» Microsoft ISA Server 2006/2004/2000 (Часть II)

pridecom
первое что пришло в голову именно RTFM интересно почему люди предпочитают задать тупой вопрос а не прочитать книгу или хотя бы хелп ?
network rules у тебя неправильные, если делаешь nat то хватит одного internal - NAT-external.(ну правило route между localhost и all networks должно быть по умолчанию)
если хочешь раздавать инет по юзерам то создай группу в исе, в нее впиши нужные доменные группы или юзеров, в правило вместо all users впиши это группу.

hardhearted
Нет книги а организация денег не выделяет.
Не ругайся
Вот ты говоришь создать группу в ИСЕ, а что за группу?
Группу в чем, в политике предприятия, в Конфигурировании сети, где, на какой вкладке?

pridecom
это не лечится, пиши заяву по ПСЖ
вот хорошая ссылка, там все отлично написано и по русски http://isaserver.ru/forums/thread/14710.aspx
группы в исе, как и большинство других обьектов создаются и хранятся в одном месте, все остальные способы просто облегчают создание обьектов, но они все равно появляются в одном месте.
в случае групп это firewall policy, справа вкладка toobox, а на ней users.
три группы там уже есть, например all authenticated users позволяет пропускать только аутенфицированных юзеров (не обязательно доменных, это могут быть например локальные юзера исы, короче вообще все юзера имя которых определилось)

hardhearted
Ну и что
Инет работает если в пользователях прописаны все пользователи.
.
Завел новую группу пользователей в AD? назвал ее "Пользователь_с_инетом" .
Дал некоторым юзверям эту Роль
.
В пользователях ИСА на правило
Внешняя + Внутренняя = Внешняя + Внутренняя
Изменил
все пользователии на вновь соззданную группу Windows "Пользователь_с_инетом" .
...
Вуаля - инет пропал у всех!
Что я делаю не так?

pridecom
книгу скачал? прочитал? тут форум где люди пытаются решить какие то проблемы с продуктом, а не с нуля настроить ису с нулевыми знаниями и не читая никакой документации, которой просто тонны, в том числе на офсайте
смотри логи если там не пишется имя юзера а пишут anonymous значит юзера у тебя аутенфицироваться не могут.

Добавлено:
pridecom
сразу могу сказать, юзера могут аутенфицироваться в двух случаях
web proxy клиенты, те у кого в браузере иса прописана проксей, поумолчанию на исе стоит только integrated authentication, ее умеют не все браузеры, родной ie (+ все надстойки над ним) мозила и новые оперы умеют, из мессенджеров миранда умеет, msn messenger (он же windows он же live). web proxy работает только для веб трафика (+ для того трафика что умеет проксироваться через http прокси, например аська). Если надо пустить в инет с аутенфикацией по юзеру не веб трафик то на клиентов надо ставить firewall client.

Все заработало, спасибо!
Вот то что сделал!


Цитата:

Настройка серверной части
1.    Ставим Сразу три компоненты, со всем соглашаясь!
2.    На одном из шагов выбираем Внутреннюю сетевуху (это та которая идет в Хаб и дальше по компам), при этом автоматом должны проставиться адреса
a.    192.168.0.0-192.168.0.255
Или
b.    192.168.1.0-192.168.1.255
3.    Заходим в правила межсетевого экрана и создаем 2 правила
a.    Локальный + Внутренняя = Локальный + Внутренняя = Все пользователи
b.    Внешняя + Внутренняя = Внешняя + Внутренняя = Все пользователи

4.    Проверяем инет должен быть на всех машинках
Настройка в AD
1.    Создаем новую группу пользователей «Присутствует_Интрнет»
2.    Закидываем эту группу только в тех пользователей, которым Интернет нужен!

Вносим изменения в ISA Server 2006 RU
1.    В нашем любимом межсетевом экране на правиле «Инет В Сеть» (второе правило) меняем список пользователей
a.    Удаляем «Всем Пользователям»
b.    Создаем новое «Доменные»
c.    Закидываем в него группу «Присутствует_Интрнет»

2.    Сохраняем, Интернет у всех должен пропасть. Кстати: Если все изменения вступают в силу только после нажатия на кнопку применить вверху окна ISA Server и после выжидания 2 минут времени. Открытые сессии не обрываются, поэтому на пингах и аське нельзя проверять работоспособность.

Заключительная часть, установка FireWall Clienta
1.    Ставим на все компики
2.    В момент установки явно указываем ISA server, автоматом он не находится!
3.    Кстати, галку «Включить автоматическую настройку браузера» в FWC надо снимать!

мда "инструкция для тупых" что то типа как электрочайник включить ) иса то явно посложнее и пофункциональнее. к тому же неправильная
1. не написано как настраивать network rules
2. правило 3.а нафиг не нужно если руки на месте
3. правило 3.б тоже неправильное с точки зрения безопасности, если между сетями NAT то снаружи внутрь по этому правилу все равно не попадут, а если route то вообще безобразие, потому как все кому не лень полезут внутрь.

простите за дурацкий вопрос:
есть isa 2006, на ней 2 сетки: одна локальная (сеть А), другая внешняя (сеть В), в сети В есть еще одна isa, которая подключена к интернету, нужно что бы клиенты из сети А могли ходить в интернет, т.е. что бы одна isa перенаправляла траффик на другую isa
извините если данный вопрос уже задавался

eXcite
а просто назначить вторую ису шлюзом по умолчанию в настройках внешней сетевухи первой?

hardhearted
оно так и стоит, не помогает, правила вроде правильно стоят (разрешен весь HTTP траффик в обе стороны), может дело в авторизации (тот сервер к которому подключается isa требует авторизацию)???

eXcite
ну тогда сначала.
у тебя есть локалка, есть сетка между двумя исами (без потери общности назовем ее дмз), есть инет.
какой network rule (route или nat) между локалкой и дмз? если nat для для второй исы весь трафик из локалки выглядить как просто трафик от первой исы, и поэтому просто пускаешь первую ису через вторую анонимно и все (тоже самое если у тебя все клиенты из локалки ходят только web proxy). если route то вторая иса будет видеть от какого клиента идет коннект.
ps: есть мнение что http в обе стороны глупо, обычно нужен http наружу, и редко (когда у тебя внутренняя сеть имеет реальные адреса и там находятся веб сервера) внутрь )

eXcite
Configuration - Networks - Web Chaining

помогите плиз разобраться
не открывается через ису сайтец http://www.ripn.net:8080/
он определённо загадочный - не пингуется, не трэйсрутится ..
и порт подставляет нестандартный

причём если в isa включить правило разрешать все протоколы, то открывается без проблем. начинаю "закручивать гайки" - снова не открывается блин...
добавляю протокол HTTP с портом 8080, исключаю из кеширования..
никакого пока эффекта

Serra
это только для web работает
Leonid_Z
если через прокси то должно открываться, но правда http:// писать надо, иначе не откроется браузер не шарит что 8080 порт это тоже http и не посылает запрос через прокси

hardhearted
Там вроде веб и нужен

Цитата:

разрешен весь HTTP траффик в обе стороны

У меня с 2006 вообще бардак какой то.....
Ситуация такая:
Есть КД с ИСА2006.
Есть на этом серваке модем. В РАС настроено принимать входящие звонки.
В правилах сделаны правила
web,ftp,icq -> разрешить -> HTTP,FTP,ICQ2000 -> ВПН клиенты и внутренняя -> Внешняя -> Все прошедшие проверку
Пробовал и из другого офиса и из дома - ничего не получается, точнее FTP и HTTP работают без проблем, а вот АСЯ не хочет ни в какую - выручайте. Не хочется сносить ИСУ и ставить 2004, т.к. на 2004 пробовал и все работало.
Тут решил испытать 2006 - и на тебе - косяк.
В правиле пробовал ставить "Все пользователи" - не помогает.
Скажите хоть в какую сторону копать?
Причем интересный ньюанс:
Если поверх Диал-ап делаю еще и ВПН к этому же серваку - то аська работает, но зато сайты и ФТП перестают.
Вот ipconfig /all с клиента с которого звоню:
C:\Documents and Settings\AlexR>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : na-home
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45
Физический адрес. . . . . . . . . : 00-0F-EA-3B-B4-24
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.1

Интернет - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.5.105
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.5.105
DNS-серверы . . . . . . . . . . . : 192.168.5.10
NetBIOS через TCP/IP. . . . . . . : отключен

VPN - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.5.102
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.5.102
DNS-серверы . . . . . . . . . . . : 192.168.5.10

Вопрос ИСА, где-то при 60 запросах в секунду начинает выдавать ошибку 404, кто-нибудь знает, в чем проблема?

Доброго времени суток всем.
Подскажите пожалуйста начинающему в ИСА ответ на вопрос.
В 2 офисах поднято по 1 ISA 2004 EE .
Создал туннель между ними, все сделал как написано у Томас Шиндер (Thomas Shinder)
В итоге туннель нормально поднимается, но сетевого траффика через него нету.
Правила в обе стороны созданы для всех пользователей и протоколов.
Но даже пинг не проходит, хотя в Систем полиси ICMP , PING разрешен.
Сетевое правило для между туннелем и интернал в на обоих серверах Rourte
Как разрешить весь трафик не могу понять.
Спасибо заранее тем, кто откликнется и попробует помочь

AlexRNeos
логи смотри
кстати у тебя че то два ppp интерфейса из одной сетки
andrewpr2414
между интернал и удаленной сеткой на каждой исе должно быть route
и трафик надо разрешить между этими сетками на каждой исе
ps system policy влияет только на трафик от/до localhost

Все так и есть, на каждой исе стоит правило ROUTE
Трафик разрешен весь в обе стороны на каждой исе.
Щас ситуация такая , что из главного офиса пингуются все хосты.
А с удаленного все кроме серверов, и в чем тут причина я понять не могу.
И сервера и остальные компы, все в одной подсети

andrewpr2414
банально, логи смотри.

hardhearted
Все бы ничего, но вот логи у меня почему-то вот такие:
#Fields: computer    date    time    IP protocol    source    destination    original client IP    source network    destination network    action    status    rule    application protocol    bytes sent    bytes sent intermediate    bytes received    bytes received intermediate    connection time    connection time intermediate    username    agent    session ID    connection ID
SRV    2006-10-16    00:00:06    UDP    10.12.1.99:137    255.255.255.255:137    10.12.1.99    Р›РѕРєР°Р»СЊРЅС‹Р№ компьютер    Р›РѕРєР°Р»СЊРЅС‹Р№ компьютер    Denied    0xc004000d    РџСЂР°РІРёР»Рѕ РїРѕ умолчанию    РЎР»СѓР¶Р±Р° имен NetBIOS    0    0    0    0    -    -    -    -    0    0
SRV    2006-10-16    00:00:06    UDP    10.12.1.99:137    255.255.255.255:137    10.12.1.99    Р›РѕРєР°Р»СЊРЅС‹Р№ компьютер    Р›РѕРєР°Р»СЊРЅС‹Р№ компьютер    Denied    0xc004000d    РџСЂР°РІРёР»Рѕ РїРѕ умолчанию    РЎР»СѓР¶Р±Р° имен NetBIOS    0    0    0    0    -    -    -    -    0    0
SRV    2006-10-16    00:00:06    UDP    192.168.5.10:137    192.168.5.255:137    192.168.5.10    Р’нутренняя    Р›РѕРєР°Р»СЊРЅС‹Р№ компьютер    Denied    0xc004000d    РџСЂР°РІРёР»Рѕ РїРѕ умолчанию    РЎР»СѓР¶Р±Р° имен NetBIOS    0    0    0    0    -    -    -    -    0    0
SRV    2006-10-16    00:00:06    UDP    192.168.10.10:137    192.168.10.255:137    192.168.10.10    Р›РѕРєР°Р»СЊРЅС‹Р№ компьютер    Р’нешняя    Denied    0xc004000d    РџСЂР°РІРёР»Рѕ РїРѕ умолчанию    РЎР»СѓР¶Р±Р° имен NetBIOS    0    0    0    0    -    -    -    -    0    0

Одни крокозябры.
Что за косяк блин, и как это вылечить.?
Вот тебе и русская ИСА - даже логи посмотреть и то никак...

AlexRNeos
эти кракозябры зовутся юникодом, это потому что у тебя некоторые поля видимо по русски заполнены а у исашных логов некоторые поля имеют тип varchar (это в sql) а некоторые nvarchar (юникодный), я до сих пор непонял логику по которой создатели решали какой тип для полей делать )
собственно самое полезно это поле rule и оно у тебя в юникоде )
открой редактором читающим юникод

Помогите пожалуйста решить проблему.
ISA 2004 EE, на машине установлен клиент. Устанавливаю vpn соединение с другим сервером (филиал, тоже стоит ISA 2004EE), хочу через это vpn соединение подключиться по rdp - не пускает. В мониторе ничего запрещающего не пишет на обеих сторонах. Отключаю клиент, устанавливаю vpn - и теперь могу подключиться по rdp! Но, если делать так (т.е. отключать клиент), то при активном соединении vpn пропадает интернет (а именно http; pop; smtp пока только эти протоколы заметил). В чем тут дело, не пойму никак...

Добавлено:
При выключенном клиенте-
без vpn - [more=ipconfig /all]
При выключенном клиенте без vpn

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : superkomp
Основной DNS-суффикс . . . . . . : domin.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domin.local

ЛВС - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-550T Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 00-05-5D-EA-02-B7
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.60
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.8
DNS-серверы . . . . . . . . . . . : 192.168.0.1[/more]
с активным vpn [more=ipconfig /all]
При выключенном клиенте c активным vpn

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : superkomp
Основной DNS-суффикс . . . . . . : domin.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domin.local

ЛВС - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-550T Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 00-05-5D-EA-02-B7
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.60
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.8
DNS-серверы . . . . . . . . . . . : 192.168.0.1

Филиал - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.5.8
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.5.8
DNS-серверы . . . . . . . . . . . : 192.168.0.2
192.168.0.1
Основной WINS-сервер . . . . . . : 192.168.0.2[/more]
При включеном клиенте-
без vpn - [more=ipconfig /all]
При включеном клиенте без vpn

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : superkomp
Основной DNS-суффикс . . . . . . : domin.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domin.local

ЛВС - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-550T Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 00-05-5D-EA-02-B7
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.60
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.8
DNS-серверы . . . . . . . . . . . : 192.168.0.1[/more]
с активным vpn - [more=ipconfig /all]
При включеном клиенте с активным vpn

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : superkomp
Основной DNS-суффикс . . . . . . : domin.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domin.local

ЛВС - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-550T Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 00-05-5D-EA-02-B7
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.60
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.8
DNS-серверы . . . . . . . . . . . : 192.168.0.1

Филиал - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.5.9
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.5.9
DNS-серверы . . . . . . . . . . . : 192.168.0.2
192.168.0.1
Основной WINS-сервер . . . . . . : 192.168.0.2[/more]
Не врубаюсь я в чем проблема...

В логах пишет Closed Connection 0x80074e20FWX_E_GRACEFUL_SHUTDOWN

kazavo4ka
а такие вещи как route print и tracert на клиенте не пробовал писать, очень помогает
ну для начала, когда делаешь впн соединение в к другой сетке, при этом у тебя инет идет через другие поддключения (у тебя он через свою ису а впн тебе только для удаленного офиса) то в свойствах впн подключения на клиентском компе надо снять галку use default gateway on remote network а то получается что ты себе маршрутом по умолчанию ставишь впн подключение, а не свой обычный шлюз.

hardhearted

Цитата:

надо снять галку use default gateway on remote network

Это было первым что я сделал. Не помогло

[more=route print без vpn]
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\ikuznecov>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 05 5d ea 02 b7 ...... D-Link DGE-550T Gigabit Ethernet Adapter
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.8 192.168.0.60 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.60 192.168.0.60 10
192.168.0.60 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.60 192.168.0.60 10
224.0.0.0 240.0.0.0 192.168.0.60 192.168.0.60 10
255.255.255.255 255.255.255.255 192.168.0.60 192.168.0.60 1
Основной шлюз: 192.168.0.8
===========================================================================
Постоянные маршруты:
Отсутствует
[/more]
[more=route print с активным vpn]
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\ikuznecov>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 05 5d ea 02 b7 ...... D-Link DGE-550T Gigabit Ethernet Adapter
0x40004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.8 192.168.0.60 10
89.185.66.59 255.255.255.255 192.168.0.8 192.168.0.60 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.60 192.168.0.60 10
192.168.0.60 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.60 192.168.0.60 10
192.168.5.0 255.255.255.0 192.168.5.7 192.168.5.7 1
192.168.5.7 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.5.255 255.255.255.255 192.168.5.7 192.168.5.7 50
224.0.0.0 240.0.0.0 192.168.0.60 192.168.0.60 10
224.0.0.0 240.0.0.0 192.168.5.7 192.168.5.7 50
255.255.255.255 255.255.255.255 192.168.0.60 192.168.0.60 1
255.255.255.255 255.255.255.255 192.168.5.7 192.168.5.7 1
Основной шлюз: 192.168.0.8
===========================================================================
Постоянные маршруты:
Отсутствует
[/more]

Спомогите, люди добрые!
Windows 2003 EE + Isa 2004 Standart.
на другом серваке поднят домен + DHCP + DNS + WINS
часть пользователей входят в домен и проблем с аутентификацией их нет никаких. Но в этой же сети, есть часть пользователей, которых в силу некоторых причин не впускаем в домен, они седят в той же сети, но в своей рабочей группе. КАК мне их идентифицировать в ISA ?
Подойдет ли для этого Radius-сервер, и если поможно поподробней о его настройке в данном режиме ( или вразумительную ссылочку
Выручайте, дело пахнет увольнением...

kazavo4ka
у тебя FWC RDP траф вместо впн соединения передает на свою ису

создай файл
"C:\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004\LocalLAT.txt"
и в нем укажи сеть, траф в которую FWC не должен обрабатывать, например так:
192.168.0.0    192.168.0.255

kazavo4ka
и что при таких настройках интернет не пашет?
ты по rdp в удаленную сетку лезешь?