» Microsoft ISA Server 2006/2004/2000 (Часть III)

Добрый день товарищи Админы!

Хочу поставить у мебя ISA Server2k6,
сперва решил посикать доку (что-нибудь похожее на deployment manual)
но на сайте microsoft.com толкового мануала я не нашел
да и как-то тугова-то с 2k6 в гугле (есть только небольшие статьи) =)
Так вот вопрос где нати полный мануал на эту штуку ?

товарищи, помогите пожалуйста с простым вопросом - поднял ИСУ2006, всё настроил, всё работает. а вот аська не коннектиться. и icq и icq2000 разрешал и http proxy пробовал и 5190 явно указывал - не коннектиться и всё. если разрешить весь исходящий трафик из локалки в инет - пашет, а если шарить по протоколам - не пашет, куда ещё глянуть?

KorP2
на клиенте fwc стоит? (тип подключения какой)
смотри в лог - скорее всего авторизацию включил а fwc не поставил... опятьже уже обсуждали неоднократно

koltz
на мс-е полно доков
+ скажем isaserver.org с "папой" шиндлером

greenfox
попробуй в браузере явно указать имя внутреннего сервера как исключение
всю внутреннюю сеть включи в locallat.txt для fwc

hardhearted

Цитата:

имя внутреннего сервера как исключение

так пробовал - и так 192.168.25.30 и так 192.168.25.30:9050 и с префиксами... один фиг вылазит "запрет на исп https на нестандартном порту" Помогае разве только указать проксик только для http и галку убрать разреш автоконфиг браузера...

Цитата:

всю внутреннюю сеть включи в locallat.txt для fwc

что такое locallat.txt? Вся сеть входит в интернал - аккие ещё для fwc могут быть причины перехватывать трафик для этой сети?

greenfox
создай vbs файл

Код:
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' Пример. Данный скрипт добавляет нестандартный SSL-порт с номером 2083.
'
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Set isa=CreateObject("FPC.Root")
Set tprange=isa.Arrays.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
Set tmp=tprange.AddRange("NewPortSSL : 2083",2083,2083)
tprange.Save

MsgBox ("New SSL port has created")

rijk
как добавить нестандартный порт для ssl я знаю
интересует как сделать буз этого и почему себя так ведёт Ie и fwc в связке при обращении к внутреннему серваку...

реализовано ли в ISA 2006 возможность в NAT ставить произвольный ip адрес, например один из дополнительных(виртуальных) ip на интерфесе? это возможность очень удобно реализовано в Kerio.

greenfox
Не прочел твоё первое сообщение
Тебе должна помочь публикация веб сайта. С https не делал, но с http это помогает, при чем можно сделать редирект на любой порт. Пользователь пишет https://сайт а isa перебрасывает его на https://сайт:9050

rijk
причем тут публикация, тут принципиально трафик не должен попадать на ису, а идти напрямую на веб сервер.
greenfox
locallat.txt это файлик на клиенте в котором перечисляют сети трафик в который fwc трогать не должен, в хелпе исы найди по слову locallat
по умолчанию этого файлика на клиенте нет.
у меня браузеры настраиваются через скрипт который формируется на самой же исе, через скрипт как то надежнее работает чем если в браузере прописывать исключения (как ни странно но работает по разному)

Добавлено:
Fir
интерфейс настривается в винде, в исе интерфейсов нет.

hardhearted
если есть необходимость обходить proxy, то просто в настройках IE ввести в исключение (не использовать прокси для след.адресов)
192.168.25.*;
*.домен;
localhost;

галка "не использовать прокс для лок.адр" плохо работает, точнее у меня некогда не работала

Подскажите правила для DHCP на ISA2004 когда они оба находятся на одном серваке (знаю что неправильно - другого варианта небыло).
Создал 2 правила

Цитата:

1) DHCP-Запрос -> Allow -> DHCP(Request) -> Anywhere -> LocalHost -> All Users
2) DHCP-Ответ -> Allow -> DHCP(Reply) -> LocalHost -> Internal -> All Users

IP клиенты все равно не получают, что за беда - какое правило им надо...?
В логах по портам 67 и 68 ничего нет.
Фишка в том, что уже делал так и работало, вот с такими правилами
Почему счас не работает - не пойму...
Шиндлера читал - именно так там и написано (если мой английский меня не подводит).
Причем если в правило 2 вместо Internal поставить LocalHost&AllNetworks - тогда работает

а где можно скачать полную крякнутую версию?

rijk

Цитата:

192.168.25.*;

Да, такой формат записи работает, но только если снята галка "использовать скрипт автоматич. конфигурации"...

hardhearted

Цитата:

ocallat.txt это файлик на клиенте в котором перечисляют сети трафик в который fwc трогать не должен, в хелпе исы найди по слову locallat
по умолчанию этого файлика на клиенте нет.

спасибо гляну. Хотя всё равно странно почему fwc так себя ведёт, т.к. по идее должен брать диапазон lat (internal сети) c исы и соот-но трафик в эту сеть никак не трогать... Хотя возможно это глюк просто самого IE который сконфигурирован на использование проксика для всех протоколов и не правильно обрабатывает ситуацию с локальными адресами. Собственно второе походу более вероятно ибо с вышеописанным форматом записи всё работает, если при этом снять галочку "использовать автоматич. скрипт конфигурации" и настроить fwc автоматом не аплаить настройки в ИЕ (а то он эту галку вернёт на место)


Добавлено:
AlexRNeos
напиши\посмотри диапазон адресов которые в интернал входят - у тя почемуто широковещ. адрес сети в интернал не попал...

hardhearted
ок. а если на машине с Исой несколько внешних IP адресов. он выпускает по нату только с одного IP, как сделать чтобы выпускал в инет по другим IP адресам, я это имел ввиду.

товарищи, а кто-нить расшаривал ИСУ для работу с банк клиентом? порт 60179 расшариваю. а толку никакого, не выпускает и всё...

KorP2
всё работает как правило, просто если прога древняя немного поплсать надо
То что ты написал не хватает для осознания проблемы, телепатов нет. Пиши что за банк-клиент, какие порты юзает, протокол, что логи кажут, внешнии признаки, как клиент пдключён и т.д.

Кто-нибудь настраивал программу казначейства Континент через ISA2004? Делал по инструкции и ттак крутил. Максимум чего добивался - установки соединения, а дальше не идет... Протоколы UDP 4440 и канал IP250 открывал, закрывал крутил вертел.
У кого-нибудь получалось настраивать?

greenfox

Цитата:

Хотя всё равно странно почему fwc так себя ведёт

Вот для этого и есть публикация сайтов

KorP2
Я просто открыл весь исходящий трафик на IP банка. Мне кажется, они сами не знают какие порты им нужны

tag29
это тебе не поможет? http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=20946#1

rijk

Цитата:

Вот для этого и есть публикация сайтов

при чём тут публикация то? Паблишин нужен для доступу к внутреннему серверу из внешней сети (инета) и точка. Для доступа из внутренней сети к внутренним серверам ничегог не нужно. Это же подтверждается на практике снятием соот-х галочек к IE (см.выше) и соот-щей работоспособностью программ с внутренним сервером. Непонятным остаётся почему не работает с установлеными галочками.

greenfox
Мне пятый раз повторить нужно!!! Что б работало с галочками нужно сделать публикацию. У меня всё работает!!!

Цитата:

Для доступа из внутренней сети к внутренним серверам ничегог не нужно

Microsoft-у видней, что тебе нужно

rijk
*.domain применим не всегда (напрмиер у меня домен один и внутренний и внешний, а несколько внешний сайтов хостятся не у меня)
192.168.25.* срабатывает только когда набирают по ип (кстати если это же исключение настраивать через скрипт, то и по имени тоже будет обрабатываться, в этом и есть разница о которой я раньше писал)
Fir
в исе ничего задать нельзя
в rras есть такая опция, правда насколько хорошо она работает я не в курсе


Добавлено:
rijk

Цитата:

Мне пятый раз повторить нужно!!! Что б работало с галочками нужно сделать публикацию. У меня всё работает!!!

это тебе надо пятый раз повторить )
внутренний трафик НЕ должен идти через ису. это лишняя нагрузка.
у меня со всеми галками и без всяких публикаций все работает, просто надо правильно настраивать

Может кто сталкивался с такой проблемой, или знает в чем может быть проблема:

1) Есть несколько офисов соединенных каналом точка-точка (100Мб)
2) Везде используется ISA Server 2004 SP2
3) Создано VPN соединение Site-To-Site используя L2TP c Pre-shared Key между офисами, сертификаты будут внедряться позже
4) Соединение работает нормально

Проблема:
При установке соединения полоса пропускания ограничена 10Мбит/с (скриншот)
http://img244.imageshack.us/img244/5369/isa1ry8.jpg
На другой стороне показывает 100Мб/с
При этом передача данных действительно ограничена.
Порт в RRAS показывает 10Mbit/s

С чем это может быть связано?

P.S. На сервере есть другое такое же VPN соединение, и там таких проблем нет. (характеристики такие же)

ISA блокирует zip файлы. в выделенных филтрах есть .zip и application/zip-compressed
начинает работать только когда пропишу application/*
что с заголовками? кто сталкивался? что значит аппликатион???

Возниклап проблема после установки ИСЫ 2000 на 2003 сервер, на котором установлен Ексчендж 2003.
После установки ИСЫ и запуска и настройки на нем мастера Secure Your ISA Server Computer перестала запускаться служба Ексчендж (microsoft ecxhange information store)
В чем проблема может быть?

axit

Цитата:

В чем проблема может быть?

Цитата:

После запуска и настройки на нем мастера Secure Your ISA Server Computer

что в event viewer'e есть от exchange?

ShriEkeR

есть конечно
глядел, но если честно, ничего толкового оттуда не вынес
Ошибки такие:
8197
1121
5000

всем привет!

может уже и было, найти не смог...

вопрос такой: стоит ISA 2006 EE, есть правило которое пускает в интернет пользователей из группы INTERNET и не пускает тех кто в группе INTERNET_deny (INTERNET_deny в исключениях задана)

и та и другая группа содержат в себе AD группы: DOMAIN\INTERNET и DOMAIN\INTERNET_deny соответственно.

DOMAIN\INTERNET - включает другие группы и пользователей и практически статична.

а вот DOMAIN\INTERNET_deny используется для ограничения доступа в интернет (есть свой биллинг, написаный еще для ISA 2000), т.е. в эту группу время от времени добавляются пользователи. в ISA 2000 все работало на ура и сразу после добавления пользователя в группу - у него пропадал доступ в инет. а вот в 2006 - не пашет, похоже иса где-то кеширует у себя членство в этой группе, и как и когда обновляет - не понятно. кто-нибудь сталкивался? как победил?

помогите плиз... не получается никак... :(((((((((((

Есть Офис и Филиал.
Конфигурация моей сети
ЛВС1(192.168.2.0/24)---шлюз1(192.168.2.2/24, 192.168.113.22/30(ВПН), 192.168.44.2/30(Интернет))---роутер1(192.168.113.21/30)---роутер2(192.168.113.25/30)---шлюз2(192.168.113.26/30, 192.168.9.1/24)---ЛВС2(192.168.9.0/24), где
шлюз1 - W2k3 SP1, ISA 2006 St, член домена
шлюз2 - W2k3 SP1, ISA 2006 St, член рабочей группы

Вроде бы установил ВПН соединение между шлюз1 и шлюз2, даже поюзал его немного. Потом поменял пару Firewall Policy Rules ушёл домой. Пришёл с утра на работу ВПН не поднимаеться. ping Офиса в Филиал не проходит. Потом смотрю на шлюзе1 в оснастку RRAS и вижу не один L2TP-порт не открыт. Посмотрел Просмотр событий, а там такая запись

Источник: Microsoft Firewall
Код (ID): 14147

ISA Server detected routes through the network adapter Подключение по локальной сети 2 that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.10.255-192.168.10.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

Немного погуглил и нашёл ссылку на статью http://support.microsoft.com/?kbid=884496. Но всё равно не понял как решить проблему. Подскажите, если кто знает.

jarod2007
вообще то иса здесь не причем. принадлежность юзера группам устанавливается при логине, так было всегда, и пока юзер не перелогинится ни иса ни другие ресурсы не узнают что его членство поменялось. можно юзеров добавлять не в AD группу а сразу в иса группу, тогда срабатывать будет сразу.

Добавлено:
vicwanderer

Цитата:

192.168.10.255-192.168.10.255;.

откуда такие ипшники? я в твоем описании не вижу таких сетей, либо ты что то напутал в посте, либо у тебя левота в настроках networks или интерфейсов закралась. возможноэта ошибка выскочила в момент настройки, и больше не проявлялась, тогда ничего страшного, можешь на нее забить.