» Microsoft ISA Server 2006/2004/2000 (Часть II)

pawelk

Создаёшь группу "internet access users". Добавляешь туда юзеров которым интернет разрешён. Создаёшь 2 правила:

1. Deny Http/https from internal to external for all user exept "internet access users"
2. Allow Http/https from internal to external for "internet access users"

В первом правиле настраиваешь перенаправление на свою страницу.

Народ проблема возникла с настройкой Site-to-Site VPN есть два офиса, оба маршрутизатора на ISA Server 2004. Все делаю по инструкции l2tp.hotbox.ru... Один раз натсроил, заработало, потом по какой-то причине упало, теперь не получается настроить! На Маршрутизаторах в останстках Monitoring -> Sessions появляются VPN Remote Site соединения и соединения VPN Client. В настройках Address Assignment задал адреса из подсети 192.168.2.x.... (на обоих серверах).

В главном офисе 192.168.0.x во втором офисе 192.168.1.x....


Блин чего делать то? Может что-то с маршрутизации не так?

Вопрос в следующем.
.....................................................................
Internet --- Isa ---DMZ ----ISA ---- Internal
.....................................................................
У кого-нибудь получалось в этой конфигурации настроить Exchange server находящийся в Internal, без развертывания дополнительного почтового сервера в зоне периметра.

Коллеги приветствую. Имеется ISA Server 2000 IE. ОП Windows 2000 server. Полностью работающий. Хочется перейти к ISA 2004. Кто-нибудь это делал? Подскажите пожалуйста как воплотить задуманное в жизнь и какие есть проблемы с этим связанные. Заранее спасибо.

Arsenic

Цитата:

Коллеги, а у кого-нибудь есть опыт в настроки ISA с клиентом Web-proxy с аутентификацией по ip адресам?

что такое аутенфикация по ип?
терминологию учи, особенно различия между аутенфикацией и авторизацией.
то что ты хочешь есть авторизация по ип, и сделать ее проще некуда, создаешь разрешающее правило, в поле from указываешь нужные ип.

Здраствуйте товарищи. Подскажите пжалуста.
1)Есть сайт https://site.com:4031
https:// открывается
site.com отркрывается
а вот с портом проблемы.
Пробовал прописывать в ip filtering (протокол tcp и udp) любые порты и любое направление. Вроде как ничего не дало. так же известно чтобы зайти на такой сайт надо скачать и установить сертификат (очередной банк клиент). все вроде было установлено по инструкции. в итоге при заходе: пейдж каннот би десплейд.
2) после этого смотрю логи. в фаервольных и пакетных логах ничего нет. а в проксевых есть. это ли не значит что иса пускает все нормально?
3) чем смотреть файрвольные логи? только ли блокнотоподобным софтом?
isa2000, на клиентах стоят фаерволклиенты

KocmonpaB
а в чем проблема?
qetch
наверное не IE а все таки EE
а читать официальные доки теперь уже не в моде?
http://www.microsoft.com/technet/isa/2004/isa2kexport.mspx
кстати isa 2004 EE не встанет на win 2000

Ну ессно ЕЕ. Ошибся малость. Я больше на "засады" ориентировал вопрос, а не на то какую за какой кнопку жать. Все равно спасибо. За "isa 2004 EE не встанет на win 2000" особенно.

Reznikoff
тебе скорее всего надо просто указать порт для ssl, в книге шиндлера про это есть, и на офсайте тоже есть, например
http://download.microsoft.com/download/9/1/8/918ed2d3-71d0-40ed-8e6d-fd6eeb6cfa07/Tunnel_Ports.doc
я firewall логи смотрю через sql query analyzer )

hardhearted
т.е теоретически этот 4031 порт есть ssl ный порт, который висит по умолчанию на 443 порту (а не на 4031).
По умолчанию иса работает с ссл?
Если да то мне всего лишь надо сделать копию ssl правила, переназначив там порт?

а если логи в файлах *.log ?

Цитата:

т.е теоретически этот 4031 порт есть ssl ный порт, который висит по умолчанию на 443 порту (а не на 4031).

мда, ты доку в моей ссылке прочитал? иса работает с ssl, но чтобы эт онормально работала через прокси надо ей обьяснить что ssl это не только 443 порт, то есть добавить ей еще свои порты. как это делается в доке подробно написано, и текст скрипта приведен
*.log файл это обычный текст, смотри любым редактором или вьювером

hardhearted
да про ссл понял.

в том то и дело что любым редактором смотреть неудобно

Люди добрые подскажите плиз, кто пользуется ISA 2006 RUS.
Говорят финал вышел. Есть желание поставить. Но вот вопрос, на офф сайте ненашел мануала по переходу с 2004 EN на 2006 RUS.
Может кто подскажет.....?

Цитата:

hardhearted

Да вот чего то не вытанцовывается.

Внешняя часть и DMZ.
***************************************************************************
dsl(xx1)--(ip xx2)Isa1(222.222.222.1, DNS) ------ (222.222.222.2)Isa2(172.16.16.5)--
..............(gw xx1).......(gw ~)..............................(gw 222.222.222.1).(gw172.16.16.1)
..............(dns xx2).......(dns ~)..............................(dns222.222.222.1).(dns172.16.16.16)
***************************************************************************

Внутренняя часть
***************************************************************************
172.16.16.1 Nortell Passport (маршрутизатор).
172.16.16.6 Exchange Server (dns1 172.16.16.16,dns2 222.222.222.1 gw 172.16.16.1)
172.16.16.16 Dc
***************************************************************************
Команда Ping.
C Exchange. пингуется внутренний адрес ISA1. Внешний адрес ISa1 нет, ru-board.com тоже нет.
С ISa 2, DC. анологично не пингуется внешний aдрес ISA1 и ru-board.com.
С ISA 1 пингуется все.
На Isa 1 пробовал создавать allow правило все исходящие с Dmz, Isa2, 172.16.16.0. не работает.

KocmonpaB
для начала, у тебя в dmz реальная сеть или виртуальная? какие отношения на иса2 выставлены между internal и external? аналогичный вопрос про ису 1

Добавлено:
AlexRNeos
иса на русском? впервые слышу о существовании такой, даже если б и была то по моему миграция с одного языка на другой у мелкомягких никогда не работала

hardhearted:
Dmz cеть физическая (по сути она же и external).
На Isa2 выставлен в Network Rules -route
Анологично и на ISA1.
Результат на все ping хосты резолвятся, но выдается Requested time out.
Создание правила Открыто все на isa 1 тоже не спасает.
Думаю хромает где то маршрутизация, если завтра не получиться - разверну 3-leg

hardhearted
Есть, есть русский (2006). Очень непривычно, я посмотрел и снес, англицкий приятней.
AlexRNeos
В Release Notes все подробно описано, не думаю, что переход на русскую версию чем-то отличается от перехода на английскую.

подскажите пожалуйста как правильно добавить в content types типы файлов wmv и wma. я уже как только не добавлял: не блокирует он их и все тут

Serra

Цитата:

В Release Notes все подробно описано, не думаю, что переход на русскую версию чем-то отличается от перехода на английскую.

Дак настройки английская иса сохранит в xml английский. А в русскую это дело потом импортируется? Надо будет проверить...

в 2006 версии есть функция ограничение скорости? в 2000 была кривая, в 2004 убрали вовсе а теперь как?

Нет там шейпера. А ещё нет шары для fwc, и smtp relay тоже убрали. За ненадобностью.

Цитата:

hardhearted
Есть, есть русский (2006). Очень непривычно, я посмотрел и снес, англицкий приятней.

дожили, русская иса
kazavo4ka

Цитата:

Дак настройки английская иса сохранит в xml английский. А в русскую это дело потом импортируется? Надо будет проверить...

раньше с 2000 на 2004 можно было мигрировать тока на тот же язык, щас не знаю

Добавлено:
Bugriy
не было там smtp релея никогда, был тока smtp фильтр, а vessage screener требовал установить smtp relay отдельно, из поставки IIS, а IIS к исе уже не имеет отношения.

hardhearted
Ну да, бес попутал. Message Screener я и имел ввиду. Убрали его за ненадобностью.

Хммм ИСА не когда не юзал, все как-то перебивался более другими продуктами типа вингейта/винрута, и даже траффикинспектор как то щупал =)..

Собственно вопрос - мне очень важен и нужен щейпер, и опять же хочется попробывать ИСУ, но судя по посту Bugriy нет там шейпера ((( отсюда вопрос а кто что для этого дела юзает? xNIX прошу не советовать... под винды хочется... но хороший еще и с возможностью отключения пользователя.

понимаю что это уже ближе к биллингу, но может что то ототсоветуете?

ЗЫ деньги считать/вносить и т.п. не нужно - ибо для внутриофисного использования ищется решение.

INTERESANT
Traffic Quote (www.digirain.com).
Это сторонняя утилита для ISA. Всё что тебе нужно там есть. Может есть и круче утилиты, но эту я покупал и юзал около полугода, проблем не было.

Bugriy спасибо! доволен говориш ей...

короче сливаю ису... ну и траффик квоту заодно... еще раз сенк.

Добавлено:
а ценник квоты не раскроеш? может в память свежо оно?

INTERESANT
ТI дороже обойдется однозначно.
Шейперов немного под Windows платформу. Самые распространненые TQ либо TI.

Цитата:

Шейперов немного под Windows платформу.

Вот еще http://www.bsplitter.com/rus/ имхо оч. хор.

Простите Христа ради за вопрос, но не удержался...

Что то я в 2006 разговоры про firewall`ного клиента нашел, а самого клиента нет. В инстале небыло, и шара его не появилась, хотя в описании на нее ссылки есть? Так и должно быть?


З.Ы. Все нашел я его. Н-да, идеалогия конечно понятная, но с моей колокольни спорная.

чем, кроме СурфКонтрола можно запретить качать файлы по расширениям? Интересует именно по расширениям потому что по типу контента ИСА и сама умеет, но вот прописать wmv правильно у меня не получается