» Microsoft ISA Server 2006/2004/2000 (Часть II)

AlexRNeos
нафиг мануалы к левым прогам, есть первоисточник
http://www.microsoft.com/technet/prodtechnol/isa/2004/help/FW_SQLLog.mspx?mfr=true
оба dns это к тому что баз для исы надо две, для firewall и для proxy
в настройках исы указываешь dsn и таблицу (если иса standart), в настроках базы даешь права на insert и select юзеру network service (если sql на другом компе то юзеру домен\имя_исы$ - так network service представлен в сетке)

про подсчёт трафика
фигня продолжается, за 21 авг входящий трафик по провайдеру 187Мб, а ИСА говорит, 24!

в хелпе ИСы написано:
Traffic that is not included in the report
The following traffic is not included in reports generated by ISA Server:

Traffic for which the Action field in the log equals Established or Allowed.

т.е. соединение установлено, скачивается энное количество мегабайт, а в логах фиг?!
Говорила мне бабушка, ставь Nix

stolid
если руки на месте то и без никсов обойтись можно, трафик считай нормально по логам а не слушай что тебе репорты говорят, у меня они вообще всегда все по нулям показывают )

А кто пользуется считалкой-квотированием
" Квотирование ISA Server 2004 (SQL) стандартными средствами (версия 2.0a) "
Выложенной на ixbt
Нужна вашапомощь господа...
Все вроде сделал, установил, логи кладет теперь в SQL2005, а вот как смотреть статистику и т.д. ?

AlexRNeos

Цитата:

Все вроде сделал, установил, логи кладет теперь в SQL2005, а вот как смотреть статистику и т.д. ?

легко
пишешь select ..... и будет счастье )

hardhearted
Ты пользуешься "Квотирование ISA Server 2004 (SQL) стандартными средствами (версия 2.0a)" ?
Извини, просто в SQL я неочень, только разбираюсь.
Просто как я понял там статистику через web интерфейс можно смотреть?
Или я ошибся?
А что касается "пишешь select" так это на сколько я знаю достаточно настроить логирование в SQL и там любые запросы можно писать.
В том то и дело что тут вроде как реализовано лимитирование автоматом и квоты можно смотреть как то... (не select)

Здравсствуйте все! Помогите разобраться с проблемой. Ситуация следующая: С нуля установлены W2K3 и ISA2004SE. В ИСЕ ни каках правил не создавалось, т.е. все закрыто, но с самой исы есть свободный выход в нет. Откуда? Или иса не работает? хотя сам сервис запущен в логах чисто. Подскажите куда копать?

ISA Server Managment -> Firewall Policy -> Tasks (в сворачивающейся панели справа) -> Show system policy rules
то бишь предопределенные правила наличествуют

В доках вычитал, что system policy относятся только ко внутренней сети, и не влияют на соединение с другими хостами, т.е. по умолчанию иса нигого во вне не пускает. Если это не так то какая из системных рулежек выпускает меня в нет?
В system polisy активны 1,6,10, 11,15, 19, 21,22,27,28 пункты

Удаленная установка ISA 2004 Client
Может кто сталкивался как это сделать удаленную установку ISA 2004 Client,
через gp способ известен сеть с ad, но также есть обычные Windows-рабочие группы.
нужен именно софт(скрипт) который сможет развернуть ISA 2004 Client во всей сети(возможно и другой софт). пароли от админа на машинах в рабочей группе на руках.

Цитата:

В доках вычитал, что system policy относятся только ко внутренней сети, и не влияют на соединение с другими хостами, т.е. по умолчанию иса нигого во вне не пускает. Если это не так то какая из системных рулежек выпускает меня в нет?

потычь по правилам, да посмотри, куда они тебя пускают и по каким протоколам

Спасибо нашел. (26 правило)
Еще вопрос- на этом же сервере устанавливается MDaemon 8.13 достаточно-ли будет открыть 25 и 110 порты или надо публиковать почтовый сервер (по мануалам этот момент не понял)
В ISA2000 если почтарь на тойже машине нужны порты а не публикация

Antdik
хватит открыть порты, публикация нужна в случаях когда сервак в internal (сама иса не находится в internal или в external)
насчет системных правил, ты наверное не так прочитал доки, все системные правила относятся к случаям когда source или destination это local host, то есть эти правила всегда про трафик к исе или от исы, внутренняя сеть тут не причем.

Т.е. если я правильно понял при снятии в системных политиках всех галок enable и создании своих иса будет игнорировать системные и обрабатывать только созданные или есть исключения?

Antdik
понял то ты правильно, но идея очень плохая )) если что то можно сделать системной политикой(большая часть задач по разрешению трафика от и к local host), сделай это, то что нельзя (клиентов в инет пустить и т.д.) делай своими правилами.

Насколько я понимаю логику ISA 2004, если есть 2 правила, разрешающие доступ по одному протоколу сначала аутентифицированным пользователям, а потом - всем, то доступ получат ТОЛЬКО аутентифицированные пользователи. Второе правило не отработает, потому что неаутентифицированные пользователи отсеятся при выполнении первого.

А вот что будет в случае Deny? Возьмём 2 правила:

1) Deny http/https <список урлов> из Inernal в External для All Users кроме Привелигированных пользователей

2) Allow http/https из Inernal в External для All Users.

Получается, что первое правило пошлёт лесом всех НЕаутентифицированных пользователей, а второе пустит их в интернет. Причём в логах второго правила естесственно будет присутствовать только anonymous.

Не понятно, как это реализуется на уровне взаимодействия с браузером.
(первое правило)
1) IE пытается получить доступ к сайту анонимно.
2) IE получает Deny так как правило №1 требует аутентификации.
3) если пользователь может аутентифицироваться, то он это сделает и:
а) если он в группе привелигированных пользователей, то он перескочит на следующее правило,
б) если он НЕ в группе привелигированных пользователей, то обработка правил для него заканчивается.
если пользователь не может аутентифицироваться, то IE окончательно получает Deny.
(второе правило)
4) привелигированные юзеры получат доступ в интернет, так как они добрались до этого правила.
пользователи не входящие в группу привелигированных до этого правила не добрались и доступа не получат.
А что с пользователями, которые так и не смогли аутентифицироваться?

Нужно сделать так, чтобы пользователи могли выходить только на определенные сайты, а все остальное должно быть закрыто.

Это возможно ?

qwerty9911
да

А где можно посмотреть список кодов используемых в логах
P.S. ISA 200

Такая ситуация:
Есть два офиса 1 и 2, для каждого создан свой сайт 1 и 2. ИП адреса офисов вида 192.168.1.х и 192.168.2.х В 1-м стоит главный контроллер домена со всеми хозяевами. Во 2-м стоит дополнительный контроллер домена. Все на Сервере Интерпрайз 2003 с СП1.
В 1-м офисе на другом компе стоит ИСА2004ЕЕ+СП2. На ней 3 сетевухи. Она используется как файрвол и как маршрутизатор между 1м и 2м офисом. В настройках ИСЫ стоит "Требовать аунтефикацию пользователей". ИЕ работает через прокси.
При выключении ГКД, у всех пользователей перестает работать ИЕ. Почта, аськи и т.п фичи через НАТ продолжают работать.
Вопрос:
Можно ли сделать так, чтобы при выключении ГКД, аунтификация пользователей проходила на ДКД?

PRiM
Вообще это странно как-то. В 2003й винде нет основного и дополнительного контроллеров домена. Юзеры аутентифицируются на том контроллере, который в их сайте находится. Складывается впечатление что у тебя все компы аутентифицируются на контроллере домена в главном офисе, а второй контроллер бездействует.

PRiM
для начала, со времен ad 2000 нет понятий главный ДК и дополнительный, они все главные, просто роли меж ними можно поделить.
чтобы иса и юзера могли аутенфицироватсья на втором контроллере, надо чтобы
1. иса и юзера могли эти контроллеры найти, то есть в dns должны быть оба контроллера
2. иса и юзера могли попасть на оба контроллера, то есть в системных правилах и в правилах файрвола надо позволить исе и юзерам коннектится к этим контроллерам.

Добавлено:
Bugriy
юзера у него как надо аутенфицируются, видимо иса запросы шлет только к одному.

hardhearted
Вообще контроллер себя сам прописывает в DNS при повышении до уровня контроллера. Скорее всего с правилами что-то не то.

Ну под главным я имел в виду тот, что держит всех хозяев. Просто не правильно выразился. Юзеры аунтифицируются все на своем сайте. Все пучком. А вот где ауинтифицируется ИСА - не понятно, т.к. она принадлежит обоим сайтам получается.

Добавлено:
Кстати, попробовал с ПДК законектиться на ИСУ через ремоутдесктоп при выключенном ГДК - фиг, аунтификация не проходит. Включаю ГДК - конектит без проблем.

PRiM
Первое системное правило разрешает ISA серверу доступ к LDAP каталогу в internal сеть для аутентификации. Обе сети входят в internal или только сеть главного офиса?

Bugriy
конечно вписывает, но обычно сами dns сервера находятся на ДК и если у клиентов и исы оба сервака не вписаны в качестве DNS, то ни клиенты ни иса не будет знать где искать, ведь если вписан один и он выклчючен иса не сможет у него спросить про второй ))
поэтому у меня и ответ был в два пункта, сначала найти ДК а потом к нему доступится )

win2003 EE RC2
ISA 2004 SP1

проблемка в следующем: не пускает на gmail почтовые клиенты.
в логах пишет что блокирует это дело ентерпрайз полиси.
что и как надо прописать чтобы пускало? потому что в ентерпрайз полиси одно правило: запретить все и добавить туда ничего не дает

demondeimos
У тебя по любому нету правила разрешающего доступ к POP3 через SSl, тоесть порт 995 у тебя не открыт. На SMTP таже самая беда, только порт нужен 465. В Default Rule нельзя ничего добавлять, оно для того и сделано чтобы все ненужное блокировать. Слово файрвол тебе о чем-нибудь говорит?

в Firewall policy есть правило разрешающее и 995 и 587 и 465 порты.

demondeimos
Проверь точно ли тому разрешено кто по ним пытается зайти. У меня все нормально работает.