» Microsoft ISA Server 2006/2004/2000 (Часть II)

shurshuc
а ты vpn поднял как site-to-site или просто как клиентское подключение, чтобы из допофиса клиенты ходили нужен site-to-site

Народ такая ерунда происходит не понятная ((( Никак не пойму куда копать с этим ((( дело в том что не открываются страницы SLL вообще никакие, сразу выкидывает типа сервер не найден! Что делать и куда копать не знаю ( HTTP страницы нормально открываются, а SSL нет! Что за ерунда такая?

IceFusion
логи

Вот что пишет на попытку соеденится с gmail.com там как известно ssl

Destination IP    Source Port    Protocol    Action    Rule    Client IP    Authenticated Client    
66.249.85.99    5241    HTTPS    Initiated Connection  Allow HTTP/HTTPS requests from ISA Server to specified sites    xxx.xxx.xxx.xxx        
66.249.85.99    0        Failed Connection Attempt        xxx.xxx.xxx.xxx    No    
66.249.85.99    5241    HTTPS    Closed Connection    Allow HTTP/HTTPS requests from ISA Server to specified sites    xxx.xxx.xxx.xxx        

Вот такие три записи появляются.... что за ерунда?

Цитата:

чтобы из допофиса клиенты ходили нужен site-to-site

где это настроить?
и как?

shurshuc
там же на исе или rras

hardhearted, нет в глазах.

Чтобы руки что - то делали так, надо, чтобы глаза видели.

Если не известно, глаза не увидят, руки такого могут наделать.

Вот скажи, есть порт, например TCP 6339, как мне его закрыть на Isa для компьютера с адресом 10.1.х.х, то есть для компьютера, который в Lat ?

Нужно писать правило фильтрации, что указывать в качестве интерфейса, внутренний Isa, тот который в Lat, что указывать в качестве Remote Computer, компьютер из Lat ?

Народ почему иса так колбасит SSL соединения?

Цитата:

shurshuc
там же на исе или rras

Я тоже так думаю что где то там это должно быть
только вот где конкретно...

Народ такая ерунда происходит не понятная ((( Никак не пойму куда копать с этим ((( дело в том что не открываются страницы SLL вообще никакие, сразу выкидывает типа сервер не найден! Что делать и куда копать не знаю ( HTTP страницы нормально открываются, а SSL нет!
Вот что пишет на попытку соеденится с gmail.com там как известно ssl

Destination IP Source Port Protocol Action Rule Client IP Authenticated Client
66.249.85.99 5241 HTTPS Initiated Connection Allow HTTP/HTTPS requests from ISA Server to specified sites xxx.xxx.xxx.xxx
66.249.85.99 0 Failed Connection Attempt xxx.xxx.xxx.xxx No
66.249.85.99 5241 HTTPS Closed Connection Allow HTTP/HTTPS requests from ISA Server to specified sites xxx.xxx.xxx.xxx

Вот такие три записи появляются.... что это такое.... Зачем он по Системному правилу это событие обрабатывает?

Vxd2000
я с иса 2000 не работал, поэтому где там конкретно надо писать я не знаю, в иса 2004/2006 это зовется firewall policy, и в этих полиси можно писать любые правила, по умолчанию иса запрещает все кроме разрешенного, т оесть если не разрешать твой 6339 то он будет запрещен по умолчанию

Вопрос из разряда теоритических - если есть несколько офисов, объединенных между собой через Инет, все ISA-серверы находятся в доном домене/ферме. Вопрос звучит так - при выходе из строя одного из серверов ISA необходимо будет настравать разрешения/правила заново? Или все настройки хранятся в единой базе для всех серверов фермы?

Можно ли переконвертировать формат логов ИСЫ 2006 из по умолчанию (mdf) в w3c?
Если да, то каким образом?

Подскажите, пожалуйста, как настроить ISA 2004, чтобы можно было не только обмениваться сообщениями, но и посылать файлы с помощью ICQ.
Проблема в следующем:
Когда тот, кому отправляют файл, пытается его принять, у того, кто отправляет, появляется сообщение "Невозможно установить одноранговое соединение с этим пользователем". У пользователя, который находится внутри сети за сервером с ISA, установлена ICQ 4.1 Lite, в настройках которой: "login.icq.com:5190, без брандмауэра". У него установлен Microsoft Firewall Client for ISA Server 2004. На сервере с ISA в разрешающем правиле Firewall Policy добавлена ICQ 2000 с портом 5190 TCP Outbound. У пользователя, который находится снаружи, установлена ICQ 5 Lite, подключение напрямую и он не может обмениваться файлами через ICQ только с нами. Подскажите, пожалуйста, что и как настроить для отправки и приема файлов с помощью ICQ через ISA 2004.

Все. Проблема была решена установкой новой версии ICQ (5.10)

Хотел удалить этот вопрос, но кнопки "удалить" нет, поэтому пишу объяснения.
У пользователя снаружи была не 4 версия ICQ, а 5-ая. Я сначала поставил тоже 5 -ю версию, но настроил ее неправильно, через HTTP. В результате ICQ ни только не отправляло файлы, но и переодически самопроизвольно отключалось. Поставил 4.1, но эта версия, даже правильно настроенная (В настройках: не использовать брандмауэр (т.к. установлен Firewall Client), не работала с файлами. Т.о. поставил опять пятую, указал не использовать брандмауэр, и теперь файлы нормально отправляютсяя и принимаются...

hardhearted
Не подскажешь что это могет быть?

hardhearted в Isa 2000 тоже все запрещено, кроме того, что разрешено.
Только для внешнего интерфейса.

Коллеги, подскажите, уже какие-нибудь приблуды вышли для Microsoft ISA Server 2006 от сторонних производителей?

PIL123
смотря что тебе надо

hardhearted
Огласите весь список пж-та.....
Я же не спрашиваю "что вышло для ISA 2006 для фильтрации контента", например. Я спрашиваю что есть?

Народ такая ерунда происходит не понятная ((( Никак не пойму куда копать с этим ((( дело в том что не открываются страницы SLL вообще никакие, сразу выкидывает типа сервер не найден! Что делать и куда копать не знаю ( HTTP страницы нормально открываются, а SSL нет!
Вот что пишет на попытку соеденится с gmail.com там как известно ssl

Destination IP Source Port Protocol Action Rule Client IP Authenticated Client
66.249.85.99 5241 HTTPS Initiated Connection Allow HTTP/HTTPS requests from ISA Server to specified sites xxx.xxx.xxx.xxx
66.249.85.99 0 Failed Connection Attempt xxx.xxx.xxx.xxx No
66.249.85.99 5241 HTTPS Closed Connection Allow HTTP/HTTPS requests from ISA Server to specified sites xxx.xxx.xxx.xxx

Вот такие три записи появляются.... что это такое.... Зачем он по Системному правилу это событие обрабатывает?

PIL123
я что справочная чтоли, такого списка не существует это миф
знаю что bsplitter для isa 2004/2006 есть

Добавлено:
IceFusion
а зачем это 3 раза подряд писать? раз обрабатывает значит этот коннект под это правило подходит

Кто-нибудь сможет помочь в воплощении желания, советом, ссылкой?

Необходимо писать логи ISA в базу SQL на другом компьютере, но не через сетевой интерфейс, через который ломятся юзеры, а через третий, который так же локальный. И чтобы SurfControl так же на свою базу ломился через этот, третий интерфейс.
То есть:
Комп: ISA Server+SurfControl
1. сет. интерфейс (внешний) - 10.1.1.1
2. сет. интерфейс (внутренний, для юзеров) - 192.168.1.1
3. сет. интерфейс (внутренний, для обращения к SQL серверу) - 192.168.1.5

Комп: SQL Server
1. сет. интерфейс (внутренний) - 192.168.1.4

Все внутренние кабели воткнуты в один коммутатор, если вдруг кому интересно.

Как сказать компу с ISA, что нужно юзать другую сетевуху для логов?

paranoya prod
для начала выделить для каждого сетевого интерфейса разные подсети

hardhearted
Этот коннект не подходит под это правило уже потому что он не идет на какой либо сайт Майкрософт! Он должен обрабатывать это событие по правилу которое создал я , и раньше он его так и обрабатывал, а теперь на попытку соединения SSL он выдает три записи в лог... сначала пишет что Opened Connection потом Failed а потом Close - это какой-то глюк, а как его лечить я не знаю! Да кстати даже когда это правило отключено он все равно ведет себя так же!

paranoya prod
можешь еще попробовать на исе
route add -p 192.168.1.4 mask 255.255.255.255 192.168.1.5 metric 1 if номер_интерфейса
сам не пробовал но по логике должно сработать
IceFusion
рестарт сервиса пробовал?

Нет не пробовал, но думаю не поможет, хотя не уверен!

IceFusion
не зарекайся, у меня у самого в удаленном офисе паблишинг перестал вдруг работать, тамошние админы тока через неделю заметили и мне сообщили, я проверял проверял, по логам бред полнейший, нажал рестарт сервиса и все поехало само собой

неа пока не помогло но щас косячок нашел может из-за этого?
Да!!! Все заработало, у меня галочка стояла на протоколе HTTPS использовать WebProxy фильтр, но дело в том что я её не ставил и вообще там не лазил, сервак уже несколько месяцев стабильно работает откудва там появилась галка я так и не понял!

Итак проблема:
1. manual backup настроек ISA2004
2. External network OFF
3. Install ISA2006

далее не стартует сервис с ошибкой (ID 14060):
ISA Server could not load the application filter FTP Access Filter ({680A928F-22B3-11D1-B026-0000F87750CB}). FilterInit failed with the error code 0x800401f3. To attempt to activate this application filter again, stop and restart the Firewall service.
- запрещаю этот фильтр.

Далее тоже самое, но уже "ругается" на DNS Filter.

- запрещаю и этот фильтр.

И только после всего этого начала работать...

tcup
У меня SQL рабочий, к нему еще другие серваки ломятся за своими данным. Хотелось-бы обойтись без новых подсетей.