» Microsoft ISA Server 2006/2004/2000 (Часть II)

enver

Цитата:

это запрет по правилу, которое должно запретить доменной группе пользователей, в которой я кстати не нахожусь. запрет происходит только тогда когда соединение происходит по SNAT

Значит, запрет срабатывает для анонимусов, т.к. соединения SNAT не аутентифицируются.

Присоединяюсь к hardhearted - пару строк из логов (copy/paste) и правила (аналогично) в студию, пожалуйста!

hardhearted
решил поэкспериментировать с последовательностью правил и авторизацией в них пользователей

как говорят в Одессе: "таки да, ви били пгави"

в общем, если ставишь после правила, запрещающего всё пользователям из доменной группы, а за ним правило, которое разрешает всё всем без авторизации, то наблюдается байда, описанная мною выше... но стоит во втором (разрешающем правиле), указать чтобы разрешалось только для авторизованных пользователей, все встает на свои места

природу данного явления, если честно до сих пор не понимаю, надо будет на досуге наверное дествительно почитать какие-нибуджь книжки... кстати, было бы неплохо поиметь пару урлов на таковые, если у кого есть

Asker80, hardhearted
на будущее, продемонстрируйте мне как вставлять правила и логи. метод copy/paste меня испугал правила вставляются в тектовый редактор в xml формате, а логи... просто нет слов... мне кажется легче будет изложить их в произвольной форме, в форме повествования

Народ, я конечно извиняюсь, может быть этот вопрос уже где-то пробегал, но я не нашел. Расскажите мне пожалуйста как лучше организовать почтовый сервер на основе Exchange 2003 в сети с исой 2004. В смысле - лучше ставить на тот же комп где и иса стоит или нет? И какие-нибудь доки на русском по этой теме.

Заранее благодарен.

kazavo4ka
не принципиально
я ставил в обоих вариациях и все чудненько работало
вот нашел на скорую руку
How to publish an Exchange Server 5.5 computer with ISA Server
How to configure Internet Security and Acceleration Server to publish an internal Exchange server
а вообще, их море по нету валяется... тема настолько затертая, что даже не надо напрягаться для поиска

Никто не пробовал делать алерты на события? Т.е. мне надо чтобы счетчики по каким то параметрам определяли состояние компьютера, и в случае его зависания выполнянли скрипт перезагрузки компьютера! Скрипт я наверное найду, а вот по каким счетчикам считать что комп завис? На компе стоит иса поэтому вопрос в этой теме! И даже если сервис зависает чтобы комп ребутился автоматом!

IceFusion
ну в свойствах сервиса Microsoft Firewall выставь перезагрузку в случае зависания и не надо никаких алертов

Ого классно... только вот что он посчитатет сбоем? И еще если зависнет комп то это не поможет!

ну я такого еще не практиковал, но думаю что сбоем будет считаться случай, когда служба не отвечает... то есть, если стал недоступен твой SQL Server, на который ты ложишь логи, то сервис просто остановится и это не проканает как зависание, что собсно бесполезно, если SQL действительно недоступен

ну а если зависнет сам сервак, то уж извините тут уже надо просить уборщицу чтобы когда будет в серверной нажала кнопочку, ту что поменьше

enver
Дак там для exchange 2000... Я бы хотел почитать именно для isa 2004 ee и exchange 2003. А в инете я видимо искать не умею

kazavo4ka
короче легче прикинуться неведающим, чем напрячся самому, правда?

Using ISA Server 2004 with Exchange Server 2003

А это тебе на будущее, может еще что надумаешь спросить про связку ISA и Exchange, сначала поищи там

А вообще, не принципиально какой у тебя почтовик... хоть блин какой-нибудь Керио, манипуляции на ISA Server будут точно те же самые

enver

Цитата:

в общем, если ставишь после правила, запрещающего всё пользователям из доменной группы, а за ним правило, которое разрешает всё всем без авторизации, то наблюдается байда, описанная мною выше... но стоит во втором (разрешающем правиле), указать чтобы разрешалось только для авторизованных пользователей, все встает на свои места

я тебе это с самого начала написал, и даже написал почему иса так делает )
ссылок куча в шапке, вот еще книга хорошая по исе, на русском
http://isaserver.ru/forums/thread/14710.aspx



Добавлено:
enver
ну правила можно тремя словами описать, например
allow http,pop3,ftp,smtp from internal to external for all users
а логи тупо скопипастить, тебя ж не все логи просят, а тока те 1-2 строчки которые к событиям относятся

Заапдейтил ISA 2004 Std -> ISA 2006 Std
Всё по мануалу, т.e:

1. Разынсталировал firewall clent share,
2. Забэкапил конфигурацию и лог-файлы
3. Установил ISA 2006, отключив внешнюю сетку;
в процессе потребовалось снова указать диапазон внутренней сети;
в результате получил ISA clean install т.е. без предыдщих настроек
4. Импортировал конфигуразию isa2004, предварительно забэкапив текущую пустую

И всё заработало как и было на 2004, все мои правила и VPN !
Ну, конечно, логи начались с нуля.
Не заработал плагин GFI WebMon, но они обещают исправиться
Добавлено: Хотя не, и этот заработал после его переустановки и рестарта
Короче всё COOL!

Leonid_Z
а собственно зачем писал то ? если все делать как умные люди пишут и руки в нужном месте то и работать будет как надо )

Помогите определиться. Две сети территориально разнесенные в одной 40 машин в домене, в другой 10-15 раб. группа. И там и там предпологается ISA 2006. Задачи стандартные Интернет, почта, VPN. Что поставить стандарт или энтерпрайз (отличия читал). заклинило с выбором . подтолкните плиз.

hardhearted

Цитата:

а собственно зачем писал то ? если все делать как умные люди пишут и руки в нужном месте то и работать будет как надо )

так-то так, но, к примеру так же гладко обновить checkpoint у меня не получилось ... но это другая тема ...

Добавлено:
Antdik

Цитата:

Что поставить стандарт или энтерпрайз (отличия читал). заклинило с выбором

в твоём случае энтерпрайз на полсотни машин излишество, standard достаточно!

Спасибо, решение принято!

Antdik
ent нужен когда ты хочешь 2 и более серверов поставить в массивы, а у тебя обычный standalone, так что стандарта вполне достаточно

+ выдрал из русской ISA 2006 Evalution Standard
русские сообщения об ошибках,

_http://rapidshare.de/files/33913599/ErrorHtmls_Russian_.rar

которыми заменил не русские
\Program Files\Microsoft ISA Server\ErrorHtmls\

наконец-то давняя мечта свершилась!

hardhearted
Ну а вдруг Antdik захочет одинаковую политику ставить на оба эти сервака? Ent тогда помог бы . Но это так, к слову.

Leonid_Z
Ага, хоть что-то полезное из этого в-общем ненужного релиза.

Народ, такая проблема:
мне надо через ИСУ приконнектиться к удаленному компу
по ssh.
Разрешил данный протокол в Protocol rules и IP packet filters
контент разрешен весь. Но меня все равно не пропускают...
Может я что не так прописал?
МОжно по шагам, как прописывать в правила и фильтры?
Хотя там вроде и так все ясно...

lucianoNA
правило NAT-а есть в сетевых правилах?
если есть авторизация, firewall-клиент установлен?

KocmonpaB
Цитата:

ТI дороже обойдется однозначно.

В смысле варезного нету... ты к тому?

KocmonpaB

Цитата:

Шейперов немного под Windows платформу. Самые распространненые TQ либо TI.

Кста под TI ты имееш ввиду TrafficInspector?


Bugriy
Цитата:

Я же дал ссылку на оф. сайт. В лом зайти и посмотреть прайз?

И впраду есть ценник на квоту прям на сайте. До этого на Cobion искал, на сайте нету, запросил у представителей в РФ - получил ответ что представтесь, да поподробней, тока тогда дадим цены - послал нах. с таким подходом... так нифига и не узнал ценников ))

kazavo4ka
Цитата:

Небольшая оговорочка для тех кому говорили что шейперов для исы очень много, их много, не спорю, но нормально сломанных НЕТ. Это так к слову, чтобы люди зря не обнадеживались...

Можно конкретней? что пробывалось?

Цитата:

Автор: kaskad, Отправлено:00:25 25-04-2006    

All
А такой вопрос: а как при включенной авторизации для пользователей (Ruquire all users to authorise) заставить фаерволл клиенты на машинах усеров автоматически находить ису? Он делает запрос под логином anonimous, за что получает по морде от исы... Я чувствую, что запарит потом ручками сервак прописывать. Никак нельзя вот для этого случая исключение сделать, а все остальные запросы только с авторизацией пропускать?

кто нибудь нашел ответ на етот вопрос?

INTERESANT

Цитата:

Можно конкретней? что пробывалось?

Это думаю в варезник. А пробывались - Traffic Filter, TrafficQuota, BandwithSplitter. А толку то их пробовать - кряков то нету...

я тут подумал насчет квотирования и шейпинга
варинт конечно анальный, но можно попробовать следующим образом сделать:
вынести ISA Server в другой сетевой сегмент от пользователей, пользователей гонять на ISA Server через маршрутизатор на платформе Unix, на котором мы можем спокойно зарезать по скорости, а если кому необходимо квотировать по трафику, то реализовать это непосредственно на ISA Server, благо хоть для этого есть возможность

как вы считаете?

ну это типа было 2 All

sVx
эта галка не имеет никого отношения к firewall client
ps и называется она не так

Ребят, есть маленькая проблемка.
Win2k3 + ISA2k4 у всех сотрудников стоит Microsoft Firewall Client.
Разрешения на "выход" стоят для доменных пользователей. Авторизация в целом проходит нормально, но частенько вылетает окно в Internet Explorerе с запросом авторизации на "ИСАсервере". Все бы ничего, но оно вылетает слишком часто и это слегка раздражает сотрудников...
У клиентов установлен последний "Ф.К."
ИСА без патчей (второй "С.П." боюсь ставить т.к. слышал что у него есть проблемы с публикацией во "вне" серверов)
Может кто сталкивался с подобным и знает решение?
Спасибо.

vagna
окошко с авторизацией в IE не имеет отношения к fwc, такое окошко выскакивает когда юзер на прокси аутенфицироваться не может.

Была такая ситуация когда в доверяемом домене люди использовали ИСУ которая находится в моем домене и когда это доверие было утрачено на некоторое время вылизал запрос об авторизации. Посмотри когда у тебя вылезет запрос может ли установить клиент безопасный канал с контролером домена.

hardhearted

Цитата:

эта галка не имеет никого отношения к firewall client
ps и называется она не так

галка (Require all users to authenticate [Требовать проверки подлинности у всех пользователей]) не имеет отношения к клиенту, но если ее отметить тогда Firewall Client автоматически не находит иса сервер (в DNS и DHCP WPAD настроен, на иса сервере галка Publish automatic discovery information отмечена для локальной сети) он делает запрос под anonymous и иса его откидывает. Если явно указать иса сервер в FC тогда тест проходит нормально. Если убрать галку Require all users to authenticate тогда FC автоматически находит иса сервер.