paranoya prod
а смысл то через другой интерфейс пускать? пусть идет через тот же что и юзера
а смысл то через другой интерфейс пускать? пусть идет через тот же что и юзера
» Microsoft ISA Server 2006/2004/2000 (Часть II)
Коллеги, подскажите плз. как разрешить синхронизацию времени с внешним источником в ISA 2004 ? настраивал по её же собственному шаблону, разрешил наружу просто все - для PDC этого мало - блокирует NTP хоть тресни. куда копать ?
Li_Support_Ltd
Гм, у меня просто прописано правило - пускать протокол NTP (UDP) из internal в external.
Правда, одна мелочь - домена у меня нет.
Гм, у меня просто прописано правило - пускать протокол NTP (UDP) из internal в external.
Правда, одна мелочь - домена у меня нет.
вот статья (источник к сожелению не помню) [more=Cинхронизация времени контроллеров д0мена с внешними источниками]
Задача
Организовать синхронизацию времени контроллеров домена с внешними источниками.
Исходные данные.
Все серверы W2K3
Схема подключения к внешней сети Internet-Router-ISA-DC.
Router управляется провайдером, доступа к настройкам нет, дополнительных ограничений по трафику на Router нет.
РЕШЕНИЕ
На ISA сервере:
Настраиваем ISA сервер на синхронизацию локального времени с внешним источником.
1. Создаём разрешающий packet filter использующий UDP, Send-Receive, remote 123, local any. (указанный фильтр позволяет внешнему адаптеру ISA сервера отправлять и принимать запросы по порту 123UDP)
. Рестартуем firewall service
3. Настраиваем параметры системы ISA сервера на синхронизацию времени с внешним источником (в качестве внешнего источника синхронизации выступает «time.nist.gov»).
Импортируем рег файл
----------------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NTP"
"ntpserver"="time.nist.gov"
"LocalNTP"=dword:00000001
"Log"=dword:00000100
---------------------------
4. Перезапускаем службу времени на ISA серврере.
Net stop w32time
Net start w32time
Проверяем
w32tm /monitor /computers:<адрес ISA сервера>
получаем что-то вроде этого
192.168.17.225 [192.168.17.225]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from local clock
RefID: time.nist.gov [192.43.244.18]
На контроллере домена:
Настраиваем параметры системы Контроллера домена на синхронизацию времени с внешним источником (в качестве внешнего источника синхронизации выступает внутренний адаптер ISA сервера
1. Импортируем рег файл
----------------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NTP"
"ntpserver"="<адрес ISA сервера>"
"LocalNTP"=dword:00000001
"Log"=dword:00000100
---------------------------
2. Перезапускаем службу времени на ISA серврере.
Net stop w32time
Net start w32time
Проверяем
w32tm /monitor /computers:<адрес ISA сервера>
Дата публикации : 05-06-2005 (Просмотров статьи : 135)
Статью опубликовал : Imperio[/more]
только 1 пункт етой статьи можно реализовать по другому (и так правильние imho)
1. system policy - network services - ntp - отметить Enable и на закладке To добавить time.nist.gov
2. firewall polisy - new rule - allow - protocol ntp & microsoft CIFS (tcp) - from dc - to Local Host
(насчет протокола microsoft CIFS (tcp) не уверен, но у меня без него не работает)
Задача
Организовать синхронизацию времени контроллеров домена с внешними источниками.
Исходные данные.
Все серверы W2K3
Схема подключения к внешней сети Internet-Router-ISA-DC.
Router управляется провайдером, доступа к настройкам нет, дополнительных ограничений по трафику на Router нет.
РЕШЕНИЕ
На ISA сервере:
Настраиваем ISA сервер на синхронизацию локального времени с внешним источником.
1. Создаём разрешающий packet filter использующий UDP, Send-Receive, remote 123, local any. (указанный фильтр позволяет внешнему адаптеру ISA сервера отправлять и принимать запросы по порту 123UDP)
. Рестартуем firewall service
3. Настраиваем параметры системы ISA сервера на синхронизацию времени с внешним источником (в качестве внешнего источника синхронизации выступает «time.nist.gov»).
Импортируем рег файл
----------------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NTP"
"ntpserver"="time.nist.gov"
"LocalNTP"=dword:00000001
"Log"=dword:00000100
---------------------------
4. Перезапускаем службу времени на ISA серврере.
Net stop w32time
Net start w32time
Проверяем
w32tm /monitor /computers:<адрес ISA сервера>
получаем что-то вроде этого
192.168.17.225 [192.168.17.225]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from local clock
RefID: time.nist.gov [192.43.244.18]
На контроллере домена:
Настраиваем параметры системы Контроллера домена на синхронизацию времени с внешним источником (в качестве внешнего источника синхронизации выступает внутренний адаптер ISA сервера
1. Импортируем рег файл
----------------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NTP"
"ntpserver"="<адрес ISA сервера>"
"LocalNTP"=dword:00000001
"Log"=dword:00000100
---------------------------
2. Перезапускаем службу времени на ISA серврере.
Net stop w32time
Net start w32time
Проверяем
w32tm /monitor /computers:<адрес ISA сервера>
Дата публикации : 05-06-2005 (Просмотров статьи : 135)
Статью опубликовал : Imperio[/more]
только 1 пункт етой статьи можно реализовать по другому (и так правильние imho)
1. system policy - network services - ntp - отметить Enable и на закладке To добавить time.nist.gov
2. firewall polisy - new rule - allow - protocol ntp & microsoft CIFS (tcp) - from dc - to Local Host
(насчет протокола microsoft CIFS (tcp) не уверен, но у меня без него не работает)
Dead_Moroz
Если не сложно - поделись экспортированным средствами ISA правилом доступа
sVx
Источник - OSzone.Net
Признаться, я в некоторой растерянности - исчерпывающей информации по данному вопросу не нашел, хотя задача, скажем, достаточно тривиальная. Опишу топологию более подробно.
1. Домен Windows 2003
2. ISA Standard 2004, входит в состав домена. Поднят DNS и зона-заглушка, форвардинг на DNS провайдера
3. 2 контроллера домена, одновременно являются серверами DNS, зоны интегрированы в AD. Форвардинг на DNS ISAS. Данная конфигурация рекомендована Шиндером (isaserver.org) как наиболее безопасная. Действительно, внутренние DNS за периметр сети запросы не посылают.
4. На рабочие станции средствами GPO установлен firewal клиент. Настроено автоматическое определение ISAS при помощи DHCP (параметр WPAD) и DNS (cname - ISAS).
5. DHCP сообщает клиентам IP, Mask и 2 DNS сервера. Шлюз НЕ назначается.
6. Используя вышеуказанную sVx статью (хоть и под ISAS 2000, принцип тот же) пробовал настроить ISAS в качестве источника времени. Интересно, что у того же Шиндера таких рекомендаций нет, что несколько странно - DNS запросы небезопасно наружу отправлять, а время оказывается безопасно. Ну да ладно.
Системную политику редактировал. Создал группу компьютеров, куда вошли:
- pool.ntp.org
- time.nist.gov
- time.windows.com
Разрешил доступ от ISAS к этой группе. На PDC - ISAS как источник. Не работает.
Пробовал разрешить ВЕСЬ траффик от вышеуказанной группы компьютеров к PDC по протоколу NTP. Не работает.
В logging пишет, что блокирует доступ по правилу Default accsess rule - то правило запрета всего траффика, которое есть сразу после установки ISAS.
Есть мысли, куда копать !?
Если не сложно - поделись экспортированным средствами ISA правилом доступа
sVx
Источник - OSzone.Net
Признаться, я в некоторой растерянности - исчерпывающей информации по данному вопросу не нашел, хотя задача, скажем, достаточно тривиальная. Опишу топологию более подробно.
1. Домен Windows 2003
2. ISA Standard 2004, входит в состав домена. Поднят DNS и зона-заглушка, форвардинг на DNS провайдера
3. 2 контроллера домена, одновременно являются серверами DNS, зоны интегрированы в AD. Форвардинг на DNS ISAS. Данная конфигурация рекомендована Шиндером (isaserver.org) как наиболее безопасная. Действительно, внутренние DNS за периметр сети запросы не посылают.
4. На рабочие станции средствами GPO установлен firewal клиент. Настроено автоматическое определение ISAS при помощи DHCP (параметр WPAD) и DNS (cname - ISAS).
5. DHCP сообщает клиентам IP, Mask и 2 DNS сервера. Шлюз НЕ назначается.
6. Используя вышеуказанную sVx статью (хоть и под ISAS 2000, принцип тот же) пробовал настроить ISAS в качестве источника времени. Интересно, что у того же Шиндера таких рекомендаций нет, что несколько странно - DNS запросы небезопасно наружу отправлять, а время оказывается безопасно. Ну да ладно.
Системную политику редактировал. Создал группу компьютеров, куда вошли:
- pool.ntp.org
- time.nist.gov
- time.windows.com
Разрешил доступ от ISAS к этой группе. На PDC - ISAS как источник. Не работает.
Пробовал разрешить ВЕСЬ траффик от вышеуказанной группы компьютеров к PDC по протоколу NTP. Не работает.
В logging пишет, что блокирует доступ по правилу Default accsess rule - то правило запрета всего траффика, которое есть сразу после установки ISAS.
Есть мысли, куда копать !?
Li_Support_Ltd
Цитата:
Нет проблем. Куда слать?
Цитата:
Гм. То есть, ты хочешь, чтобы ISA работал в качестве NTP-сервера? Я особо не заморачивался. Все клиенты ходят за временем на time.windows.com и все тут.
Добавлено:
http://www.networkdoc.ru/files/insop/win2003/read.html?816042.html
http://www.networkdoc.ru/files/insop/win2003/read.html?win32tm.html
Тут смотрел?
Цитата:
Если не сложно - поделись экспортированным средствами ISA правилом доступа
Нет проблем. Куда слать?
Цитата:
пробовал настроить ISAS в качестве источника времени.
Гм. То есть, ты хочешь, чтобы ISA работал в качестве NTP-сервера? Я особо не заморачивался. Все клиенты ходят за временем на time.windows.com и все тут.
Добавлено:
http://www.networkdoc.ru/files/insop/win2003/read.html?816042.html
http://www.networkdoc.ru/files/insop/win2003/read.html?win32tm.html
Тут смотрел?
Dead_Moroz
Да, смотрел - перепечатка оригинала с MS.
Действительно, хотелось настроить сам ISAS в качестве NTP-сервера. Как временную меру - указал на PDC адрес шлюза - синхронизация времени прошла успешно =)
Буду копать дальше.
P.S. Результатом обширного изучения документации оказался reg-файл следующего (всем рекомендую) содержания:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time]
"Description"="Maintains date and time synchronization on all clients and servers in the network. If this service is stopped, date and time synchronization will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.
"
"DisplayName"="Windows Time"
"ErrorControl"=dword:00000001
"FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,02,00,00,00,64,00,20,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Group"=""
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,00,00
"Objectname"="NT AUTHORITY\\LocalService"
"Start"=dword:00000002
"Type"=dword:00000020
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"LastClockRate"=dword:0002625a
"MinClockRate"=dword:000260d4
"MaxClockRate"=dword:000263e0
"FrequencyCorrectRate"=dword:00000004
"PollAdjustFactor"=dword:00000005
"LargePhaseOffset"=dword:02faf080
"SpikeWatchPeriod"=dword:00000384
"HoldPeriod"=dword:00000005
"LocalClockDispersion"=dword:0000000a
"EventLogFlags"=dword:00000002
"PhaseCorrectRate"=dword:00000007
"MinPollInterval"=dword:00000006
"MaxPollInterval"=dword:0000000a
"UpdateInterval"=dword:00000064
"MaxNegPhaseCorrection"=dword:00000708
"MaxPosPhaseCorrection"=dword:00000708
"AnnounceFlags"=dword:00000005
"MaxAllowedPhaseOffset"=dword:0000012c
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"ServiceMain"="SvchostEntry_W32Time"
"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,33,00,\
32,00,74,00,69,00,6d,00,65,00,2e,00,64,00,6c,00,6c,00,00,00
"NtpServer"="pool.ntp.org"
"Type"="NTP"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,9d,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
00,18,00,9d,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,21,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
"Enabled"=dword:00000001
"InputProvider"=dword:00000001
"AllowNonstandardModeCombinations"=dword:00000001
"CrossSiteSyncFlags"=dword:00000002
"ResolvePeerBackoffMinutes"=dword:0000000f
"ResolvePeerBackoffMaxTimes"=dword:00000007
"CompatibilityFlags"=dword:80000000
"EventLogFlags"=dword:00000001
"LargeSampleSkew"=dword:00000003
"DllName"="C:\\WINDOWS\\system32\\w32time.dll"
"SpecialPollTimeRemaining"=hex(7):00,00
"SpecialPollInterval"=dword:00000384
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"InputProvider"=dword:00000000
"AllowNonstandardModeCombinations"=dword:00000001
"DllName"="C:\\WINDOWS\\system32\\w32time.dll"
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Enum]
"0"="Root\\LEGACY_W32TIME\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
Да, смотрел - перепечатка оригинала с MS.
Действительно, хотелось настроить сам ISAS в качестве NTP-сервера. Как временную меру - указал на PDC адрес шлюза - синхронизация времени прошла успешно =)
Буду копать дальше.
P.S. Результатом обширного изучения документации оказался reg-файл следующего (всем рекомендую) содержания:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time]
"Description"="Maintains date and time synchronization on all clients and servers in the network. If this service is stopped, date and time synchronization will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.
"
"DisplayName"="Windows Time"
"ErrorControl"=dword:00000001
"FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,02,00,00,00,64,00,20,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Group"=""
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,00,00
"Objectname"="NT AUTHORITY\\LocalService"
"Start"=dword:00000002
"Type"=dword:00000020
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"LastClockRate"=dword:0002625a
"MinClockRate"=dword:000260d4
"MaxClockRate"=dword:000263e0
"FrequencyCorrectRate"=dword:00000004
"PollAdjustFactor"=dword:00000005
"LargePhaseOffset"=dword:02faf080
"SpikeWatchPeriod"=dword:00000384
"HoldPeriod"=dword:00000005
"LocalClockDispersion"=dword:0000000a
"EventLogFlags"=dword:00000002
"PhaseCorrectRate"=dword:00000007
"MinPollInterval"=dword:00000006
"MaxPollInterval"=dword:0000000a
"UpdateInterval"=dword:00000064
"MaxNegPhaseCorrection"=dword:00000708
"MaxPosPhaseCorrection"=dword:00000708
"AnnounceFlags"=dword:00000005
"MaxAllowedPhaseOffset"=dword:0000012c
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"ServiceMain"="SvchostEntry_W32Time"
"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,33,00,\
32,00,74,00,69,00,6d,00,65,00,2e,00,64,00,6c,00,6c,00,00,00
"NtpServer"="pool.ntp.org"
"Type"="NTP"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,9d,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
00,18,00,9d,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,21,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
"Enabled"=dword:00000001
"InputProvider"=dword:00000001
"AllowNonstandardModeCombinations"=dword:00000001
"CrossSiteSyncFlags"=dword:00000002
"ResolvePeerBackoffMinutes"=dword:0000000f
"ResolvePeerBackoffMaxTimes"=dword:00000007
"CompatibilityFlags"=dword:80000000
"EventLogFlags"=dword:00000001
"LargeSampleSkew"=dword:00000003
"DllName"="C:\\WINDOWS\\system32\\w32time.dll"
"SpecialPollTimeRemaining"=hex(7):00,00
"SpecialPollInterval"=dword:00000384
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"InputProvider"=dword:00000000
"AllowNonstandardModeCombinations"=dword:00000001
"DllName"="C:\\WINDOWS\\system32\\w32time.dll"
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Enum]
"0"="Root\\LEGACY_W32TIME\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
Li_Support_Ltd
Ну и что тут нового? Чтобы сервер времени работал, ясен пень, надо его включить. Из всей ветки, то ты привел, тебе нужны только 3 параметра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"="pool.ntp.org"
"Type"="NTP"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
Ну и порт 123-й открыть куда надо.Все.
К слову, у меня именно так и работает - шлюз (ISA2006 Std) работает сервером времени, а также кэширующим сервером DNS.
Добавлено:
Кстати, зону-заглушку не вижу смысла делать. Тебе ж просто надо запросы централизованно резолвить, так что достаточно просто сервака с корневыми DNS, без зон вообше.
Добавлено:
Не поленился и нашел в книжке по экзамену MS70-291: Stub - Contains only the resource records needed to identify the authoritative DNS servers for the zone.
Ты ж снаружи никого обслуживать не собираешься, верно?
Добавлено:
PS: Прошу не воспринимать мои слова как наезд. Я лишь хочу прояснить данный момент.
Ну и что тут нового? Чтобы сервер времени работал, ясен пень, надо его включить. Из всей ветки, то ты привел, тебе нужны только 3 параметра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"="pool.ntp.org"
"Type"="NTP"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
Ну и порт 123-й открыть куда надо.Все.
К слову, у меня именно так и работает - шлюз (ISA2006 Std) работает сервером времени, а также кэширующим сервером DNS.
Добавлено:
Кстати, зону-заглушку не вижу смысла делать. Тебе ж просто надо запросы централизованно резолвить, так что достаточно просто сервака с корневыми DNS, без зон вообше.
Добавлено:
Не поленился и нашел в книжке по экзамену MS70-291: Stub - Contains only the resource records needed to identify the authoritative DNS servers for the zone.
Ты ж снаружи никого обслуживать не собираешься, верно?
Добавлено:
PS: Прошу не воспринимать мои слова как наезд. Я лишь хочу прояснить данный момент.
Имееться
...в массиве 2 сервера ISA Server 2006, пользователи лезут в инет как WEB Proxy Client, все пользователи используют IE6
проблемка такая:
на некоторых форумах, сайтах знакомств и т.д, при субмите (отправить, send, ответить)
отправляется по 3 поста (месиджа)
Пробывал вырубать 2 ису, проблема таже.
Ктонить сталкивался с таким?
p.s
даже при посте на руборде у меня вывалевается: (нажал 1 раз, но cабмититсь несколько раз)
Флуд контроль запущен в конференции, Вам нужно подождать 10 секунд, что бы добавить сообщение.
Намите на линк ниже, чтобы вернуться и не потерять Ваше сообщение. Приносим свои извинения, но это вынужденная временная мера, нам нужно как то защищать конференцию от флуда некоторых Гостей
...в массиве 2 сервера ISA Server 2006, пользователи лезут в инет как WEB Proxy Client, все пользователи используют IE6
проблемка такая:
на некоторых форумах, сайтах знакомств и т.д, при субмите (отправить, send, ответить)
отправляется по 3 поста (месиджа)
Пробывал вырубать 2 ису, проблема таже.
Ктонить сталкивался с таким?
p.s
даже при посте на руборде у меня вывалевается: (нажал 1 раз, но cабмититсь несколько раз)
Флуд контроль запущен в конференции, Вам нужно подождать 10 секунд, что бы добавить сообщение.
Намите на линк ниже, чтобы вернуться и не потерять Ваше сообщение. Приносим свои извинения, но это вынужденная временная мера, нам нужно как то защищать конференцию от флуда некоторых Гостей
test ot karena
Поделитесь опытом... w2k3+isa2006ee
- необходимо сделать ограничение по контексту, запретить порно сайты и тп... решение запрещать сайты по url и по ip несерьезно ... на каждый мой запрет находят еще 10
... буду благодарен если поделитесь как и чем
- стоит Trafiс Quota ... все шейпиться и квотируется, как и чем сделать возможность пользователям узнать сколько трафика они уже израсходовали?
- необходимо сделать ограничение по контексту, запретить порно сайты и тп... решение запрещать сайты по url и по ip несерьезно ... на каждый мой запрет находят еще 10
... буду благодарен если поделитесь как и чем
- стоит Trafiс Quota ... все шейпиться и квотируется, как и чем сделать возможность пользователям узнать сколько трафика они уже израсходовали?
d24pWorld
Цитата:
можно конечно по сигнатурам в url, но это так же не серьезно. лучший способ это административные меры - образцово-показательное отрывание яиц. а по содержимому врядли ты нормально отфильтруешь, компы, в отличие от человека, не обладают интеллектом способным отличить достаточно размытую грань между "правильными" и "неправильными" сайтами. это по аналогии с антивирусами, им для ловли в большей части нужны базы с тысячами сигнатур (аналог ip или hostname)
Цитата:
ну это вопрос к докам по TQ, bsplitter имеет маленького клиентика для этого.
Цитата:
- необходимо сделать ограничение по контексту, запретить порно сайты и тп... решение запрещать сайты по url и по ip несерьезно ... на каждый мой запрет находят еще 10
можно конечно по сигнатурам в url, но это так же не серьезно. лучший способ это административные меры - образцово-показательное отрывание яиц. а по содержимому врядли ты нормально отфильтруешь, компы, в отличие от человека, не обладают интеллектом способным отличить достаточно размытую грань между "правильными" и "неправильными" сайтами. это по аналогии с антивирусами, им для ловли в большей части нужны базы с тысячами сигнатур (аналог ip или hostname)
Цитата:
- стоит Trafiс Quota ... все шейпиться и квотируется, как и чем сделать возможность пользователям узнать сколько трафика они уже израсходовали?
ну это вопрос к докам по TQ, bsplitter имеет маленького клиентика для этого.
... может что-либо есть в плане если на сайте мнего раз встречаются слова порно* секс* итд?
d24pWorld
Присмотрись к Surf Control.
По траффик квоте есть отдельный топик.
Цитата:
Ответ
Цитата:
Присмотрись к Surf Control.
По траффик квоте есть отдельный топик.
Цитата:
стоит Trafiс Quota ... все шейпиться и квотируется, как и чем сделать возможность пользователям узнать сколько трафика они уже израсходовали?
Ответ
Цитата:
Для просмотра статистики необходимо зайти любым браузером по адресу http://<reporting server>:5100, где <reporting server> - имя или ip-адрес компьютера с установленным модулем TrafficQuota Reporter (в случае простой конфигурации это компьютер с ISA Server). Порт 5100 используется для веб-статистики по-умолчанию и может быть изменен в настройках TrafficQuota. Также для просмотра статистики можно использовать ссылку http://traffic.isa, при этом браузер должен использовать прокси ISA Server.
При обращении к серверу веб-статистики будет произведена авторизация пользователя по одному из протоколов NTLM, Kerberos или Basic (в зависимости от возможностей браузера). Дальнейшее поведение сервера статистики будет зависеть от прав обратившегося к нему пользователя - администраторы получают доступ ко всей информации по трафику, а обычные пользователи только к своей (и плюс к тем отчетам, которые им разрешены администратором). Список администраторов может быть изменен в настройках TrafficQuota.
Как Isa2004 поставить на Fat32.
И тут Ntfs, чего им (MS) больше делать нечего, что все для Ntfs предназначать.
И тут Ntfs, чего им (MS) больше делать нечего, что все для Ntfs предназначать.
Vxd2000
Иcпользовать convert /?, затем ставить ISA
Цитата:
Да, со скуки, сначала перешли с FAT12,16 на FAT32, затем на NTFS
Иcпользовать convert /?, затем ставить ISA
Цитата:
И тут Ntfs, чего им (MS) больше делать нечего, что все для Ntfs предназначать.
Да, со скуки, сначала перешли с FAT12,16 на FAT32, затем на NTFS
Цитата:
Присмотрись к Surf Control .
MS ISA Server
MS ISA Server
Лучше к другим продуктам присмотреться....
ЗЫ: СуперСкаут это СурфКонтрол в 2002 году
Прошу вас объяснить назначение сети DMZ . Например в о фисе есть сеть с доменом ( два контроллера домена , Exchange Server , сервер с 1с , ISA Server 2004 с двумя сетевыми картами раздает инет) и 30 рабочих станций . Нужно ли ставить на ISA Server третью сетевую карту и создавать зону DMZ ? Если да , то какие из перечисленных машин должны в нее войти ? В книге Томаса Шиндлера не написано зачем надо создавать зону DMZ .
На сервере стоит ISA 2004 SP2 + MDaemon 9.51, в Исе создано правило публикации почтового сервера (на стандартных портах). В логах выдаётся сообщение:
Server publishing rule [mail SMTP Server] that maps ххх.ххх.ххх.ххх:25 TCP to ххх.ххх.ххх.ххх:25 for protocol [SMTP Server] was unable to bind a socket for the server. The server publishing rule cannot be applied.
The failure is due to error: 0x80072747
<br>Server publishing rule [mail POP3 Server] that maps ххх.ххх.ххх.ххх:110 TCP to ххх.ххх.ххх.ххх:110 for protocol [POP3 Server] was unable to bind a socket for the server. The server publishing rule cannot be applied.
The failure is due to error: 0x80072747
где ххх.ххх.ххх.ххх адрес внешнего интерфейса сервера.
Вопрос: не MDaemon - ли мешает Исе? И как от этого избавиться. Возникали ли подобные проблемы ещё у кого-нибудь.
P.S. Пересылка и приём почты работает нормально.
netstat -a ничего информативного не выдаёт, типа SMTP занят исой и ни каких проблем.
Server publishing rule [mail SMTP Server] that maps ххх.ххх.ххх.ххх:25 TCP to ххх.ххх.ххх.ххх:25 for protocol [SMTP Server] was unable to bind a socket for the server. The server publishing rule cannot be applied.
The failure is due to error: 0x80072747
<br>Server publishing rule [mail POP3 Server] that maps ххх.ххх.ххх.ххх:110 TCP to ххх.ххх.ххх.ххх:110 for protocol [POP3 Server] was unable to bind a socket for the server. The server publishing rule cannot be applied.
The failure is due to error: 0x80072747
где ххх.ххх.ххх.ххх адрес внешнего интерфейса сервера.
Вопрос: не MDaemon - ли мешает Исе? И как от этого избавиться. Возникали ли подобные проблемы ещё у кого-нибудь.
P.S. Пересылка и приём почты работает нормально.
netstat -a ничего информативного не выдаёт, типа SMTP занят исой и ни каких проблем.
Vby в смысле сначала конвертировать Fat в NTFS, потом обратно в Fat ?
Конечно со скуки, в Fat32 только улучшена поддержка разделов больших объемов, а в Ntfs, больших файлов.
Мне например, не нужны ее квотирование и т. д., кому нужно, пусть пользуется.
Но нафига делать так, что Isa ставилась туда, сделали бы только сохранение настроек там.
Конечно со скуки, в Fat32 только улучшена поддержка разделов больших объемов, а в Ntfs, больших файлов.
Мне например, не нужны ее квотирование и т. д., кому нужно, пусть пользуется.
Но нафига делать так, что Isa ставилась туда, сделали бы только сохранение настроек там.
Доброго времени суток коллеги
я вот тут в ступоре сижу.
Суть проблемы:
ИСА не хочет публиковать по протокол дефинишнам которые "Defined by User"
А публикует только которые "Defined by Isa Server"
Подробно:
Задача - опубликовать 1 сервер 10.X.X.X на внешний айпи с портом 2222 и опубликовать 2 сервер 10.Y.Y.Y на внешний айпи с портом 3333
ISA 2000
Делаем стандартно.
1. создаем в порт дефинишнз новый дефинишн, пишем туда имя first_srv порт 2222 ТСП инбаунд и оутбаунд
2. создаем в порт дефинишнз новый дефинишн, пишем туда имя second_srv порт 3333 ТСП инбаунд и оутбаунд
правило создали, всё окей. Дальше идем в сервер паблишин, делаем новое правило, пишем имя first , задаём айпи внутр и внешн, нажимаем далее и тут уже нужно выбрать по какому правилу будем публиковать, нажимаем список - а там только правила, которые вшити так сказать в ису...
Ктонить сталкивался с этим?
я вот тут в ступоре сижу.
Суть проблемы:
ИСА не хочет публиковать по протокол дефинишнам которые "Defined by User"
А публикует только которые "Defined by Isa Server"
Подробно:
Задача - опубликовать 1 сервер 10.X.X.X на внешний айпи с портом 2222 и опубликовать 2 сервер 10.Y.Y.Y на внешний айпи с портом 3333
ISA 2000
Делаем стандартно.
1. создаем в порт дефинишнз новый дефинишн, пишем туда имя first_srv порт 2222 ТСП инбаунд и оутбаунд
2. создаем в порт дефинишнз новый дефинишн, пишем туда имя second_srv порт 3333 ТСП инбаунд и оутбаунд
правило создали, всё окей. Дальше идем в сервер паблишин, делаем новое правило, пишем имя first , задаём айпи внутр и внешн, нажимаем далее и тут уже нужно выбрать по какому правилу будем публиковать, нажимаем список - а там только правила, которые вшити так сказать в ису...
Ктонить сталкивался с этим?
jankagman
Похоже на то, что ISA обнаруживает что порты заняты, что собственно нормально. Идея заключается в настройке MDaemon таким образом, чтобы он слушал только на внутреннем интерфейсе, но как альтернатива, не трожь MDaemon, а просто создай правило, разрешающее хождение SMTP и при необходимости POP траффиков из External на Localhost и наоборот. Ну понятно, что правило публикации почтового сервера просто удали. Публикация, как таковая необходима в случае, когда почтовый сервак находится или во внутренней сети, или в DMZ.
SergeyMark
Демилитаризованная зона ISA
Похоже на то, что ISA обнаруживает что порты заняты, что собственно нормально. Идея заключается в настройке MDaemon таким образом, чтобы он слушал только на внутреннем интерфейсе, но как альтернатива, не трожь MDaemon, а просто создай правило, разрешающее хождение SMTP и при необходимости POP траффиков из External на Localhost и наоборот. Ну понятно, что правило публикации почтового сервера просто удали. Публикация, как таковая необходима в случае, когда почтовый сервак находится или во внутренней сети, или в DMZ.
SergeyMark
Демилитаризованная зона ISA
Vxd2000
потому что ntfs это нормальная файловая система, а fat это убожество, все равно что windows 98 назвать операционной системой)
k06a
а зачем outbound то в протоколах для публикации? в публикации можно указывать только inbound протоколы, они собственно только для публикации и нужны
потому что ntfs это нормальная файловая система, а fat это убожество, все равно что windows 98 назвать операционной системой
) k06a
а зачем outbound то в протоколах для публикации? в публикации можно указывать только inbound протоколы, они собственно только для публикации и нужны
hardhearted суть то не в етом... он всё равно не даёт публиковать по моим правилам 
Кстати, при работе с прокси рекомендуется браузер настроить на работу с HTTP 1.1, в IE такая галочка в настройках есть "Использовать HTTP 1.1 через прокси соединение". А как это реализовать в FireFox?
hardhearted ты не прав.
По скорости работы, может они и одинаковы (почти) , но пол надежности...
Из нескольких раз восстановления раздела Ntfs (у меня и мои знакомые восстанавливали) и Fat32, соответственно соотношение примерно 80 - 90 % положительных случаев и 10 - 20 таких же случаев.
На руки, свалить не получится, так как восстанавливали разные знакомые (в том числе и "руками" в Diskedit, загруженного как раз таки с fat32) .
P.S.: Смотрел где - то тесты (не помню, где) , что Fat32 быстрее немного Ntfs.
По скорости работы, может они и одинаковы (почти) , но пол надежности...
Из нескольких раз восстановления раздела Ntfs (у меня и мои знакомые восстанавливали) и Fat32, соответственно соотношение примерно 80 - 90 % положительных случаев и 10 - 20 таких же случаев.
На руки, свалить не получится, так как восстанавливали разные знакомые (в том числе и "руками" в Diskedit, загруженного как раз таки с fat32) .
P.S.: Смотрел где - то тесты (не помню, где) , что Fat32 быстрее немного Ntfs.
enver
Цитата:
Спасибо !
Цитата:
Демилитаризованная зона ISA
Спасибо !
Vxd2000
да фат может быть быстрее, из за того что он прост и примитивен), но по надежности и безопасности фат вообще не файловая система конечно его востановить проще, просто потому что его и завалить намного проще, убить фат резетом было обычным делом а за несколько лет работыс ntfs (так же как с некоторыми юниксовыми нормальными системами) у меня убить не получалось.
PS вообще это оффтоп.
да фат может быть быстрее, из за того что он прост и примитивен
), но по надежности и безопасности фат вообще не файловая система конечно его востановить проще, просто потому что его и завалить намного проще, убить фат резетом было обычным делом а за несколько лет работыс ntfs (так же как с некоторыми юниксовыми нормальными системами) у меня убить не получалось. PS вообще это оффтоп.
Может чуток не в тему...
Ситуация следующая:
Есть фаловый сервак(держит домен Win Server 2000) и машина выполнявшая до сего момента роль файервола/почтового сервера и давала доступ в инет(Pent3 Win NT, Win Gate, MDaemon 6.2)... Сетка разрослась до 50-60 машин. Время прошло, машинка быстро умирает.
Поставили задачу обеспечить удалённый доступ к почте, лок. сетке.
Заказали два новых сервака, но почтовый будет значительно раньше. Есть ли смысл ставить почтовый (Win Serv 2003, ISA Serv 2006, Exchange 2003) раньше чем модернизирую файловый сервак? С учётом что доменное имя будет меняться и будет ставиться на файловый сервак Win 2003 Serv.
Ситуация следующая:
Есть фаловый сервак(держит домен Win Server 2000) и машина выполнявшая до сего момента роль файервола/почтового сервера и давала доступ в инет(Pent3 Win NT, Win Gate, MDaemon 6.2)... Сетка разрослась до 50-60 машин. Время прошло, машинка быстро умирает.
Поставили задачу обеспечить удалённый доступ к почте, лок. сетке.
Заказали два новых сервака, но почтовый будет значительно раньше. Есть ли смысл ставить почтовый (Win Serv 2003, ISA Serv 2006, Exchange 2003) раньше чем модернизирую файловый сервак? С учётом что доменное имя будет меняться и будет ставиться на файловый сервак Win 2003 Serv.
GliderAlex
а какая разница, иса от твоего "файловый сервак" вроде как совсем не зависит.
а какая разница, иса от твоего "файловый сервак" вроде как совсем не зависит.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.