» Microsoft ISA Server 2006/2004/2000 (Часть II)

Enase

Цитата:

А исе по чем знать шо там у тебя за ипишник? можно конечно...

ну как почём? элементарно ведь реализовать - вот и интересуюсь! сталкивался как то.... не конфигурировалось ровно если оба фейса фейковые были... вот и готовлюсь... так ли оно в иса или нет.


Цитата:

3 он че жрать просит?

ну на гавёных машинах (ды и не только) просит - и даже очень... + лишняя позиция в смете в итоге... рано или поздно всё равно предпочитаю чтобы куплено было... ибо ценю своё время а гоняться за кряками и кейгенами, бороться с "забанами" тех же антивирей и т.п. это _геморой_ причем который явно отражается на мне! - а точнее не моем времени! тем более если организация может позволить себе с лёгкостью купить... но зачем заставлять покупать всё подряд включая то что не нужно?

kuah

Цитата:

3. а какой смысл ставить на него антивирус не для ИСЫ, если там кроме шлюза ничего не будет?

ну вот и я так же думаю... хотя если будет нетбивис в сети - всё равно при эпидемии (тфу*3) пакость пролезет по идее... но это опять же грамотные рулесы...


Цитата:

GFI WebMonitor тебе в помощь

дык чем оно мне поможет то? только пользовательский ftp, http траф мониторить? меня интересует ЛЮБОЙ траф геренируемый САМИМ шлюзом с исой. т.е. поставил, настроил и со следующего месяца с провом чтоб байт в байт сходилось...

hardhearted

Цитата:

Enase
по умолчанию иса сама себя никуда не пускает, кроме некоторых протоколов, например пинг, трафик к контроллерам если комп с исой был в домене, днс запросы исходящие.

Да да именно про это и читал (что по дефолту нет даже с самой исы http доступа в инет) вот и решил поинтересоваться верно ли понял... выходит верно а Enase дезу гонит получается?

hardhearted
а что еще поразумеваеш под "некоторыми протоколами?" в общем у меня стоит задача - заткнуть шлюз чтоб САМ ШЛЮЗ не генерил не какого ВНЕШНЕГО трафика! ибо хочется порядку и контроля.

Цитата:

simapupkin
порты эти как я понимаю не web, поэтому как web proxy отпадает, fwc конечно же тоже, для никсов никто fwc не выпускал )
а зачем его аутенфицировать, раз он сервак

А аудентификацию исходящих запросов ты включал?
Если у тебя серваки ходят в инет как SecureNAT, какой толк от исы. Тогда и юзверя куда хотят туда и ходят. Не так ли?
Настроил бы NAT и вперед.

simapupkin
идешь на офсайт и читаешь что такое иса и для чего она, она в первую очередь файрвол и прокси, securenat = обычный nat просто назван так.
и давай не будем путать юзеров и серваки, на серваках юзера не сидят, и если мне надо чтоб мой контроллер домена мог резолвить имена через внешний днс, или время синхронизировать то я его выпущу по нужным протоколам анонимно, не вижу смысла его по юзеру аутенфицировать, к тому же большинство сервисов работает под системным юзером.
а простые смертные юзверя аутенфицируются как положено и через прокси и, если надо не веб протоколы, через fwc

Добавлено:
INTERESANT

Цитата:

а что еще поразумеваеш под "некоторыми протоколами?" в общем у меня стоит задача - заткнуть шлюз чтоб САМ ШЛЮЗ не генерил не какого ВНЕШНЕГО трафика! ибо хочется порядку и контроля.

иса всегда будет трафик генерить, так должно быть это есть "порядок и контроль" )
а посмотреть можешь в свежеустановленной исе какие протоколы и куда октрыты в system policy
web трафик по умолчанию закрыт, если ты конечно не включишь redirect ssl requests as ssl requests на вкладке bridging в парвиле web chaining (в этом случае тебе сразу предлагают включить системно правило позволяющее исе запрашивать сертификаты)
если настроишь впн то иса опять же будет генерить трафик, хоть и небольшой
еще обычно пинги и днс разрешены с исы во все сети

Цитата:

simapupkin
идешь на офсайт и читаешь что такое иса и для чего она, она в первую очередь файрвол и прокси, securenat = обычный nat просто назван так.
и давай не будем путать юзеров и серваки, на серваках юзера не сидят, и если мне надо чтоб мой контроллер домена мог резолвить имена через внешний днс, или время синхронизировать то я его выпущу по нужным протоколам анонимно, не вижу смысла его по юзеру аутенфицировать, к тому же большинство сервисов работает под системным юзером.
а простые смертные ю

ок.
Подскажи как анонимно выпустить linux в инет ( best.com:210), если включена аудентификация и isa 2000 отбрасывает все пакеты кроме веб прокси и клиентов брендмауера.

simapupkin
с 2000 не работал, а в 2004/2006 я бы просто создал определил computer set (или computer) куда включил бы ип этого сервака, определил бы второй computer set (или domain name set зависит от задачи) с нужными внешними адресами, определил бы протокол с портом 210 и создал бы правило Allow созданный протокол From созданный computer set To созданный computer set (внешние адреса) For all users
то есть анонимное правило пропускающее только один сервак на заданные внешние адреса только по одному протоколу.

Цитата:

simapupkin
с 2000 не работал, а в 2004/2006 я бы просто создал определил computer set (или computer) куда включил бы ип этого сервака, определил бы второй computer set (или domain name set зависит от задачи) с нужными внешними адресами, определил бы протокол с портом 210 и создал бы правило Allow созданный протокол From созданный computer set To созданный computer set (внешние адреса) For all users
то есть анонимное правило пропускающее только оди

Вот спасибо добрый человек!
Сделал в Protocol Rules правило для набора протоколов указаных в Protokol Difinitions, дло определенного IP и все поехало!

P.S. Не верь тому, что пишет милкософт.

Пока сижу читаю книгу по ИСА и разные статьи(изучаю азы так сказать) возник вопрос.
Мне надо соединить по ВПН два офиса. Везде описывается соеденение двух Доменных сетей(насколько я понял).
Будет ли разница в настройке ВПН через ИСА если у меня следующая конфигурация сетей?
ГлОфис: доменая сеть+ISA 2006 Standart Rus
ДопОфис: рабочая группа+ISA 2004 Standart Eng (Всего три компьютера в ДопОфисе )

Или сделать ISA 2006 Standart ENG и ISA 2004 Standart ENG?

simapupkin
офтоп. да я уж лучше поверю тому что написано на офсайте чем тому бреду что тут иногда пишут )
vicwanderer
никаких проблем не вижу, ису можно соединить даже с роутерами производства других контор.

vicwanderer
разницы нет, просто в 2004 нет визарда, придётся ручками

Имеется Домен W2k3 - контроллер домена один - сеть не большая 10-15 компов и производство не может выделить еще один комп под сервер, поэтому приходится все ставить на этот сервер. После установки ISA 2006EE Rus (на этот контроллер домена) обрубается аутентификация пользователей - они со своих машин не могут подключиться к серверу и не видят его в сетевом окружении, не доступны перемещаемые пофели и т.д.
В сетевом окружении сервера в домене только сам сервер - остальные машины так же не видны. С юзерских машин доступ в инет через этот сервер есть, сам сервер пингуется, DNS работает - в чем может быть проблема никак не пойму. Помогите подружить ISA c контроллером домена
Сносишь ISA - домен работает нормально, помогите разобраться.
ICQ 232383773

asgolden
ну опять одно и тоже, сделай правило разрешающее весь трафик из internal к localhost
или если хочешь немного помучаться то рули нужными системными правилами плюс своих добавь на нужные протоколы.
ps вообще то на офсайте есть доки рассматривающие случай установки исы на дк, там все на пальцах расписано как для тупых

hardhearted

Цитата:

можно попробовать выставить common configuration disable 1

Попробовал common configuration и просто common выставить в disable 1 - не влияет, а очень хотелось бы, т.к. желательно дать доступ определенным программам (их по пальцам пересчитать можно), а не всему что "умеет" обновляться и само выходить в инет

И вопрос по иса. Если на том компьютере на который буду ставить ИСА стоит терминальный сервер, то "подводных камней" не будет?
Схему хочу сделать такую:
rdp-клиент(ДопОфис)-ISA 2004(ДопОфис)-VPN-ISA 2006(ГлОфис)+Terminal Services 2003-база1С

vicwanderer
ужас конечно, но работать будет.

hardhearted, бедные мы на переферии, денег нету. Отсюда и весь ужас.
Спасибо за ответ.

Добрый день. помогите разобраться в ситуации. имеется DC на нем ISA. В один прекрасный день у меня стало появляться сообщение *Сбой при удаленном вызове процедуре* при попытки добавить пользователя из AD. наблюдая логи ISA я увидел что получается следующее:
127.0.0.1 RPC (all interfaces)    Initiated Connection 127.0.0.1
127.0.0.1 RPC (all interfaces)    Closed Connection 127.0.0.1

На сколько я смог понять явного запрета на коннект к AD нет, возникают мысли у меня что то с AD невпорядке?

Я новчок, сапогами не бить
Спасибо за ранее

есть сеть 150 компов, домен, ИСА 2004. На всех машинах стоят FC исы, и в IE прописана прокся. На некоторых компах, 4-5 шт, с недавнего времени началась твориться какая хрень. При открытие IE выскакиевает сообщение введите имя и пароль, обычно такое сообщение выскакиет когда сервера DC не доступны, сервера DC доступны, аундитификация рабоет в папку sysvol на DC доступ есть. Пробывал эти компы из домена выводить и заново вводить не помогает. Если снять галочку в IE использовать прокси то все работет как надо как только галочку на прокси ставлю то опять не пускает. Кто нить сталкивался с подобной проблемой???

Переустановил ису, настройл доступ в нэт для определенной группы (ссылается на виндовую), оказалось что в нэт ходят все кому не лень. Что не правильно сделал?

Infected Switch


Цитата:

Переустановил ису, настройл доступ в нэт для определенной группы (ссылается на виндовую), оказалось что в нэт ходят все кому не лень. Что не правильно сделал?

наверное нужно включить аундификацию, выбрать скажем integrated и поставить галочку требовать аундификацию
Группу как ограничивал по ip или доменным учеткам???

Цитата:

наверное нужно включить аундификацию, выбрать скажем integrated и поставить галочку требовать аундификацию
Группу как ограничивал по ip или доменным учеткам???

аутентификацию включал - не помогает.
ограничивал по учеткам, но в мониторинге исы все почему-то отображается по IP

Добавлено:
кстати, если включить аутентификацию, то у клиентов второй подсети запрашивается какой-то пароль - стандартный не катит =\

а если на компе юзера выключить доступ через порксю и удалить FC исы, то иса пускать будет???

Добавлено:

Цитата:

кстати, если включить аутентификацию, то у клиентов второй подсети запрашивается какой-то пароль - стандартный не катит =\

тогда просто попробуй в IE убрать проксю и оставит токо FC и попрубуй

почему-то пускает

Infected Switch
Сеть с доменом??

Добавлено:
пускает если проксю выключаешь или когда все выключаешь проксю и FC??

пускает когда FC выключаю

Добавлено:
фигня какая-то: заблокировал ВСЕ правила, разрешающие HTTP трафик - а инет у всех есть!

Добавлено:
разобрался:
было правило allow domain infrastructure - from all network and loclhost to same, заменил на internal & localhost - все стало ок!

Дочитал книгу Шиндер Т, Шиндер Д "ISA Server 2004" до стр. 491. Поставил Иса 2006 Standart и понял что у меня кучу вопросов
- Почему клиенты(SecureNat) доменной сети не могут выйти в Интернет? Использовал визард для простой сети.
- Как после того как им удасться выйти в Интернет дать доступ ещё и к почте? Настроить правила, где?
- Как одним дать доступ только к почте, другим к почте и Интернету, третьим и к почте и к Интернету и к FTP.

PS У кого нибудь есть книга по ИСА 2004 в электронном виде из серии "Учебный курс Microsoft MCSA/MCSE"? Там обычно в конце каждой главы Лабораторная работа. (н-р, "установка и настройка DNS-сервера". Расписывается следующим образом Нажмите кнопку1, потом кнопку2, потом правой кнопкой мыши щёлкните...). Для новичка это важно. Это потом(через один-девять месяцев) если скажут: "Измени Protocol Rules", ты сразу понимаешь на какую вкладку идти и какую кнопку нажимать...
PPS Кроме того понимаю, что придёться этот топик просмотреть с первой страницы...

vicwanderer
дожили, такое впечатление будто комп впервые увидел.
я когда начал с исой работать то хватило тока собственных рук, глаз, мозгов и хелпов исашных. книгу до сих пор не читал, тока может быть пару глав выборочно и то подиагонали, слишком много там воды наварено (особено не терплю такие места где по кнопкам расписано что и как делать, видимо для тупых американцев писали)
у исы элементраный интуитивно понятный интерфейс, достаточно мышой ткнуть и там все написано и еще куча ссылочек на хелпы к форумам и инету обращатся приходится когда надо сделать что то на уровне скриптов/реестра, но такое бывает не часто.

Цитата:

особено не терплю такие места где по кнопкам расписано что и как делать, видимо для тупых американцев писали

Тоже взбесило сильно - автору, видимо, платили за каждый символ.

Добавлено:

Цитата:

Ребят, подскажите или киньте ссылок на тему настройки ISA2006 с тремя сетевыми адаптерами: внутренний приватный, внешний приватный и внешний инэт.
Заранее благодарен!

hardhearted

Цитата:

Infected Switch
а в чем проблема то?

Было два интрефейса: LAN (192.168.x.x) и WAN (Inet)
Добавил третий? по которому приходит сеть с адресами 172.16.X.X
Прописал в tcp/ip адрес, масу, шлюз, а пинга нет.

Добавлено:
при попытке пропинговать что-нибудь с нового адапетра запрос уходит в WAN.
такое ощущение, что новый интерфейс вообще отсутствует =\

Добавлено:
Точнее: новый интрефейс пингуется, а его шлюза нет

Infected Switch
все верно, у тебя новая сеть в какой network прописана?

hardhearted
Как новая сеть прописана. Сделан route c internal. Я создал IPsec site-to-site и все что можно, вроде как, прописано

Infected Switch
то есть для новой сетки ты сделал network в исе, сделал route между internal и новым network?
кстати шлюз то ты зачем на третьем интерфейсе прописал?