» Microsoft ISA Server 2006/2004/2000 (Часть II)

IceFusion
у меня на 100 юзеров + несколько филиалов (впн не через исы сделан а через циски но трафик идет черз исы) обычно p4 3.0 с гигом памяти пашет, и 2*80 гиг винтов в зеркале, короче маленький 1U сервачок

А вот такой вопрос - почему в дневных отчетах считается трафик от одной или нескольких машин к иса серверу - по 10-15 гигов бывает, причем в короткий промежуток времени, изо дня в день, зачастую в одно и то же время.
В настройках стоит, что на локальный трафик лог не ведется... Откуда он данные берет?

Привет, народ. Потихоньку готовлю переход с иса2000 на иса2006. Вопрос про установку клиентской части. В иса2000 при установке создавалась и расшаривалась папка дистрибутива файрвол-клиента с настройками. И что то я не могу найти как это делается иса2006. При установке такого пункта нет, никаких других средств в консоли тоже не нашел. Что теперь самому нужно папку с дистрибутивом расшаривать файрвол-клиента? Но это ерунда конечно, но а где же брать настроечные файлы типа setup.ini в котором много чего полежного прописывается для клиента при установке? Подозреваю что туплю, но никак не пойму в чем... %-)
Помогите кто сталкивался плиз.

Sergei_Garaev
посмотри в логах что за трафик

AvvNtl
расшариваешь сам ...
настройки все клиент будет получать через wpad.dat, который ты опубликуешь через dhcp или dns

Умеет ли ИСА квотировать пользователей?

Уже долго бьюсь и немогу решить такой вопрос:
Стоит ISA 2006, в ней правило в фаерволе пропускать исходящий траффик по SMTP и POP3 портам для пользователей из группы Internet Users, которая в свою очередь подцеплена к соответсвующей группе в AD, на ISA авторизация стоит Integrated (на клиентах WinXP SP2). Для HTTP стоит такое же правило и все работает, а вот почта ходить отказывается. При выставлении в почтовом правиле All Users все работает.

eXcite

Одно дело аутентификация браузером!!!
А другое дело почтовый клиент!
Смотри типы аутентификации.... для протоколов TCP (кроме HTTP и т.п.) аутентификацию позволяет проходить только через Firewall Client или через VPN

delagen
Firewall Client клиент ставить надо, а VPN - настраивать на каждом клиенте, а разве нельзя базовыми средствами осуществить авторизацию???

При переходе с 2004 на 2006 на одном из серваков ISA2004 Мастер экспорта конфигурации выдает сообщение

Error 0xC004033A
There is no available ISA Server computer to decrypt the exported password. Verify that services are running on at least one ISA Server computer.

Ошибка E_FPC_XML_NO_SERVER_AVAILABLE_FOR_EXPORT_PASSWORD FPC_ERR(0x33A)

Сервисы ISA работают

Не могу найти что делать в этом случае
Какие сервисы не работают ???

Cheerful
Спасибо, понятно. Значит действительно так и было задумано....
А про WPAD - я его тоже использую. Жаль только что скипт автоконфигурации прокси - он немного кривой делает - один прокси для всех портов, несмотря на налчии на серваке ssl 8443 порта. Может кто знает как этот скрипт изменить, чтобы разные прокси порты были?

Здесь лежит сабж 2006 на русском языке, "EE" и "SE".
Вопрос: как и чем можно зарегистрировать "EE"? Ответ можно в ПМ, если это настолько Великая Тайна.
Спасибо.

Кто знает как isu 2006 от триальности избавить?

Други, а не пробовал ли кто ставить на ISA2006 GFI Web Monitor 3.0?
Совместимо?

привет всем. помогите пожалуйста разобраться с достаточно тривиальной проблемой,
думаю каждый из вас её решал и спокойно всё разруливал итак собственно

ДАНО:
1-машина c Win2k3 Enterprise sp1 + на ней стоит ISA 2006 EE ( rus?)
2-небольшая сеточка = 50 ПК (с домен контроллерами, почтовиками, файл серверами и т.д.)
3-несколько внешних IP адресов ( для ИСЫ доступен только 1)

ЗАДАЧА:
пользователи во внешней сети ( дом, другой офис, склад, машина, автобусная остановка =) могли подключаться через протокол RDP к терминальному ( терминальным) серверам внутри сети спрятанной за ISA 2006.

Вобще они подсоединяться должны к ICA Citrix, но пока попробуем решить данную проблему через RDP!!!

РЕШЕНИЕ:
Для решения такой проблемы было использовано самое простое что могло прийти в голову - опубликовать терминальный сервак ( + также опубликовать РДП доступ к самому иса серверу чтобы рулить им удаленно). В качестве модели для сборки была исопльзована статья Томаса Шиндера (Thomas Shinder) - _http://www.internetaccessmonitor.com/rus/products/articles/detail.php?ID=552&phrase_id=660555

очень полезная простая и доходчивая, сделав все по инструкции - РДП заработал на самом серваке ISA, однако доступ ко внутреннему терминальному серваку - не работает... в чем причина??? помогите разобраться с проблемой.

comeon
Елементарно:
делаеш правило RDP в исе в поле From ставиш All Networks и в поле To тоже самое, пользователей ставиш All Users, теперь можно подключаться к чему угодно и админить

Уважаемые, не найдется ли человек, знающий, как пустить через ISA 2004 torrent-клиента? Нашел только одну доку - на сайте поддержки azureus'а, и та не работет.

Goncharov_Alexey
Я тоже пытался такое рализовать, но не получилось... никто не знает как это сделать. Все потому что на другом конце, у клиентов порты могут быть вообще динамические и торент на твоей стороне пытается идти на бог весть на какие удаленные порты... а как известно, иса на пускает по не предопределенным протоколам. Меня и-за этого забанили на местном трекере вместе с айпишником

Добавлено:
Разве что стуннелировать порты через проксю... тогда иса не поймет что прошло
для этого можно покурить тему Обход прокси сервера

Kolenchenko
Ставил, последняя сборка из Варезника работает.

Извиняюсь за повтор (спрашивал на 54 стр), но вопрос стал для меня более актуальным.

На компе стоит иса 2004 ее, комп в домене. Я имею права администратора на этом компе, но не имею прав доступа к консоли управления исой. Права доступа к консоли имеет только один человек. Как можно получить доступ к консоли? (сброс пароля того пользователя, который имеет доступ, не предлагать, есть на это причины)

Ни как не могу понять где иса хранит эти настройки.

Просьба всех кто может чем-то помочь откликнуться... Может быть кому встречался ресурс где уже была поднята данная тема?

Goncharov_Alexey
enver
А через FWC это разве нельзя реализовать?

Блин, сначала справочку почитай. Не надо глупых вопросов задавать

Goncharov_Alexey

Цитата:

Уважаемые, не найдется ли человек, знающий, как пустить через ISA 2004 torrent-клиента?

Нифига не понял... а в чем проблема-то?
Как я настраивал uTorrent: в самом торрент-клиенте выбрать порт, через который будут подключаться пиры - Port used for incoming connections - взял какой попало, в моем случае - 36979. Дальше просто нужно создать правило публикации сервера - по заранее созданному протоколу (TCP 36979 inbound, в моем случае) пускать пакеты с external to... ну собственно, на компьютер, на котором работает клиент. Все - я качаю, от меня качают, вот, NFS Carbon вчера благополучно скачал с местного треккера.

(я и на iXBT на этот вопрос отвечал давненько уже)

Asker80
А что в данном случае может решить FWC? Он в принципе решает только вопрос авторизации. Эксперимета ради попробуй удалить http-протокол и понаблюдай будет ли у тебя пропускаться web-траффик. В логах он положит записи о неопределенном траффике и зарежет.
Беда торрент-клиента в том, что для него нельзя предопределить конкретные порты поскольку на клиентах есть возможность ручного назначения порта

Добавлено:
Dead_Moroz
Странно, я так и не решил проблему... начинает валить исходящий трафик по портам, изменяющимся с завидной частотой

Цитата:

А что в данном случае может решить FWC? Он в принципе решает только вопрос авторизации

Не только, там в настройках можно порты bind'ить. Сам толком не пользовался, потому не утверждаю, а лишь предполагаю.

Цитата:

Эксперимета ради попробуй удалить http-протокол и понаблюдай будет ли у тебя пропускаться web-траффик. В логах он положит записи о неопределенном траффике и зарежет.

Это я и так знаю, нечего и экспериментировать... Просто его bind'ы мне напомнили функциональность SOCKS. Хотя могу и ошибаться, как я уже писал - сам этим не пользовался за ненадобностью.

Цитата:

Dead_Moroz
Странно, я так и не решил проблему... начинает валить исходящий трафик по портам, изменяющимся с завидной частотой

Да у Dead_Moroz возможно весь исходяший трафик разрешен, тогда действительно нужно лишь опубликовать своего торрент-клиента на шлюзе. У меня так когда-то был Winroute настроен (кгода я только на эту работу пришел)

Asker80

Цитата:

Да у Dead_Moroz возможно весь исходяший трафик разрешен, тогда действительно нужно лишь опубликовать своего торрент-клиента на шлюзе.

Ну, что-то вроде-этого, но разрешен исходящий только http. Если кому нужен исходящий NAT, без правила ISA не пустит.

eXcite
ок, спасибо за совет, обязательно попробую.

Добрый день.
Господа, кто-нибудь пробовал использовать различные SOHO-роутеры с ISA 2004 по IPSec?
Есть статья как связать Dlink 804.
Кто пробовал другие роутеры?

А вот такой вопрос, при инсталяции ISA2006 накатывается MSDE, а если на серваке уже MS SQL 2000 стоит, инсталяшка все равно MSDE накатит? У меня проверить это сейчас возможности нет, а вот SurfControl к этой MSDE цепляться не хочет, пришлось цепляться к другому MSSQL-серверу.

Jaba_B_Ta3e
DLink 604 связывал с ISA 2004 по IPSec.
Работает. Периодически нужно перезагружать службу IPSEC Services