» Microsoft ISA Server 2006/2004/2000 (Часть II)

Подскажите, пожалуйста, Microsoft Firewall ISA действительно не закрывает сам сервер, на котором стоит? (Не знаю, что ставить, Kerio или ISA)

Господа подскажите пожалуйста в чем глобальные отличия между версиями 2004 и 2006?
И где найти литературу по isa2006 ?

Цитата:

Подскажите, пожалуйста, Microsoft Firewall ISA действительно не закрывает сам сервер, на котором стоит?

закрывает как из внешней сети так и из внутренней

sVx
Спасибо.

vagna
с запросом все может быть проще: какая то программа, которая не умеет авторизоваться в ISA вываливает окно запроса. У меня например такое было с Desktop Manager от мышек Logitech

Цитата:

но частенько вылетает окно в Internet Explorerе

надо полагать речь идет именно о Internet Explorer

vagna
а на сервере с ISA Server в логах все нормально?

enver


Цитата:

а если кому необходимо квотировать по трафику, то реализовать это непосредственно на ISA Server, благо хоть для этого есть возможность

Расскажи пожалуйста как это делается?


Цитата:

я тут подумал насчет квотирования и шейпинга
варинт конечно анальный, но можно попробовать следующим образом сделать:
вынести ISA Server в другой сетевой сегмент от пользователей, пользователей гонять на ISA Server через маршрутизатор на платформе Unix, на котором мы можем спокойно зарезать по скорости

Мысль здравая,только вот геммора много. Это для тех кто может юзать Unix'ы (ну тоесть умеет, чем я например похвастаться не могу) хорошая идея.

kazavo4ka
Квотирование траффика
Шейпинг

Немного оффтопа:
Насчет юниксов ты зря... если ты хочешь быстро и качественно решать проблемы администрирования, нельзя привязываться к конкретной платформе. Масса вопросов нерешаема на платфоме юникса, но с легкостью решаются на винде и наоборот

SoftPerfect Bandwidth Manager - конечно, очень неплохая штука, но работает исключительно по ip адресам. И к ИСЕ никак не привязывается. А нам нужен квотировщик интегрированный, т.к. иначе решений полно, хоть вон тот же Керио, что уже упоминался...

Ну я исхожу из того что имеем. К сожалению Bandwidth Splitter еще не внесли с массы, а сидеть и наблюдать как ежедневно пользователи начиживают по 7 Гигов слишком накладно

А если посидеть и продуманно настроить SoftPerfect Bandwidth Manager, то и интерграции не особо хочется И так все можно сделать

На худой конец у нас есть квотирование на SQL.

А SoftPerfect Bandwidth Manager, к сожалению, не решает одну вещь - несколько пользователей на одном компе (у меня такие есть). Можно, конечно, им сказать: вот вам Х мегабайт на всех, делитесь как хотите, но, с моей точки зрения, это отмазка, а не решение. То, что решается технически, не стоит пытаться решить административно - зачем? Только создавать головную боль себе и другим...

PS: Все вышесказанное, разумеется, касается только квотирования. Что до шейпинга, то тут да, мы все в глубокой пи-и-и-и-п .

При запуске оснастки управления ISA 2004 с правами единственного администратора она стартует и через 3-4 секунда отваливается. Что делать? Тем не менее ISA работает нет разруливается, а админить никак!!! ПОМОГИТЕ!!

fedor
попробуй оснастку переставить

hardhearted

А это как???

fedor
дожили, а инсталятор запустить не дано и выбрать компонент isa server managment

Да нет, инсталляцию в режиме рекавери провели а...воз и ныне там. Что может еще нам помочь?

enver
Скажи, а на 2006 ИСУ ты пробовал это ставить?
Цитата:

Квотирование траффика

Что ты запостил нескольками постами выше.
У меня как то не получилось....

Извините за некоректный вопрос, но я сделал VPN доступ, но почему VPN клиенты не могут NetBIOS имена разрешать! Когда открываю ресурсы через полное доменное имя то все нормально! Это так должно быть или какая-то проблема все же есть?

А можно без запуска оснастки управления ISA 2004 каким-то образом сохранить ее конфигурацию. Может быть используя стороннии утилиты??

Цитата:

Ребят, есть маленькая проблемка.
Win2k3 + ISA2k4 у всех сотрудников стоит Microsoft Firewall Client.
Разрешения на "выход" стоят для доменных пользователей. Авторизация в целом проходит нормально, но частенько вылетает окно в Internet Explorerе с запросом авторизации на "ИСАсервере". Все бы ничего, но оно вылетает слишком часто и это слегка раздражает сотрудников...
У клиентов установлен последний "Ф.К."
ИСА без патчей (второй "С.П." боюсь ставить т.к. слышал что у него есть проблемы с публикацией во "вне" серверов)
Может кто сталкивался с подобным и знает решение?
Спасибо.

vagna
Я сталкивался с подобной фигней.
И как правильно было замечено выше- проблемма в тупом софте.
В моем случа - это был Acrobat News Reader из пакета Acrobat reader.
Он в автозапуск прописывает себя. Я его отключил через msconfig.

fedor
попробуй открыть mmc.exe и в нем открыть оснастку

AlexRNeos
Нет, к нашему огромному сожалению, квотирование на SQL не работает на ISA 2006. У него немного другая схема таблиц в БД.

Хотя, имея знание SQL и Visual Studio, можно расворошить имеюшийся код и подправить его. Может кто возьмется, а?

Уже спрашивал у доброго человека, но решения пока не найдено.

Итак, есть ISA Server 2004 с тремя сетевыми интерфейсами.
1-й смотрит наружу (External)
2-й смотрит во внутреннюю сеть (Internal). Адреса 192.168.1.0/24
3-й смотрит на маршрутизатор, содиняющий с сетью филиала (Gate) Адрес интерфейса 10.0.0.1 mask 255.255.255.252, Адрес маршрутизатора 10.0.0.2
Сеть филиала 192.168.2.0/24

Интернет для сети Internal настроен, все работает через NAT. То есть клиенты сети Internal сидят в Интернете без проблем.

а) На машинке с ISA прописан статичный маршрут до филиала (route -p add 192.168.2.0 mask 255.255.255.0 10.0.0.2)
б) В сеть Gate также добавлены адреса филиала 192.168.2.0/24
в) В разделе Network rules добавлено правило типа ROUTE между сетью Gate и Internal
г) В правилах Firewall'a добавлено правило, разрешающее обмен любого траффика между сетью Gate и Internal

только благодаря всему этому есть связь между компьютерами филиала и внутренней сетью Internal, обмен данными происходит без всяких проблем, пинг есть.

----------------------
Теперь стоит простая задача. Пустить сеть филиала в Интернет, наружу.

1) Свойства сетей Gate (10.0.0.1-10.0.0.2, 192.168.2.0-192.168.2.255) и Internal (192.168.1.0-192.168.1.255) на вкладках Firewall Client и Web Proxy одинаковые, Аутенфикация – Integrated, галок на “Require all user to authenticate” не стоит.

2) Сеть Gate добавлена в сетевое правило, пускающее в Интернет через NAT (вкладка Network Rules)

3) Сеть Gate добавлена в правило брандмауэра, разрешающее выход в Интернет.


И ничего. В Интенет сеть филиала прорваться не может. На машинах в сети филиала стоит FWC, на некоторых он не стоит, сути это не меняет. В логах следующая запись:
) Сначала---WSA_RWS_ABORTIVE_SHUTDOWN или FWX_E_ABORTIVE_SHUTDOWN 0x80074E21 (Соединение было закрыто после посылки RST-сегмента.)
) Далее--- FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0xC0040017 (Не-SYN пакет был отброшен, поскольку он был послан источником, который не установил соединение с ISA-сервером. )

Source Network: Gate
Destination Network: Local Host
Destination port: 1745
этот траффик с машин филиала ISA определяет как Unidentified IP Traffic
Вкладка Client Username пустая
Этот неидентифицируемый трафик подпадает под правило обмена внутренним трафиком между сетями
Если в IE прописать напрямую прокси и порт 8080 - тогда вместо 1745 будет 8080 порт.

(это все в логах)

У меня есть версия, подчерпнутая из поисков по сети - Сеть филиала НЕ является физическими адресами интерфейса, поэтому ISA2004 отбрасывает пакеты, как из неведомой сети, но скорее всего это не так, потому что связь между компьютерами сети Internal и Gate все таки есть!

Дальнейшие попытки
а) выделить сеть филиала в SUBNET, создания правила рутинга между сетью филиала и сетью интерфейса-до-маршрутизатора "Gate" привели только к обрыву связи.
б) прописать сеть Gate везде в системных политиках, где есть сеть Internal - тоже безрезультатно.


Что я еще не учел?

nifigase

Цитата:

2)   Сеть Gate добавлена в сетевое правило, пускающее в Интернет через NAT (вкладка Network Rules)

как вариант создать правило не НАТящее а РОУТящее подсеть филиала в инет.

правило рутинга вместо ната пробовал и ранее, не помогает, все то же самое. Попытка выйти наружу упирается в Local Host.

Цитата:

как вариант создать правило не НАТящее а РОУТящее подсеть филиала в инет.

а что это должно дать? у них же приватные адреса

Leonid_Z
Цитата:

+ выдрал из русской ISA 2006 Evalution Standard русские сообщения об ошибках,     _http://rapidshare.de/files/33913599/ErrorHtmls_Russian_.rar   которыми заменил не русские \Program Files\Microsoft ISA Server\ErrorHtmls\   наконец-то давняя мечта свершилась!

Internet Security and Acceleration (ISA) Server 2006 HTML Error Message Language Pack

PIL123
Отлично! Спасибки!
ну, вот ежли что обратно заменить
_http://rapidshare.de/files/34541180/ErrorHtmls_English_.rar
чтоб установочка нормально прошла

Добавлено:
а хотя там установка также вручную ))

Цитата:

To install the HTML error message files for a specific language, copy all the files in the subfolder for the applicable language under the package installation folder (by default, \Program Files\Microsoft ISA Server ErrorHtmls Language Pack) to the \Program Files\Microsoft ISA Server\ErrorHtmls folder on your system drive.

...

Народ не подскажете как в ИСУ настроить чтобы снаружи клиенты моего LCS могли передавать файлы тем кто сидит в офисе???

Добрый день, имеем ISA 2006, вернее это она имеет меня (шутка)
Разрешите задать пару вопросов

1.    Как заставить ISA Server 2006 RU раздавать Internet только пользователям домена?

2.    Как в ISA Server 2006 RU смотреть трафик в разрезе
a.    Пользователь
b.    Месяц (дата)
c.    Объем трафика на ресурс

3.    Возможно, ли поставить ISA Server 2006 RU на MS Windows 2000 Pro, чтобы он раздавал Internet только пользователям домена (используется в качестве контроллера домена MS Windows Server 2003 Enu + SP1)?

4.    Есть ли литература по ISA Server 2006, как пошаговый инструктор для развертывания данного ПО, а то очень многое в ней непонятно?