mishak
правь системные правила.
правь системные правила.
» Microsoft ISA Server 2006/2004/2000 (Часть II)
angelweb
Вроде добавил галочки, но ничего не поменялось
Может укажите конкретно какие?
Вроде добавил галочки, но ничего не поменялось
Может укажите конкретно какие?
mishak
Цитата:
эта сетка в "разрешенных" ? (2 пункта)
firewall policy-edit system policy
Версия ISA какая ?
Цитата:
есть внутренняяя сеть 192.168.100.0-255
эта сетка в "разрешенных" ? (2 пункта)
firewall policy-edit system policy
Версия ISA какая ?
angelweb
ISA 2004
она Internal 192.168.100.0-192.168.100.255
ISA 2004
она Internal 192.168.100.0-192.168.100.255
mishak
Если ISA EE, то локальные сети нужно прописывать в двух местах, + default rule какое стоит ?
Если ISA EE, то локальные сети нужно прописывать в двух местах, + default rule какое стоит ?
angelweb
Вроде standard edition
defaul - local host - all networks - route (если я правильно понял вопрос)
веренее
deny - all traffic -all networks( and local host) - all networks( and local host)
виноват
Вроде standard edition
defaul - local host - all networks - route (если я правильно понял вопрос)
веренее
deny - all traffic -all networks( and local host) - all networks( and local host)
виноват
mishak
Цитата:
создай ещё одно правило, только permit
Цитата:
deny - all traffic -all networks
создай ещё одно правило, только permit
что permit?
mishak
permit - разрешить
В ISA обозначается как allow
enterprise policies-new policy-allow
permit - разрешить
В ISA обозначается как allow
enterprise policies-new policy-allow
я понимаю ...
я имею ввиду что разрешить? какое правило надо написать?
я писал новое правило allow netbios datagram, но оно не срабатывало
я имею ввиду что разрешить? какое правило надо написать?
я писал новое правило allow netbios datagram, но оно не срабатывало
mishak
Разреши весь трафик от локальной сети и локал хоста, остальное руби в firewall policy.
Разреши весь трафик от локальной сети и локал хоста, остальное руби в firewall policy.
Giperion
Цитата:
понятно, что я несколько запаздываю с ответом — только что процитированное сообщение было отправлено 11:09 24-07-2002. Но факт в том, что вот сейчас я столкнулся с этой же проблемой при попытке полного экспорта конфигурации. Появляется окно с заголоком: «ISA Server cannot load the property page» и текстом: «You do not have the necessary permissions to perform this action». Самое смешное, что решения я так и не смог найти нигде. Поэтому напишу, авось кому пригодится.
итак, необходимо, чтобы учётная запись, от имени которой вы подключаетесь к массиву серверов, имела на них права локального администратора.
поясняю. К моему Configuration Storage Server подключены три массива. Два из них состоят из серверов, входящих в домен. Поэтому при подключении к ним используется доменная учётная запись — та же самая, что и при подключении к самому Configuration Storage Server. Но третий массив (Front-End) состоит из серверов, являющихся членами рабочей группы. Поэтому для подключения к ним требуется использовать локальную учётную запись. Причём для нужд мониторинга эта учётная запись вовсе не обязательно должна быть локальным администратором.
в описанной ситуации я вполне нормально могу экспотировать конфигурации каждого массива в отдельности. Но вот если попытаться экспортировать конфигурациию всех массивов разом (по команде из контекстного меню корня консоли) — появляется ошибка, описанная выше.
решение может быть такое: создать на всех членах массивов, которые входят в домен, такого же локального пользователя, как и на членах не-доменного массива — с таким же паролем. Причём для нужд экспорта (в отличие от мониторинга) эта учётная запись должна быть локальным администратором. Затем подключиться к Configuration Storage Server под доменной учётной записью, но для подключения к серверам указать локального пользователя. (Затем можно проверить, что из консоли доступен статус всех серверов — развернуть на всех массивах Configruration -> Servers и убедиться, что сервера отмечены зелёными галочками. Требуется, чтобы доступен был хотя бы один сервер в каждом массиве, иначе экспорт завершится с ошибкой: «There is no available ISA Server computer to decrypt the exported password»). Ну а потом уже можно делать полный экспорт — проблем не будет. (После этого локальные учётные записи на доменных членах массивов можно заблокировать или даже удалить, а на не-доменных членах массивов эту учётную запись можно снова исключить из группы локальных администраторов. До тех пор, пока снова не потребуется полный экспорт конфигурации).
Цитата:
Пипл подскажите никто не сталкивался с такой проблемой? при попытке подключить сервер с ИСА к консоли управления ИСА на удаленном компьютере выдает следующую ошибку:
you do not have the necessary permissions to perform this action. Failed to connect! На сервере пользователь прописан как Администратор. не подскажете что подкрутить что-бы подключить всет-ки консоль?
понятно, что я несколько запаздываю с ответом — только что процитированное сообщение было отправлено 11:09 24-07-2002. Но факт в том, что вот сейчас я столкнулся с этой же проблемой при попытке полного экспорта конфигурации. Появляется окно с заголоком: «ISA Server cannot load the property page» и текстом: «You do not have the necessary permissions to perform this action». Самое смешное, что решения я так и не смог найти нигде. Поэтому напишу, авось кому пригодится.
итак, необходимо, чтобы учётная запись, от имени которой вы подключаетесь к массиву серверов, имела на них права локального администратора.
поясняю. К моему Configuration Storage Server подключены три массива. Два из них состоят из серверов, входящих в домен. Поэтому при подключении к ним используется доменная учётная запись — та же самая, что и при подключении к самому Configuration Storage Server. Но третий массив (Front-End) состоит из серверов, являющихся членами рабочей группы. Поэтому для подключения к ним требуется использовать локальную учётную запись. Причём для нужд мониторинга эта учётная запись вовсе не обязательно должна быть локальным администратором.
в описанной ситуации я вполне нормально могу экспотировать конфигурации каждого массива в отдельности. Но вот если попытаться экспортировать конфигурациию всех массивов разом (по команде из контекстного меню корня консоли) — появляется ошибка, описанная выше.
решение может быть такое: создать на всех членах массивов, которые входят в домен, такого же локального пользователя, как и на членах не-доменного массива — с таким же паролем. Причём для нужд экспорта (в отличие от мониторинга) эта учётная запись должна быть локальным администратором. Затем подключиться к Configuration Storage Server под доменной учётной записью, но для подключения к серверам указать локального пользователя. (Затем можно проверить, что из консоли доступен статус всех серверов — развернуть на всех массивах Configruration -> Servers и убедиться, что сервера отмечены зелёными галочками. Требуется, чтобы доступен был хотя бы один сервер в каждом массиве, иначе экспорт завершится с ошибкой: «There is no available ISA Server computer to decrypt the exported password»). Ну а потом уже можно делать полный экспорт — проблем не будет. (После этого локальные учётные записи на доменных членах массивов можно заблокировать или даже удалить, а на не-доменных членах массивов эту учётную запись можно снова исключить из группы локальных администраторов. До тех пор, пока снова не потребуется полный экспорт конфигурации).
ДД!
Перенаправил запись логов в отличную от умолчальной директорию, ISA отпустила прежние файлы и не хочет их подцеплять (перенес их в новую директорию, к новым логам). Перезагрузка не помогла. Нельзя ли сделать так, чтоб ISA все-таки их подхвтила.
Формат логов - MSDE. Статистику за 10 дней не охота терять...
Спасибо.
Перенаправил запись логов в отличную от умолчальной директорию, ISA отпустила прежние файлы и не хочет их подцеплять (перенес их в новую директорию, к новым логам). Перезагрузка не помогла. Нельзя ли сделать так, чтоб ISA все-таки их подхвтила.
Формат логов - MSDE. Статистику за 10 дней не охота терять...
Спасибо.
нашёл на руборде вот такую вот цитатку. Заинтриговала меня - пипец просто.
Цитата:
Цитатка по ссылочке http://forum.ru-board.com/topic.cgi?forum=5&topic=15888&start=429&limit=1
И вопрос:
А где эта волшебная галочка, которая разрешает соединения с помощью фаерволл клиента?
Цитата:
Для MS ISA Server есть в ее же поставке стандартный клиент, называемый Microsoft Firewall Client , который и используется как раз именно для этих целей.
Работает клиент абсолютно прозрачно для пользователя, из настроек требуется лишь указание IP адреса сервера с портом, и всё.
Помогает софтина всем приложениям, не понимающим данную аутентификацию. (Opera, ICQ)
Выложил тут Firewall Client (3,7 Мб)
ps
Естественно, в ISA должны быть разрешены соединения с помощью этой байды.
Цитатка по ссылочке http://forum.ru-board.com/topic.cgi?forum=5&topic=15888&start=429&limit=1
И вопрос:
А где эта волшебная галочка, которая разрешает соединения с помощью фаерволл клиента?
kaskad
Цитата:
и выкладывать этого клиента отдельно никуда не надо. Он в дистрибутиве исы есть (папка «\FPC\Program Files\Microsoft ISA Server\Clients\» на диске). И в уже установленном сервере по подобному же пути.
Добавлено:
по теме: кто что может сказать о причинах возникновения ошибки 21273 от Microsoft Firewall?
>>>>>
Event Type: Error
Event Source: Microsoft Firewall
Event Category: None
Event ID: 21273
Date: 5/20/2006
Time: 7:14:30 PM
User: N/A
Computer: GATE2
Description:
ISA Server cannot determine array member's status. Therefore, any attempts to establish VPN site to site tunnels may not succeed. ISA Server will check array member's status periodically. When the array member's status can be determined, tunnels will be established, as necessary.
ISA Server may not be able to determine array member's status for one of these reasons: the array member cannot successfully present credentials; the Firewall service is not responding; the intra-array communication is not functional.
>>>>
(crossposted to Forums.ISAserver.org).
Цитата:
А где эта волшебная галочка, которая разрешает соединения с помощью фаерволл клиента?в свойствах сети (например, Internal) на закладке «Firewall Client». Неожиданно, правда?
и выкладывать этого клиента отдельно никуда не надо. Он в дистрибутиве исы есть (папка «\FPC\Program Files\Microsoft ISA Server\Clients\» на диске). И в уже установленном сервере по подобному же пути.
Добавлено:
по теме: кто что может сказать о причинах возникновения ошибки 21273 от Microsoft Firewall?
>>>>>
Event Type: Error
Event Source: Microsoft Firewall
Event Category: None
Event ID: 21273
Date: 5/20/2006
Time: 7:14:30 PM
User: N/A
Computer: GATE2
Description:
ISA Server cannot determine array member's status. Therefore, any attempts to establish VPN site to site tunnels may not succeed. ISA Server will check array member's status periodically. When the array member's status can be determined, tunnels will be established, as necessary.
ISA Server may not be able to determine array member's status for one of these reasons: the array member cannot successfully present credentials; the Firewall service is not responding; the intra-array communication is not functional.
>>>>
(crossposted to Forums.ISAserver.org).
Mup0Boe_3Jlo
Ну и ни фига не выпускает. Опера один чёрт орёт, что не поддерживает такой тип авторизации. А стоит там эта галочка по-умолчанию. Просто в логах исы очень часто приходят запросы с рабочих мест на порт 1735 что ли. Попозже точно скажу. И пишется, что это Unidentified IP traffic. Хотя гугль мне сразу сказал, что фаерволл клиент лезет на этот порт с рабочих мест. А про то, что выкладывать не надо - это я в курсе. Я просто процитировал дословно. Всегда кастом ставлю при инсталляции и выбираю сделать шару клиентовскую. А в свойствах Internal там не авторизация, а настройка бравзера от мелкософта. Типа, что туда пропишет фаерволл клиент.
Ну и ни фига не выпускает. Опера один чёрт орёт, что не поддерживает такой тип авторизации. А стоит там эта галочка по-умолчанию. Просто в логах исы очень часто приходят запросы с рабочих мест на порт 1735 что ли. Попозже точно скажу. И пишется, что это Unidentified IP traffic. Хотя гугль мне сразу сказал, что фаерволл клиент лезет на этот порт с рабочих мест. А про то, что выкладывать не надо - это я в курсе. Я просто процитировал дословно. Всегда кастом ставлю при инсталляции и выбираю сделать шару клиентовскую. А в свойствах Internal там не авторизация, а настройка бравзера от мелкософта. Типа, что туда пропишет фаерволл клиент.
kaskad
Цитата:
в самой Опере прокси отключён — тогда она пытается соедениться напрямую, и её подхватывает Firewall Client. И при условиях, показанных на картинках — успешно авторизуется в логах как DOMAIN\user.
Цитата:
А в свойствах Internal там не авторизация, а настройка бравзера от мелкософта.ок, смотри на картинки
в самой Опере прокси отключён — тогда она пытается соедениться напрямую, и её подхватывает Firewall Client. И при условиях, показанных на картинках — успешно авторизуется в логах как DOMAIN\user.
Кто нибудь настраивал
ISA Server 2004 Reporting Services Sample
интересуют решение для расширения отчетов
ISA Server 2004 Reporting Services Sample
интересуют решение для расширения отчетов
shurshuc
Цитата:
ты об этом? Microsoft SQL Server Reporting Services Sample Pack for Internet Security and Acceleration (ISA) Server 2004
или о чём-то другом? Я сам пока не пробовал, к сожалению. Надо сначала решить проблемы с NLB. Но тоже очень интересуюсь отчётами, ибо заинтересован в биллинге на исе.
Цитата:
Кто нибудь настраивал
ISA Server 2004 Reporting Services Sample
интересуют решение для расширения отчетов
ты об этом? Microsoft SQL Server Reporting Services Sample Pack for Internet Security and Acceleration (ISA) Server 2004
или о чём-то другом? Я сам пока не пробовал, к сожалению. Надо сначала решить проблемы с NLB. Но тоже очень интересуюсь отчётами, ибо заинтересован в биллинге на исе.
Цитата:
успешно авторизуется в логах как DOMAIN\user
вот и я тоже обрадовался сначала, а потом выяснилось постить в форумах не получается - команды GET и POST не прокатывают. может у меня по каким-то причинам мимо FWC идет? хотя аська нормально работает - за нее FWC авторизуется...
Вообщем ситуация не понятная - не даром на форуме оперы юзеры настоятельно требуют от оперцев сделать нормальную NTLM авторизацию.
SunStroke
Цитата:
Опера 8.54, FWC 4.0.3440.81, ISA Server 4.0.3443.610 x2 (Front/Back-end).
Добавлено:
Цитата:
Добавлено:
возможно, если на прокси разрешены анонимные подключения (то есть не стоит галочка в окне как на втором моём скриншоте), то Опера идёт через прокси, и поэтому FWC её не обслуживает.
Добавлено:
Опера 9.0.8367.0 в этом отношении ведёт себя менее красиво. После установки молча показывает пустую белую страницу в ответ на любые адреса. В настройках, однако, снова стоит прокси. Убрал прокси — картина не изменилась. Пришлось позакрывать все вкладки, открыть новую — только тогда открылся форум.
Добавлено:
но запостить снова получилось. Так что SunStroke ищи проблему у себя.
Цитата:
вот и я тоже обрадовался сначала, а потом выяснилось постить в форумах не получается - команды GET и POST не прокатывают. может у меня по каким-то причинам мимо FWC идет?ОК, тестируем.
Опера 8.54, FWC 4.0.3440.81, ISA Server 4.0.3443.610 x2 (Front/Back-end).
Добавлено:
Цитата:
может у меня по каким-то причинам мимо FWC идет?когда я поставил Оперу, она определила прокси автоматически через WPAD. Сразу сказала, что не может авторизоваться. Пришлось пойти в настройки и удалить прокси вручную. После этого в мониторе сессий консоли управления ISA появилась строка «Firewall Client — DOMAIN\user — Opera.exe».
Добавлено:
возможно, если на прокси разрешены анонимные подключения (то есть не стоит галочка в окне как на втором моём скриншоте), то Опера идёт через прокси, и поэтому FWC её не обслуживает.
Добавлено:
Опера 9.0.8367.0 в этом отношении ведёт себя менее красиво. После установки молча показывает пустую белую страницу в ответ на любые адреса. В настройках, однако, снова стоит прокси. Убрал прокси — картина не изменилась. Пришлось позакрывать все вкладки, открыть новую — только тогда открылся форум.
Добавлено:
но запостить снова получилось. Так что SunStroke ищи проблему у себя.
Цитата:
ты об этом? Microsoft SQL Server Reporting Services Sample Pack for Internet Security and Acceleration (ISA) Server 2004
да, именно об этом.
у меня все получилось, отчеты строятся. Логи с 2-х серверов ложатся в SQL
но как расширить функционал отчетности пока не понятно
Mup0Boe_3Jlo
Цитата:
Вообщем все прояснилось...
Как выяснилось мешало правило блокирующее HTTP Transparent, хотя сделал его как рекомендовалось на сайте MS.
После отключения этого правила опера нормально полезла в инет.
Сессии же в мониторинге устанавливались и при включенном и при выключенном этом правиле.
Может кому мой пост поможет - HTTP Transparent явно мешается в данном случае, хотя его рекомендуют делать для увеличения безопасности.
Добавлено:
Может кто поможет мне...
В результате экспериментов забыл какие Application filters были прицеплены к протоколам HTTP, HTTPS, POP, SMTP, ICQ 2000
Может глянете какие у вас галки стоят...
Цитата:
Так что SunStroke ищи проблему у себя
Вообщем все прояснилось...
Как выяснилось мешало правило блокирующее HTTP Transparent, хотя сделал его как рекомендовалось на сайте MS.
После отключения этого правила опера нормально полезла в инет.
Сессии же в мониторинге устанавливались и при включенном и при выключенном этом правиле.
Может кому мой пост поможет - HTTP Transparent явно мешается в данном случае, хотя его рекомендуют делать для увеличения безопасности.
Добавлено:
Может кто поможет мне...
В результате экспериментов забыл какие Application filters были прицеплены к протоколам HTTP, HTTPS, POP, SMTP, ICQ 2000
Может глянете какие у вас галки стоят...
SunStroke
Цитата:
) еще б оно не мешало, запрет transparent http запрещает ходить по http мимо прокси (то есть через snat или fwc) а оперу ты как раз мимо прокси пытался пустить ) не знаю увеличивает это безопастность или нет, просто иногда полезно запретить юзерам ходить мимо прокси.
Цитата:
http - web proxy filter
pop3, pop3 server - pop intrusion detection filter
на остальных по умолчанию ничего не должно быть
Цитата:
Может кому мой пост поможет - HTTP Transparent явно мешается в данном случае, хотя его рекомендуют делать для увеличения безопасности.
) еще б оно не мешало, запрет transparent http запрещает ходить по http мимо прокси (то есть через snat или fwc) а оперу ты как раз мимо прокси пытался пустить ) не знаю увеличивает это безопастность или нет, просто иногда полезно запретить юзерам ходить мимо прокси. Цитата:
В результате экспериментов забыл какие Application filters были прицеплены к протоколам HTTP, HTTPS, POP, SMTP, ICQ 2000
Может глянете какие у вас галки стоят...
http - web proxy filter
pop3, pop3 server - pop intrusion detection filter
на остальных по умолчанию ничего не должно быть
hardhearted
спасибо по протоколам.
а нельзя как-нить одну оперу запустить мимо прокси, а то не очень хочется отказываться от запрета transparent http - а то вдруг какие проги ломануться на http серверы за обновлениями, например, мимо прокси, а FWC им с радостью подсунет авторизацию через ИСУ?
спасибо по протоколам.
а нельзя как-нить одну оперу запустить мимо прокси, а то не очень хочется отказываться от запрета transparent http - а то вдруг какие проги ломануться на http серверы за обновлениями, например, мимо прокси, а FWC им с радостью подсунет авторизацию через ИСУ?
Имеется: 2 сети
1: 10.20.100.0/24
ISA: 10.20.100.100
router на 2 сеть - 10.20.100.90
У клиентов шлюз ИСА
Добавил на ISA роут: 10.20.101.0 mask 255.255.255.0 10.20.100.90
2: 10.20.101.0/24
router на 1 сеть - 10.20.101.1
Проблема:
Нет доступа во 2 сеть, в логах ИСА - FWX_E_UNREACHABLE_ADDRESS
Если роут прописать на клиенте, то все работает
Vby
оба роутера должны видеть друг друга (соотвественно на клиентах используется "нужный" гейт)
В ISA эти сетки должны быть прописаны.
оба роутера должны видеть друг друга (соотвественно на клиентах используется "нужный" гейт)
В ISA эти сетки должны быть прописаны.
ISA 2000 в составе SBS2000. Юзеры ходят в интернет только на разрешенный список в policy elements -> Destination Sets.
Хочу вытащить уже сильно разросшийся список в файл, чтобы было.
При попытке сделать Export list выдает файл 200байт с 7 доменами, после седьмого ставит "...". А у меня там их под сотню
.
Как вытащить список ?
Хочу вытащить уже сильно разросшийся список в файл, чтобы было
. При попытке сделать Export list выдает файл 200байт с 7 доменами, после седьмого ставит "...". А у меня там их под сотню
. Как вытащить список ?
angelweb
Оба роутера видны друг другу пинг идет.
На клиентах гейт - ИСА
Сетки в ИСА прописаны
Поидее маршрут должен быть следующий: ISA (10.20.100.100) - router1(10.20.100.90) -router2(10.20.101.1) - comp (10.20.101.2)?
Оба роутера видны друг другу пинг идет.
На клиентах гейт - ИСА
Сетки в ИСА прописаны
Поидее маршрут должен быть следующий: ISA (10.20.100.100) - router1(10.20.100.90) -router2(10.20.101.1) - comp (10.20.101.2)?
Vby
что говорит route print на ISA ?
пинг на ISA разрешён ?
что говорит route print на ISA ?
пинг на ISA разрешён ?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.