» Microsoft ISA Server 2006/2004/2000 (Часть II)

ITeXPert
вообще то ты написал url а не домен, у домена не может быть подпути, тока поддомены или хосты, например *.mdaemon.com

Я сейчас в филиале, но по памяти:
При записи в руле в поле "To" Domain Name Sets
DestinationIP-каспер, Action-Initiated Connection, Rule-Update
DestinationIP-каспер, Action-Denied, Rule-нет, Client-anonymous
При записи в руле в поле "To" External все ОК
Rule создано для All Users

Добавлено:
hardhearted
Да так и созданы *.kaspersky.ru, и.т.д

А такая задачка: какое правило надо создать в ИСЕ2006, чтобы из внутренней сети могли люди устнавливать подключение по VPN во внешнюю сеть? Т.е. подключаться к какому-нить удалённому серваку? Не устанавливает чего-то ни фига сквозь ису

kaskad
Риторический вопрос

Народ скажите мну плс, я всю жизнь делал связку FreeBSD+NAT+IPFW+SQUID+SQUIDGUARD+MPD начальнику приспичело всю эту мутатень на ИСЕ... Я её в глаза не видел думаю разберусть только скажите можно на исе данную связку сделать, слышал что иса может работать или, как нат или, как прокси в месте не умеет так ли?!

Antdik
у меня адреса обновления *.kaspersky-labs.com

Pshifter
умеет

hardhearted
вПраильно ли я сделал, что задисеблил в сервис ISASTGCTRL и настроил браузер работать без прокси? вроде проскочил... но скорость все равно черепашья... уж не знаю что и делать... теперь она стабильно стала 56 килобит млин, ну что за фигня...

Dead_Moroz

Цитата:

Если у тебя 2Мб - ширина внешнего канала, то это нормально, так как при такой ширине канала максимальная скорость скачки будет в районе 240 кб/с.

это-то верно, НО у меня не килобайты!!! а КИЛОБИТЫ!!!:

Цитата:

Была 2 МегаБита, а стала по всем тестам скорости примерно от 180 килобит до 300 килобит...

теперь так вообще упала до 56, как модем обычный.... чувствую, провайдер что-то мутит, гад...

Народ, я уже писал
http://forum.ru-board.com/topic.cgi?forum=8&topic=14455&start=1660#14
про проблему с утилитой FwcCreds.exe

Кто пользовалься! Отзовитель!

Добавлено:
hardhearted

Может у тебя антивирус все время папку с кешем проверяет? Если да то поставь на нее исключение в антивире

kaskad
разреши pptp наружу
Keiichi
я для проверки предлагал вообще поставить просто комп сунуть ему "хвост" от провайдера и проверить. понятия не исею зачем ты этот сервис отключил ты хоть в курсе для чего он?
Pshifter
она многое умеет как firewall и proxy, одновременно там легко работают все 4 типа клиентов (web proxy, securenat, firewall и vpn). слабая сторона исы как и винды это роутинг, многое винда не умеет в отличие от правильных роутеров (cisco например).
а вообще зайди на офсайт да почитай что она умеет а что нет, там все нормально написано.
AvvNtl

Цитата:

Добавлено:
hardhearted

что то я не понял причем здесь я? у меня таких проблем нет, я здесь вообще уже очень давно не задаю вопросов, тока отвечаю как могу

У меня проблема следующего плана!
Настроил веб-прокси на исе! Настроил веб-чайнинг на внешний прокси!
Проблема в том, что контент идет, но идет ОЧЕНЬ медленно!!!!
Если подключаться к прокси напрямую, то все летает! В чем грабли ума не приложу!!!
В логах смотрел все путем, вначале соединение клиента с прокси, потом от имени веб фильтра соединение с внешним прокси!
И еще вопрос.... как сделать, чтобы долбаная ие автоматом авторизировалась на проксе, а то цепляется под анонимным!
Но больше беспокоит конечно, почему идет такое медленное каскадирование...
Думал проблема в аддоне по лимиту траффика, отключил, не помогло....
С этой же машины через ИЕ выходишь через внешний прокси, все летает!!!
Помогите люди добрые!!!!!!

Не кто не встречал ISA Time for Microsoft ISA Server 2004 ver. 2.0 ????
или может кто поделиться

как в исе ограничеть по времени к примеру 5 часов на весь день, про расписаения я знаю
Мне бы по времени бы ограничивать

delagen

Цитата:

долбаная ие

нормально аутенфицируется на прокси если это требует иса (то есть настройки прокси требуют либо правила файрвола)
проверь без внешней прокси, нет ли каких левых эддонов на исе, антивири, квотеры, шейперы, и загрузку самой исы (проц и винты)

hardhearted

Цитата:

ты хоть в курсе для чего он

а для чего он?
по карйней мере, после его вырубки, браузер смог ходить мимо ISA ))

Прости hardhearted
Это было в ответ на http://forum.ru-board.com/topic.cgi?forum=8&topic=14455&start=1680#9

для Keiichi

hardhearted

Цитата:

нормально аутенфицируется на прокси если это требует иса (то есть настройки прокси требуют либо правила файрвола)

Да я уже в анонимном режиме (All Users) пускаю, все равно медляк! В логах все ОК, ничего не блокируется!

Цитата:

проверь без внешней прокси, нет ли каких левых эддонов на исе, антивири, квотеры, шейперы, и загрузку самой исы (проц и винты)

Без внешней прокси проверять нет смысла, просто нет прямого доступа в инет! А так нат работает на ура!
Аддон стоял только один (BSplitter) и то я его отключать пробовал полностью с рестартом исы, все равно не помогло! Загрузка 0, винт в рейде, скорость нормальная... вообще ошибок нигде нет... запарился копать уже

AvvNtl
Спасибо!! Но антивиря нету....
кстати, я выявил причину тормозов... Если кому интересно, для будущих поколений так сказать...
В общем вся фигня была из-за установки Bandwidth Splitter 1,06 !!!
Я на него сразу подумал, но отбросил идею... потом потестировал ничего... Удалил, и о чудо! все вернулось на круги своя!
Снова установил, создал новые правила инет без ограничения... и опять резанье скорости... не пойму в чем проблема... уже отписался разработчикам.
Эх, придется без него, а вроде неплохая штука...

ХОТЯ! я заметил фальш в работе реал-time монитора!!! Он не всегда и не все соединения показывает!!! причем иногда опускает даже закачки, которые вроде как долгие по времени и нельзя сослаться на большой интервал автообновления. вот так-вот...

Добавлено:
Скажите пожалуйста, если поставить на 2 источника инета 2 ISA Server, Можно ли на них настроить распределение этих двух источников на всех остальных? И как они будут взаимодействовать при направлении запроса? По какому критерию они определяют, куда лучше направить запрос?

Keiichi
можно, изучай работу исы в массиве и nlb, в книгах и статьях на офсайте все есть

подскажите пожалуйста!

поставил ISA 2004 - настраивал оффлайн по книге, потом подключил к инету.

сначало все шустренько зачесалось и он начал раздавать инет клиентам (без файервол клиентов - просто шлюзом его прописал). потом он просто стал молчать и пропускать пинги наружу и dns запросы. при запросе, например, Яндекса стал писать, мол, к этому сайту ISA вас не пустила.. поковырял дефолтные фильтры - не помогло.

Потом обратил внимание - sql starter (или как он называется) - тот, что в трее сидит...неактивен и не имеет ни одной базы sql на борту...соответственно и не стартует.
Читал что то на тему того, что ISA отрубает инет если логи писать неуда... очень похоже на то...

Так вот, вопрос... при установке надо было чего-то с этой sql - менеджером делать ? Квик старт Шиндера на эту тему молчит... или от чего оно еще может отвалиться так намертво ? Рестарт сервака не помог.

Isa Server 2006 блокирует трафик от вижулы 2005 (Unidentified IP traffic) при попытке добавить Web Reference на службу (в Isa опубликован web site).

Как быть?

Подскажите антивирусник под ISA Server 2006 Enterprise Edition?
Нарыл Kaspesky 5.6 for ISA 2006, так он зараза не встаёт на Enterprise, может есть способ заставить? И есть ли смысл?
Пробовал ставить McAfee, так мой сервак сразу потух под этой тушей - начал тормозить не по детски, сайты банит через один, но когда он на ru-board не пустил - деинстал был неизбежен!
В середине топика заговаривали о TrendMicro, кто нить использует его и какие отзывы?
Вообще интересно какой самый популярный антивирь под ISA 2004/2006?

Юзал Avast Server Edition на ISA2004 EE, сейчас юзаю на ISA2006SE Avast Netclient (серверная часть) проблем с тормозами нет.

hardhearted
Спасибо!

ProkVS
WebMonitor от GFI

Кто может подсказать как правильно настроить правило доступа?
У меня ISA EE 2006, надо настроить подключение к внешнему почтовому серверу по 25 порту. Создал правило, позволяющее всем из внутренней сети во внешнюю подключаться по протоколу SMTP. Делаю проверку телнетом на 25 порт (telnet SERVER 25) - подключения не происходит. В журнале пишет

Время записи    IP-адрес клиента    IP-адрес назначения    Порт назначения    Используемый протокол    Действие    Правило    Код результата    Код состояния HTTP    Имя пользователя клиента    Исходная сеть    Сеть назначения    URL-адрес    Имя сервера    Тип записи журнала
29.01.2007 21:53    192.168.23.44    xxx.yyy.1.25    25    SMTP    Начато соединение    Почта Внешняя    0x0 ERROR_SUCCESS        DOMAIN\user    Внутренняя    Внешняя    -    ISA    Межсетевой экран
29.01.2007 21:53    192.168.23.44    192.168.23.32    1745    Клиент межсетевого экрана Microsoft (TCP)    Начато соединение        0x0 ERROR_SUCCESS            Внутренняя    Локальный компьютер    -    ISA    Межсетевой экран
29.01.2007 21:54    192.168.23.44    192.168.23.32    1745    Клиент межсетевого экрана Microsoft (TCP)    Закрытое соединение        0x80074e21 FWX_E_ABORTIVE_SHUTDOWN            Внутренняя    Локальный компьютер    -    ISA    Межсетевой экран
29.01.2007 21:54    192.168.23.44    xxx.yyy.1.25    25    SMTP    Закрытое соединение    Почта Внешняя    0x80074e25 FWX_E_TIMEOUT        DOMAIN\user    Внутренняя    Внешняя    -    ISA    Межсетевой экран

По http доступ во внешнюю сеть есть без проблем. А с подключением к почте правило разрешающее вроде отрабатывает, а потом какие-то проблемы с Control Channel по 1745 порту. Ошибка означает что либо сервер, либо клиент закрыл соединение при TCP RST. Вопрос в том как это лечится?
Вносит непонятность еще и то, что правило разрешающее по Radmin-у подключаться к тому же серверу прекрасно отрабатывает и никаких TCP RST не вылазит.
Кто с такой бедой сталкивался и как это лечить?

Удалил BSplitter да траффик стал через WebProxy идти пошустрее, но все равно тормоза...
Причина похоже в том, что авторизация не постоянна!!!
Короче на внутренней сети на WebProxy убрана галочка "требовать авторизации пользователя", сделано потому, что иначе не пускает просто к выделенным веб-серверам и сразу кидает на Denied!
Для доступа в инет создал правило дла определенной группы пользователей!
Вроде все логично, пользователя просит авторизоваться, причем IE проходит это через Integrated аутентификацию!
Вроде все зашибись, но как то медленно!
Стал смотреть логи... идет обращение в начале как от anonymous потом его кикает и говорит что требуется авторизация, браузер клиента тогда авторизуется и повторно запрашивает ресурс, тогда все проходит нормально, но проблема в том, что так происходит с каждым файлом (с каждой картинкой входящей в состав страницы), в итоге на эти тыркания тратится очень много времени и в итоге результирующую страницу можно получить минут через 5! Неужели браузер такой тупой, что не может постоянно держать авторизованное соединение раз уж его просят!!!
Помогите, не знаю где уже копать!

kuah
О да! Это именно то что я хотел, спасибо!
Связка ISA 2006 EE + TrafficQuota 2.2 + GFI WebMonitor 3.1.427 работает просто великолепно!!!

To All
Какие ещё есть полезные приблуды, наличие которых приносит пользу, без тормозов и глюков?

ProkVS
All ждут когда же выйдет BSplitter "без тормозов", а так у тебя есть всё что нужно

delagen
это нормальное поведение браузера by design, так должно быть. если не нравится такое поведение, то убери из настроек браузера прокси и ходи через fwc, fwc всегда аутенфицирует трафик даже когда это не требуется правилами.

Добавлено:
Sandman319
попробуй сделать это правило анонимным и отключить на клиенте fwc.

VPN Trouble:
Включил и настроил ISA сервер, создал правило, дал разрешение звонящему на дозвон, а коннекта почему-то нет =\
Ошибка 800 - не удалось создать VPN подключение
В чем проблема может быть?

hardhearted
А правило WebChaining тогда работать будет? Мне не проблема поставить везде fwc! Но нужно каскадироваться на внешний веб прокси и статистику надо нормальную... Считать на порту это не интересно! Что делать если инет мне пока через НАТ не дают (не моя проблема )!
Sandman319
Нельзя, мне нужно знать кто лезет в инет, иначе смысл всего теряется!
Мне нужна статистика по пользователям, но они у меня не привязаны жестко к одному айпи!