www.microsoft.com/isaserver/partners/highavailability.asp

Почему Оперу не перехватывает FWC не понятно

Потому, что нефиг в ней прописывать в настройках адрес прокси-сервера. (Вообще она сильно умная - сама из ие сдирает) :_)

True Slayer
Это гон, у меня так все работает - два канала разных провов, один как раз под VPN.
Я на исе создал статические маршруты - в остнастке RRAS можешь добавить статические маршруты к внешнему миру, только делай это правильно.
Можешь если больше нравится и ручками route -p add xx.xx.x.x
Как раз только что перекинул маршрут для впн с одного на другой канал, даже правил не пришлось менять на моем компе, только на вызывающем.
Единственное - поменял маршруты

Цитата:

Потому, что нефиг в ней прописывать в настройках адрес прокси-сервера

Да я уж небось ДОГАДАЛСЯ и сам, что прокси в опере отключить нужно
Тем не менее FWC за нее не авторизуется.

Сорри за оффтоп...
Тема здесь все таки не про оперу.

SunStroke
rcon
Т.е. опера восьмая может всё-таки ходить нормально в инет через ISA 2004 в которой стоит галочка "Требовать от всех юзверей авторизации" или нет? Или вы про девятую бетку?

Цитата:

Сорри за оффтоп...
Тема здесь все таки не про оперу.

Тема не про оперу, а про ISA2004 и как с ней подружить разный софт. Так что вроде не оффтоп.

kaskad
может. но, как говорил SunStroke нужен NTLM Authorisation Proxy Server.
а наличие "Require all users to authenticate" у тебя обязательно? потому что без этой галки Опера с исой дружит замечательно.