AvvNtl
ну галку то можно убирать
)
ну галку то можно убирать
)
» Microsoft ISA Server 2006/2004/2000 (Часть II)
AvvNtl
имха надо через реестр
делать батник и запускать его через политики доменные
типа вот так regedit /s \\server\share\что-то.reg
имха надо через реестр
делать батник и запускать его через политики доменные
типа вот так regedit /s \\server\share\что-то.reg
AvvNtl
тебе надо в wpad.dat что-то вроде
function FindProxyForURL(url, host){
if ( url.substring(0,8).toLowerCase()=="https://")
return "PROXY 192.168.0.1:8443";
return "PROXY 192.168.0.1:8080";
}
кстати, а зачем тебе это надо? через HTTP прокси отлично проходит SSL
тебе надо в wpad.dat что-то вроде
function FindProxyForURL(url, host){
if ( url.substring(0,8).toLowerCase()=="https://")
return "PROXY 192.168.0.1:8443";
return "PROXY 192.168.0.1:8080";
}
кстати, а зачем тебе это надо? через HTTP прокси отлично проходит SSL
Поставил Microsoft ISA Server 2006 .
Сперва все шло нормально . Через какое-то время , при попытке зайти в сетевое окружение выдается сообщение :"Нет доступа к Workgroup. Возможно, у вас нет прав на использование этого ресурса. Обратитесь к администратору этого сервера для получения соответсвующих прав доступа.
Недоступен список серверов для этой рабочей группы."
При этом через поиск можно зайти в расшареный ресурс на любой машине .
И в рабочей группе и в домене ситуация одинаковая .
В чем может быть проблема ?
Сперва все шло нормально . Через какое-то время , при попытке зайти в сетевое окружение выдается сообщение :"Нет доступа к Workgroup. Возможно, у вас нет прав на использование этого ресурса. Обратитесь к администратору этого сервера для получения соответсвующих прав доступа.
Недоступен список серверов для этой рабочей группы."
При этом через поиск можно зайти в расшареный ресурс на любой машине .
И в рабочей группе и в домене ситуация одинаковая .
В чем может быть проблема ?
enver мне как раз надо, чтобы пользователь (который запускает DameWare) не мог чего - нибудь "там настроить" и подключиться к серверу.
Asker80 где резать ?
В IP Packet Filters ?
Так понимаю, сначала надо перекрыть вообще доступ по этому порту, потом открыть его только компьютерам с определенным IP.
Но речь идет о компьютерах из LAT.
Добавлено:
Asker80 вообще странно, если по умолчанию в ISA все порты перекрыты, получается, что они перекрыты для тех компьютеров, которые не в LAT, потому что у меня из LAT порт DameWare свободно видится (специально ничего не открывал для него) .
Добавлено:
Убрал из набора Protocols Clients Sets в Protocol Rules порты Nebios Datagramm и Session (то есть отключил их для определенного IP) , фигушки.
Этот IP внутри LAT.
Asker80 где резать ?
В IP Packet Filters ?
Так понимаю, сначала надо перекрыть вообще доступ по этому порту, потом открыть его только компьютерам с определенным IP.
Но речь идет о компьютерах из LAT.
Добавлено:
Asker80 вообще странно, если по умолчанию в ISA все порты перекрыты, получается, что они перекрыты для тех компьютеров, которые не в LAT, потому что у меня из LAT порт DameWare свободно видится (специально ничего не открывал для него) .
Добавлено:
Убрал из набора Protocols Clients Sets в Protocol Rules порты Nebios Datagramm и Session (то есть отключил их для определенного IP) , фигушки.
Этот IP внутри LAT.
Vxd2000
Цитата:
настраиваешь именно ту часть что ставится на сервере
Цитата:
создаешь запрещающие правила по необходимым тебе портам/протоколам
Action: Deny
From: по вкусу
To: Localhost
Protocol: Selected Protocols (выбираешь протокол по которому ходит DameWare)
Цитата:
достаточно было разрешить All Outbound Traffic между Localhost и Internal
Цитата:
мне как раз надо, чтобы пользователь (который запускает DameWare) не мог чего - нибудь "там настроить" и подключиться к серверу.
настраиваешь именно ту часть что ставится на сервере
Цитата:
где резать ?
создаешь запрещающие правила по необходимым тебе портам/протоколам
Action: Deny
From: по вкусу
To: Localhost
Protocol: Selected Protocols (выбираешь протокол по которому ходит DameWare)
Цитата:
вообще странно, если по умолчанию в ISA все порты перекрыты, получается, что они перекрыты для тех компьютеров, которые не в LAT, потому что у меня из LAT порт DameWare свободно видится (специально ничего не открывал для него) .
достаточно было разрешить All Outbound Traffic между Localhost и Internal
Цитата:
настраиваешь именно ту часть что ставится на сервере
Мне надо средствами ISA, более вообщем (это как пример был) , нужно перекрыть порты для доступа с компьютеров из LAT.
Цитата:
достаточно было разрешить All Outbound Traffic между Localhost и Internal
Это где такое в Isa 2000 ?
Добавлено:
Сделал в Protocol Rules правило:
Deny, Selected Protocols - DameWareInput, DameWareOutput, Clients Adress - IP откуда пробовали зайти.
Перезапустил все сервисы Isa (4 штуки) и ни фига.
Протоколы DameWareInput и DameWareOutput определены в Protocol Definitions как TCP Inbound и Outbond, номер порта тот, который используется.
Добавлено:
Цитата:
достаточно было разрешить All Outbound Traffic между Localhost и Internalэто скорее всего в Isa2004.
Vxd2000
Копай логи, смотри по какому правилу проходят.
Копай логи, смотри по какому правилу проходят.
Извиняюсь, вопрос снят, прочитал до конца Шиндеров и все понял
Кто-нить знает осталась ли функция выделение полосы (которая была в ISA 2000) в ISA 2006??? если нет, то какими средствами можно ее реализовать????
eXcite
1. В принципе, осталась - DiffServ
2. TrafficQuota, TrafficFilter, BandwidthSplitter, linux, FreeBSD...
1. В принципе, осталась - DiffServ
2. TrafficQuota, TrafficFilter, BandwidthSplitter, linux, FreeBSD...
Был настроенный прокси с ISA 2004 SP1. Все работало нормално, но понадобилось переустановить. Сохранил бэкап конфигурации. Переставил винду, установил ISA 2004+SP1.
Накатил сверху бэкап.
Вроде все в порядке. Всех пускает, в общем почти как прежде. Но...
Скорость упала ,причем очень заметно. Сам сервер не загружен. Канал - свободный (проверял, цепляя через еще один комп напрямую в нет).
И в какую сторону начинать смотреть не понятно.
Не дайте пропасть, ткните пальцем где может быть ошибка
Накатил сверху бэкап.
Вроде все в порядке. Всех пускает, в общем почти как прежде. Но...
Скорость упала ,причем очень заметно. Сам сервер не загружен. Канал - свободный (проверял, цепляя через еще один комп напрямую в нет).
И в какую сторону начинать смотреть не понятно.
Не дайте пропасть, ткните пальцем где может быть ошибка
Asker80
DiffServ не совсем то, там можно задать web сайты с более высоким приоритетом, работает только по направлению (по клиенту не делится) и только для http
DiffServ не совсем то, там можно задать web сайты с более высоким приоритетом, работает только по направлению (по клиенту не делится) и только для http
Asker80
hardhearted
По поводу DiffServ хотел сказать тоже самое
Реально же нужно выделение полосы для RDP
hardhearted
По поводу DiffServ хотел сказать тоже самое
Реально же нужно выделение полосы для RDP
eXcite
по протоколам я вообще не помню ни одного add-on (сама иса конечно же не умеет ни квотировать ни шейпировать)
по протоколам я вообще не помню ни одного add-on (сама иса конечно же не умеет ни квотировать ни шейпировать)
hardhearted
А QoS может как-то помочь???
А QoS может как-то помочь???
eXcite
понятия не имею, я его ни разу не пробовал, qos к исе напрямую не относится
понятия не имею, я его ни разу не пробовал, qos к исе напрямую не относится
Есть еще один офигительный глюк или не глюк, кто его знает, в Isa 2000.
Есть сервер, на нем стоит Win 2000 SP4 и Isa2000 Standart Integrated.
На нем 2 сетевые карты: одна внутренняя, другая вешняя.
Пусть у внутренней, например адрес 10.1.0.х и маска 255.0.0.0, с внешней немножко сложнее, там в свойствах подключения стоит
внутренний адрес провайдера 10.0.x.x и маска 255.255.0.0, в дополнительно же стоит два адреса, внутренний провайдера 10.0.x.x
и маска 255.255.0.0 и внешний, публичный, например 64.46.х.х и маска 255.255.255.0, dns стоит один, провайдера.
У провайдера есть ресурсы, с адресами диапазона 10.0.x.x.
Теперь самое интересное, когда запущена Isa, и в свойствах внешнего соединения стоит внутренний адрес провайдера 10.0.x.x, а в
дополнительно оба адреса и внутренний провайдера и внешний, то видны ресурсы провайдерской сети, но нет Internet' a.
Если в в свойствах внешнего соединения стоит публичный адрес 64.46.х.х, в дополнительно оба адреса и внутренний провайдера и
внешний, то есть Internet, но не видны ресурсы провайдерской сети.
Если остановить службу Isa, не "отсоединить" сервер в консоли Isa, а остановить службу, то если в свойствах внешнего
соединения стоит внутренний адрес провайдера 10.0.x.x, а в дополнительно оба адреса и внутренний провайдера и внешний, видны и
ресурсы провайдера и есть Internet, конечно только с сервера.
Чего это за хрень такая ?
Есть сервер, на нем стоит Win 2000 SP4 и Isa2000 Standart Integrated.
На нем 2 сетевые карты: одна внутренняя, другая вешняя.
Пусть у внутренней, например адрес 10.1.0.х и маска 255.0.0.0, с внешней немножко сложнее, там в свойствах подключения стоит
внутренний адрес провайдера 10.0.x.x и маска 255.255.0.0, в дополнительно же стоит два адреса, внутренний провайдера 10.0.x.x
и маска 255.255.0.0 и внешний, публичный, например 64.46.х.х и маска 255.255.255.0, dns стоит один, провайдера.
У провайдера есть ресурсы, с адресами диапазона 10.0.x.x.
Теперь самое интересное, когда запущена Isa, и в свойствах внешнего соединения стоит внутренний адрес провайдера 10.0.x.x, а в
дополнительно оба адреса и внутренний провайдера и внешний, то видны ресурсы провайдерской сети, но нет Internet' a.
Если в в свойствах внешнего соединения стоит публичный адрес 64.46.х.х, в дополнительно оба адреса и внутренний провайдера и
внешний, то есть Internet, но не видны ресурсы провайдерской сети.
Если остановить службу Isa, не "отсоединить" сервер в консоли Isa, а остановить службу, то если в свойствах внешнего
соединения стоит внутренний адрес провайдера 10.0.x.x, а в дополнительно оба адреса и внутренний провайдера и внешний, видны и
ресурсы провайдера и есть Internet, конечно только с сервера.
Чего это за хрень такая ?
MS ISA 2004 EE Sp2
вопрос: что надо открыть чтобы заработали кошельки Яндекс-Деньги?
Я списался с их службой поддержки, они мне прислали список портов: 80,
8128, 8129, 8828. Эти я открыл: 8128, 8129, 8828. 80 итак естественно был открыт. ЕНо все равно не соединяется. Хотя в логах пишет аллоуед на всех попытках сконнектиться.
Что делать?
вопрос: что надо открыть чтобы заработали кошельки Яндекс-Деньги?
Я списался с их службой поддержки, они мне прислали список портов: 80,
8128, 8129, 8828. Эти я открыл: 8128, 8129, 8828. 80 итак естественно был открыт. ЕНо все равно не соединяется. Хотя в логах пишет аллоуед на всех попытках сконнектиться.
Что делать?
demondeimos
а соединения на 8128, 8128, 8828 не по SSL идут?
а соединения на 8128, 8128, 8828 не по SSL идут?
Цитата:
demondeimos
а соединения на 8128, 8128, 8828 не по SSL идут?
неа.
уже заработало. оказывается юзверь давно кошелек не обновлял. После 5 обновлений прога запахала.
Vxd2000
это не глюк это руки) у тебя сеть провайдера и твоя внутренняя включают друг друга, иса вообще должна была тебя обругать всеми нехошими словами за это.
это не глюк это руки
) у тебя сеть провайдера и твоя внутренняя включают друг друга, иса вообще должна была тебя обругать всеми нехошими словами за это.hardhearted как это включают ?
Там фактически три сети моя внутрення, внутренняя провайдера и Internet.
Две сетевые карты, одна "смотрит" во внутреннюю мою, скажем так, другая во внутреннюю провайдера и Internet.
Добавлено:
Так что руки тут не причем.
Там фактически три сети моя внутрення, внутренняя провайдера и Internet.
Две сетевые карты, одна "смотрит" во внутреннюю мою, скажем так, другая во внутреннюю провайдера и Internet.
Добавлено:
Так что руки тут не причем.
Vxd2000
Цитата:
Цитата:
все очевидно, первая включает вторую, ты на маски погляди
Цитата:
Пусть у внутренней, например адрес 10.1.0.х и маска 255.0.0.0
Цитата:
внутренний адрес провайдера 10.0.x.x и маска 255.255.0.0
все очевидно, первая включает вторую, ты на маски погляди
Люде - на citrix.pp.ru спрашивал - там никто внятно подсказать не может....помогите если кто вкурсе ........машине с исой стоит цитрикс (кстати стоял керио все было впоряде) ...телнетом соединяюсь извне на 1494 - получаю нормальный стандартный ответ ICA ICA ICA ICa..... а вот клиент цитрикса извне опять же говорит что мол ика броузер не вернул имя сервера...бла бла бла..... ну короче стандартно не находит сервак.... где ево побороть? ....вот мои правила
спасиб...
спасиб...
hardhearted ты в этом смысле ?
Что адрес 10.1.0.х с маской 255.0.0.0 включает 10.0.x.x и маска 255.255.0.0 ?
Тогда скажи мне, если моя внутрення, не провайдера внутренняя будет 192.168.0.1 с маской 255.255.255.0, она не будет включать 10.0.x.x ?
У меня с 192 такая же хрень была.
И как же все таки защитить Isa 2000 от компьютеров из LAT ?
Что адрес 10.1.0.х с маской 255.0.0.0 включает 10.0.x.x и маска 255.255.0.0 ?
Тогда скажи мне, если моя внутрення, не провайдера внутренняя будет 192.168.0.1 с маской 255.255.255.0, она не будет включать 10.0.x.x ?
У меня с 192 такая же хрень была.
И как же все таки защитить Isa 2000 от компьютеров из LAT ?
hardhearted все таки ты оказался не прав.
Руки тут не причем.
С маской 255.255.255 или 255.255 (с адресом 10.1.x.x) та же фигня.
Но вот если отключить IP пакетную фильтрацию (Servers and Arrays -> Мой сервер -> IP Packets Filter -> Properties -> Enable Packet Filtering) , то с сервера и с клиентов все работает (адрес 10.1.x.x, маску пока оставил 255.255.0.0) и внутрення сеть провайдера видна и Internet.
Значит нет какого - то фильтра.
Блин, какого.
Или в чем проблема ?
Добавлено:
Заработало, когда включил фильтрацию, сделал фильтр все протоколы, любое направление, в Local computer поставил external IP adress - external IP публичный, стал "виден" Internet и тоже самое, только Local Computer - external IP внутренний адрес провайдера.
То есть еще надо смотреть с interfac' ами.
В связи с этим возникает вопрос, возможно ли блокировать траффик от компьютеров в LAT, таким же образом ?
Руки тут не причем.
С маской 255.255.255 или 255.255 (с адресом 10.1.x.x) та же фигня.
Но вот если отключить IP пакетную фильтрацию (Servers and Arrays -> Мой сервер -> IP Packets Filter -> Properties -> Enable Packet Filtering) , то с сервера и с клиентов все работает (адрес 10.1.x.x, маску пока оставил 255.255.0.0) и внутрення сеть провайдера видна и Internet.
Значит нет какого - то фильтра.
Блин, какого.
Или в чем проблема ?
Добавлено:
Заработало, когда включил фильтрацию, сделал фильтр все протоколы, любое направление, в Local computer поставил external IP adress - external IP публичный, стал "виден" Internet и тоже самое, только Local Computer - external IP внутренний адрес провайдера.
То есть еще надо смотреть с interfac' ами.
В связи с этим возникает вопрос, возможно ли блокировать траффик от компьютеров в LAT, таким же образом ?
У меня следующая трабла!
Короче стоит FTP-сервер на Windows 2003 Server R2 c ISA 2006 EE!
Разрешено правило протокол FTP с определенных ip до сервера (localhost), но проблема в том, что при попытке установить соединение в активном режиме клиент фтп не получает данные... покопал в итоге нашел временное решение открыть весь траффик с 20 порта localhost на те же станции, но смысл траблы в том, что раньше при том же раскладе на isa 2004 EE работало и без этого... пускало путем, по крайней мере стандартный клиент команда ftp в винде! А сейчас без сей махинации никак... А протокола с активной поддержкой ФТП нет!
Хотелось бы решение проблемы поэлегантнее... вроде крутил с вторичными соединениями в протоколе, что-то все равно не работает... может кто встречался с сией вещью... понятно, что имеет смысл использовать пассивное соединение, но фигня в том, что встроенный клиент ftp в винду мне нужен чтобы работал, а его заставить использовать пассивное соединение не знаю как!
Буду рад на любую помощь
Короче стоит FTP-сервер на Windows 2003 Server R2 c ISA 2006 EE!
Разрешено правило протокол FTP с определенных ip до сервера (localhost), но проблема в том, что при попытке установить соединение в активном режиме клиент фтп не получает данные... покопал в итоге нашел временное решение открыть весь траффик с 20 порта localhost на те же станции, но смысл траблы в том, что раньше при том же раскладе на isa 2004 EE работало и без этого... пускало путем, по крайней мере стандартный клиент команда ftp в винде! А сейчас без сей махинации никак... А протокола с активной поддержкой ФТП нет!
Хотелось бы решение проблемы поэлегантнее... вроде крутил с вторичными соединениями в протоколе, что-то все равно не работает... может кто встречался с сией вещью... понятно, что имеет смысл использовать пассивное соединение, но фигня в том, что встроенный клиент ftp в винду мне нужен чтобы работал, а его заставить использовать пассивное соединение не знаю как!
Буду рад на любую помощь
Vxd2000
трафик можно блокировать любой)
ps а руки все таки причем, все равно ж дело в настройке оказалось)
трафик можно блокировать любой
) ps а руки все таки причем, все равно ж дело в настройке оказалось
)вот такой вопрос
есть два офиса. В головном на периметре ISA 2004. внутри почтовик(Exchange), терминальный сервер, Live comunication Server.
шлюзом на всех серверах ISA2004
в филиале на границе только Windows Server с поднятой службой RRAS
внутри шлюз у всех клиентов - сервер RRAS
задача сделать доступным ресурсы головного офиса сотрудниками доп. офиса.
из доп. офиса устанавливаю VPN до ISA 2004. он поднимается и с самого сервера RRAS все ресурсы видны. с клиентов не видны.
куда копать.
есть два офиса. В головном на периметре ISA 2004. внутри почтовик(Exchange), терминальный сервер, Live comunication Server.
шлюзом на всех серверах ISA2004
в филиале на границе только Windows Server с поднятой службой RRAS
внутри шлюз у всех клиентов - сервер RRAS
задача сделать доступным ресурсы головного офиса сотрудниками доп. офиса.
из доп. офиса устанавливаю VPN до ISA 2004. он поднимается и с самого сервера RRAS все ресурсы видны. с клиентов не видны.
куда копать.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.