думаю перейти на ИСУ с Юзергейта, потому как кол-во юзеров растет и вроде как корпоративный стандарт, Юзергейт устраивает по функционалу. Посему вопрос - есть ли в ИСЕ онлайн просмотр кто куда лезет, ограничение по времени/трафику/кол-ву Мб, экспорт в эксель данных за день/месяц/указанный промежуток времени?
» Microsoft ISA Server 2006/2004/2000 (Часть II)
GOODmen
нет ни первого, ни второго, третье есть, но реализуется немного криво. первое и второе реализуется только сторонними прогами.
нет ни первого, ни второго, третье есть, но реализуется немного криво. первое и второе реализуется только сторонними прогами.
ничего себе! зачем народ его ставит тогда? чего в нем особенного?
GOODmen
1) иса позиционируется как стандарт для корпоративного использования..
представь себе что у тебя 1000 юзерей, то на кой тебе средство для просмотра в онлайне кто и куда лезет.. всеравно что tcpdump делать на интерфейсе.. всего не уследишь.. админ сам потихоньку по логами вычислит кто-куда-сколько и зачем, а потом выдаст соразмерную порцию люлей в лицо нарушившее корп. политику..
2) механизм квотирования не предусмотрен исходя из данных пункта 1. ибо это замедлит работу в нагруженных сетях (так же как и рег.выражения в фильтрах)
но все это, как и заметил MrKiT, реализуется сторонними средствами и опять же во многом
Цитата:
так что делайте выводы господа
1) иса позиционируется как стандарт для корпоративного использования..
представь себе что у тебя 1000 юзерей, то на кой тебе средство для просмотра в онлайне кто и куда лезет.. всеравно что tcpdump делать на интерфейсе.. всего не уследишь.. админ сам потихоньку по логами вычислит кто-куда-сколько и зачем, а потом выдаст соразмерную порцию люлей в лицо нарушившее корп. политику..
2) механизм квотирования не предусмотрен исходя из данных пункта 1. ибо это замедлит работу в нагруженных сетях (так же как и рег.выражения в фильтрах)
но все это, как и заметил MrKiT, реализуется сторонними средствами и опять же во многом
Цитата:
немного криво
так что делайте выводы господа
drros
Да а как по другому отследить юзверьский трафик? Когда всех заставляешь авторизоваться, то запрос логов очень красиво выглядит: прям имя пользователя и сколько и куда трафика улетело. А если не ставить эту галку, то там половина отчётов полная .ерня: то имя напишет kaskad (?), т.е. не уверена ни фига, что я потратил, то anonimous какой-нить 10 гигов сольёт. Вот как отследить нормально трафик? Ну не умею... Поделитесь опытом, а? Тем более, есть до фига стороннего софта, который разные там банки юзают, он ваще ни о каком NTML-е и не знает (они чего там бабки программерам жмут что ли?). Короче, много минусов, зато трафика учёт идёт точный. Что делать?
Да а как по другому отследить юзверьский трафик? Когда всех заставляешь авторизоваться, то запрос логов очень красиво выглядит: прям имя пользователя и сколько и куда трафика улетело. А если не ставить эту галку, то там половина отчётов полная .ерня: то имя напишет kaskad (?), т.е. не уверена ни фига, что я потратил, то anonimous какой-нить 10 гигов сольёт. Вот как отследить нормально трафик? Ну не умею... Поделитесь опытом, а? Тем более, есть до фига стороннего софта, который разные там банки юзают, он ваще ни о каком NTML-е и не знает (они чего там бабки программерам жмут что ли?). Короче, много минусов, зато трафика учёт идёт точный. Что делать?
у меня всё работает и без "require all ..." вот правила, может кому помогут. хотя многое сделано через одно место.
http://rapidshare.de/files/19663257/rules.xml.html
http://rapidshare.de/files/19663257/rules.xml.html
есть такая проблема: Isa 2004 в домене постоянно теряет связь с контроллером домена. Eventlog пишет такие ошибки:
1. ""Установка сеанса к контроллеру домена Windows NT или Windows 2000 \\aquaserv1.aquapark.local для домена AQUAPARK не отвечает. Текущий вызов RPC от Netlogon на \\AQUA-FIREWALL к \\aquaserv1.aquapark.local отменен.""
2. ""Компьютер не может установить безопасный сеанс связи с контроллером домена AQUAPARK по следующей причине:
Удаленный вызов процедуры был отменен.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.""
3. ""Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена. ""
В логах котроллера домена чисто. Может в ИСЕ что-нидь включить надо ?
1. ""Установка сеанса к контроллеру домена Windows NT или Windows 2000 \\aquaserv1.aquapark.local для домена AQUAPARK не отвечает. Текущий вызов RPC от Netlogon на \\AQUA-FIREWALL к \\aquaserv1.aquapark.local отменен.""
2. ""Компьютер не может установить безопасный сеанс связи с контроллером домена AQUAPARK по следующей причине:
Удаленный вызов процедуры был отменен.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.""
3. ""Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена. ""
В логах котроллера домена чисто. Может в ИСЕ что-нидь включить надо ?
GOODmen
MrKiT
MeGaBrAiN
насчет первого гон, никто тебе не мешает включить monitoring logging и смотреть в онлайн, там не все поля видны, но вполне достаточно для траблшутинга.
второе как и написали сторонними фильтрами
третье в исе выглядело бы полным маразмом, ексель не предназначен для такого, а в логах исы за неделю набегает миллионы записей. но никто не мешает по нужным параметрам делать запрос в sql и кидать его результат в ексель, если эта прога бухгалтеров и секретуток там полюбилась
)
в принципе есть сторонние проги-анализаторы логов, которые тоже по базе с логами строят любые отчеты. А можно и самому написать анализатор какой нравиться.
MrKiT
MeGaBrAiN
насчет первого гон, никто тебе не мешает включить monitoring logging и смотреть в онлайн, там не все поля видны, но вполне достаточно для траблшутинга.
второе как и написали сторонними фильтрами
третье в исе выглядело бы полным маразмом, ексель не предназначен для такого, а в логах исы за неделю набегает миллионы записей. но никто не мешает по нужным параметрам делать запрос в sql и кидать его результат в ексель, если эта прога бухгалтеров и секретуток там полюбилась
) в принципе есть сторонние проги-анализаторы логов, которые тоже по базе с логами строят любые отчеты. А можно и самому написать анализатор какой нравиться.
Phoenix1984
Там в свойствах RPC надо снять галочку Filter Requests или что-то там подобное. И всё ок будет. Или как у тебя правило создано на разрешение запросов с домен-контроллера?
Там в свойствах RPC надо снять галочку Filter Requests или что-то там подобное. И всё ок будет. Или как у тебя правило создано на разрешение запросов с домен-контроллера?
правило dns присутсевует, все остальное - для юзеров уже
drros
По большому счёту, правила - фигня. Как авторизация проходит на серваке? Что есть нестандартного в internal свщйствах? Обычно там собаки роются...
По большому счёту, правила - фигня. Как авторизация проходит на серваке? Что есть нестандартного в internal свщйствах? Обычно там собаки роются...
GOODmen
Забудь и переходи на KWF. Никогда не пожалеешь. Есть все что ты хочешь и многое многое другое.
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=19155&start=100#lt
Забудь и переходи на KWF. Никогда не пожалеешь. Есть все что ты хочешь и многое многое другое.
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=19155&start=100#lt
ЗЫ: А нет никакого вьюера этих xml-ей? А то в ису импортировать...
kaskad
http://www.google.com/search?hl=ru&client=opera&rls=en&q=xml+Viewer&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=
у мя где-то был маааленький такой. удобный. а вообще, можно и Internet Explorer'ом и Word'ом
Arakcheev
И глюки впридачу тоже имеются. И проблемы с лекарством.
И глюки впридачу тоже имеются. И проблемы с лекарством.
хммм.... проблемы с лекарством?? для ИСЫ?? ни разу не слышал.
люди, с лекарством всё намано.
люди, с лекарством всё намано.
Мне главное что нужно - посмотреть кто сейчас куда лезет (чтоб оперативно дать по рогам, посмотреть где кто завис и прочее), нормальный подсчет трафика (одна цена для диапазона трафика и другая после превышения и прочее), сводка за месяц по пользователям кто сколько накачал и на какую сумму. Вот, разве это много для ИСЫ? Хочу ее, потому что (на первый взгляд) понравился фаервол.
KWF конечно хорошо, но не все там гладко, если с ИСОЙ не получится, оставлю его. Юзергат 2.8 очень хорош но уже простоват и не очень удобен для управления кучей народа.
KWF конечно хорошо, но не все там гладко, если с ИСОЙ не получится, оставлю его. Юзергат 2.8 очень хорош но уже простоват и не очень удобен для управления кучей народа.
GOODmen
Цитата:
Для ИСЫ это мало
. В смысле мелко. Майкрософт позиционирует ИСУ для больших корпораций, которые трафик не считают, имея безлимит.
Между прочим, если кто еще не в курсе, на западе тарификации по трафику вообще практически нет. А есть то, что в России называется безлимитом - ограничение только по скорости.
Да и, как кто-то писал на предыдущей странице, имея с тыщу юзеров (для таких организаций ИСА и предназначена), нет смысла смотреть кто куда лезет, потому как заманаисся
Цитата:
, разве это много для ИСЫ?
Для ИСЫ это мало
. В смысле мелко. Майкрософт позиционирует ИСУ для больших корпораций, которые трафик не считают, имея безлимит. Между прочим, если кто еще не в курсе, на западе тарификации по трафику вообще практически нет. А есть то, что в России называется безлимитом - ограничение только по скорости.
Да и, как кто-то писал на предыдущей странице, имея с тыщу юзеров (для таких организаций ИСА и предназначена), нет смысла смотреть кто куда лезет, потому как заманаисся
Remote desktop на ISA 2004
В ИСЕ.
Создал правило:
Protocols: RDP (Terminal Service), RDP (Terminal Service) Server
From: Internal
To: Local host
Condition: All Users
Применил, рестартанул сервис.
В свойствах сервера.
Поставил галку "Enable Remote Desktop on this computer".
В Remote Desktop Users группа Domain Admins, естественно, есть.
Пытаюсь подконнектиться ремоут десктопом со своего компа, получаю ответ:
Удаленный рабочий стол отключен
Клиенту не удалось подключиться к удаленному рабочему столу.
Возможно, удаленные подключения запрещены или удаленный компьютер перегружен и не может принять новое подключение.
Неполадки работы сети также могут быть причиной, по которой не удается установить подключение.
С сетью все в порядке.
Сервер не перегружен - он вообще не задействован, кроме меня к нему удаленно никто подключаться не пытается.
Пожалуйста, подскажите, в чем может быть проблемма?
В ИСЕ.
Создал правило:
Protocols: RDP (Terminal Service), RDP (Terminal Service) Server
From: Internal
To: Local host
Condition: All Users
Применил, рестартанул сервис.
В свойствах сервера.
Поставил галку "Enable Remote Desktop on this computer".
В Remote Desktop Users группа Domain Admins, естественно, есть.
Пытаюсь подконнектиться ремоут десктопом со своего компа, получаю ответ:
Удаленный рабочий стол отключен
Клиенту не удалось подключиться к удаленному рабочему столу.
Возможно, удаленные подключения запрещены или удаленный компьютер перегружен и не может принять новое подключение.
Неполадки работы сети также могут быть причиной, по которой не удается установить подключение.
С сетью все в порядке.
Сервер не перегружен - он вообще не задействован, кроме меня к нему удаленно никто подключаться не пытается.
Пожалуйста, подскажите, в чем может быть проблемма?
Цитата:
Пожалуйста, подскажите, в чем может быть проблемма?
иса пустит к RDP только компы указанные как Remote Managements Computers и только им даст возможность удаленного использования ISA Management Console..
Цитата:
иса пустит к RDP только компы указанные как Remote Managements Computers и только им даст возможность удаленного использования ISA Management Console..
а в каком месте можно указать эти компы?
хотя я вроде понял. что проблемма вообще не с исой: по крайней мере, я выключил вс е сервисы исы, а ремоут десктоп всеравно не коннектится с той же ошибкой...
Цитата:
а в каком месте можно указать эти компы?
Toolbox (панелька справа) -> Computer Sets -> Remote Managements Computers -> свойства.
Коллеги, если кто располагает ссылками на ресурс со списками блокируемых сайтов в виде xml - сбросьте линк сюда.
Спасибо.
Спасибо.
True_Slayer
смотри шапку, например на IsaServer.Ru есть
смотри шапку, например на IsaServer.Ru есть
hardhearted
Спасибо.
Спасибо.
ISA 2004 ip-телефония тормозит
Сказали, когда была 2000-я, там можно было как-то канал резервировать под конкретный протокол - вот и было зарезервировано сколько-то от 900 килобит, и телефония работала как надо. Теперь стоит ИСА 2004, как там резервировать - хбз, а надо бы, а то в после обеда когда народ шарится в инете разговаривать невозможно - ну, вы понимаете, что такое тормозящая ип-телефония. ИСА купленная, поэтому менять ни на что не собираемся (пока), ограничивать юзерам инет, тоже дело гиморное и неблагодарное...
Сказали, когда была 2000-я, там можно было как-то канал резервировать под конкретный протокол - вот и было зарезервировано сколько-то от 900 килобит, и телефония работала как надо. Теперь стоит ИСА 2004, как там резервировать - хбз, а надо бы, а то в после обеда когда народ шарится в инете разговаривать невозможно - ну, вы понимаете, что такое тормозящая ип-телефония. ИСА купленная, поэтому менять ни на что не собираемся (пока), ограничивать юзерам инет, тоже дело гиморное и неблагодарное...
Aldares
Цитата:
а поддержка что-нть по этому поводу говорит? или ты сначала сюда?
собсно про сабж. зачатки QOS начали вроде появляться начиная со второго SP, но ничего такого прям конкретного в 2004 исе не видел (пользую Enterprise), хотя может и есть какой-нть плагин или сторонний продухт который к исе прикручивается. меня тож эт дело интересует.
Цитата:
ИСА купленная
а поддержка что-нть по этому поводу говорит? или ты сначала сюда?
собсно про сабж. зачатки QOS начали вроде появляться начиная со второго SP, но ничего такого прям конкретного в 2004 исе не видел (пользую Enterprise), хотя может и есть какой-нть плагин или сторонний продухт который к исе прикручивается. меня тож эт дело интересует.
Aldares
Любая лицензия позволяет downgrade, то есть, если купили 2004-ю, можешь смело ставить 2000-ю.
Любая лицензия позволяет downgrade, то есть, если купили 2004-ю, можешь смело ставить 2000-ю.
есть внутренняяя сеть 192.168.100.0-255
никак не могу создать правило для разрешения Netbios catagram и netbios name service
пишет UDP 138 от 192.168.100.10(ip клиетна) 192.168.100.255 denied default rule
правила писал всякие
или с 255 проблема или где-то в policy нет разрешения
помогите
никак не могу создать правило для разрешения Netbios catagram и netbios name service
пишет UDP 138 от 192.168.100.10(ip клиетна) 192.168.100.255 denied default rule
правила писал всякие
или с 255 проблема или где-то в policy нет разрешения
помогите
NEED
Дык, куплена была еще 2000-я, потом обновили до 2004-й, еще до меня, вот начальник и говорит, прошлый админ как-то зарезервировал канал для IP-телефонии и она перестала заикаться.
Дык, куплена была еще 2000-я, потом обновили до 2004-й, еще до меня, вот начальник и говорит, прошлый админ как-то зарезервировал канал для IP-телефонии и она перестала заикаться.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.