» Microsoft ISA Server 2006/2004/2000 (Часть III)

PIL123

Антивирус Касперского для Microsoft ISA Server на isa 2006 Standard Ed. работает нормально, на других не проверял. Как вариант, можно поставить Nod32, но он работает в один поток, а у касперского можно выбрать их количество.

Lopster

Цитата:

Всем привет !
Облазил все части темы ( метод "версия для печати" ), нашёл несколько ответов на свой вопрос, но ничего не получилось Задам ещё раз тут. Есть ИСА 2000, надо запретить закачку файлов *.exe, *.mp3 и т.д. Куда чего прописывать ? Тока подробнее плиз... для тупых, которых насильно посадили на ИСУ в связи с глючностью ЮГ С запретом сайтов я разобрался вроде.

Точно так как и запрет сайтов.
Создаешь список контента который тебе нужно запретить.
Создаешь запрещающее правило, весь траффик с фильтрацией по контенту и указываешь созданный список запретов, применяешь для всех пользователей, в исключения прописывашь привелегированных %-)





Добавлено:
Ситуация.

Isa 2004
Две категории пользователей.
Верхнее правило запретить доступ всем неаунтифицированным
У первой группы открыт доступ all open (internal to external) (второе правило)
У второй группы открыт доступ только по http и https ко всем сайтам (internal to external) (третье правило)

Возникает проблема доступа к некоторым сайтам. Например citibank и hotmail (при попытке авторизации) доступны только первой группе, второй группе - доступ закрыт, притом что к остальным сайтам доступ неограничен.

У первой группы - все работает. (смотрю по логам использует только http и https)
У второй группы - не открывается регистрация в хотмайл, судя по логам идет запрос к signup.live.com:443 по ssl тунелю который откидывается по первому правилу - запрет неаунтифицированным пользователям -_-

Насколько я понимаю сайт запрашивает аунтификацию, пользователь ее вводит и браузер ее передает как логин пассворд для идентефикации на ise - в результате и получается такая чехарда.

И как следствие... что делать? Отлавливать все сайты где возникает такая сиутация и организовывать именно туда неавторизованный доступ?
Или можно как то настроить ssl тунель ?
Мол - через ssl пропускать без авторизации. Если это и возможно сделать, то я не нашел как %(

Добрый день.
Имеется следующая проблема:
Установлена ISA 2004 SP3, настроены правила.
В определенный момент она перестает пускать по правилам, а в логах пишет
Denied Connection, порт по которому соединяешься, и протокол - неизвестный.
Помогает рестарт сервиса, но опять же ненадолго.

Здравствуйте. Проблема следующая. Падает сервис ISA Server 2004 (SP2 на исе стоит).

Возможно (точно не помню) после установки SP2 на win 2003 server.

Проявляется следующим образом: пользователи через прокси не могут пройти авторизацию. Вводят логин/пароль во всплывающем окошке. Но он как бы не принимается и снова просит ввести пароль.
Притом пользователи через нат (почта, игра world of warcraft, skype) продолжают работать нормально.

В логах об ошибках следующее:

"Сервер не смог выделить память из выгружаемого пула памяти, так как выгружаемый пул пуст." - это в разделе "система"

"Exception: Указанный домен не существует или к нему невозможно подключиться
Function: TranslateUserNameTo1779"
- это в разделе "приложения" - источник "TQService" - это у меня traffic quota стоит.
и следом сразу же идет ошибка от того же источника:
"ADsGetObject failed with error code 0x8007054B (UserPath = "LDAP://<SID=01050000000000051500000079426B8B87FF19D252A9B31B00040000>").
Function: GetUserObject"

И через некоторое время появляется ошибка от сервиса самой ИСЫ:
"The Web Proxy filter failed to create a network socket because there are no available ports on this computer. ISA Server already reset the maximal port number to 65535. Make sure this is the value at HKLM\System\CurrentControlSet\Services\TcpIp\Parameters\MaxUsePort and restart the computer to apply this change."

Ну в ручную не пробовал сервис перезагружать - делал просто ресет компу. (ну потому что меня во всех 3-4 случаях небыло рядом - просто пользователям предлагал ресетить комп.)

Ну на самой исе поднят rass (vpn) и все. dns, dhcp, и прочее не поднято.
На серваке еще стоит серверная часть симантека 10-го. Но он уже давно стоит и до SP2 подобных ситуаций небыло.
В целом примерно такая ситуация раз в неделю - жду совета.


Спасибо.

Всем здравствуйте! У меня возникла такая проблема: стоит домен контроллер, ISA Server Standart 2004 на отдельном сервере. ISA не может получить групповые политики и список юзеров с домена ссылаясь на ошибки в RPC протоколе. Через nslookup и ping ISA видит домен контроллер, так же с домена я вижу айсу. В чем может заключаться проблема? Может ли этобыть связано с тем,что и домен и айса стоят у меня на виртуальных машинах? (MSVirtual Server 2005R2). Заранее благодарен...

Не пинайте за леймерский вопрос: фаервол и брандмауэр это одно и тоже??? ISA server является тем или иныи, т.е. надо к нему дополнительно еще че ставить???

И еще такой вопрос родился: Вместе с исой установилась ADAM (Active Directory Application Mode - вроде так), на сколько я знаю это аналог AD и используется в сетях где нет DC или на winxp... короче зачем исе нужен экземпляр АДАМ, может я че не так в процессе установки сделал, чем ей AD не понравилась или я просто туда ису не завел????

zubastiy

Цитата:

Точно так как и запрет сайтов.
Создаешь список контента который тебе нужно запретить.
Создаешь запрещающее правило, весь траффик с фильтрацией по контенту и указываешь созданный список запретов, применяешь для всех пользователей, в исключения прописывашь привелегированных %-)

такой ответ я уже видел и попробовал, но не вышло, мне б для тупых, куда, что, как...

Ребят, напомните пжста: как сертификат для SSL создать и к Исе прикрутить?

Добавлено:
Все, что я экспортирую из своего ЦС не подходит - invalid key type =\

Установил сертификат (экспортировал через IIS), но теперь другая проблема:
при доступе к защищенному сайту на клиенте возникает окно авторизации к 127.0.0.1 и пароли никакие не подходят. На клиенте стоит FWClient, HTTPS разрешен. До того, как истек срок действия предыдущего сертификата, все работало ок.
В чем проблема может быть?

Здравствуйте!

Ни у кого не возникала такая потребность - ограничить до 1-2 число IP-адресов, с которых можно (ИМЕННО) одновременно с одним логином сидеть в Интернете? Просто, если у человека unlim, то от его имени пол-отдела сидят.

Добавлено:

Цитата:

На клиенте стоит FWClient, HTTPS разрешен.

То-есть это из сети Internal, а из External работает? У меня когда сертификат умер, сервис ISA 2004 остановился и не запускался вообще, пока его из хранилища сертификатов не снес.

lypky


Цитата:

И через некоторое время появляется ошибка от сервиса самой ИСЫ:
"The Web Proxy filter failed to create a network socket because there are no available ports on this computer. ISA Server already reset the maximal port number to 65535. Make sure this is the value at HKLM\System\CurrentControlSet\Services\TcpIp\Parameters\MaxUsePort and restart the computer to apply this change."

На 100% та же конфигурация и те те симптомы. Вылетал через 2-3 дня работы. Много перерыл чего в Интернете - вопросов полно, ответов нет.
В результате, удалось просто продлить жизнь до недели увеличением памяти с 512 MB до 1 GB. Теперь просто для профилактики перегружаю раз в неделю.

Rx1600

Цитата:

ограничить до 1-2 число IP-адресов

сделай правило по имени_компьютера+имя_пользователя.

Добавлено:
также можно использовать Bandwidth Splitter for Microsoft ISA Server 2004/2006

После всего этого также хорошо использовать большую дубину, чтобы разгонять очереди, которые будут выстраиваться к компьютеру "избранного".

Цитата:

также можно использовать Bandwidth Splitter for Microsoft ISA Server 2004/2006

Я TrafficQuota использую, в плане удобства IMHO лучше.


Цитата:

сделай правило по имени_компьютера+имя_пользователя.

Просто такова политика, что пользователь не должен привязываться к одному компьютеру (начальство нервное и постоянно компы меняет).
У меня всего одно правило - разрешает HTTP, HTTPS, FTP для UserSet Limit, в в нем виндовые группы, в них - пользователи.



Цитата:

После всего этого также хорошо использовать большую дубину, чтобы разгонять очереди, которые будут выстраиваться к компьютеру "избранного".

Люди ! Помогите же настроить наконец ограничение по контенту на ИСЕ 2000. Нужно подробный порядок действий.

Повторяю свои леймерские вопросы (сильно не пинать):
1). фаервол и брандмауэр это одно и тоже??? ISA server является тем или иныи, т.е. надо к нему дополнительно еще че ставить???

2). Вместе с исой установилась ADAM (Active Directory Application Mode - вроде так), на сколько я знаю это аналог AD и используется в сетях где нет DC или на winxp... короче зачем исе нужен экземпляр АДАМ, может я че не так в процессе установки сделал, чем ей AD не понравилась или я просто туда ису не завел????

davinchi9
1) да
2) личн оу меня с исой никаких адамов не ставилось, потому как делал все по людски, сначала сервак заводишь в домен потом ставишь ису.

ps на все эти тупые вопросы тебе любой тупой поисковик ответит за 2 сек.

кто-нибудь подскажет как на сервере (win 2003 server ent ed) isa server 2006 ent ed: пропустить multicast ??

Т.е. клиент из внутренней сети ISA "запрашивает multicast поток" , находящийся во внешей сети ISA? допустим 239,0,2,2:1234

Ктонибудь подскажет

я так понимаю нужно поднимать RRAS - IGMP routing , proxy

но чего то совсем не выходит ((

hardhearted
в смысле сначала сервак заводишь в домен??? у меня все на одном компе, как он сам (сервер) являясь DC может не быть в домене... как это выяснить???

Пара вопросов появилась


1. Как сделать чтобы ppoe дозвон в инет происходил не по запросу от клиента локальной сети, а при отсутствии связи?

2. Web Трафик в отчетах не совсем корректный, вроде как не суммирует в него почту, RDP и т.п., а считает только HTTP

Народ прошу помощи ибо второй день борюсь "со стенкой "...

Есть:
Сервак с АД
Сервак с ISA 2004
Есть 8 компов замечательно работающих со всем этим
и есть один [комп главбуха] который выдает чудеса всякие в частности если ставлю FC комп начисто теряет AD, сношу клиента - видит. Любьые запросы через клиента не проходят - умирают на корню и пишет ошибка авторизации ... В логах нашёл какую то ошибку про winsocks не совсем понял что значила она. До этого находил на просторах интернета какую то команду сбразывания кеша но где и какую забыл, может кто чем сможет помочь?

Имеем двухпроцессорный (с Hyper Thrading) Intel Xeon 3.5 GHz с двумя гигами оперативы со свежеустановленной на него Microsoft ISA Server 2006 Enterprise edition. Firewall Policy содержит 64 правила. При перезагрузке сервера процесс sqlservr.exe "кушает" около 200 мегабайт, спустя сутки где-то он начинает "кушать" уже около гигабайта. Не случится ли так, что память через сутки-двое просто кончится? Может как-то можно оптимизировать работу ISA и всех сопутсвующих его компонентов?

Цитата:

Имеем двухпроцессорный (с Hyper Thrading) Intel Xeon 3.5 GHz с двумя гигами оперативы со свежеустановленной на него Microsoft ISA Server 2006 Enterprise edition. Firewall Policy содержит 64 правила. При перезагрузке сервера процесс sqlservr.exe "кушает" около 200 мегабайт, спустя сутки где-то он начинает "кушать" уже около гигабайта. Не случится ли так, что память через сутки-двое просто кончится? Может как-то можно оптимизировать работу ISA и всех сопутсвующих его компонентов?

та же фигня, под конец sql сервер съедает 1.6 гига памяти и на этом затихает.
есть информация как этот процесс ограничить по потребляемой памяти? или отключить его в конец -_-

В дополнении к тому что я уже постил насчет непропускания ISA пакетов.
В какой-то момент она вообще перестала пускать, даже с перезапуском.
Снесли. Поставили 2006-ую, та же фигня.
Но в какой-то момент, ISA 2006 выдала окно в котором было написано что IIS выполнило кучу операций и все с ошибками(скрип по дурости не сделал).
После переустановки IIS и ASP.NET, ISA забегала как миленькая, но вскорости(через 5 часов) вновь стала все резать.
Переустановка опять помогла.
Кто-нибудь может подсказать в чем их связь вообще? и в какую сторону следует копать?
Переставлять систему с нуля очень не хочется.

zubastiy, а сколько у тебя оперативы? Когда твой процесс на ISA достигает 1.6 гига памяти ISA при этом работает нормально, стабильно?
Параллельное обсуждение проблемы тут.

tanur, а зачем, простите, у Вас IIS и ASP.NET на ISA?

ISA стоит на компе который является глядит в и-нет, туда же запихнули IIS и ASP.NET для того чтобы сделать сайт, на который так же можно заходить из и-нета.
Раньше эта схема работала, после перестановки - неделю проработала, потом начала сбоить.

davinchi9

Цитата:

у меня все на одном компе, как он сам (сервер) являясь DC может не быть в домене... как это выяснить???

во первых ты до этого не писал что ты ставишь ису на dc
во вторых, если ты задаешь такие вопросы то тебе наверное лучше написать заявление сразу и отнести в отдел кадров

Добавлено:
pridecom
на свой второй вопросы ты сам и ответил, web трафик это http и ftp, а все остальное это уже не web трафик
PIL123

Цитата:

Не случится ли так, что память через сутки-двое просто кончится?

а ты проверь )
во первых sql сервер это не компонента исы, это отдельный продукт, во вторых у sql есть такое свойство кушать много памяти если есть свободная, так он оптимизирует свою работу. так что если он не начинает занимать больше чем у тебя есть то все ок.
zubastiy
ограничить можно в настройках sql сервера, а если выключишь этот процесс то не будет у тебя sql )
и вообще sql тема не этого топика, идите в топик по sql

tanur
на каком порту находится сайт, есть ли правила публикации?
Выдает ли Alert порт 80 уже используется?
zubastiy
PIL123

Цитата:

та же фигня, под конец sql сервер съедает 1.6 гига памяти и на этом затихает.
есть информация как этот процесс ограничить по потребляемой памяти? или отключить его в конец -_-

В настройках SQL Server есть возможность указать максимальное количество используемой памяти, а так он забирает всю свободную
pridecom
1. Такой фишки в ISA нет только в RRAS, ставишь птичку с demand на persist
2. Сам посуди из названия Web Трафик, туда идут логии только по WEB


Добавлено:
hardhearted
Пока я отошел обновлять консультанта, ты уже на всё ответил

hardhearted

Цитата:

во первых sql сервер это не компонента исы

Если ты внимательнее прочтёшь моё сообщение, то поймёшь, что я ни в коем случае не называл MSDE компонентом ИСЫ. Считаю также, что твои замечания господину zubastiy по переносу обсуждения этой проблемы в другой топик неуместны, поскольку обсуждение этой проблемы поднял я, и, если бы у моего первого сообщения поднявшего эту тему была возможность написать заголовок проблемы, то я написал бы туда нечто вроде "Оптимизация работы сервера с ПО Microsoft ISA 2006".
Считаю твоё последнее собщение флудом за исключением, может быть, твоих разъяснений господину pridecom.
Простите за

Не будут ли г-да hardhearted и rijk так добры и не покажут ли нам как добраться до этих самых "настроек" в MSDE

1. В ISA создано правило разрешающее доступ по протоколу Http с определенных IP(наши офисы).
Все, на этом настройка исы заканчивается.
2. Алерт не выдает.

tanur
Как всё работетает у меня:
1. Сайт крутится на 81 порту, и вообще на 80 порту нет не одного сайта, иначе у меня выскакивает алерт: что то типа не может работать вебфильтр, так как 80 порт уже юзается
2. Сделано правило публикации (web publishing rule) которое и делает редирект на 81 порт