» Microsoft ISA Server 2006/2004/2000 (Часть II)

angelweb
Network Destination Netmask Gateway Interface Metric
10.20.101.0 255.255.255.0 10.20.100.90 10.20.100.100 1

Пинг разрешен
Пинг с ИСА

ping 10.20.101.1
Pinging 10.20.101.1 with 32 bytes of data:

Destination host unreachable.
Destination host unreachable.
Destination host unreachable.
Destination host unreachable.

Ping statistics for 10.20.101.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Vby

Цитата:

Если роут прописать на клиенте, то все работает

хм ...

а что говорит ipconfig /all на обоих роутерах ?

возможно нет записи IP Routing Enabled. . . . . . . . : YES ?

angelweb

Цитата:

а что говорит ipconfig /all на обоих роутерах ?

Роутеры Zyxel791, роутинг включен.

Пишем на клиенте роут :
route 10.20.101.0 mask 255.255.255.0 10.20.100.90

tracert 10.20.101.2
Трассировка маршрута к 10.20.101.2 с максимальным числом прыжков 30

1 1 ms <1 мс <1 мс 10.20.100.90
2 4 ms 4 ms 4 ms 10.20.101.1
3 5 ms 5 ms 5 ms 10.20.101.2

Трассировка завершена.

Удаляем роут:

tracert 10.20.101.2
Трассировка маршрута к 10.20.101.2 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 10.20.100.100
2 * * * Превышен интервал ожидания для запроса.
3 * . . . .


В логах ИСА:
10.20.100.95 ICMP    -    --    10.20.100.100    10.20.100.95    10.20.101.2    8    0    Ping    Denied Connection        0xc004002d FWX_E_UNREACHABLE_ADDRESS

Vby

Цитата:

Роутеры Zyxel791

в логах чисто ? (если мне не изменяет память, то там можно включить аля debug логи)

ISA какой версии ?

если EE , то подсети должны быть прописаны в двух местах.

angelweb

Цитата:

ISA какой версии ?

если EE , то подсети должны быть прописаны в двух местах.

ИСА 2004ЕЕ
Подсети прописаны в
1: Array - Server - Configuration - Networks - Networks
2: Array - Server - Configuration - Networks - Networks Rules (Relation Route)



Цитата:

в логах чисто ? (если мне не изменяет память, то там можно включить аля debug логи)

Да, проблема имеено в ИСА, как я понял. Если вручную на каждом компе прописать роуты то все работает

Vby

Цитата:

Пинг разрешен
Пинг с ИСА

ping 10.20.101.1
Pinging 10.20.101.1 with 32 bytes of data:

Destination host unreachable.

очень странно ... если присутствует статический маршрут, то пинг должен идти ...

попробуй удалить этот маршрут (на ISA) и снова прописать его руками ... и выстави метрику 20 ...

angelweb

Цитата:

очень странно ...

Угу странно, удаляю маршрут - путь идет через основной шлюз, прописываю Destination host unreachable.

ISA 2004 SE SP2 на w2k3 Eng + все хотфиксы.

Вы будете смеяться, но ИСУ я настроил Шутка. Есть вопрос: создал правило, разрешающее выход в инет по протоколу HTTP пользователям из группы в AD. Работает. Руководство поставило задачу исключить скачивание mp3, avi и иже с ними. Я как продвинутый юзер редактирую существующее правило на предмет Content Types. Создал и разрешил группу Non restrict. В нее включил все, кроме video/* и запрещенных типов файлов.

Не работает. Шиндер в оригинале и в переводе говорит, что content filter будет работать только на протоколе HTTP. Условие соблюдено. Есть подозрение, что нужно ковырять в районе Configure HTTP Policy for this rule. В смысле заголовки и сигнатуры.

P.S. По поводу лимитов и логов в ISA2004: связка ProxyInspector и TrafficQuota (оба не самых свежих версий) работает на ура. Первый ежедневно кладет в е-мыл руководства отчет об использовании интернета каждым пользователем (объем выкачанного и список посещенных сайтов), второй аккуратно обрезает руки по колено любителям халявного инета.

angelweb
Решил проблему добавлением в ИСА диапазона адресов удаленной подсети в Array - Server - Configuration - Networks - Networks - Internal (получилось 10.20.100.0/24, 10.20.101.0/24)

malibu
Не в ту степь полез. Создай перед разрешающим правилом еще запрещающее, которое будет рубить весь ненужный контент. Работает на ура.

Новый фильтр для раздачи квот.
Если кто-то желает и может потестировать - милости просим
Link hxxp://quotafilter.ho.com.ua

Вопрос ко всем знатокам исы - возможно ли просмотреть и при необходимости вытащить содержимое кеша. И если да - то как.

PS Просьба сильно не пинать, если данный вопрос поднимался - предыдущая тема 105 листов, и эта уже под 20 - полный просмотр не одолел.

GrIvA99
Вот если бы он еще и скорость мог ограничивать - тогда нужный продукт.

NEED
Bandwidth Splitter for Microsoft ISA Server 2004
Bandwidth Splitter - это программное расширение для Microsoft ISA Server, дополняющее его новыми возможностями, позволяющими более рационально совместно использовать имеющийся Интернет-канал, распределяя его между всеми пользователями и серверами в соответствии с установленными правилами.

Основные возможности:

- ограничение ширины используемого Интернет-канала для отдельных пользователей и компьютеров, а также групп пользователей и компьютеров (шейпинг)
- установка квот на допустимый объем Интернет-трафика за период (день, неделю, месяц) для отдельных пользователей и компьютеров, а также групп пользователей и компьютеров
- мониторинг администратором в реальном времени всех пользователей и их соединений проходящих через ISA Server, включая ширину используемых каналов каждого пользователя и соединения
http://www.bsplitter.com

Пока только БЕТА!

SeT

Цитата:

The first beta version for ISA 2004/2006 supports HTTP protocol and web proxy clients only.

это совершенно не подходит. У кого есть ещё информация по шейперам, поддерживающим все протоколы на ISA 2004/2006?

Mup0Boe_3Jlo
Хоть что-то. Аналогии вроде пока нет.

Кто настраивал NLB двух ISA Server EE 2004?
один из серверов отваливается из сети после объединения в NLB-кластер.

shurshuc
Цитата:

Кто настраивал NLB двух ISA Server EE 2004?
один из серверов отваливается из сети после объединения в NLB-кластер.

если кратко, то члены массива должны быть подключены к хабам или свичам 2-го уровня, а не третьего. Если подробно, то читай NLB Troubleshooting Overview for Windows® Server 2003.

Добавлено:
NEED
Цитата:

Хоть что-то. Аналогии вроде пока нет.

я вот тут обратился с просьбой сформулировать требования, чего не хватает по работе с пользователями в ИСЕ. Возможно, что удастся найти более-менее удовлетворительное решение, а возможно, что будет целесообразнее заказать написание отдельного продукта под эти цели.

Победил NLB.
спасибо за ссылку.

теперь появились еще вопросы.
хотел сделать балансировку чтоб все пользователи ходили только через один сервер. и только в случае пропадания интернета у первого сервера пользователи переключались на второй.
в функционале NLB у ISA заложено 50% на 50%
сейчас пользователи в случайном порядке раскиданы по серверам

Вопрос всем у кого ISA 2004 EE + NLB - как считаете траффик?
Как я понял надо брать логи со всех серверов входящих в кластер и суммировать.
И еще вопрос, если обработать логи с любого из серверов, например Proxy Inspector, то в логах на первом месте будет пользовать DOMAIN\ISASERVER$. В отчетах самой исы такого пользователя нет, можно ли считать этот траффик служебным (в мониторинге он проходит как interconnect)?

как посчитать трафик приложений которые работают не через web proxy а через firewall agent - читать FWC логи?

Добавлено:
shurshuc
в свойствах нужной сети есть вкладка web browser - там есть if isa server is unavailable use alternate route ... не то?

ISA EE пишет в MSDE
Прокси инспектор с каждого сервера из своей базы MSDE сливает все в базу SQL и уже от туда анализирует.

есть шикарное решение для логов которые иса сама хранит в SQL Server(+ еще и квотирование)(сслка в шапке на IXBT), но проект видимо загнулся.

про распределение нагрузки между серверами в NLB кластере вопрос остается открытым.

А скажите пожалуйста, как ISA отображается в AD?
Трудно ли её потом будет удалить?

Возможно ли в ISA 2004 ЕЕ зарезервировать некую полосу канала для определенного протакола или выстовить приоритеты?

Vby
в ISA 2004 эту возможность не включали.

Server 2003 EE SP1 + ISA 2004 EE SP2 + hotfix KB916106.

Вот такая байда раз в неделю появляется:
The Web Proxy filter failed to create a network socket because there are no available ports on this computer. ISA Server already reset the maximal port number to 65535. Make sure this is the value at HKLM\System\CurrentControlSet\Services\TcpIp\Parameters\MaxUsePort and restart the computer to apply this change.
Кроме этого, в последнее время некоторые страницы стали открываться со второго раза. Первый раз пишет, что не может отобразить, а при обновлении тут же показывает.
Подскажите в чем подвох!

Подскажите, как разрешить OSPF трафик на Isa server 2004 Std. SP1? Протокол прописал, в логах пишет "Denied Connection".

И тот же воприс относительно других ip-протоколов (не TCP/UDP).

PRiM
вообще эта жесткая проблема, я ее так и не смог решить. гуру говорят о вирусах в сетке. хотя таковых не замечал у себя. пробовал уменьшить время таймаута соединений помогло но не надолго. можно попробовать уменьшить кол-во соединений на пользователя тоже помогает некоторым. а вообще помоему это баг исы хотя проявляется не у всех. возможно трабла с конкретными сетевыми адаптерами.

PRiM

Цитата:

The Web Proxy filter failed to create a network socket

Попробуй это http://support.microsoft.com/kb/321844/en-us вдруг поможет.

PainAllTime
Никак. А при удалении интересные весчи проявляются. У меня, например DC+ISA2004 SP2, снёс ISA, потом поставил, теперь не могу открыть групповые политики, лезу по старой памяти в Start->Programs->Administrative tools->Active Directory Users and Computers->Properties на имени домена->Group Policy и вылетает следующее окошко "The donain controller for group policy operations is not available. You may cencel this operation for this session or retry using folllowing of the domain controller choises: 1. The one with the operations master token for the PDC emulator 2. The one used by the active directory snap-ins 3. use any available domain controler." При выборе любого варианта ничего не меняется, опять это же окно. Грамотные сказали, что при удалении исы она ещё сносит RRAS и DNS зачем-то. Так что удалять ису вредно для DC.

Добавлено:
Всё, сорри, наврал. Ничего ИСА не сносит. Это напарник мне помог посильно. Вот ссылка на решение проблемы: http://support.microsoft.com/?kbid=257435