народ можно ли Ису на доменконтроллер поставить?
хорошо это или плохо и почему если можно?
хорошо это или плохо и почему если можно?
» Microsoft ISA Server 2006/2004/2000 (Часть II)
MrKit
Я же писал - машина на которой стоит ISA и является КД
Понимаю что неправильно - но вариантов больше нет.
timsson
Цитата:
Можно
Цитата:
Плохо. Ч у себя поставил - так теперь один гемор.
Сначала машины перестали получать IP (DHCP у меня на КД)
Сейчас не могу ввести клиентскую машину в домен.
Короче там нужно кучу правил дописывать от интернал к локал хост и обратно
Я же писал - машина на которой стоит ISA и является КД
Понимаю что неправильно - но вариантов больше нет.
timsson
Цитата:
народ можно ли Ису на доменконтроллер поставить?
Можно
Цитата:
хорошо это или плохо и почему если можно?
Плохо. Ч у себя поставил - так теперь один гемор.
Сначала машины перестали получать IP (DHCP у меня на КД)
Сейчас не могу ввести клиентскую машину в домен.
Короче там нужно кучу правил дописывать от интернал к локал хост и обратно
Вопросик:
Ситуация следующая:
NAT включен для некоторых юзеров (остальные по web бегут через прокси), для одного юзера хочу сделать так чтоб он смог выйдти через NAT только на POP3 порт на внешний мейл сервер.
1. если открываю нат, он сможет использовать все порты.
2. если в файерволе открываю выход только на рор3 порт и остолыное закрываю банится прокси сервер (для того юзера).
короче никак не смог настроить прямой выход в интернет на выбранных мнойю портах.
Выходит или все или нечего.
Помогите плиз.
P.S.
Сервер, ISA 2004
Ситуация следующая:
NAT включен для некоторых юзеров (остальные по web бегут через прокси), для одного юзера хочу сделать так чтоб он смог выйдти через NAT только на POP3 порт на внешний мейл сервер.
1. если открываю нат, он сможет использовать все порты.
2. если в файерволе открываю выход только на рор3 порт и остолыное закрываю банится прокси сервер (для того юзера).
короче никак не смог настроить прямой выход в интернет на выбранных мнойю портах.
Выходит или все или нечего.
Помогите плиз.
P.S.
Сервер, ISA 2004
Цитата:
Короче там нужно кучу правил дописывать от интернал к локал хост и обратно
Есть такое дело. Я, например, просто переписал по аналогии все правила из system policy, с протоколами, относящимися к AD и аутентификации в частности. С доменом косяков нет.
подскажите. плиз. как получать отчеты по-русски?
(как вариант: как русифицировать ису 2004?)
За ранее сенкс
ЗЫ я не продвинутый ИСАшник - поставили на работе - велели пользоваться
(как вариант: как русифицировать ису 2004?)
За ранее сенкс
ЗЫ я не продвинутый ИСАшник - поставили на работе - велели пользоваться
dandy2000
руссификация 2004 исы есть идиотизм (впрочем как и отчеты на русском, зачем там русский то?) хочешь свои отчеты, пиши свои отчеты
)
Добавлено:
giorgit
мда, случай тяжелый, наверное даже неизлечимый
открой только нужные порты, если нужен например web и pop3 то и открой http,https и pop3.
руссификация 2004 исы есть идиотизм (впрочем как и отчеты на русском, зачем там русский то?) хочешь свои отчеты, пиши свои отчеты
) Добавлено:
giorgit
мда, случай тяжелый, наверное даже неизлечимый
открой только нужные порты, если нужен например web и pop3 то и открой http,https и pop3.
hardhearted
почему идиотизм ? 2006 есть на русском.
dandy2000
если хочешь отчеты на русском - юзай русские программы для чтения логов.
почему идиотизм ? 2006 есть на русском.
dandy2000
если хочешь отчеты на русском - юзай русские программы для чтения логов.
MrKiT
Цитата:
а поподробней можно?
Цитата:
юзай русские программы для чтения логов.
а поподробней можно?
dandy2000
Internet Access Monitor
Proxy Inspector
я пользуюсь последним.
Добавлено:
Цитата:
Я единственное что сделал - заменил файлы ошибок (404, 403 и т.д.) руссифицированными из 2006.
Internet Access Monitor
Proxy Inspector
я пользуюсь последним.
Добавлено:
Цитата:
как вариант: как русифицировать ису 2004?)
Я единственное что сделал - заменил файлы ошибок (404, 403 и т.д.) руссифицированными из 2006.
MrKiT
2006 rus изначально выпущен мелкомягкими (зачем не знаю, как уже выше говорилось тока путаницу внесли в терминологию, любой админ может(и должен) работать с английским софтом, если не могет то пусть меняет работу)
2004 rus в природе нет, есть только левые кривые русификаторы от левых контор
2006 rus изначально выпущен мелкомягкими (зачем не знаю, как уже выше говорилось тока путаницу внесли в терминологию, любой админ может(и должен) работать с английским софтом, если не могет то пусть меняет работу
) 2004 rus в природе нет, есть только левые кривые русификаторы от левых контор
hardhearted
Как я понял, если я не открою http https тогда юзеро доступ к прокси закрыт?
Чето странно.
Как я понял, если я не открою http https тогда юзеро доступ к прокси закрыт?
Чето странно.
Цитата:
Плохо. Ч у себя поставил - так теперь один гемор.
Сначала машины перестали получать IP (DHCP у меня на КД)
Сейчас не могу ввести клиентскую машину в домен.
Короче там нужно кучу правил дописывать от интернал к локал хост и обратно
Правильно! нужно правила дописать, а можно посмотреть, что там в системных политиках написано и скопировать их относительно использования AD.
Очень много интересного можно подчеркнуть из книги Шиндера.
W2k3 server (в домене), ISA2004 при попытке создать юзера из AD выдает ошибку
Windows cannot process the with the name "ISA_Client" because of the following error:
The remote procedure call failed and did non execute.
Рядом стоит точно такая же система- на ней все ок! А здесь не могу сообразить в какую сторону копать. подскажите плиз.
Windows cannot process the with the name "ISA_Client" because of the following error:
The remote procedure call failed and did non execute.
Рядом стоит точно такая же система- на ней все ок! А здесь не могу сообразить в какую сторону копать. подскажите плиз.
giorgit
че тут странного то? к прокси доступ ни у кого не закрыт, прокси это просто служба, а вот будет юзер ходить на веб или нет это зависит от того откроешь ли ты ему веб протоколы или нет.
че тут странного то? к прокси доступ ни у кого не закрыт, прокси это просто служба, а вот будет юзер ходить на веб или нет это зависит от того откроешь ли ты ему веб протоколы или нет.
Antdik
сервис RPC запущен или нет ?
сервис RPC запущен или нет ?
Да сервис запущен
Antdik
в system policy / authentication services / есть сервер AD с которого берутся юзеры ?
в events есть какие ошибки, предупреждения ?
в system policy / authentication services / есть сервер AD с которого берутся юзеры ?
в events есть какие ошибки, предупреждения ?
hardhearted
OK
Если Я не хочу чтоб юзер бродил по сетке без прокси сервера что мне делать? т.е. если я открою юзеру NAT и открою порт 80 он сможет лазить по нету и без прокси
вот етого Я не хочу.
OK
Если Я не хочу чтоб юзер бродил по сетке без прокси сервера что мне делать? т.е. если я открою юзеру NAT и открою порт 80 он сможет лазить по нету и без прокси
вот етого Я не хочу.
giorgit
конечно проще задать тупой вопрос чем воспользоваться поиском, тема обсуждена уже сотни раз, и не только на форумах но и во всех почти книгах и статьях, а еще есть очень полезная привычка читать на сайтах производителей, в данном случае это не маленькая компания Microsoft, у которой, как ни странно есть свой сайт и на нем даже поиск есть)
http://support.microsoft.com/kb/884505
Добавлено:
giorgit
и еще учти вещь, когда ты открываешь http через прокси ты открываешь не только порт 80, а любой порт на который юзер идет по http протоколу (это может быть другой порт, веб сайты как известно могут работать не только на 80 порту) это специфика работы webproxy на исе, если юзер идет мимо прокси (securenat или fwc) то при разрешенном http он пройдет только на 80 порт
конечно проще задать тупой вопрос чем воспользоваться поиском, тема обсуждена уже сотни раз, и не только на форумах но и во всех почти книгах и статьях, а еще есть очень полезная привычка читать на сайтах производителей, в данном случае это не маленькая компания Microsoft, у которой, как ни странно есть свой сайт и на нем даже поиск есть
) http://support.microsoft.com/kb/884505
Добавлено:
giorgit
и еще учти вещь, когда ты открываешь http через прокси ты открываешь не только порт 80, а любой порт на который юзер идет по http протоколу (это может быть другой порт, веб сайты как известно могут работать не только на 80 порту) это специфика работы webproxy на исе, если юзер идет мимо прокси (securenat или fwc) то при разрешенном http он пройдет только на 80 порт
Есть вот такая вот штука http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=45855498-66BA-43D3-A8F1-37837D380389 - это клиетн от ISA 2006.
Совместим с:
Цитата:
Какие преимущества я получу установив его для работы с ISA 2000?
Совместим с:
Цитата:
• ISA Server 2000 Standard Edition
• ISA Server 2000 Enterprise Edition
Какие преимущества я получу установив его для работы с ISA 2000?
есть такая проблемка: на серваке windows 2003 server r2 с MS ISA Server 2004 sp2 есть расшаренная папка в которой лежат файлики для запуска сервера в сети. Периодически то один, то другой комп в сети не получает доступ к этой папке и в итоге на клиентских машинах клиент не запускается. потому что он не видит свои конфиги.
Что делать? В логах ошибок нет.
Добавлено:
сервер имеется в виду не ИСА, а специальная прога сервер с клиентом.
Добавлено:
чтобы клиент коннектился к своему серваку ему надо видеть конфиг который лежит в этой папке. перенести на другой комп серверную часть с конфигами не предлагать: возможности нет.
Что делать? В логах ошибок нет.
Добавлено:
сервер имеется в виду не ИСА, а специальная прога сервер с клиентом.
Добавлено:
чтобы клиент коннектился к своему серваку ему надо видеть конфиг который лежит в этой папке. перенести на другой комп серверную часть с конфигами не предлагать: возможности нет.
Krechet
Цитата:
Никаких. Основное его отличие о предыдущего клиента, поддержка x64 платформ.
Цитата:
Какие преимущества я получу установив его для работы с ISA 2000?
Никаких. Основное его отличие о предыдущего клиента, поддержка x64 платформ.
demondeimos
Есть какая-то логика в периодическом отпадании доступа к файлам?
Может проблема скорее с сетью, а не с ISA Server. ISA Server или пускает или не пускает, за исключением случая, когда правило, предоставляющее доступ, работает по расписанию.
Проблем сетью в целом нету?
Что в это время ложится в логах ISA Server?
Добавлено:
Цитата:
Очень даже нормально встает.
Достаточно создать правило, разрешающее All Outbound Traffic между Localhost <-> Internal. А если кто-то считает, что неправильно разрешать весь трафик с внутренней сети на ISA Server, спорить не буду. Смотря чего боятся. Если того, что пользователь попадет в консоль ISA Server и быстренько начнет конфигурировать его , то скорее нужно беспокоится не об ISA Server. Если умник, смог попасть на ISA Server, я думаю он попадает с такой же легкостью и на все другие сервера.
Есть какая-то логика в периодическом отпадании доступа к файлам?
Может проблема скорее с сетью, а не с ISA Server. ISA Server или пускает или не пускает, за исключением случая, когда правило, предоставляющее доступ, работает по расписанию.
Проблем сетью в целом нету?
Что в это время ложится в логах ISA Server?
Добавлено:
Цитата:
народ можно ли Ису на доменконтроллер поставить?
хорошо это или плохо и почему если можно?
Очень даже нормально встает.
Достаточно создать правило, разрешающее All Outbound Traffic между Localhost <-> Internal. А если кто-то считает, что неправильно разрешать весь трафик с внутренней сети на ISA Server, спорить не буду. Смотря чего боятся. Если того, что пользователь попадет в консоль ISA Server и быстренько начнет конфигурировать его
, то скорее нужно беспокоится не об ISA Server. Если умник, смог попасть на ISA Server, я думаю он попадает с такой же легкостью и на все другие сервера.Цитата:
demondeimos
Есть какая-то логика в периодическом отпадании доступа к файлам?
Может проблема скорее с сетью, а не с ISA Server. ISA Server или пускает или не пускает, за исключением случая, когда правило, предоставляющее доступ, работает по расписанию.
Проблем сетью в целом нету?
Что в это время ложится в логах ISA Server?
в том то и дело что рядом стоит точно такой же файл-сервер и все тип-топ.
логики нет. на машине с ИСой из ошибок только DHCP - модем подключен к юсб, а на нем ещё и лан есть, вот этот лан почему то видиться системой и система пытается дать ему айпи... а не могет.
DHCP установлен на твоем серве для раздачи адресов в локальной сети или это DHCP провайдера? я че-то не совсем понимаю
если DHCP должен раздавать только во внутреннюю сеть, укажи это ему явно в Bindings в настройках DHCP-сервера
если DHCP должен раздавать только во внутреннюю сеть, укажи это ему явно в Bindings в настройках DHCP-сервера
Цитата:
DHCP установлен на твоем серве для раздачи адресов в локальной сети или это DHCP провайдера? я че-то не совсем понимаю
если DHCP должен раздавать только во внутреннюю сеть, укажи это ему явно в Bindings в настройках DHCP-сервера
в том то и дело что DHCP вообще не используется.
потому и не может.
вобщем это ерунда.
причем, машинки отваливаются и подключаются с определенным временным интервалом, т.ен. есть время когда вообще никаких проблем, а потом начинается: то одна то вторая.
такое чуство что истекает лимит подключений и серваак всех отрубает по очереди на какой-то интервал. но я в ИСЕ кол-во соединений увеличил, но это не помогло.
Добавлено:
так, соединение идет по NetBios Sessions и периодами он вообще это дело не пускает.
а как выглядит правило, разрешающее трафик между серваком и внутренней сетью?
попробуй добавить праивло которое разрешает все между Localhost и Internal в обоих направлениях
попробуй добавить праивло которое разрешает все между Localhost и Internal в обоих направлениях
demondeimos
может что евент логе на иса сервере или клиентах есть ? предупреждения, ошибки?
может что евент логе на иса сервере или клиентах есть ? предупреждения, ошибки?
Цитата:
а как выглядит правило, разрешающее трафик между серваком и внутренней сетью?
попробуй добавить праивло которое разрешает все между Localhost и Internal в обоих направлениях
поставил уже от безысходности весь трафф от интернал к локалхост. все одно: отрубает.
Цитата:
demondeimos
может что евент логе на иса сервере или клиентах есть ? предупреждения, ошибки?
нет.
Какую примерно машину надо иметь для исы чтобы поддерживать два ВПН Site to Site соединения (и маршрутизировать их между собой), выпускать в интернет 15 пользователей и опубликовать два веб сайта?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.