» Microsoft ISA Server 2006/2004/2000 (Часть II)

Internet Access Monitor for ISA
я удолетворен во всех отношениях. select из SQL тоже хорошо, но не для всех
плюс на лицензинное ПО SQL денег не хватит
Всем спасибо

Keiichi
Я не пользуюсь FirewallClient'ом по ряду причин.

Как настроить SOCKS & нестандартные SSL порты?

hardhearted
Как перенести расположение логов?

hardhearted
так правило создал,,,в сетевом окружении появились,,,но не зайти не пингануть не могу
???

Может повторяюсь, сильно ногами не пинайте
У мня 2 вопроса:
1. Возможно ли мигрировать с 2000 на 2004-2006 без переписки правил в ручную ?
2. У меня почему то сервер не всегда корректно считает трафик

SurFicE
1. http://www.microsoft.com/technet/isa/2006/upgrade_guide_se.mspx
2. А у меня почему-то вообще не считает трафик. Наверное, потому, что он этого не умеет. (встроенные reports не в счет).

andycpp
1) да иса является socks4 (порт 1080 по умолчанию) прокси без аутенфикации, то есть только анонимный трафик
есть платные эддоны socks5 с аутенфикацией юзера
2) офсайты религия не позволяет посещать?
http://support.microsoft.com/default.aspx?scid=kb;en-us;283284
Keiichi
fwc для socks4 прокси не нужен, fwc сам работает на winsocks но путать эти два вида клиентов не надо.

Цитата:

Если на одном источнике инета стоит ISA а на другом источнике другая прокси попроще? Возможно ли на ISA настроить маршрутизацию?

что ты имеешь ввиду под маршрутизацией? если обычную ip маршрутизацию то иса не роутер и вся маршрутизация работает через винду, то есть route add и вперед
если хочешь именно web proxy кидать дальше то в исе есть web chaining, которая позволяет прокси запросы кидать на другую проксю.

Цитата:

Чтобы кидал на другой инет, если основной перегружен?

есть, называется две исы в массиве с балансировкой )
andreshirshov4
в полях uri и desthost имена хостов будут только для webproxy клиентов, securenat firewall и vpn клиенты в логи пишут ип, а тупой иам всего лишь анализатор этих логов. если хочешь в поле uri увидеть то купи и поставь loghostname add-on от левого производителя

Добавлено:
Infected Switch
а хелпами пользоваться вообще пробовал? прежде чем задать тупой вопрос открываешь help набираешь слово logs и там тебе все на пальцах расписано.

Вопрос:
Как в исе опубликовать Citrix Metaframe server-----пробовал через "опубликование не веб серверов",,,так там нет протокола ICA,,,,создал свой на портах 1494-tcp и 1604-udp,,,,всё равно не пашет,,,,может кто сталкивался с такой проблемой?

timsson

Цитата:

Troubleshooting ICA 32-bit and Web Client Connectivity Issues
CTX075552
The Ports required to be Opened for Connectivity Through Firewalls and
Routers:
TCP port 1494 (the default ICA port, this can be changed if necessary)
TCP port 443 (if the SSL Relay Service is used for ICA connections and
SSL+HTTPS browsing)
If the Citrix SSL Relay service is used for ICA connections, TCP port 443
is the only port that needs to be open.
TCP port 80 (if NFuse or TCP+HTTP browsing is used without SSL Relay)
For more information about browsing for servers and published applications
with the Citrix XML Service, review Page 50 of the Citrix MetaFrame XP
Application Server for
Windows Administrators Guide.
UDP port 1604 for TCP browsing.(if NFuse or TCP+HTTP browsing is not being
used)
If NFuse is used, the only required ports are TCP 80 to the NFuse web
server (or 443 if SSL is used to secure your web server) and TCP 1494 to
the MetaFrame server(s).
Port 1023 and above (The High Ports) are opened for TCP and UDP
outbound(if tcp/ip browsing is used).
For more information regarding TCP/IP Port numbers, please refer to the
Microsoft article Q174904.
Also, make sure that the correct Alternate addresses are configured on the
Firewall or Routers.

Твое?

Коллеги, подскажите плиз, может кто-то сталкивался с этим, и подскажет что-либо по моему вопросу...
Есть две прокси с ISA2006EE и настроенными публикациями двух FTP на них (к одной прикручен 1, ко 2ой - соответственно другой)
Прокси собраны в кластер виндовой WLBS (запросы от пользователей падают на ай-пи кластера, а прокся сама разбирает, кто запрос будет обрабатывать)
При подключении к этим FTP "снаружи" особых проблем не возникает, но при подключении из внутренней сети вылезает такой косяк... Сессия пользователя установлена, скажем, со вторым прокси, при подключении к серверу, опубликованному на ней же, вылезет ошибка:
"ISA Server: extended error message :
200 Type set to A.
500 Invalid PORT Command."
а при подключении к серверу опубликованному на первой проксе, всё нормально... Чё за бок - непонятно...

Parteigenosse
Либо отказываться от пассивного режима ФТП-сервера, либо открывать дополнительные порты для соединений (обычно 20-й исползуется, но вроде в самом ФТП должно настраиваться)

Parteigenosse
Самое простое: подключаться к фтп-серверам изнутри по внутренним адресам (соответсвенно сами фтп-сервера должны мэпиться и на внешний, и на внутренний интерфейсы. При необходимости, добавить прослушиваемые порты на внутреннем ip).

KocmonpaB
если честно я ничё не понял из этого??!!!

timsson

Цитата:

если честно я ничё не понял из этого

Возникли сложности с переводом или осознанием переведённого текста?

timsson
создай протокол (допсутим Citrix Server) и запихай в него все порты, которые дал KocmonpaB
затем публикешь его и радуешься

Мдя.......много вопросов у меня накопилось по ISA в условиях не совсем стандартной сети.
Немного о структуре сети: Сеть состоит из 4-х VLAN'ов (172.16.х.х; 172.17.х.х; 172.18.х.х; 172.19.х.х). VLAN 172.16.х.х (Общий) имеет двустороннюю связь с остальными VLAN'ами. Все остальные VLAN'ы имеют связь только внутри себя, а также двустороннюю связь с Общим VLAN'ом. Рулит VLAN'ами коммутатор 3COM 5500. Каждый VLAN имеет Default Gateway 172.X.0.10 (где X = 16, 17, 18 и 19 соответственно) и это физически коммутатор 3COM 5500. На коммутаторе Default Gateway = 172.16.0.11 - внутренний интерфейс ISA 2006. Внешний интерфейс ISA попадает в DMZ и имеет следующие TCP/IP настройки:
---
IP-адрес: 10.0.0.10;
Маска: 255.255.255.0;
Default Gateway: 10.0.0.1
---
Default Gateway ISA сервера нацелен на CISCO Pix. Между двумя CISCO Pix настроен VPN-тоннель. Вот теперь у меня вопрос: Как мне соединить 172.16.х.х и 172.17.х.х сети (VLAN'ы) с этим VPN-тоннелем?

Дополнительная информация:

route print с ISA:

Код: IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 04 23 d2 a2 e8 ...... BASP Virtual Adapter #2
0x10004 ...00 14 5e 7f 0a 12 ...... BASP Virtual Adapter
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.0.1 10.0.0.10 20
10.0.0.0 255.255.255.0 10.0.0.10 10.0.0.10 20
10.0.0.10 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.0.0.10 10.0.0.10 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.16.0.0 255.255.0.0 172.16.0.11 172.16.0.11 10
172.16.0.11 255.255.255.255 127.0.0.1 127.0.0.1 10
172.16.255.255 255.255.255.255 172.16.0.11 172.16.0.11 10
172.17.0.0 255.255.0.0 172.16.0.10 172.16.0.11 1
172.18.0.0 255.255.0.0 172.16.0.10 172.16.0.11 1
172.19.0.0 255.255.0.0 172.16.0.10 172.16.0.11 1
224.0.0.0 240.0.0.0 10.0.0.10 10.0.0.10 20
224.0.0.0 240.0.0.0 172.16.0.11 172.16.0.11 10
255.255.255.255 255.255.255.255 10.0.0.10 10.0.0.10 1
255.255.255.255 255.255.255.255 172.16.0.11 172.16.0.11 1
Default Gateway: 10.0.0.1
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
172.19.0.0 255.255.0.0 172.16.0.10 1
172.18.0.0 255.255.0.0 172.16.0.10 1
172.17.0.0 255.255.0.0 172.16.0.10 1

Привет Всем..
кто нибудь сможет порассуждать на тему
"Automatic backup/restore isa to xml"
Рассказываю смысл:
контора сидит на 2х каналах (дорогой) и (анлим)
хочу ночью подгружать одну конфу утром другую...
(так как на web chaining нету time profiles)
Да и автоматом xml сваливать куда-нибудь на файло не помешало бы....

Не знаю, может кто сталкивался с такой проблемой: у меня стоит ISA 2006, подключенный к Интернет через ADSL PPoE и у него периодически перестают работать правила публикации сервера. Т.е. даже в логах не написано, что правило отвалилось, просто нельзя подключиться к серверу извне и все. Изнутри выход в Интернет через сервер идет без проблем.

Лечится перезапуском файерволл-службы или сервака целиком. Но напрягает, поскольку случается часто - раз-два в неделю. Стоял ISA 2004 - та же проблема. Новую исашку поставил на новый компьютер, аппаратные проблемы исключены.

На isaserver.org видел похожие жалобы, но там Шнайдер ответил "да есть такая трабла, просто не используйте подключение через PPoE". По понятным причинам мне такой "рецепт" не подходит.

Может кто сталкивался и знает как лечить? Буду очень признателен за советы

У меня такая же ерунда... я так и не понял как открыть порт для ftp... ( у мене такое же

сообщение :
ISA Server: расширенное сообщение об ошибке :
200 Type set to I.
500 Illegal PORT Command)...
как решить эту проблему из ваших слов я не понял...!!!

PIL123
по поводу впн тунеля все просто, на исе эти сети (172.16 и 172.17 а также ту что находится за вторым пиксом) выдели в subnet'ы, проставь route между этими subnet и на пиксах настрой тунель чтоб он эти сети пропускал.
насчет первого алерта не совсем пойму, вроде все ок, может он тока один раз появился ?(такое бывает в процессе настройки)
второй часто при рестарте появляется, в принципе ничего страшного в нем нет, обычно после него бывают сообщения что все проинициализировалось. как лечить тебе там написали.

Здравствуйте!
У меня вопросик - как можно отследить нагрузку на канал определенного пользователя в real-time?
Вот к примеру: в add-on bsplitter умеет очень наглядно показать в реале, какой пользователь с какой скоростью орудует инетом.
НО, он очень нагружает систему И появляется неустойчивость, увы...

Есть ли возможность реализовать нечто подобное средствами Perfomance (средствами WIndows 2003 EE)?

Keiichi
через perfomance юзера ты не отследишь. всю нагрузку можно.

hardhearted
т.е. правильно ли я тебя понял, что нужно создать два объекта типа "Network":
один объект внутрь которого положить диапазон: 172.16.0.0-172.17.255.255 - для дальнейшего моего понимания я его назову "Our Network". И второй объект внутрь которого положить диапазон сети, который находится за вторым (удалённым) пиксом - для дальнейшего моего понимания я его назову "Other Network". И создать объект типа "Network Rule" следующего характера:
---
Source Networks: Our Network;
Destination Networks: Other Network;
Network Relationship: Route.
---
?

Пытаюсь создать первый объект типа "Network", а он мне вот это пишет:

Что делаю нет так?

PIL123
ты читал то что я писал? я писал subnet а не network, не путай теплое с мягким
тебе он все прально отписал, ибо этот диапазон у тебя уже давно включен в internal (англо-русский словарь поставь и переводи что тебе пишут, там все понятно)

hardhearted
Тогда напиши, пожалуйста, где его - этот subnet в ISA выделять?

PIL123
я не хелп и не учебник, открываешь консоль исы, хелп и пишешь там в поиске subnet
уж такую элементарную операцию даже секретарша тупая способна сделать без подсказок

hardhearted, ну ладно, друг, что ты нервничаешь сразу - ночь не спал - туго соображаю. Извини за тормаза. Сделал я сабнеты, как ты писал выше. Кстати ещё такой вопрос: если я знаю определённый диапазон адресов (на другой стороне) для коннекта по VPN-тоннелю, то могу использовать вместо Subnet'ов Address Ranges? После этого я создаю правило "Network Rule" такое как описывал выше в своём посте четырьмя постами выше?

PIL123 Мое почтение !
Cлушай к тебе по поводу вланов в асю стукануться можно ?

PIL123
можешь там что угодно создавать
ps я сам не спал всю ночь, ненавижу поезда

Здравствуйте!

Никто не сталкивался с таким багом на ISA Server 2006 - понижение скорости закачки. Начинает она со 150 килобайт/сек, и постепенно спускается до 30-40 килобайт/сек, в течение 10 минут...

В чем проблема может быть?