FuadG
О какой хитрый перец!
Стоит конечно!
О какой хитрый перец!
Стоит конечно!
» Microsoft ISA Server 2006/2004/2000 (Часть II)
Infected Switch
эта глака необязательна, ее можно снять но правила для доступа к вебу сделать не для all users а для любой другой группы, например по умолчанию там есть all authenticated. если в правиле ее сделать то аутенфикация будет требоваться
эта глака необязательна, ее можно снять но правила для доступа к вебу сделать не для all users а для любой другой группы, например по умолчанию там есть all authenticated. если в правиле ее сделать то аутенфикация будет требоваться
hardhearted
У меня в нэт ходит своя группа, но как-то без аутентификации =\
Добавлено:
Уточнение нашлось - запрос аутентификации только у клиентов второй подсети, находящейся за шлюзом.
У меня в нэт ходит своя группа, но как-то без аутентификации =\
Добавлено:
Уточнение нашлось - запрос аутентификации только у клиентов второй подсети, находящейся за шлюзом.
Дано:
Сеть без PDC, без внутреннего DNS и DHCP.
Требуется:
Установить ISA 2006 SE (функции - брэндмауэра с VPN-доступом).
Вопрос:
Обязательны ли службы DNS и DHCP на сервере ISA 2006 SE?
Возможен ли вообще такой вариант установки?
Сеть без PDC, без внутреннего DNS и DHCP.
Требуется:
Установить ISA 2006 SE (функции - брэндмауэра с VPN-доступом).
Вопрос:
Обязательны ли службы DNS и DHCP на сервере ISA 2006 SE?
Возможен ли вообще такой вариант установки?
kazavo4ka
Цитата:
И до какого количества клиентов TQ нормально работает "не у тебя одного"? до 30? до 40?
После 100-150 одновременных сессий начинается 100% загрузка процессора процессами TQ. К слову скажу, что процессоры у меня не селероны
К тому же в отличие от исы траффик квота тупо не умеет работать на многопроцессорных системах
В смысле работать то она работает - деватся некуда. Но как и любое другое "тупое" приложение больше одного процессора юзать не умеет.
А если шейпер включить - дык совсем плохо становится после 70 подключений
Полностью соглашаюсь со словами hardhearted - иса сделана для корпоративных целей и основная цель ее работы- разграничение доступа, а не маршрутизация или учет трафика.
Добавлено:
KLOPs я бы сказал наоборот - наличие DNS и DHCP на компьютере с исой не рекомендуется. так же не рекомендуется ставить ису на контроллер домена, сервер терминалов.
Цитата:
Не смог удержаться, отвечу
Не правда. TrafficQuota версий 2.1 или 2.2 работают на ура. Точно. Не у меня одного.
И до какого количества клиентов TQ нормально работает "не у тебя одного"? до 30? до 40?
После 100-150 одновременных сессий начинается 100% загрузка процессора процессами TQ. К слову скажу, что процессоры у меня не селероны
К тому же в отличие от исы траффик квота тупо не умеет работать на многопроцессорных системах
В смысле работать то она работает - деватся некуда. Но как и любое другое "тупое" приложение больше одного процессора юзать не умеет.
А если шейпер включить - дык совсем плохо становится после 70 подключений
Полностью соглашаюсь со словами hardhearted - иса сделана для корпоративных целей и основная цель ее работы- разграничение доступа, а не маршрутизация или учет трафика.
Добавлено:
KLOPs я бы сказал наоборот - наличие DNS и DHCP на компьютере с исой не рекомендуется. так же не рекомендуется ставить ису на контроллер домена, сервер терминалов.
Скажите, почему клиент брандмауера не работет на одной из машин с W2k в домене.
т.е. не перехватывает запросы и не перенаправляет их на машину с ISA 2000 ?
т.е. не перехватывает запросы и не перенаправляет их на машину с ISA 2000 ?
KLOPs
Абсолютно не обязательно, DHCP можно поставить, если больше негде
А DNS лучше не ставить, особенно если это DNS для "внутреннего" пользования.
Добавлено:
vinivini
А он у тебя правильно настроен? При нажатии кнопки обновит в Firewall Cliente кнопки Update New должен выдавать Refresh operation complited successfully
Абсолютно не обязательно, DHCP можно поставить, если больше негде
А DNS лучше не ставить, особенно если это DNS для "внутреннего" пользования.
Добавлено:
vinivini
А он у тебя правильно настроен? При нажатии кнопки обновит в Firewall Cliente кнопки Update New должен выдавать Refresh operation complited successfully
Killer88
Не согласен немного! А в чем проблема? Зато форвардинг делаешь и кеширование ДНС заодним + не надо прописывать кучу ДКС серверов на станциях!
Не согласен немного! А в чем проблема? Зато форвардинг делаешь и кеширование ДНС заодним + не надо прописывать кучу ДКС серверов на станциях!
Killer88
Цитата:
При нажатии кнопки запись эту выдает.
Только вот при отключенном сетевом кабеле то же самое пишет.
Цитата:
А он у тебя правильно настроен? При нажатии кнопки обновит в Firewall Cliente кнопки Update New должен выдавать Refresh operation complited successfully
При нажатии кнопки запись эту выдает.
Только вот при отключенном сетевом кабеле то же самое пишет.
delagen
смешной, днс прописывать надо всегда, неважно каким способом, руками или дхцп
смешной, днс прописывать надо всегда, неважно каким способом, руками или дхцп
weerkostya
Давайте не будем спорить. Это уже пошел оффтоп.
Знаю (лично) человека у которого в одной конторе свыше 300 человек в инет ходит через isa2004ee и tq2.1, нормально работает. У него правда сервер мощный стоит, модель точно не помню, вроде HP Proliant из последних...
Про многопроцессорные системы - откуда такие данные? Разработчики утверждают обратное.
Цитата:
Это ваше личное мнение. Я конечно его уважаю, но оно не является истиной в последней инстанции
У вас одни цели, у других другие. Это я к тому что лучше не спорить. Читсой воды оффтоп.
Давайте не будем спорить. Это уже пошел оффтоп.
Знаю (лично) человека у которого в одной конторе свыше 300 человек в инет ходит через isa2004ee и tq2.1, нормально работает. У него правда сервер мощный стоит, модель точно не помню, вроде HP Proliant из последних...
Про многопроцессорные системы - откуда такие данные? Разработчики утверждают обратное
. Цитата:
Полностью соглашаюсь со словами hardhearted - иса сделана для корпоративных целей и основная цель ее работы- разграничение доступа, а не маршрутизация или учет трафика.
Это ваше личное мнение. Я конечно его уважаю, но оно не является истиной в последней инстанции
У вас одни цели, у других другие. Это я к тому что лучше не спорить. Читсой воды оффтоп.
hardhearted
Сам ты смешной..
Это понятно... но лучше сделать один нормальный для по-крайней мере группы клиентов, который будет перенавравлять запросы по нужным серверам, в т.ч. в инет...
Это и работать будет быстрее, потому что клиент не будет опрашивать кучу ДНС серверов... а то в начале на один, тот говорит нет и т.п. куча времени уходит
А тут ему сразу резко ответят, что хрен тебе! Понятно, что если у вас 1 домен, то все хорошо, а если доменов не 1, а двадцать и у всех есть выделенные ДНС сервера (внутренние)... Мне что 20 ДНС серверов прописывать у клиента? По-моему тупость...
Сам ты смешной..
Это понятно... но лучше сделать один нормальный для по-крайней мере группы клиентов, который будет перенавравлять запросы по нужным серверам, в т.ч. в инет...
Это и работать будет быстрее, потому что клиент не будет опрашивать кучу ДНС серверов... а то в начале на один, тот говорит нет и т.п. куча времени уходит
А тут ему сразу резко ответят, что хрен тебе! Понятно, что если у вас 1 домен, то все хорошо, а если доменов не 1, а двадцать и у всех есть выделенные ДНС сервера (внутренние)... Мне что 20 ДНС серверов прописывать у клиента? По-моему тупость...
Сегодня с утра у меня была трабла с исой следующего характера:
В алертах появилась запись:
Код:
Description: The number of HTTP requests per minute from the source IP address 172.17.1.4 exceeded the configured limit. ISA Server will block new HTTP requests sent from this IP address.
This event indicates that this IP address probably belongs to an infected host.
See the product documentation for more information about ISA Server flood resiliency.
В алертах появилась запись:
Код:
Description: The number of HTTP requests per minute from the source IP address 172.17.1.4 exceeded the configured limit. ISA Server will block new HTTP requests sent from this IP address.
This event indicates that this IP address probably belongs to an infected host.
See the product documentation for more information about ISA Server flood resiliency.
Добавил правило разрешить PING с VPNclients до Internal и LocalHost
В результате, все равно, пингуется только VPN сервер, а Internal-карточка не пингуется.
Бьюсь сутки уже - не пойму где не прав...
В логах сначала Initiated Connection с 0х0 ERROR_SUCCESS, а затем сразу запись Denieв Connection
В результате, все равно, пингуется только VPN сервер, а Internal-карточка не пингуется.
Бьюсь сутки уже - не пойму где не прав...
В логах сначала Initiated Connection с 0х0 ERROR_SUCCESS, а затем сразу запись Denieв Connection
delagen
Цитата:
купи книжку по ДНС
Цитата:
Мне что 20 ДНС серверов прописывать у клиента? По-моему тупость...
купи книжку по ДНС
hardhearted
Короче закрыли тему... а как ДНС работает я и без тебя знаю...
Сам бы почитал! Про оптимизацию ДНС запросов и кеширование!
Короче закрыли тему... а как ДНС работает я и без тебя знаю...
Сам бы почитал! Про оптимизацию ДНС запросов и кеширование!
delagen
я знаю и про запросы и кеширование, но фраза про 20 доменов и 20 днс у клиентов просто свалила меня под стол
я знаю и про запросы и кеширование, но фраза про 20 доменов и 20 днс у клиентов просто свалила меня под стол
У меня при обновлении пропали статические маршруты, будте аккуратнее!!!
DimkaPhantom при каком обновлении?
да и откуда вообще в исе статические маршруты?
да и откуда вообще в исе статические маршруты?
weerkostya
Цитата:
оттуда же откуда и винде, их можно ручками написать)
Цитата:
да и откуда вообще в исе статические маршруты?
оттуда же откуда и винде, их можно ручками написать
)Возможно патч исправляет какието огрехи в маршрутизации. Посему перепрописывает все с нуля. Вообще update последнее время вещь опасная что ли. Посему backup а потом только эксперименты.
Есть платежная система киберплат (может кто знает) так вот - есть группа компов которой нужен к ней доступ(только к ней и все) остальное должно быть закрыто.
На исе делаю Destination Sets - прописываю туда сайт *.cyberplat.ru (фактически он https://www.cyberplat.ru) в Site and Content Rules говорю что закрыть доступ на все кроме выбранного. Не работает.
Меняю *.cyberplat.ru на *.mail.ru - работает.
Т.е. ISA 2000 не понимает https ???????????????
На исе делаю Destination Sets - прописываю туда сайт *.cyberplat.ru (фактически он https://www.cyberplat.ru) в Site and Content Rules говорю что закрыть доступ на все кроме выбранного. Не работает.
Меняю *.cyberplat.ru на *.mail.ru - работает.
Т.е. ISA 2000 не понимает https ???????????????
AlexRNeos
Ссылка в помощь hххp://isaserver.ru/files/11/scripts_isa_2000/entry17082.aspx
Ссылка в помощь hххp://isaserver.ru/files/11/scripts_isa_2000/entry17082.aspx
Va1diS
Это не совсем то. Во первых это я сделал давно. Во вторых ощущение, что иса просто не понимает что это 443 порт....
Просто когда открываю логи- там порт 443 и 80 на этот сайт И все работает....
Ничего не пойму...
Это не совсем то. Во первых это я сделал давно. Во вторых ощущение, что иса просто не понимает что это 443 порт....
Просто когда открываю логи- там порт 443 и 80 на этот сайт И все работает....
Ничего не пойму...
Ситуация: есть сервак, на нем настроена маршрутизация, адреса интерфейсов следующие 192.168.0.1 и 192.168.1.2!Естественно для подсети 192.168.0.0 шлюзом будет 192.168.0.1, а для 192.168.1.0 шлюзом будет 192.168.1.2.Так вот, Иса 2006 СС находится в подсети 192.168.1.0 и все пользователи этой подсети могут выходить в инет,почту,асю, а пользователи подсети - 192.168.0.0 не могут!В логах пишет, что то типа FWC pаcket drop, точно не помню!Если на исе указать адрес шлюза (192.168.1.2), то инет вообще падает в подсети 192.168.1.0, но зато появляется в - 192.168.0.0! Как настроить что бы инет был в 192.168.1.0 и 192.168.1.0?
Доброе время суток!
Поставил себе ISA 2006 Trial Ru.
Работает отменно, само держит соединения ppoe, отлично работает кэш. Тестовый период пройден! Перед доальнейшей донастройкой данного девайса с ISA сервер требуются ответы знатоков на вопросы:
1. Возможно ли триал преобразовать в полноценную версию?
2. С помощью какой утилиты вести учет общего трафика и трафика по пользователям по отдельности? В общем счетчик надо!
Поставил себе ISA 2006 Trial Ru.
Работает отменно, само держит соединения ppoe, отлично работает кэш. Тестовый период пройден! Перед доальнейшей донастройкой данного девайса с ISA сервер требуются ответы знатоков на вопросы:
1. Возможно ли триал преобразовать в полноценную версию?
2. С помощью какой утилиты вести учет общего трафика и трафика по пользователям по отдельности? В общем счетчик надо!
pridecom
По поводу trial ности
http://forum.ru-board.com/topic.cgi?forum=35&topic=2319&start=1060#lt
Посмотри продукты GFI.
radalex
Добавь маршруты
route add -p 192.168.0.0 mask 255.255.255.0 192.168.0.1
route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.2
default gateway указать на внешнем сетевом интерфесе при необходимости.
По поводу trial ности
http://forum.ru-board.com/topic.cgi?forum=35&topic=2319&start=1060#lt
Посмотри продукты GFI.
radalex
Добавь маршруты
route add -p 192.168.0.0 mask 255.255.255.0 192.168.0.1
route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.2
default gateway указать на внешнем сетевом интерфесе при необходимости.
Имеется такая проблема.
После переустановки ISA Server 2004 EE на такую же только 2006 с восстановлением прежних настроек.
Так вот после этого перестали создаваться отчеты (логи пишутся в SQL нормально), похоже из за того, что не создаются summary и пишет в логи такую вот штуку:
Faulting application dailysum.exe, version 5.0.5720.100, stamp 44a3a95c, faulting module oleaut32.dll, version 5.2.3790.1830, stamp 424377dd, debug? 0, fault address 0x000047cc.
The action to connect to ISA Server report data collector on array member MyServerIsa failed. The error description is: The server threw an exception.
. Use the source location 1201.414.5.0.5720.100 to report the failure.
The action to summarize all period summaries from the array, into report "Daily" failed. The error description is: Unspecified error
. Use the source location 1200.193.5.0.5720.100 to report the failure.
Хоть вроде бы и понятно что дело в Summary (ошибка при запуске dailysum.exe), но не понятно как решить проблему
Heeeelp me...
После переустановки ISA Server 2004 EE на такую же только 2006 с восстановлением прежних настроек.
Так вот после этого перестали создаваться отчеты (логи пишутся в SQL нормально), похоже из за того, что не создаются summary и пишет в логи такую вот штуку:
Faulting application dailysum.exe, version 5.0.5720.100, stamp 44a3a95c, faulting module oleaut32.dll, version 5.2.3790.1830, stamp 424377dd, debug? 0, fault address 0x000047cc.
The action to connect to ISA Server report data collector on array member MyServerIsa failed. The error description is: The server threw an exception.
. Use the source location 1201.414.5.0.5720.100 to report the failure.
The action to summarize all period summaries from the array, into report "Daily" failed. The error description is: Unspecified error
. Use the source location 1200.193.5.0.5720.100 to report the failure.
Хоть вроде бы и понятно что дело в Summary (ошибка при запуске dailysum.exe), но не понятно как решить проблему
Heeeelp me...
KocmonpaB
Цитата:
Я та к понимаю. что эти маршруты надо добавить на ису?
Цитата:
там есть default gateway от провайдера
Цитата:
Добавь маршруты
route add -p 192.168.0.0 mask 255.255.255.0 192.168.0.1
route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.2
Я та к понимаю. что эти маршруты надо добавить на ису?
Цитата:
default gateway указать на внешнем сетевом интерфесе при необходимости.
там есть default gateway от провайдера
KocmonpaB
Цитата:
а зачем? иса же своими интерфейсами и так в этих сетях там все будет вписано автоматом
radalex
у тебя сколько всего интерфесов? на каком из них стоит default gateway и какой?
Цитата:
route add -p 192.168.0.0 mask 255.255.255.0 192.168.0.1
route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.2
а зачем? иса же своими интерфейсами и так в этих сетях там все будет вписано автоматом
radalex
у тебя сколько всего интерфесов? на каком из них стоит default gateway и какой?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.