» Microsoft ISA Server 2006/2004/2000 (Часть II)

delagen
ну если нужны web proxy тогда смирись с тем что запросы всегда вначале анонимные. так должно быть и ты этого не исправишь.

В логах все время Failed Connection Attempt на 1723. Из-за чего вообще коннект может не проходить? Все вроде настроено как надо... полтергейст какой-то.

Парни хелп возможно ли на 1 ISA 2004 или 2006 настроить несколько инет каналов? Реально есть 3 инет канала с разными IP возможно все это настроить на 1 Исе или ставить 3 шлюза что согласитесь не совсем хочется. Лишнее железо и лишние проблемы.

vharlamov
нельзя,
если только попробовать посмотреть что нить типа rainconnect

Всем здравия!

Подскажите пожалуйста, как включить в ISA2006 EE такую штуку чтобы нельзя было входить с одним и тем же паролем нескольким людям?
Чуть конкретнее - публикуется веб-сайт, но доступ к нему запаролен, не хочу чтобы пользователи ходили с одним логином/паролем или раздали или ещё что.
Я так мыслю что дело в сессиях, лопачу мануал, но если кто-то подскажет - был бы очень и очень признателен

Большое спасибо в любом случае.

C001er
думаю что никак, ибо это бред

C001er
Тут вопрос скорее не Isa. В твоем случае на домен контроллере групповыми политиками разрешить только монопольную авторизацию. ISa в этом случае должна быть завязана на домен.

Вариант номер 2. Так как он у тебя публикуемый, то авторизация на веб сервере с привязкой по Ip.

hardhearted
Так разрешил я pptp - один чёрт не работает. Так бы не спрашивал.

Установил ISA 2006 на DC
перестали применятся доменные политики.

понимаю, что он какой-то протокол закрыл, а какой ...

подскажите куда ткнуть плиз

Доброго дня всем!

Проблема такая:
есть два сервера DC и ISA 2000 оба на W2k AS , клиентские компы на W2k.
На вновь введеных в домен машинах одна из терминальных программ не может выйти в интернет, хотя на уже работающих компах все в порядке.
Клиет ISA установлен, выход в инет с IE есть.
Уже не знаю где копать, подозреваю что какие то настройки на проксе не обновляются, но какие и где?

hardhearted

Я это к чему - вот здеся http://www.internetaccessmonitor.com/rus/support/docs/isaserver/CMT_RealTime.php
косвенно напысано, что можно разграничивать сесси при авторизации.
Токмо не шибко понятно как 8|

mecong
в логи смотри, или разреши весь трафик между localhost и internal

Добавлено:
C001er
нигде в этой статье не указано об ограничении сессий. во вторых у тебя где клиенты авторизуются: на исе или все таки самом веб сервере? в сессиях они как светятся?

hardhearted

Цитата:

в логи смотри, или разреши весь трафик между localhost и internal

фишка в том что я изначально разрешил любой траффик в во сех сетях
+ убрал фильтры на RPC

Доброго времени суток!
Помогите! Ситуация следущая: имеется Kerio Winroute Firewall 6.0.1 который стоит на DC (что уже не хорошо). Хочу поставить ISA 2006 SE RUS на отдельную машину. Отсюда возникает несколько вопросов можно ли встроенными инструментами ISA:
1. ограничивать трафик пользователям.
2. блокировать определенный контект (медиа, архивы...).
3. запретить определенные сайты (например порно, знакомства, чаты...).
4. анализировать кто и как тратит трафик и рабочее время.
Или для этого нужны программы сторонних разработчиков. Тогда, какие и кто что посоветует (желательно в двух словах описать чем лучше или хуже та или иная программа).
Заранее огромное спасибо!

Sergey Bazylev
2,3 и частично 4 можно
1 квоты и шепинг левыми эддонами
остального в двух словах не расскажешь.

hardhearted

Цитата:

частично 4 можно

А это что ты имеешь ввиду? WinRoute Spy могёт. Главное, авторизоваться всех заставить и всё ок будет.

kaskad
имею ввиду что логи у исы пишутся все независимо от того как ты кого авторизуешь, просто встроенные возможности отчетов скудноваты, лучше юзать другие лог-аналайзеры или вообще свой сделать, благо дело на веб+sql это не сложно

hardhearted

Цитата:

благо дело на веб+sql это не сложно

Это если умеючи.

Кстати, такой вопрос: ISA поддерживает авторизацию пользователей по протоколу kerberos. А это как выглядит-то ваще? Т.е. пользователь должен логин-пароль вводить или как? Мне бы ссылочку на мануальчик по настройке этого типа авторизации. Заранее пасип.

kaskad
для начала найди в толковом словаре разницу между авторизацией и аутенфикацией.
там ничего настраивать не надо, нормальные бразуеры это умеют, integrated authentication в настройках proxy на исе и все (включена по умолчанию). мануальчиков десятки на офсайте. и во всех книгах описано все, и даже в хелпах.

hardhearted


Цитата:

для начала найди в толковом словаре разницу между авторизацией и аутенфикацией.

Ну хоть бы ссылку дал, а то ответ не полный совсем

Авторизация — процесс, а также результат процесса проверки необходимых параметров и предоставление определённых полномочий лицу или группе лиц на выполнение некоторых действий в различных системах с ограниченным доступом.

Аутентификация (англ. Authentication) или подтверждение подлинности — процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации, в простейшем случае — с помощью имени и пароля.

Как минимум, НУ ОЧЕНЬ близкие понятия.

И не помешало бы ну хотя бы пару ссылок на мануалы, если их десяток. Мне врождённая глупость, видимо, не позволяет.

Заранее спасибо за ответ.

kaskad
http://www.microsoft.com
http://c-books.info/books/news5.php/2006/01/28/isa-server-2004-2.html

Цитата:

1 квоты и шепинг левыми эддонами

Просто неверится, что в такую мощную программу как ISA не смогли довавить сколько пользователь Хбайт может получать / отправлять в день или другой период времени.

Кстати что посоветуете из аддонов, для решения этой промашки MS?

Sergey Bazylev в тех местах, где используется "такая мощная программа как ISA" обычно не стоит задача считать трафик
по крайне мере у меня основная задачи ISA - органичение/разграничение доступа в интернет и обратно + пуликация внетрених ресурсов.
а заморачиваться с тем сколько мегабайт кто скушал - есть биллинговые системы или просто прокси сервер с учетом трафика.

про аддоны много писали.
одно скажу - все они работают либо коряво, либо медленно
и если уж будешь их использовать - не вздумай покупать, так как жалко денег будет

weerkostya

Цитата:

одно скажу - все они работают либо коряво, либо медленно

Не смог удержаться, отвечу
Не правда. TrafficQuota версий 2.1 или 2.2 работают на ура. Точно. Не у меня одного.

Вопрос таков: стоит ISA 2000 sp2
но некоторые сайты упорно не хочет открывать выдавая:
HTTP 502 Proxy Error -
The ISA Server denies the specified Uniform Resource Locator (URL). (12202).
Микромягкие пишут что надо просто sp2 поставить и ок, но не пашет однако(

Кто-нить сталкивался?

hardhearted

Я покачто только продумываю систему.
Авторизации на опубликованном веб-сервере нет... и этот сервер на апачах работает.
Технически возможно перевести его на IIS...много будет гемора, но если не будет иного выхода - придётся (если это, конечно, решит проблему с авторизацией (точнее - аутентификацией)

В логах почему-то отображаются только IP адреса, имен пользователей всего несколько видно. Почему так происходит?

C001er
вот теперь если подумать немного, то выходит что юзер авторизуется на веб сервере, а колво сессий ты хочешь ограничить на исе, спрашивается откуда исе знать по каким юзером клиент полез на web сервер если проверка происходит на веб сервере а не на исе

Добавлено:
Sergey Bazylev
isa позиционируется как корпоративный файрвол/прокси, а в корпоративных сетях никто не ограничивает трафик ни по скорости ни по обьему, только считают, считать на исе можно все. шейпинг и квоту можно делать левыми плагинами
еще превентивно отвечу на некоторые глупые вопросы
1. иса не роутер, вернее она роутер но только на уровне винды, то есть примитивный роутинг со статической маршрутизацией, только destination based (забудьте а таких понятиях как разные маршруты для разных клиентов и протоколов)
2. как следует из первого, одиночная иса общем случае не работает с несколькими isp, ни в балансировке, ни в резервировании (последнее можно сделать своим скриптом). единственное что можно это указать только маршруты для конкретных сайтов/адресов.
3. паблишинг работает только снаружи во внутрь, то есть сделать так чтобы клиент из локалки коннектился на какой то порт исы а она его перекидывала на другой внешний сервак (с точки зрения здравого смысла абсолютно бредовая затея) нельзя.

Добавлено:
Infected Switch
имена в логах будут только для web proxy и firewall клиентов. причем первые тока в случае если требуется аутенфикация (в настройках прокси или правилами)

hardhearted
В свойствах Web Proxy поставил галочку Require all users to authenticate - все заработало, но у некоторых пользователей теперь появляется окно с запросом пароля... это как-то лечится?

Infected Switch

Firewall Client установи на клиентских машинах