» Microsoft ISA Server 2006/2004/2000 (Часть II)

Решил банально...Установил запуск службы от своего имени и перегрузил...Потом опять установил запуск от системы...ВСЁ ЗАРАБОТАЛО...
Но! Появилось в событиях такое:
Код 14148
The Web Proxy filter failed to bind its socket to 192.168.20.1 port 8080. This may have been caused by another service that is already using the same port or by a network adapter that is not functional. To resolve this issue, restart the Microsoft Firewall service. The error code specified in the data area of the event properties indicates the cause of the failure.
Перезапуск Microsoft Firewall service ничего не даёт.
Вроде ничего не должно держать этот порт. Как проверить что этот порт занимает?

Хм а какова производительность среднестатистического маршрутизатора с ISA Server 2004? Для железок пишут всякие параметры типа скорость фильтрации 60 мбит для VPN 20 мбит ну и 60 бывает, а для ИСЫ такие параметры есть? А то обидно если у меня интерфейс работает на 60мбит из положенных 100 (80-90), а если уж VPN со скоростью 20 мбит работает то ужеваще труба!

Господа а не подскажите какой-нить хороший анализатор логов для ISA чтоб максимально детально и информативно???

eXcite
Internet Access Monitor (IAM)

Здравствуйте!
Имеется:
домeн (назовем его А), состоящий из 1 компа с установленными на нем Win2000 и ISA 2000 - он служит для доступа в инет.
второй домeн (В), к которому собственно и подключена вся сетка (в1, в2... вn)
Домeн А доверяет В, а наоборот нет.
Требуется:
Организовать VPN так, чтобы приконнектившись к А, я мог получить доступ к ресурсам
компов (в1,в2..) без ввода добавочного пароля (т.е. без логиненья на В)
Что нужно и как сделать?

Может такой был вопрос,,или он есть где то укажите плиз
Но у меня вопрос как считать трафик в isa server2006?

при включенном иса 2004 стандарт блокирует инет в офисе
правило:action-allow
protocols: http, ftp
from\listener internal
to: external
all users

в чем может быть проблема?:

BlackFox
в логах

Добавлено:
timsson
так же как и в 2004 )

Есть 2 сетки. Роутинг на ИСА прописан.
Но после перезагрузки появляется 2 ошибки:
Source: Microsoft Firewall
Event ID: 14147

ISA Server detected routes through adapter Intel(R) PRO/100 VE Network Connection that do not correlate with the network element to which this adapter belongs. For best practice, the address range of an ISA Server network should match the address ranges routable through the associated network adapter as defined in the routing table. Otherwise valid packets may be dropped as spoofed. (This alert may occur momentarily when you create a remote site network. You may safely ignore this message if it does not reoccur.) The address ranges in conflict are: 192.168.2.0-192.168.2.255;.

и

ISA Server detected routes through adapter Intel(R) PRO/1000 CT Network Connection that do not correlate with the network element to which this adapter belongs. For best practice, the address range of an ISA Server network should match the address ranges routable through the associated network adapter as defined in the routing table. Otherwise valid packets may be dropped as spoofed. (This alert may occur momentarily when you create a remote site network. You may safely ignore this message if it does not reoccur.) The address ranges in conflict are: 192.168.2.0-192.168.2.255;.

Т.е. на двух сетевых адаптерах ругается на вторую подсеть.
192,168,2,0 - 192,168,2,255 я добавил в Internal.
Но ошибка эта повторяется после каждой перезагрузки.
Может я сто-то ещё не сделал?

shpunt
а эта сетка у тебя где нить вписана?

hardhearted
В смысле?

shpunt
в прямом, иса ругается на 192.168.2/24 раз ругается то она у тебя где то вписана, и где то нет, вот и ругается, ты гришь вписал в internal, а в таблице маршрутизации она есть?

hardhearted
в таблице маршрутизации конечно есть.

===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x1000003 ...00 0c f1 fd 04 ef ...... Intel(R) PRO/100 VE Network Connection
0x1000004 ...00 0c f1 fd 04 ee ...... Intel(R) PRO/1000 CT Network Connectio
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 62.5.140.161 62.5.140.166 1
62.5.140.160 255.255.255.240 62.5.140.166 62.5.140.166 1
62.5.140.166 255.255.255.255 127.0.0.1 127.0.0.1 1
62.255.255.255 255.255.255.255 62.5.140.166 62.5.140.166 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.102 192.168.0.102 1
192.168.0.102 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.0.255 255.255.255.255 192.168.0.102 192.168.0.102 1
192.168.2.0 255.255.255.0 192.168.0.111 192.168.0.102 1
224.0.0.0 224.0.0.0 62.5.140.166 62.5.140.166 1
224.0.0.0 224.0.0.0 192.168.0.102 192.168.0.102 1
255.255.255.255 255.255.255.255 62.5.140.166 62.5.140.166 1
Default Gateway: 62.5.140.161
===========================================================================
Persistent Routes:
None
...
Первая карта 192,168,0,102 смотрит в локалку.
Вторая карта 62,5,140,166 смотрит на Cisco PIX 501 - далее в Инет.

Цитата:

192.168.2.0    255.255.255.0    192.168.0.111   192.168.0.102       1

А вот это что за странный маршрут? Должен быть шлюз 192.168.0.102, а не 192.168.0.111

Добавлено:
И к тому же после перезагрузки этот маршрут скорее всего пропадет. Надо было добавлять с ключом -p

Шлюзом во вторую подсеть является управляемый свитч 192.168.0.111 .
...
А как он может пропадать? Маршрут прописан не через командную строку, а в настройках RRAS.
Тогда как быть?

Asker80
ничего странного нормальный маршрут
shpunt
а почему через rras?

Добавлено:
shpunt
просто есть мнение что rras стартует позже сервиса microsoft firewall )

hardhearted
Значит из rras удалить подсеть 192.168.2.0 и добавить этот маршрут через командную строку с ключём -p?

shpunt
вопрос в том как он в rras то появился? обычно маршруты пишут через route add, в rras могут появлятся тока какие нить впн маршруты, но у тебя вроде как нет впн, а просто маршрут на роутер железный внтури сетки.э
пропиши руками с ключом -p и должно быть все ок

hardhearted
Я эту подсеть сам ручками туда добавил.
Прописал в rras статический маршрут на вторую подсеть. ip routing => static routes
Ладно, удалю из rras и пропишу руками через cmd.
...
кстати, VPN на Исе у меня тоже поднят.
...
Прописал руками через route add -p
Вот теперь какой роутинг:
Надо перегрузить сервер и посмотреть будет ли ругаться.

===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x1000003 ...00 0c f1 fd 04 ef ...... Intel(R) PRO/100 VE Network Connection
0x1000004 ...00 0c f1 fd 04 ee ...... Intel(R) PRO/1000 CT Network Connection
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 62.5.140.161 62.5.140.166 1
62.5.140.160 255.255.255.240 62.5.140.166 62.5.140.166 1
62.5.140.166 255.255.255.255 127.0.0.1 127.0.0.1 1
62.255.255.255 255.255.255.255 62.5.140.166 62.5.140.166 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.102 192.168.0.102 1
192.168.0.102 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.0.255 255.255.255.255 192.168.0.102 192.168.0.102 1
192.168.2.0 255.255.255.0 192.168.0.111 192.168.0.102 1
224.0.0.0 224.0.0.0 62.5.140.166 62.5.140.166 1
224.0.0.0 224.0.0.0 192.168.0.102 192.168.0.102 1
255.255.255.255 255.255.255.255 62.5.140.166 62.5.140.166 1
Default Gateway: 62.5.140.161
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
192.168.2.0 255.255.255.0 192.168.0.111 1

shpunt

Цитата:

кстати, VPN на Исе у меня тоже поднят.

у тебя наверное vpn для клиентов поднят, а не site-to-site, иначе бы в таблице еще и удаленная сетка светилась

hardhearted
Да, VPN только для клиентов. Чтобы в локалку из дома заходить

shpunt
у впн есть еще более полезное применение, с работы домой ходить, когда дома провайдер тока натит и проброс портов не делает. на работе то я всегда могу отпаблишить все что нужно и из дома ходить на работу а вот наоборот уже тока через впн

hardhearted
А это как?
Дома на компе нету прямого IP адреса ...
Как с работы попасть в домашнюю локалку?
...
Аааа ... делаешь из дома VPN с работой и .. приходишь на работу и можна попасть на домашний комп

shpunt
именно, а локалка мне домашняя не надо, мне достаточно рдп

hardhearted
))))
я с 2004 не работал,,,сразу начал с 2006 -ого и он мне понравился.....\
Вопрос остаётся не раскрытым????

timsson
каждый считает как хочет, но стандартное решение: берешь любой понравившийся анализатор логов и по логам он считает трафик, можешь написать свой который будет считать так как тебе надо. если есть логи то по ним можно подсчитать что угодно и как угодно.

hardhearted
Перегрузил сервер (прописав роутинг для второй сети через cmd)
Ошибка повторилась.
Как быть?
...
И почему-то когда клиент из 192,168,2,55 пыьтается открыть страничку - пишет "определение параметров прокси-сервера" и тишина ...
(у меня везде настроено так, чтобы браузер сам определял прокси через доменную политику)
...
Вчера, до всех изменений - из второй сети работало без проблем.

Всем привет, люди помогите новичку в ISA 2004 ЕЕ
Firewall Client был развернут на всех хостах в сети
Настройки на иса сервере раздаются автоматом, все работает но на двух компах локальной сети клиент находит сервер, и не активизируется (нет зеленой стрелочки , которая смотрит вверх, хотя и красной тоже нету)
Вот така проблема, не могу понять где копать надо.

hardhearted
а что нет специального софта для исы или там дополнения какого?

я санализаторами логов не знаком???

timsson
а лог анализаторы это и есть "специальный софт для исы" их кучи. я их просто так называю потому что они как раз и делают анализ логов и считают трафик. Например internet access monitor, proxyinspector и другие, сам не юзал ничего поэтому не знаю. При желании можно даже Crystal reports присобачить ) правда это изврат (он стоит дороже исы вместе с железом ))

Добавлено:
andrewpr2414
зеленая появляется обычно когда клиент подключается к исе, если скажем у тебя никто не ломится через ису то стрелочки не будет, как тока какая то прога полезет то клиент соединяется. попробуй чем нить в инет вылезти как firewall client и если не получится то поглядеть что в логах будет

Добавлено:
shpunt
ты уверен что повоторилась? по идее не должна. а на клиенте проверь он политику то получает?