» Microsoft ISA Server 2006/2004/2000 (Часть III)

Цитата:

советую поискать по коду ошибки на таких

в том и дело что и там смотрел....по совету microsot - качали sp3.
по event - советы не помогли...

собственно,думал может что будет еще интересного в плане практич.совета(но только не переустанавливать)

hardhearted, насколько я понял. Site to Site VPN на ISA 2004 - это роутинг + vpn client.
Я пробовал на ISA настроить Site to Site, указал IP адреса сетей и конечных точек. На другой стороне с помощью RRAS поднял VPN сервер. Из сети, что находится за ISA все заработало, компьютеры второй сети стали видны. Но из первой сети, которая за vpn сервером, поднятым с помощью RRAS сеть за ISA не видна.
Меня интересуют подробные настройки RRAS.
Насколько я понимаю, нужно настроить роутинг пакетов в другую сеть через pptp интерфейс, но у меня не получилось. Маршрут вроде создал, но пакеты все-равно не пошли через pptp.

rijk,
Сеть за ISA - 192.168.0.0/24, сеть за вторым сервером - 192.168.80.0/24.
Насчет того, есть ли NAT за VPN клиентом - есть. VPN клиентом может быть как и ISA так и второй сервер, где есть служба RRAS.

Добавлено:
Нашел.
ISA Server 2004 Branch Office Kit: Creating Site-to-Site VPNs with ISA Server 2004 Firewall at the Main Office and Windows Server 2003 RRAS at the Branch Office
В документе http://download.microsoft.com/download/1/8/8/188ab94a-4ec5-4746-ac0f-a18177040fbf/isa2004se_branchoffice-rev%201%2003.doc

Привет всем. Экспортните кто-то пожалуйста правило разрешающее пользователям доступ к торентам. Хочу посмотреть как сделано - у меня пока полный доступ стоит.

Как восстановить настройки сети (реестр или службы)

Подстажите кто знает или сталкивался с проблемой.

Все работало. После установок одной из двух программ для измерения трафика (NET Traffic Meter 2.1 и BWMeter 3.1.1) после инсталяции которых (ставил поочередно) пропало обновление некотоых программ (AdMuncher, Spybot)

При этом в интернет выхожу без проблем (через ISA Server) на компе стоит Microsoft Firewall Client Management. Прокси автоматически прописываются в настройку - не сбиваются.

Но при попытке обновлении (AdMuncher, Spybot) пишет "The ISA Server denied the specified Uniform Resource Locator (url)

Оно конечно кушать не просит, но это уже не первый случай, когда при установке сетевых софтов реестр что-то слетает.
1 раз софт (какой уже не помню) просто отключил службу Routing and Remote Access.
После старта ее снова апгрейт восстановился.
Сейчас это не проходит.
Пробовал перезапускать (включать, переводить из мануала в автомат и наоборот) основные службы - не помогло.

Может кто подскажет методу восстановления?

PS. я простой юзер - админ помочь не может.

ZenerDiode
а с чего ты взял что это по вине этих прог происходит ?

Подскажите, как посмотреть 2-х гиговый лог ISA 2000, никакой редактор его не открывает...

эти проги раньше обновлялись без проблем, сейчас -нет.
Пишет ошибка.
Админ говорит, что у него все пучком и он ничего не менял.

DmyDry
а лог то в каком формате?

ZenerDiode
настройки сети в принципе все в настройках сетевухи задаются (сомневаюсь что в роутинг какие то изменения вносились) и если трафик доходит до исы значит либо требуется аутенфикация либо реально на исе это запрещено.
а вообще нечего ставить левый софт если не знаешь к чему это приведет, и бекап всегда решает.

Делал бекап системы до текущих изменений- не помогает.

Подскажите, пожалуйста, внедряю в сеть абсолютно новый комп, но под старой учеткой, происходит просто замена старого компа на новый, имя компа другое чем у старого. Пока не поставил клиент межсетевого экрана Microsoft для ISA server комп открывал все расшаренные папки сети, как только поставил, запрашивает пароль, что может быть такое? Как это исправить?

ZenerDiode
если админ не ленивый он может тупо посмотреть по логам что происходит, сейчас мы просто гадаем, а настройки и реестр самой винды вообще не тема этого топика.

hardhearted

LOG

DmyDry
это ж обычный текстовик, любым нормальным текстовым редактором открой.
а вообще как ты умудрился сделать тектсовый лог на 2 гб?

hardhearted

Вопрос решен. Админ сделал бекап на серваке и все заработало.
Глючила сама иса.
Всем спасибо за поддержку.

давно я уже тут ничего не спрашивал и не искал решения проблемы, но вот ...

предыстория. у меня несколько офисов, соединены меж собой по впн, но не через иса а через внешние роутеры, то есть для исы каждого офиса, все остальные офисы находятся в external. на всех исах все остальные офисы вписаны как subnet (чтобы рулить доступами между офисами) и на каждой исе есть правило разрешающее все протоколы между офисами всем юзерам, ну и конечно же несмотря на то что между internal и external стоит NAT, есть отдельное правило между internal и сабнетами других офисов Route. короче обычная схема когда впн поднят не на исе. все работало кроме http между офисами. в то время была еще isa 2004 sp1, немного покопавшись я нашел причину проблем с http: исы других офисов не пускали трафик с внешних ип, даже если этот внешний ип принадлежал другой исе, а иса посылала http запрос в другие офисы от своего внешнего ип, то есть проксировала, а проксировала из-за трех фич:
1. браузер слал трафик на прокси, то есть в браузеры надо было вписать правильные исключения
2. если стоит fwc то от него http трафик иса опять же проксировала
3. собственно по умолчанию иса любой трафик проксировала, в этом повинен web proxy filter висящий на http протоколе.
решение было простым
1. чтобы не вписывать все сайты в исключения я просто напросто настраивал браузеры через скрипт автоконфига (который генерит по настройкам сама иса), куда просто вписал все сетки офисов. это сработало даже если юзер набирал имя, полное имя(fqdn) или ип (кстати если руками вписать в браузер сетки без имен сайтов то по имени исключение не сработало бы). Можно было скриптом вписать весь домен, но у нас есть внешние сайты с нашим доменным именем и тогда проблемы бы начались с ними.
2. тем у кого стоит fwc тупо вписал в locallat.txt те же сетки офисов, чтобы fwc в эти сетки не хватал трафик
3. создал протокол transparent http (думаю все знают что это такое, а те кто до сих пор не в курсе, это обычный http только без web filter), и исключил обычный http из правила трафика между офисами.
и все стало нормально, http между офисами тупо шел напрямую без проксирования и какой либо подмены адресов

что же я обнаружил недавно, поставив ису 2006 (это же чуть позже нашел в другом офисе где установили sp2 на 2004 ису) и сделав абсолютно те же настройки
пишу в браузере полное имя (fqdn) внутреннего сайта (то есть вообще в своем офисе), например site1.domain.ru и получаю ответ 502 от исы, хотя этот трафик на ису попадать не должен был, то есть почему то исключения в браузере по адресам перестали работать (как это связано с исой я так и не понял, видимо тот скрипт автоконфига который она теперь генерит уже другой), по неполному имени, то есть http://site1, работает, попадает под галку в настройках про локальные адреса (браузер считает локальными адреса без суффиксов, то есть неполные), это я исправил включив в скрипт весь домен с поддоменами, причем в отличие от 2004 sp1 проблем с внешними сайтами не появилось.
но наткнулся на другую проблему, между офисами http перестал ходить напрочь. и по ип, и по неполному имени и по полному, все как и раньше по логам идет по transparent http, но потом почему то иса начинает стучаться опять от своего внешнего ип, заведомо видно что браузер посылает не на прокси а напрямую, и отвечает не иса прокси (ее страничку с ошибкой всегда узнаешь по специфичной раскраске) а отвечает именно файрвол и отвечает просто таймаут, что понятно, если она лезет от внешнего ип то ее просто не пустят туда. вот что стало в логах (клиент 192.168.0.15, иса внутренний 192.168.0.1, внешний 10.0.0.2, веб сервер в другом офисе 192.168.1.7)

Original Client IP Service Transport HTTP Status Code Error Information Log Time Destination IP Destination Port Protocol Action Rule Client IP Client Username Source Network Destination Network URL
192.168.0.15 TCP 0x0 15.06.2007 18:06 192.168.1.7 80 Transparent HTTP Initiated Connection Between Offices 192.168.0.15 Internal External -
10.0.0.2 TCP 0x0 15.06.2007 18:06 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:06 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:06 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
0.0.0.0 Proxy TCP 10060 0x40 15.06.2007 18:07 192.168.1.7 80 http Failed Connection Attempt Common Web 192.168.0.15 anonymous Internal External http://192.168.1.7/
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:08 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:08 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
0.0.0.0 Proxy TCP 10060 0xc0 15.06.2007 18:08 192.168.1.7 80 http Failed Connection Attempt Common Web 192.168.0.15 anonymous Internal External http://192.168.1.7/favicon.ico
10.0.0.2 TCP 0x0 15.06.2007 18:08 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
192.168.0.15 TCP 0x0 15.06.2007 18:08 192.168.1.7 80 Transparent HTTP Closed Connection Between Offices 192.168.0.15 Internal External -


тут уже все видно, при нормальном обращении, то есть как было раньше до sp2, всего кроме первой и последней строки быть не должно, то есть должны быть нормальные коннекты с 0.15 на 1.7 по правилу Between Offices, и никаких коннектов с localhost.
щас ищу на офсайте и блогах шиндлера что нить вразумительное. сдается мне что мелкомягкие что то подправили в своей transparent proxy и она теперь проксирует независимо от web фильтра, и такое ее поведение меня как то не радует.

Добрый день.
Isa 2004 на w2k server
Ситуация следующая.
RRAS настроен просто как маршрутизатор между подсетями. (без NAT)
ISA2004 network rules определяет отношения между internal и external как NAT
Будет ли этого достаточно или нужно будет еще и RRAS сконфигурировать?

И второй вопрос.

Политики доступа применяются к явно определенным группам пользователей, взятых из AD (all users только в системных политиках и last default rule)
Насколько я понял из Шиндера, при попытке доступа неавторизованного пользователя isa проходит по всем правилам (нет совпадения по пользователю) и упирается в последнее, запрещающее правило, и доступ неавторизованному пользователю закрыт.

Хотелось бы создать правило для неавторизованных пользователей и поместить его в первые ряды, дабы в пустую не тратить время на перебор правил, но вот беда - не могу найти в AD группу "неавторизованные пользователи" (в принципе естественно, что в домене таких записей нет)
Cуществует локальная (на самой ISA) группа "Анонимный вход" - годится ли эта локальная группа для описания неавторизованных пользователей, secureNAT в частности?

zubastiy
rras можешь вообще выключить
ты не так понял шиндлера, если правило подходит по всем параметрам (источник, назначение, протокол и т.д.) кроме юзера и юзер аноним то соединение отбросят как ошибку аутенфикации. то есть в случае с анонимом перебора не будет.

hardhearted

Цитата:

предыстория. у меня несколько офисов, соединены меж собой по впн, но не через иса а через внешние роутеры, то есть для исы каждого офиса, все остальные офисы находятся в external.

A почему ты не хочешь отказаться от VPN на внешних роутеров и сделать VPN через ISA мне кажется это бы решило все проблемы правда с маршрутизацией был бы цирк, но реально перенастроить

Цитата:

что же я обнаружил недавно, поставив ису 2006 ......

Была похожая ерунда в одном офисе, опишу примерно: есть VPN подключение к провайдеру (у нас все (большинство) провайдеры раздают инет по VPN) и есть так же у провайдера локальные сайты со статистикой, к которым можно подключиться только напрямую.
И вот один и тот же провайдер одна и та же ISA 2004 настраивал в трёх офисах. В двух всё работает в третьем не фига, смог решить проблему так же как и ты (transparent http и т.д.).
Я с этим смирился и не обращал внимания до выхода ISA 2004 SP3, пропатчил третий офис и всё заработало без transparent http, похоже просто глюк, может у тебя тоже самое с ISA 2006, переставлять не пробывал

Кто ни будь сталкивался с проблемой восстановления бэкапа ISA 2006 после переустановки сервера, или просто на другом компе? Сделал полный экспорт, переставил сервер, накатываю, и начинаются проблемы. Консоль работает криво, отображает не все. В логах ошибка Event ID 21124, код ошибки 0x8007203a. В нете ничего вразумительного не нашел
Что может быть не так?

rijk

Цитата:

A почему ты не хочешь отказаться от VPN на внешних роутеров и сделать VPN через ISA

потому что внешние роутеры работают лучше чем иса, а во вторых часть офисов вообще не имеют серверов, там тока циски для связи с основным, и лучще если все каналы будут на одной платформеэ

Цитата:

может у тебя тоже самое с ISA 2006, переставлять не пробывал

это не глюк, такое во всех офисах где я ставил 2006ю или sp2 на 2004ю
возможно sp3 это исправил но он выщел позже 2006 и возможно для 2006 есть или будет хотфикс

2hardhearted

Цитата:

zubastiy
rras можешь вообще выключить

у меня тогда маршрутизация между тремя сетями не работает %)

вообще вопрос - как правильно обьяснить исе следующую топологию сети.

isa2004 с тремя интерфейсами
первый смотрит в инет
второй смотрит в сеть серверов (193.124.10.0/24)
третий смотрит в офис (192.168.0.0/16)
в сеть серверов так же входит маршрутизатор за которым находится 10 удаленных магазинов

Настроил таблицу маршрутизации так чтобы все сети могли общаться между собой (удаленным магазинам и офису необходимо иметь маршрут между собой, доступ в инет и доступ к серверам, весь траффик проходит через ISA)
Если создаю internal включая туда все нужные мне диапазоны - постоянно ругается на предмет того что диапазон 193.124.11.0-193.124.21.255 не привязан ни к какой сетевой карте. Конечно можно это дело игнорировать, но хотелось бы как то растолковать ISA в чем дело.

Еще вопрос.
Нужно разрешить скачивание всех файлов кроме *.exe и application/octet-stream
Если в списки исключений *.exe добавить минутное дело, то как запретить только application/octet-stream не могу сообразить
Создавать правило в котором перечислять все и не упоминать application/octet-stream?

bahtey

Цитата:

Народ, может кто сможет помочь все ж с моим(выше) вопросом isa 2004 - Event: 14079

Попробуй отключи кэширование, если оно включено.

Подскажите, пожалуйста, как делать Backup конфигурации Microsoft ISA Server 2006 EE в автоматическом режиме?

zubastiy
есть простое правило, 1 interface - 1 network
у тебя 3 интерфейса значит надо создать три нетворка, два уже есть (internal - офис, external - инет), сделай третий куда ты поместишь сеть серверов и также ВСЕ СЕТИ в которые иса должна роутить через сеть серверов (то есть магазины). а потом между этими нетворками задай где надо route а где надо nat. собственно ничего сложного если правильно понимать идеологию работы исы.

вопрос следующий решил поставить ISA, первое какую версию лучше ставить 2004 или 2006 и русскую или на родном английском? и что и как настраивать?
Ситуация следущая: имеется компьютер с одной сетевой картой, имеется ADSL модем работающий в режиме бриджа, подрубленый к свичу в дальнейшем на модем в режиме бриджа будет держать соединение VLAN через провайдера. Вопрос как все настроить чтоб раздавать пользователям интернет и в последующем обеспечить работу VLAN, можно ли все это организовать на одной сетевой или желательно чтоб их было 2.

За вопросы прошу не бить, и заранее спасибо за ответы ))))

Keprocs
2006 почти такая же как 2004, изменений в принципе немного, в основном по мелочам которые замечают тока те кто работал с обеими. язык это дело предпочтений каждого, я всегда юзаю оригинальные версии, то есть английские.
сетевых карт должно быть 2, иса с одним интерфейсом будет просто проксей. организация канала у провайдера мало влияет на ису, есть провод есть ип, больше ей ничего не интересно, а что там у тебя будет модем или vlan уже все равно.

Добрый день господа админы!
У меня такая трабла:
Имеется машина S2 На ней стоит ScanMail и он не хочет обновлять базы через интернет. Ну я подумал сразу что что то в исе не так и решил посмотреть логи её в ISA. ну значит смотрю логи при попытке обновить базы в ручную, а там.. там ничего нет))) там только обращение идет к DC и никаких попыток обратиться к официальному сайту где лежат обновления. может ScanMail Надо как то по особому настраивать.. кстаи пробывал правило в исе включать *Всем все можно* тоже не пытается обновиться. хелп ми плизз)

Добавлено:
добавлю что на DC стоит ISA и там же выход в инет, все под управлением Win 2003

hardhearted
спасибо за ответ, тогда как поставлю вторую сетевуху и мопед в нее воткну, буду дальше спрашивать, что будет непонятно )))

Решил я еще раз запустить ISA и обновления.. смотрю логи исы и.. Оо.. вижу HTTP Denaid Connection... конечно же сразу пофиксил - сейчас все обновляется .. вот только одно не понятно. почему раньше не видел этих логов - все так же остается загадкой)