» Microsoft ISA Server 2006/2004/2000 (Часть III)

Infected Switch
Так вроде на этой вкладке ты указываешь порт Proxy SSL, который затем ты должен указать в настройках клиета: прокси сервер:порт

Vby
Спасибо что просвятил

Цитата:

Пытаюсь зацепить SSL на 443 порт, а Иса кричит, что этот порт уже кто-то юзает. Как посмотреть кто?

Kokorin

Цитата:

В логах IIS все хиты идут от 195.*, то есть это иса обращается к иис, и соответственно иис к исе.
То есть логии IIS становятся бессмысленными. Так же есть скрипт aspx который работает через внешний прокси (берет http с другого сервера)– он тоже не работает. Я так подозреваю что это HTTP фильтр исы. Но как его отключить ?

Ещё один плюс в сторону публикации сайтов: Если сделаешь Web Publishing Rule, то в нем можно поставить птичку передавать IP оригинальных компьютеров

Назрел вопрос: Два домена (A, B) в одной сети 192.168.1.0 (255.255.255.0). В домене A размещен ISA 2006. Домен A доверяет домену B (тип доверия — внешний). FWC клиент домена B при попытке подключения к ISA 2006 отвечает «Указанный сервер вернул неразрешенное имя сервера, использованное при перенаправлении.» В остальном — проблем нет, клиенты из домена B преспокойно ходят в Интернет через http-прокси.
В логах ISA FWC светиться начиная соединение с кодом 0x0 ERROR_SUCCESS и закрывая с кодом 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN либо
0x90074e20 FWX_E_GRACEFUL_SHUTDOWN.
Может кто сталкивался — удавалось ли как ни будь пустить клиентов из «соседнего» домена?

Infected Switch
в настройках прокси указывают другой порт, чаще всего 8443
а посмотреть netstat /?

Имею ISA 2006 Enterprise edition. Сегодня вечером добавил к массиву ещё один член (до этого массив состоял из одного сервера). Когда был один сервер ISA, то IP-адреса клиентам VPN выдавал DHCP и всё было замечательно. Теперь же DHCP выдавать VPN клиентам ничего не хочет, гад. Настаивает на выдаче статического пула адресов. Пытаюсь туда вписать хоть что-нибудь — не помогает, выдаёт окно:
И при этом абсолютно ничего не даёт в конфигурации ISA изменить и при любой попытке изменения конфигурации выдаёт:
В Internal имею сети: 172.16.0.0 - 172.20.255.255. Пробовал в диапазон VPN адресов вписывать адреса из этого диапазона, из диапазона 192.168.100 и т.д. - результат один - БОЛТ
Помогите, плиз настроить пул для VPN, а то, если бл... VPN не заработает меня за яйца подвесят. Страшно....

-----
Разобрался сам - прошу прощения за кипишь

2 Rx1600

У меня сервак 2.5ггц селерон, 512 мозгов.
Но вылетает не как у тебя через 2-3 дня, а где то через 7-8 дней.

Замечено что если он пассивно стоит работает то может и дольше простоять. Но если терминально начинаешь часто подключаться, то через пару тройку часов скорее всего вылетит.
Недавно при мне сервак затупил - я зашел терминально, сервак работал шустро - т.е. я предполагаю что утечки памяти небыло - но вот зайти в компьютер менеджмент или диспетчер задач я не смог - просто тупо не открываются. Поэтому просто перезагрузил сервак и снов вот он уже дня 3 работает неспеша.

Плиз очень срочно
Проблема в следущем есть комп1(АД,ДНС,ДХЦП) и второй комп2(ИСА 2004).В ИСЕ доступ к консоле был тока у одного юзера который брался из АД. Случилось так что того пользователя случайного удалили!!! Создали в АД точного такого же но доступ к консоле ИСЫ так и нету !!!!!
Как быть??????

Вопрос жизни и смерти

PIL123
в пуле должен быть указан диапазон размером на 1 больше чем ты указал количество клиентов
если ты даешь статический пул из internal то должен исключить этот диапазон из internal
все это написано в хелпе и книге

xhangmanx

Цитата:

Создали в АД точного такого же

это он только выглядет также, а внетренний идентификатор у него другой...

xhangmanx
на всю исашную ветку в реестре дай права себе и все

в реестре... это как?
я дал права папке и дочерним папкам консоль запустилась ругнулась что нет прав ... жмшь continue и там все пусто!

xhangmanx
к какой еще папке?
я говрю нужны права к ее хранилищу настроек, у исы 2004/2006 starndard (ent не юзал) весь конфиг в реестре
права наи папку с исой не имеют значения вообще

hardhearted
опиши пожайлуста как что сделать
а то ваще не пойму как в реестре на ису себе права дать
зы у меня стандарт

xhangmanx

на все ветки которые начинаются на "isastg_*" дай разрешения также как это делается для папок для нового юзега...

davinchi9
xhangmanx
у 2004 standard все находится в одной ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc
и найти это можно абсолютно ничего не понмая в исе, достаточно просто заглянуть в реестр

lypky

Я ж написал, что ровно неделю живет, потом пегегружать приходится.
Если же ждать до упора, то доходит до того, что команда shutdown -r -m \\имя_сервера
говорит о недостатке ресурсов и не выполняется.
Приходится пешком идти.

На сайте Microsoft есть описание проблемы

"The Web Proxy filter failed to create a network socket because there are no available ports on this computer. ISA Server already reset the maximal port number to 65535. Make sure this is the value at HKLM\System\CurrentControlSet\Services\TcpIp\Parameters\MaxUsePort and restart the computer to apply this change."

но только для ISA 2000. А у меня и на 2004 и на 2006 то же. Пробовал рекомендации - не помогает.

Вообще, если сидит там 2-5 пользователей - проблем нет. По статистике ISA, как число запросов превышает 12-15 тыс/час, сразу все ползет.

Может, дистрибутив кривой?

Всем
Просьба посмотреть, сколько запросов в час максимум по отчетам показывает ISA. И сколько у кого юзверей через нее вообще подключено.

Таки наверно такого вопроса еще небыло - а всеже - можно ли натянуть ISA на Windows XP ? ...такое вот редкостное извращение

iknow
нельзя и это хорошо
ps а натягивают резиновые изделия на одно место

Доброе утро.
Как безопасно опубликовать терминальный сервер?
Мыслю опубликовать сервер согласно правилу
Create New Server Publishing rule ->name rule -> ip терминального сервера ->protocol RDP - TServer --> ip (external) внешний адрес подключаемого клиента.

Насколько это будет безопасно? Имеет ли смысл изменять порт по умолчанию на какой нить другой?

zubastiy
в визарде создания правила публикации нельзя указать внешний адрес клиента, там указывается network который надо слушать, адреса клиентов это никак не ограничивает, для этого надо уже в созданном правиле править вкладку from.
порт лучше поменять потому как иса сама слушает стандартный порт, собственно смена порта на безопасность не влияет.
вопли по поводу безопасности это просто детская паранойя, в твоем случае все держится на имени и пароле, если они держаться в секрете то все ок. а если хочешь безопасность то это vpn по l2tp с сертификатами и никакой публикации.

Цитата:

hardhearted

ты демонстрируешь весьма глубокие познания исы, откуда столько знаний, просто опыт или учился где то?

Цитата:

в визарде создания правила публикации нельзя указать внешний адрес клиента, там указывается network

угу, именно так и сделал для теста, просто решил пропустить действие



Цитата:

вопли по поводу безопасности это просто детская паранойя, в твоем случае все держится на имени и пароле, если они держаться в секрете то все ок

вот меня и интересует безопасность передаваемого логина-пароля - не могут ли теоретические злоумышленики перехаватить мой траффик в момент соединия и распотрошить его на предмет вытаскивания логина пароля? Или поставить уровень шифрования высокий в настройках терминала и на этом успокоится?


Цитата:

а если хочешь безопасность то это vpn по l2tp с сертификатами и никакой публикации.

не очень хочется заморачиватся с впн и сертификацией ибо цель подключения мелкая работа на терминальном сервере (юзеров сбросить или спулер печати пнуть) имхо для таких операций впн не нужен вовсе я же не буду пересылать данные суперважности.

zubastiy

Цитата:

ты демонстрируешь весьма глубокие познания исы, откуда столько знаний, просто опыт или учился где то?

нигде не учился и собственно много с ней не работал, как поставил в спешке два года назад standard так и стоит, а многих вещей на исе вообще ни разу не делал. просто надо внимательней читать что пишет интерфейс, смотреть хелп иногда и главное думать головой

насчет того что могут злоумышленники а что ничего сказать не могу, я не очень глубоко знаю их методы и то как шифруется трафик в rdp.
но кстати впн удобнее в этом случае обычной публикации, во первых когда много серверов то можно на любой из них терминалится и не надо публиковать кучу портов или лазить на все через один. чтобы не мучаться с сертификатами можно поднять обычный pptp vpn.
ps еще польза от впн, когда домашний комп находится в домовой сети и не имеет внешнего ип то мона оставлять его включенным, поднять впн и идти на работу, а с работу по личным надобностям лазить на свой домашний комп

Цитата:

главное думать головой

да, мозг всегда решает проблемы

про впн еще подумаю, в случае "серых ip" будет явно необходим.


вопрос о ssl-tunnel , чтоб его так.

созданы правила -

запрет всех протоколов для неаунтифицированных пользователей.

all open для определенной группы пользователей.

разрешить http и https для второй группы


при заходе на некоторые странички (citibank.ru gmail.com) включается защищенное соединение ssl-tunel на 443 порт

если для первой группы - все хорошо, сайты открываются, то для второй группы ...

иса пишет 12202 The ISA Server denied the specified Uniform Resource Locator (URL).
смотрю по логам - неустанавливает соединение по ssl-tunel ибо анонимус

создаю правило доступа - все протоколы из интернал к проблемному сайту и аунтифицированные пользователи.

все прекрасно работает. в логах пишет протокол SSl-tunel разрешен и вперед.

как следствие лезу добавить протокол ssl-tunel для пользователей второй группы.... и нет его


куда глядеть?!!

zubastiy пароль в процессе подключения rdp клиента никак перехватить не получится, там достаточно надежная криптография (если параметры сервера не изменялиь от дефолтных)
но вот публикация сервера терминалов - штука мало полезная и с точки зрения безопасности - дыра в системе
причина сего события очень проста. если сервер терминалов смотрит куда то внаружу - на него очень просто организовать ддос атаку. т.е. некий жлоумышленик тупо открывает 1000 одновременных сеансов. в систему он, очевидно, не войдет. но вот для открытия каждого сеанса требуется не менее 10Мб оперативной пмяти. таким образом 1000 одновременных сеансов приведут с большой вероятностью к остановке сервера по причине нехватки памяти. это отностся к серверам терминалов версии 5 и ниже, т.е. вин2003 и ниже. в лонгхорне немного поумнее сделано уже - там есть возможность предварительной проверки имени\пароля до открытия сеанса.

по этой причине классически испольуется именно впн, так как атаку на впн сервер организовать, очевидно, сложнее.

weerkostya
а если указан только 1 ip с которых можно осуществлять rdp соединение?
все остальные соединения просто будут отбрасывать еще до авторизации.

может закинуть в топик - решение потребления памяти процессом SQL для isa2004 (насколько я понимаю и в 2006 такая же фигня) http://support.microsoft.com/kb/909636 - собсно само решение.

zubastiy
только надо уточнять что это относится к MSDE а не к нормальному sql

hardhearted
на нормальном sql энтерпрайз манагер прекрасно управляет распределением памяти
там действительно нет необходимости в этих скриптах

zubastiy
Да по-любому vpn лучше, удобнее и безопасней на порядок чем обычная публикация. Клиент VPN, который подключился по умолчанию прав никаких не имеет, т.е. ничего сдлеать не может. Открываешь ему доступ к необходимому ресурсу и всё.