» Microsoft ISA Server 2006/2004/2000 (Часть II)

idw

Цитата:

Не подскажите ISA2004 нормально работает на Win2k3? Win2k3 работает в качестве терминального сервера с помощью Citrix.

Работает как часы.

На ISA поставь пару сервиспаков.

Народ - в другом форуме висит такой вот пост и никто не хочет подсказать...мож кто выручит ?????
========

Выход в инет осуществляется через vpn. Настроил конект, проверил все работает прекрасно.Установил на сервере ISA 2004, создал правило позволяющее звонить по протоколу pptp. Опять таки все работает и конектится прекрасно. Дальше решил сделать чтобы конект осуществлялся автоматически при поступлении запроса от клиентов. Для этого активизировал "allow automatiс dialing to this network" в "specify dial-up preferens". И получилась интересная штука. Конект начинает активизироваться автоматически, но не проходит. Если убираешь автоматический диалинг, то конект проходит нормально (но вручную). В чем у меня косяк не пойму. Может кто чего посоветует.

idw
у меня работает, токо без терминалов и Цитрикс.

а можно ли в Isa 2004 открыть группу портов чтоб например skype заработал .. и как?

ат не по одному порту открывать

Rotten

Цитата:

можно ли в Isa 2004 открыть группу портов чтоб например skype заработал .. и как?

new - protocol и перечисляешь списки портов.

тоесть можно прям указать 10000-49000 ?

Rotten

Можно.

просто в 2000 этого нельзя было сделать .. а 2004 не работал долго ..

Вопрос следующий - у нас в конторе есть человек который занимается ISA 2004, он ушел в отпуск. В один прекрасный момент рухнула 2003 винда (долго рассказывать), я все заново поставил, установил ISA 2004, импортировал настройки (быкапы настроек Enterprise, Arrays, делались периодичностью в неделю), все вроде бы работает, но вот инет тормозит по страшной силе (ну т.е. все странички открываются ОЧЕНЬ долго). Я помню когда наш чел который ису админит, первый раз ее ставил у него была такая же проблемма, но он ее как то решил... Я в вопросах с исой ноль, а читать огромные мануалы чтобы оставшиеся 2 недели последить за исой неохота.... Помогите пожалуйста.

kazavo4ka

Включен ли кэш ?

Стоят ли сервис паки ?

Что в логах ?

Что показывает диспетчер задач ?

angelweb

В диспетчере показывает на проц нагрузку 50 процентов, на память также. Вообще то у нас на прокси машина слабенькая (но ведь раньше и на ней все работало).

Что за кэш? Это в Arrays -> Configuration -> Cache который? Там стоит гиг.

Сервис паки стоят.

А что можно в логах посмотреть? В инетрент то выйти можно, только вот очень медленно...

kazavo4ka


Цитата:

А что можно в логах посмотреть?

Есть ли там ошибки ?

Авторизация для выхода в инет требуется ?


Цитата:

В диспетчере показывает на проц нагрузку 50 процентов, на память также

Цитата:

но ведь раньше и на ней все работало

route print покажи

angelweb
Авторизация требуется.
Ошибок в логах не заметил.
Что за route print?

kazavo4ka

Цитата:

Что за route print?

это таблица маршрутизации.


Цитата:

Авторизация требуется.

попробуй отключить

Цитата:

Ошибок в логах не заметил.

а что в логах самого ISA сервера ?

Здравствуйте!

Возникла такая проблема.
Поднимаем Site-to-site между двумя офисами. Все настроили ВНП поднялся, пинги идут, но трафик не хочет идти, роуты правильные.
Стоят 2 интерфейса там и там, в первой подсети на одном ип 3.2, на другом 52.3(через него делаем Сайт). На другом 1.199, и 52.2. Internal 1.0-1.245, 1.246-1.255 под выдачу. На другом 3.0-3.245, 3.246-3.255 под выдачу. Все правила по шаблонам, все разрешено, но идет только пинг.

Тоже вот вопрос про ISA 2000(все сервис-паки) на Win2000AS(СП4).
Публикую Удаленный рабочий стол(3389) на машине в локальной сети. При попытке входа - ошибка. В логах все нормально - соединение разрешено.
Есть у нас и другой шлюз - на ФриБСД - через него все работает.

Может быть что-то еще открыть надо?

Krechet

а у публикуемой машины кто гейтом выступает ?

ping внешних адресов на публикуемой машине проходит ?

angelweb
Гейт - ИСА и ФРИ - в зависимости от ситуации.

Пинг - нет, как и на всех остальных подключенных через ИСУ. Но при этом работает Инет, аська, ФТП, клиент-банки и т.п.

Krechet

Цитата:

Гейт - ИСА и ФРИ - в зависимости от ситуации

Дело в том, что если у машины выставлен гейт, через который она не может напрямую ходить в инет (только через прокси к примеру), то надо прописывать статический маршрут на гейте, через который работает машина.

Krechet

Цитата:

Пинг - нет, как и на всех остальных подключенных через ИСУ. Но при этом работает Инет, аська, ФТП, клиент-банки и т.п.

а icmp вообще разрешён?
если нет, то разреши icmp и потом tracert внешний адрес и смотреть где что

angelweb
Все настроили, вышел человек отвечающий за ису...

Возникла ситуация : В конторе установлена ISA2000 . Создаются отчеты по каждой машине . Но вот за двумя машинами стали работать несколько человек поочередно и возник вопрос "кто сколько трафика нагулял в инете ?" . Можно ли как-то настроить ISA2000 , чтоб при подключении к инету она запрашивала логин и пароль ? Может ISA2004 это умеет ?

Цитата:

чтоб при подключении к инету она запрашивала логин и пароль

Поставь Basic авторизацию будет запрашивать при каждом запуске IE имя и пароль.
Но это действует на ВСЕХ пользователей, соотв. другим будет не очень удобно. ИМХО, лучше приучить всех уходя от машины делать logoff? чтобы другие логинились под своими аккаунтами.

Цитата:

Поставь Basic авторизацию будет запрашивать при каждом запуске IE имя и пароль.

Basic в настройках стоит , но иса определяет кто залогинился на машине и не спрашивает при выходе в инет .

angelweb

Цитата:

то надо прописывать статический маршрут на гейте, через который работает машина.

Какой маршрут прописывать надо? Почему опубликованный Exchange и FTP-сервер работают нормально, без прописанных маршрутов куда-либо?

drros

Цитата:

а icmp вообще разрешён?
если нет, то разреши icmp и потом tracert внешний адрес и смотреть где что

каким образом icmp влияет на работу RDP?
Опять же: tracert и ping - это разне вещи. Пинг не идет к внешним адресам, а трасировка работает как и должна.

Цитата:

tracert и ping - это разне вещи

lol

icmp на RDP это две большие разницы. надо сначала разобраться где теряются пакеты, настроена это неправильно маршрутизация ( и где она настроена неправильно - на хосте или роутере ) проще всего это сделать пингом.

вот про
Цитата:

опубликованный Exchange и FTP-сервер работают нормально

впервые упоминается. или я что-то пропустил?

Добавлено:
SergeyMark

Цитата:

Basic в настройках стоит , но иса определяет кто залогинился на машине и не спрашивает при выходе в инет .

значит кроме basic стоит ещё и integrated. оставь одну basic. а вообще самое правильное решение:
Цитата:

ИМХО, лучше приучить всех уходя от машины делать logoff? чтобы другие логинились под своими аккаунтами.

VPN site-to-site достал. Всё по инструкции Шиндлера делаю, и с пользователями разобрался и с названиеями подключений и со всей всей фигнёй. по три раза переделывал.
А "узел недоступен" удалённый и всё тут. сделал route print и увидел что isa не добавила никаких маршрутов. Так должно быть?

Цитата:

значит кроме basic стоит ещё и integrated. оставь одну basic.

Оставил одну basic , заработало .

Блин, возник еще один вопрос... Есть комп с ISA 2004 EE, на нем опубликован ftp'шник на 6000 порту и еще включены порты с 2000 по 2010 (Serv-U). Проверял с двух мест: первое - из одного офиса где на прокси стоит WinRoute, с винраутом проблем не было - открыли нужные порты. Все работает, тоесть могу к ftp коннетится и т.д.... Второе место - из дома, там у меня брэндмауэров вообще не стоит. Тоже работает. А вот и сам вопрос - в третьем месте стоит тоже ISA 2004 EE, нужно через него подключиться к ftp'шнику... Вроде бы ничего сложного - создаем новое правило, в котором создаем свой порт 6000 (и еще диапазон с 2000-2010, для пассивного режима), From - делаем Local Host, Internal, и VPN, To - External (пробовал создать новую Network с нужным ip'шником ftp сервера - не выходит), вроде бы должно работать... Но не работает, в логах пишет Denied ссылаясь на Default Enterprise Policy, тоесть как будто не замечает правило для ftp... Я уж и так и эдак пробовал это правило создавать - толку ноль...

слушайте, если вы не внимете моей прозьбы то.... ничего не произойдёт ... а хотелось бы.
Карочеее

Скиньте мне пожалуйста свою таблицу маршрутов если у вас развёрнут VPN.
Я не могу понять ,что за маршруты isa прописывает в удалённую подсеть.

Надеюсь будет кому сказать за это спасибо!!!