» Microsoft ISA Server 2006/2004/2000 (Часть II)

hardhearted
Разделил сети, но туннель все равно не хочет работать - Negotiating IP Security
По внешним интерфейсам все ок, а туннель работать не хочет =\

Infected Switch
ну тогда не в сетях дело а в самом тунеле, ты уверен что сам тунель работает?

hardhearted
я скорее уверен в том, что он не работает

Помогите плиз с Оперой и ISA2004EE на DС WS2003EE
в домене несколько групп. всех пользователей из разных групп на Опере в инет пускает ИСА а из одной (Pupils) не хочет.
Клиент не стоит.
В ИЕ выходят все без проблем. в Опере нет.
Вот лог когда запрещает:


Код:
Original Client IP    Client Agent    Authenticated Client    Service    Referring Server    Destination Host Name    Transport    HTTP Method    MIME Type    Object Source    Source Proxy    Destination Proxy    Bidirectional    Client Host Name    Filter Information    Network Interface    Raw IP Header    Raw Payload    GMT Log Time    Source Port    Processing Time    Bytes Sent    Bytes Received    Cache Information    Error Information    Log Time    Client IP    Destination IP    Destination Port    Protocol    Action    Rule    Result Code    HTTP Status Code    Client Username    Source Network    Destination Network    URL    Server Name    Log Record Type
0.0.0.0    Opera/8.54 (Windows 98; U; ru)    No    Proxy        xml.opera.com    TCP    GET            -    -        -        -    -    -    01.03.2007 14:56:23    0    1    4555    421    0x0    0x0    01.03.2007 16:56:23    192.168.0.5    192.168.0.1    80    http    Denied Connection            12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.     anonymous    Internal        http://xml.opera.com/update/    BIG    Web Proxy Filter
192.168.0.5                -        UDP    -    -                        -                01.03.2007 14:56:25    1075    0    0    0    0x0    0x0    01.03.2007 16:56:25    192.168.0.5    192.168.0.1    53    DNS    Initiated Connection    Local All Open    0x0             Internal    Local Host    -    BIG    Firewall
192.168.0.5                -        TCP    -    -                        -                01.03.2007 14:56:25    1076    0    0    0    0x0    0x0    01.03.2007 16:56:25    192.168.0.5    192.168.0.1    8080    Unidentified IP Traffic    Initiated Connection        0x0             Internal    Local Host    -    BIG    Firewall
0.0.0.0    Opera/8.54 (Windows 98; U; ru)    No    Proxy        xml.opera.com    TCP    GET            -    -        -        -    -    -    01.03.2007 14:56:29    0    1    4545    508    0x0    0x0    01.03.2007 16:56:29    192.168.0.5    192.168.0.1    80    http    Denied Connection            12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.     anonymous    Internal        http://xml.opera.com/update/    BIG    Web Proxy Filter
192.168.0.5                -        TCP    -    -                        -                01.03.2007 14:56:31    1077    0    0    0    0x0    0x0    01.03.2007 16:56:31    192.168.0.5    192.168.0.1    8080    Unidentified IP Traffic    Initiated Connection        0x0             Internal    Local Host    -    BIG    Firewall
192.168.0.5                -        TCP    -    -                        -                01.03.2007 14:56:31    1077    0    796    4833    0x0    0x0    01.03.2007 16:56:31    192.168.0.5    192.168.0.1    8080    Unidentified IP Traffic    Closed Connection        0x80074e20 FWX_E_GRACEFUL_SHUTDOWN            Internal    Local Host    -    BIG    Firewall
0.0.0.0    Opera/8.54 (Windows 98; U; ru)    No    Proxy        xml.opera.com    TCP    GET            -    -        -        -    -    -    01.03.2007 14:56:34    0    1    4545    508    0x0    0x0    01.03.2007 16:56:34    192.168.0.5    192.168.0.1    80    http    Denied Connection            12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.     anonymous    Internal        http://xml.opera.com/update/    BIG    Web Proxy Filter
192.168.0.5                -        TCP    -    -                        -                01.03.2007 14:56:35    1078    0    0    0    0x0    0x0    01.03.2007 16:56:35    192.168.0.5    192.168.0.1    8080    Unidentified IP Traffic    Initiated Connection        0x0             Internal    Local Host    -    BIG    Firewall
192.168.0.5                -        TCP    -    -                        -                01.03.2007 14:56:35    1078    0    796    4833    0x0    0x0    01.03.2007 16:56:35    192.168.0.5    192.168.0.1    8080    Unidentified IP Traffic    Closed Connection        0x80074e20 FWX_E_GRACEFUL_SHUTDOWN            Internal    Local Host    -    BIG    Firewall
0.0.0.0    Opera/8.54 (Windows 98; U; ru)    No    Proxy        xml.opera.com    TCP    GET            -    -        -        -    -    -    01.03.2007 14:56:39    0    1    4545    508    0x0    0x0    01.03.2007 16:56:39    192.168.0.5    192.168.0.1    80    http    Denied Connection            12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.     anonymous    Internal        http://xml.opera.com/update/    BIG    Web Proxy Filter
192.168.0.5                -        TCP    -    -                        -                01.03.2007 14:56:40    1079    0    0    0    0x0    0x0    01.03.2007 16:56:40    192.168.0.5    192.168.0.1    8080    Unidentified IP Traffic    Initiated Connection        0x0             Internal    Local Host    -    BIG    Firewall
192.168.0.5                -        TCP    -    -                        -                01.03.2007 14:56:40    1079    0    796    4833    0x0    0x0    01.03.2007 16:56:40    192.168.0.5    192.168.0.1    8080    Unidentified IP Traffic    Closed Connection        0x80074e20 FWX_E_GRACEFUL_SHUTDOWN            Internal    Local Host    -    BIG    Firewall

Помогите срочно разобраться с проблемой. Очень надо. ничего не работает. переподнял все- не помогло

Не удалось определить имя пользователя или компьютера. (Сбой при удаленном вызове процедуры. ). Обработка групповой политики прекращена.

Позволяет ли ISA 2006 опубликовать через свой 80-й порт несколько сайтов из внутренней сети?

Например, моему внешнему IP в прямой зоне провайдера поставлены в соответствие две записи:
www.my_company.ru
project_site.ru

возможно ли теперь средствами ISA разрулить эти два запроса?

для порта отличного от 80 проблема решена.

Andrey1901

Цитата:

Клиент не стоит.

Так может имеет смысл поставить?

DVader конечно можно впри публикации web-сервера можно указать ожидаемое имя сайта. таким образом делаешь 2 публикации и все.

Здравствуйте, всем! У меня возникла такая проблема на ISA Server 2004 Standart. Она не определяет IP адресс локального хоста. Т.е. в закладки Networks сеть Local Host она пишет что No IP addresses are asociated with this network. Из-за чего это может быть и как это можно исправить? Заранее спасибо

senator14 дык так и должно быть написано
local host - это общее название всех интерфейсов на машине с isa

weerkostya,

Тогда такой вопрос - когда я пытаюсь создать группу новых пользователей на исе, то она ругается на то, что RPC Server не доступен, а в мониторинге написано, что айса пытались идти по 135 порту протокола RPC, однако соединение было закрыто согласно системному правилу Allow RPC From ISA. Как в таком случае это исправить? Я думал, это из-за того, что она точно не определяет что такое localhost. Заранаее спасибо

senator14
ну так проверь это правило. может ты в нем уже пошаманил. там должно быть из localhost в internal по умолчанию

Имеем основной офис (local; 10.10.10.xxx) и удаленный (remote; 10.10.9.xxx), с обеих сторон w2k3+isa2006ee.

Задача – иметь доступ с любого компьютера в сети local к любому компьютеру сети remote и наоборот, и самое важное, чтобы все компьютеры сети remote использовали шлюзом для доступа в Интернет сервер с ISA в сети local.

Чтобы решить первую проблему, делаем VPN Site-to-Site connection и радуемся, любой компьютер в сети видит компьютеры другой сети.

С решением второй задачи возникают сложности. В сети remote, компьютеры в качестве шлюза используют сервер, на котором стоит ISA, а этот сервер в свою очередь шлюз провайдера, соответственно запросы в Интернет идут на шлюз провайдера, в запросы в сеть local идут по vpn на шлюз сети local. Как бы сделать так, чтобы запросы в Интернет тоже шли через VPN на сервер сети local.

Заранее очень признателен за советы!

senator14 какую конкретно группу ты пытаешься создать? из локального пространства имен или из AD?
по умолчанию системные политики разрешают RPC во внутреннюю сеть.
а на локальном хосте - дык вообще любые соединения возможны.

vk222 настройки-общие-последовательное соадинение межсетевых экранов (у меня русская, хз как оно по англицки будет)

Привет всем.

Есть локальная сеть 192.168.240.0 в инет выходят через ису как шлюз.
есть роутер который соединяет удаленную сеть 192.168.1.0 с локальной сетью.
В иса прописан маршрут к этой сети через роутер и добавлен в внутренную сеть исы в сетевой карте. Созданы правила разрещаюшие все между двумя сетью.
Проблема заключается в том что кроме пинга между двумя сетью и днс с удаленного офиса ничего не работает (ни ремоте десктор даже не могу с удаленного офиса подключить клиента в домен)и также с локальной сети в удаленную.
В исе пишет что неопределенный трафик и запрещает его.
Все перерыл в инете и в форумах ничего не нашел делал по инструкции с иса орг Томаса Шиндера. Может кто сталкивалься с этой проблемой прошу помочь мне очень срочно нужно.

Спасибо всем заранее

Andrey1901
аутенфикация какая стоит? старые оперы до 9ки вообще тупые и integrated authentication не умеют, а по логам у тебя именно аутенфикацию никто и не проходит

Добавлено:
senator14
так и должно быть, localhost предопределенная сеть и изменению не подлежит
читай матчасть прежде чем глупые вопросы задавать

Добавлено:
shoko
если бы ты делал по инструкции шиндлера то все было бы ок (по инструкции на всех компах локалки и на исе должен быть маршрут в удаленную через этот роутер, и удаленная сеть должна быть в internal)
именно в этой инструкции ссылаются на TCP stateful filter (можешь по этим словам поискать на офсайте, там будет описание что это такое). грубо говоря, соединение по tcp (этот фильтр как следует из названия действует на tcp трафик) начинает удаленный комп, оно через роутер приходит на комп в локалке, а комп отвечает, если на нем нет маршрута через роутер, то ответит он через ису, иса увидит что пришел ack но не было syn, рассмотрит это как неправильный трафик и отбросит. пинги и dns это не tcp поэтому работают.

Добавлено:
vk222
и тут тебе отвечу тоже самое )
есть несколько вариантов, если используется прокси то можно сделать просто web chaining с одной исы на другую, если fwc то firewall chaining

если надо вообще все, то можно на remote исе маршрутом по умолчанию попробовать указать local ису, а чтобы можно было соединится указать статический маршрут на внешний ип local исы через провайдера (не уверен что на исе такая штука сработает но попробовать можно )

hardhearted

Цитата:

аутенфикация какая стоит? старые оперы до 9ки вообще тупые и integrated authentication не умеют, а по логам у тебя именно аутенфикацию никто и не проходит

Basic
дело в том что из другой группы идёт без проблем.
Опера 8.54 т.к. 9х имхо сыроватые с настройками.

Я не могу понять запрещающего правила нет (судя по логам) а в инет одна группа пользователей выйти не может? Другая группа без проблем.

Andrey1901
а иса и не знает что это у тебя за группа, там же в логах написано anonymous, не проходят они аутенфикацию, а раз они анонимы значит группе не пренадлежат, поэтому иса их и не пускает.

hardhearted

Цитата:

а иса и не знает что это у тебя за группа, там же в логах написано anonymous, не проходят они аутенфикацию, а раз они анонимы значит группе не пренадлежат, поэтому иса их и не пускает.

Почему она эту группу не знает? (я её создал на основе группы Windows) Почему она тогда знает другие группы?

Ребята, подскажите минимальный конфиг для Исы со следующими задачами:
1) Default Gateway в домене
2) Firewall
3) Web Proxy для 25 пользователей
4) Исходящий SMTP от Exchange тех же юзеров
5) Изредка VPN сервер
Вопрос задаю т.е. есть машинка 500Сel/384Mb Dimm, но сомневаюсь что она потянет...

Infected Switch
какая ОСЬ ?
Версия ИСЫ ?(только для одной 2006 исы рекомендуют 512мб оперативки.... )
.....
на такой конфиг лучше ставить NIXовое семейство

XM0ZG
Win2k3sp2, ISA2006 Standard

Добавлено:

Цитата:

на такой конфиг лучше ставить NIXовое семейство

спасибо, но в это болото я ни ногой

Infected Switch в связи с переездом серверов в текущий момент у меня уже месяц работает win2003sp1 + ISA2006 на celeron433+384ОЗУ
10VPN клиентов, до 25 на фаерволе и иногда 2-3 на нате.
еще на этой же машине крутится WSUS (т.е. еще и IIS)

живет все нормально. особых проблем замечено не было, разве что админка дико тормозит

но долго я так не протяну - духу не хватит по минуте ждать пока админка откроется
да и с лицензированием понятно непорядок получается.

так что помимо вопросов XM0ZG оценивай еще количество клиентов

Alex_H_aka_RAT,
"Попробуй отключить в свойствах протоколов POP3, SMTP фильтр BSpliter'а." По умолчанию не стоит. При израсходовании лимита трафика Web отключается остальное остаётся.
Вопрос1. Если в свойствах протоколов POP3, SMTP фильтр BSpliter'а отключён(галка снята). Трафик POP3, SMTP всё равно считается? Т.е. если юзеру выделено на месяц 100М, а он израсходовал 32М на POP3, SMTP и 78М на всё остальное, то его отключит от Web? Или его отключит когда по Web он израсходует 100М?
Дополнение: IAM 3.2 не хочет запускаться после применения пилюли , поэтому не удобно самому смотреть.
Вопрос2. К чему по умолчанию подключается фильтр BSpliter'а? к тому что указано в Configuration/Add-ins? Т.е. к Applications filters и Web filters?

Миграция isa2000 EE на 2004SE реально ?? ... есть 2 сервака ... вот думаю может поднять 2000se перенести настройки от 2kEE и все это дело обновить до 2004 ??? Или есть возможность понизить ЕЕ до SE ??

Останавливается служба ms firewall из-за якобы невозможности доступа к файлу логов:
Information for the ISA Server Web filter log could not be logged to the text file ISALOG_200703006_WEB_001.iis in the path D:\ISALogs.
Конфа W2k3 SP1 en, ISA 2006 Std en, а крутится все это на виртуальной машинке под esx 3.0.1.
причем в момент падения службы нагрузка на дисковую подсистему маленькая, в логах esx тоже ничего криминального, а лог спокойно открывается просмотровщиком. помогает только перенос лога в другую папку и запуск сервиса. если стартовать сервис без переноса, то опять отваливается через 5-10 минут. что настораживает в понедельник эта байда началась когда лог был 110м, а во вторник 150м, при этом лог FWS спокойно достигает 155м.

И еще тупой вопрос - установил TrafficQuota, но статистику вижу только с самой исы. с клиентских компов http://traffic.isa/ ведет в никуда. может нужно правило какое создать?

AlexRus227

Цитата:

Миграция isa2000 EE на 2004SE реально ??

а в чём сложности? afaik, правила всё равно либо ручками переносить либо скриптиком.
Цитата:

вот думаю может поднять 2000se перенести настройки от 2kEE и все это дело обновить до 2004 ??? Или есть возможность понизить ЕЕ до SE ??

а смысл сих действий?


2all
иса2000 может по впн с 2004 взаимодействовать?

greenfox
да может у нас счас впн на тестовой поднят между 2к и 2004

Где на скрипт можно взглянуть ?? =))


а смысл сих действий? Ты прав не обновить до 2004 а с 2004EE перенести все настройки на 2004SE

Andrey1901

Цитата:

Почему она эту группу не знает? (я её создал на основе группы Windows) Почему она тогда знает другие группы?

ты логи свои читал? там написано anonymous значит аутенфикацию они не прошли, поэтому в какой бы группе они не были пока иса не узнает имя клиента она не сможет опрделить в какой он группе )
greenfox
вообще то между 2000 и 2004 много различий в настройках поэтому простая миграция не получится, там даже правила немного другие. так что проще всего ручками сделать все заного.

Доброе время суток.
Народ не бейте сильно если повтор.
Как подружить клиента от ISA2000 с сервером ISA2004?