» Microsoft ISA Server 2006/2004/2000 (Часть II)

hardhearted

Цитата:

у тебя сколько всего интерфесов? на каком из них стоит default gateway и какой?

Иса сервер имеет 2 интерфейса - один смотрит в инет, а другой в подсеть 192.168.1.0 и имеет адрес 192.168.1.5. В сети также имеется маршрутизатор на w2k1, который объединяет 2 (две) подсети - 192.168.1.0 и 192.168.0.0!Его адреса 192.168.1.2 и 192.168.0.1. Промблема в том, что юзеры подсети 192.168.1.0 выходят в инет (через FWC), а юзеры вообще не видят ИСУ! Думаю правильно выразился...

У меня проблема, я так думаю, что с ISA 2000 Server (Standard Edition).
Все "IP Protocol Filtes" и "Protocol Rules" как были, так и стоят без изменений, в частности 25-ый порт открыт для запросов с любого хоста. Раньше все настроенные соединения работали нормально.
Установил для фильтрации SMTP-трафика шлюз на Debian, через кросс-овер. И уже шлюз через его вторую сетевую плату открыт в Инет. Весь трафик шлюз через себя пропускает нормально, но сам установить соединение с ISA на 25-ый порт не может.
Проверял через telnet, пишет "Connection closed by foreign host". Из родного домена ISA нормально даёт соединение на свой 25-ый порт, сразу же появляется SMTP-приветствие от установленного с ним же Exchange 2000 Server.
Попутно пытался другими программами подключиться к Инету, которыми сегодня уже пользовался, и обнаружил неприятную вещь - они не подключаются. Пробовал через telnet на соответствующие хост:порт, не подключается. В режиме set localecho, сразу же после команды open хост порт, выдаётся сообщение "Нажмите любую клавишу...", и в логах телнета тоже ничего нет. Проверял на mxs.mail.ru:25, irc.run.net:6669, anarxi.st:22. Всё работало, никакие настройки не менял, и перестало.
Что может быть решением этих двух проблем?

radalex
во теперь ситуация ясна, и вполне стандартна, читай классиков )
http://www.internetaccessmonitor.ru/rus/products/articles/Network_Behind_A_Network/Network_Behind_A_Network.php

значит на исе пишешь
route add -p 192.168.0.0 mask 255.255.255.0 192.168.1.2
сеть 192.168.0.0 суешь в internal

если хочешь чтоб еще компы из сети 0 видели сеть 1 то на компах сети один впиши такой же маршрут как на исе, иначе tcp stateful filter сработает.

hardhearted
Спасибо попробую, потом отпишусь!

У меня всё ещё те две проблемы, номер поста 1773.

А кроме них вот ещё какая, детально описанная:
http://support.microsoft.com/default.aspx?scid=kb;en-us;840683
Но предложенное там решение не помогает, операционная система просто перестаёт загружаться в нормальном режиме. Загрузился в безопасном режиме и отменил сделанные по инструкции изменения в реестре. Операционка загрузилась, но служба isactrl по-прежнему не запускается.
Ну разве что имеет смысл заметить, что regedit.exe в Windows 2000 Server данные типа REG_MULTI_SZ редактирует только в режиме изменения двоичных данных, поэтому я дописывал имя службы туда вручную, удалив два последний нулевых байта, затем имя службы с нулевым байтом после каждого байта буквы, и четыре нулевых байта в конце, чтобы выглядело как результат подобной операции через regedit.exe в Windows XP.

Подскажите пожалуйста, как решить хотя бы одну из этих трёх проблем...

Добрый день!

Установил ISA 2006 на сервер win2003SP1 R2 (сервер PDC)
- создал массив
- указал внутренню сеть
- создал политику предприятию (в котрой разрешил все)
- созданную политику , сделал политикой по умолчанию в массиве
- создал в сетевые обьекты - набор URL адресов , тут создал список адресов

вопрос:
- надо запретить доступ к ICQ серверам (типа www.icq.com и тд) настроить HTTP политики
тыкался так и не нашел где можно четко и ясно прописать запретить хождение по наборам URL адресов


ЗЫ: в Масив - сервер - политика межсетевого экрана создал политику блокирующую ICQ по порту

mecong
Если доступ к ICQ серверам по ICQ протоколу, то всё просто, закрывается исходящее соединение на удалённый порт 5190, что ты уже видимо сделал.
ISA Server 2006 я ещё не юзал, но в ISA Server 2004 всё просто настраивается в правилах Allow/Deny.

mecong
создаешь правило в firewall policy rules, где в destination указываешь созданный твой url set

Добавлено:
Koichi
закрыть один порт недостаточно, я запросто в аське могу сказать random port и все, или руками вписать другой порт, например icq запросто работает по 443 )

Добавлено:
mecong
забыл написать, к icq и вообще не к веб сервисам вообще закрывают не по url а по domain name или по ип адресам (подсетям, диапазонам адресов)

hardhearted


Цитата:

создаешь правило в firewall policy rules, где в destination указываешь созданный твой url set
забыл написать, к icq и вообще не к веб сервисам вообще закрывают не по url а по domain name или по ип адресам (подсетям, диапазонам адресов)

Уверен что в ISA 2006 это делается?
полый путь дай где это можно найти на примере (типа Масив - сервер - политика межсетевого экрана и тд)

Из трёх моих проблем (посты 1773 и 1776) двумя стало меньше!

1. Невозможность соединиться по различным протоколам брала своё начало, предположительно, в смене номера порта нашего прокси-сервера. Исправилась тем, что в "Firewall Client Options" я снял галочку с "Automatically detect ISA Server". Досадно, что пришлось это делать вручную, но так или иначе это помогло.

2. Добавил к службе RemoteAccess (Маршрутизация и удалённый доступ) зависимость от службы isactrl (Microsoft ISA Server Control) точно так же, как это делал раньше, но на этот раз операционная система сервера успешно запустилась в нормальном режиме, всё удачно, обе службы автоматически запущены и работают.

3. Осталась моя последняя проблема:
С компьютера (192.168.0.1), подключённого к Windows-серверу (192.168.0.2) через кроссовер, пишу:

Код: telnet 192.168.0.2 25

mecong

Цитата:

Уверен что в ISA 2006 это делается?

абсолютно, читай хелп или книги
находится server->firewall policy там создаешь новое правило в котором все указываешь
как на неоригинальных языках понятия не имею, я не извращенец чтобы ису на русском юзать )

hardhearted

я думаю ты путаешь с ISA 2004

так как в ISA 2006 следующая иерархия
MIS &A
предприятие
политики предприятия
hmsdc1 <- (политика созданная мною где все разрешенно)
политика по умолчанию
корпаративые сети
корпаративные надстройки (тут отключен фильтр RPC для полчения служ-й инф. из AD)
Массивы
hmsdc1 <- (политика по умолчанию выбрана hmsdc1)
наблюдение
политика межсетевого экрана
виртуальные частные сети
КОНФИГУРАЦИЯ
серверы
сети
кеш
надстройки
общие

Где ?

может я и правильно все делаю создавая в "политика межсетевого экрана" правило
но там я не видел что можно по набранным рлам запретить обращения.

+ есть подозрения что по верх всего применяется политика предприятия hmsdc1 , где все разрешенно

Доброе время суток!
Поставил себе ISA 2006 Trial Ru.
Работает отменно, само держит соединения ppoe, отлично работает кэш. Тестовый период пройден! Перед дальнейшей донастройкой данного девайса с ISA сервер требуются ответы знатоков на вопрос
С помощью, какой утилиты вести учет общего трафика и трафика по пользователям по отдельности? В общем, счетчик надо!

pridecom
вопрос, который мучает всех
нет идеального тарификатора для ИСЫ

kuah

Цитата:

нет идеального тарификатора для ИСЫ

Правдивость отчётов Internet Access Monitor v.3.2 кто-нибудь может описать? Насколько верно считает?

hardhearted

Цитата:

во теперь ситуация ясна, и вполне стандартна, читай классиков )
http://www.internetaccessmonitor.ru/rus/products/articles/Network_Behind_A_Network/Network_Behind_A_Network.php

значит на исе пишешь
route add -p 192.168.0.0 mask 255.255.255.0 192.168.1.2

Спасибо огромное, все работает!

mecong
ничего я не путаю, не знаю юзал ты isa 2004, но 2006 от нее практически не отличается, особенно в настройках
в твоей корявой русской версии это назвается
Цитата:

политика межсетевого экрана

и все там можно сделать, и по url, и по ip, и по ip range, и по domain name, и по subnet, и по network и по network set, короче по любому network object определенному в исе, кроме web listener (jyb для паблишинга)
открывай книгу и читай, спрашивать про элементарные действия, такие как создание правил, должно быть стыдно.

Слушайте, а добавьте-ка в шапку большими красными буквами информацию о том, что ISA не может держать несколько внешних каналов (и как с этим бороться) и как в ней считать трафик. Достало уже. Каждый день одно и то же.

mecong
и у меня есть подозрения что твои подозрения правильные
enterprise policy по идее должна выполнятся первой, хотя я с EE не работал, но по идеологи должно быь так

Добавлено:
Dead_Moroz

Цитата:

Внимание! Ты можешь отредактировать это сообщение, если у тебя есть новая информация по этой теме! Подробнее..

а ты сам шапку то читал, там внизу есть специальная строка )

hardhearted

Цитата:

а ты сам шапку то читал, там внизу есть специальная строка

Читал. Знаю. Но не хочу, в случае чего, крайним быть.

hardhearted
А в чем же позвольте спросить корявость имено РУССКОЙ версии? В русских буквах? Я ее использую второй месяц в реале и никаких корявостей по сравнению с англицкой не заметил. Одинаковые они-корявости... А перевод вполне испраивает.
А вот читать справку мне все таки удобнее на русском и пользователям странички об запретах и ошибках тоже.

Тем более как выяснилось можно сделать микс, если уж сильно напрягают русские буквы в меню. Ставишь русскую с англицким коструктором- все сначала по русски, а потом ставишь первое же обновление ИСЫ (английское) и вуаля - справка и названия правил по умолчанию остатется по русски, а пункты меню и структура английская.

Наро у меня ISA 2004 появилась проблема публикации MOSS 2007... Публикую, даю всем разрешения и вообще отключаю авторизацию на ISA... все могут нормально ходить портал спрашивает имя и пароль и т.п. но вот юзеры из удаленного домена на портал попасть не могут, IE пишет вот что:
У вас отсутствуют разрешения на просмотр этой страницы
Указанные вами учетные сведения не позволяют просматривать данный каталог или страницу, так как веб-сервер не настроен для приема посылаемого вашим веб-обозревателем поля заголовка WWW-Authenticate.

AvvNtl
корявость именно в терминологии, вот тут задают тупые вопросы, им даешь ответы а они не понимают, потому как я понятия не имею как там перевели эти пункты, и пишу так как знаю на оригинальном языке, а они знают тока кривые русские названия
по поводу справки, это уже позор если админ не может прочесть хелп на английском, к тому же есть куча книг на русском. по поводу перевода я промолчу, там иногда такое встретишь что сразу в оригинал лезть придеться . а сообщения об ошибках можно хоть свои написать, а на самом деле юзеру надо знать тока 3-4 кода (если 502 то запрещено, все остальное значит что то не так ), они все равно не читают что там пишут в ошибке а если и читают то не понимают, будь то русский или английский язык. К тому же 9 из 10 сотрудников в резюме пишут знание английского, вот пусть и читают на английском. я своим даже винду с офисом англ ставлю с муями, тока по умолчанию английский включаю, и на русский переключаю (вернее носом в инструкцию) если тока попросят

Что за поле заголовка www-Authenticate? Указанные вами учетные сведения не позволяют просматривать данный каталог или страницу, так как веб-сервер не настроен для приема посылаемого вашим веб-обозревателем поля заголовка WWW-Authenticate.

Владельцы русской версии ISA 2006 Ent, поделитесь пож-а русскими страницами ошибок, которые лежат в \ErrorHtmls. Выложите куда-нибудь на rapidshare.de.

Markes
Держи. Пасс ru-board
_http://rapidshare.com/files/15789948/ErrorHtmls.rar.html

Как запретить Web Proxy Filter перехватывать соединения по 80 порту только для Local Host, и при этом разрешить перехватывать для клиентов NAT? Пробовал действовать по написанному тут , но безрезультатно.

Имею одну, но большу проблему =)
Помогите советом, если есть какие идеи.

Собственно:
Есть машина-шлюз в интернет с 3-мя сетевыми картами, на ней стоит ISA 2006 Standard.
Дипазоны одной сетевухи указаны как Внутренняя (Internal) сеть по-умолчанию.
Диапазоны второй сетевухи указаны в настройках свеже-созданной внутренней сети.
Подразумевается, что на третьей сетевухе -- внешний интерфейс. Для этого интерфейса задан единственный для машины шлюз на провайдера.
В сетевых правилах заданы отношения: две моих внутренних сети работают с внешней через NAT.
Встроенная служба маршрутизации на машине отключена. Таблица маршрутов имеет вид по-умолчанию, все вроде бы нормально.
Для облегчения отладки в в настройках ISA Firewall стоит правило разрешающее весь трафик с этой машины во внешнюю сеть, из внутренней сети на эту машину и из внутренней сети во внешнюю сеть.

С машины-шлюза инет работает нормально, DNS резолвится, пинги идут, веб и др. есть.
Из внутренней же сети какая-то лажа. Внутренний DNS-сервер не может зарезолвить адреса с сервера провайдера, трассировка на внешние ресурсы вообще впадает в маразм =)) К примеру, с машин внутренней сети трассировка на рамблер и гугл идет без проблем, а на шлюз и DNS провайдера трасса не идет, причем не идет вообще. Думал, что есть какая-то лажа с диапазоном адресов провайдера, но позже выяснилось, что из внутренней сети так же трассировка не идет на сайт майкрософта, а он имеет IP-адрес из совсем другого диапазона, чем у моего провайдера.

У меня ступор, помогите, люди добрые, кто чем может

правило должно быть создано - from internal DNS to DNS forvarder (коим является ИСА)

miheyf1, то-то и оно, что созданы правила все для всех.
Сдается мне, что эта проблема корнями уходит в глюки с маршрутизацией.