» Microsoft ISA Server 2006/2004/2000 (Часть III)

Народ! Кто подскажет как правильно настроить правило в ISA 2004 чтобы компьютеры внутри локалки могли активировать лицензионный Win XP?

Все что я нашел:
http://support.microsoft.com/kb/291983

Windows Product Activation uses the following ports:
80 - HTTP
443 - HTTPS
MORE INFORMATION
For Windows Product Activation to succeed, configure firewalls or other devices that are between the client and the Internet to allow traffic to pass over ports 80, and 443.

You can use Microsoft Internet Explorer or other Internet browsers to test connectivity through these ports.

To test whether port 80 is open: 1. Open Internet Explorer.Type http://www.microsoft.com:80 in the Address bar, and then press ENTER.
2. Type http://www.microsoft.com:80 in the Address bar, and then press ENTER.
To test whether port 443 is open: 1. Open Internet Explorer.Type https://www.microsoft.com:443 in the Address bar, and then press ENTER.
2. Type https://www.microsoft.com:443 in the Address bar, and then press ENTER.
If you can access the Microsoft Web site each time, ports 80 and 443 are accessible.

If your browser displays an error message such as "connection timed out," the corresponding port may be blocked.

Эти порты открыти и работают.

в логах иса пишет:

Original Client IP    Client Agent    Authenticated Client    Service    Referring Server    Destination Host Name    Transport    HTTP Method    MIME Type    Object Source    Source Proxy    Destination Proxy    Bidirectional    Client Host Name    Filter Information    Network Interface    Raw IP Header    Raw Payload    GMT Log Time    Source Port    Processing Time    Bytes Sent    Bytes Received    Cache Information    Error Information    Log Time    Client IP    Destination IP    Destination Port    Protocol    Action    Rule    Result Code    HTTP Status Code    Client Username    Source Network    Destination Network    URL    Server Name    Log Record Type
0.0.0.0    Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.1)    No    Proxy        wpa.one.microsoft.com    TCP    GET            -    -        -        -    -    -    22.10.2007 8:46:00    0    500    4513    158    0x4    0x0    22.10.2007 12:46:00    192.168.0.2    192.168.0.1    3128    http    Denied Connection    internet        12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.     anonymous    Internal    External    http://wpa.one.microsoft.com/    EST-S-PX1    Web Proxy Filter



Вероятно что то в способе авторизации.

Нашел еще один линк
http://technet.microsoft.com/en-us/library/bb490216.aspx

Вообщем я в правиле в distanetion прописал
http://go.microsoft.com/*
https://sls.microsoft.com/*
https://sls.microsoft.com:443
http://crl.microsoft.com/pki/crl/products/MicrosoftRootAuthority.crl
http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl
http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl
http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl
http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl


Может дело в типе аутентификации? почему то пишет что не firewall filter а web proxy.

Как можно настроить чтобы иса пропускала активацию XP? кто как делал?

Помогите, пожалуйста!!
Из уже работающей сети без ISA сервера необходимо построить следующюю сеть:
ISP---------ISA-----switch---LAN
|
D-link
|
DMZ
Проблема в том, что ISA не видит адреса, находящиеся за D-Link/ Может я что-то упустила???

T0m0
у тебя клиенты аутенфикацию не проходят, в логах светится анонимус

Newsalli
Если у тебя только 2 сетевухи на борту то у тебя то же что у меня Если нет то не знаю
http://www.isadocs.ru/articles/Network-Behind-A-Network.html
как это делал я может кто поправит
1. на ISA сервере настраиваешь маршрутизацию
2. создаешьв subnet-ы в toolbox NetworkObjects
3. создаешь в networks сеть (я назвал периметр) туда вбухиваешь свои подсети
4. в Network Rules создаешь правило что туда - сюда - NAT (почему - реально не понимаю должно быть роут по идее )
5. Делаешь правила доступа в полисях.

Newsalli
а что ты уже построила?
для твоей топологии надо три интерфейса и должно быть соответственно три network на исе

Добавлено:
FaustOVO
неправильно
если у тебя две сетевухи то и network'ов должно быть два, об этом в том документе и написано.

Цитата:

у тебя клиенты аутенфикацию не проходят, в логах светится анонимус

У меня аутентификация "integrated"
т.е. в интернет эксплорере пользователи аутентифицируются на основе учетной записи под которой они залогинились на комп. Причем интернет соответсвенно работает.

При активации Виндус спрашивает адрес и порт прокси, но не спрашивает логин и пароль. Что нужно изменить? что нужно прописать в правиле исы, чтобы она пускала??

hardhearted
Ну во всяком случае у меня щас все работает а вот как правильно сделать мне никто не сказал - зато пропали всякие алерты

T0m0
никогда винду не активировал
скорее всего не умеет эта служба проходить аутенфикацию
поставь анонимное правило

hardhearted
у меня три сетевых карты: WAN? LAN и DMZ.

Newsalli
ну тогда все просто
wan - external, lan - internal, dmz - dmz
первые две сетки настраиваются стандартно, а в network dmz включешь все сети которые должны быть доступны через эту сетевуху, то есть сетку между исой и длинком и все сетки что за длинком
ну если длинк в режиме роутера то на исе пишешь route add для всех сеток в которые надо через длинк попадать

hardhearted
Ну а если все же 2 сетевухи LAN и WAN? тогда как правильно?

FaustOVO
тогда все будет зависеть от того куда ты эту dmz хочешь засунуть, либо это будет у тебя часть internal либо часть external
но в этом случае будет только два network

hardhearted
Internal - но если его запихнуть в internal - то будет ругань на спуффинг.

FaustOVO
а роутинг кто прописывать будет?

Роутинг прописан в том то и дело

Цитата:

T0m0
никогда винду не активировал
скорее всего не умеет эта служба проходить аутенфикацию
поставь анонимное правило

Правило стоит для All users
Галочка Require all users to authenticate снята

Как профиксить ?
Как заставить виндус активироваться через ISA?

FaustOVO
смотря где и как прописан
например у тебя есть твоя сетка (internal), есть внешний мир (external) и есть некая левая сетка, в которую можно попасть через роутер находящийся в internal и имеющий адрес из internal. эту левую сетку ты пишешь в internal и на исе пишешь маршрут в нее через этот роутер. аналогичные маршруты надо написать на всех хостах на которые будут лазить из той левой сетки, иначе tcp stateful filter ругнется, и правильно сделает: из левой сетки начинают соединение с компом из твоей локалки, этот пакет с роутера пойдет напрямую на комп минуя ису (что верно, роутер то в твоей локалке, незачем через ису гонять если можно напрямую), но твой комп, если ты маршрут не напишешь, про роутер не в курсе, и пошлет ответ через ису, иса увидит что ответ пришел и запроса то не было, вот и ругнется. об этом кстати в той статье все написано.

T0m0
твои логи говорят что иса запросила аутенфикацию
у тебя только анонимное правило или другие есть?

hardhearted


Цитата:

ну если длинк в режиме роутера то на исе пишешь route add для всех сеток в которые надо через длинк попадать

напишите поподробнее, где и как прописать.
сама я пробовала в командной строке прописать route add -p *.*.*.* (ip сети) mask *.*.*.* *.*.*.*(ip длинка)

hardhearted
все это замечательно кроме одного
У меня этих подсетей 10 штук, всего где то 200 устройств - устанешь прописывать
К Цыске у меня доступа нет она у прова стоит, он услуги предоставляет по комутации.
Если подробнее

ISP------------------------------
| ISA |
LAN---------Router-------------
|
DMZ

Lan - 192.168.0.0/255.255.255.254
DMZ - 192.168.8.0-192.168.24.0 (c разрывами)
ISA - 192.168.0.2

Router из нутри каждой подсети 192.168.подсеть.254
из лана роутер - 192.168.1.254

Вот

Добавлено:
Newsalli
Наверно проще запустить оснастку маршрутизация и удаленный доступ и там уже внести, заодно проверишь что маршрутизация поднята

FaustOVO
где ее запускать?? Я новичок, все изучаю сама, так что напишите подробнее.

Newsalli
Пуск - настройка - панель управления - администрирование - маршрутизация и удаленный доступ.

FaustOVO
всего 10? а батники для чего созданы? политикой всем компам суешь батник и все
Newsalli
не трогай rras
все правильно, через route add -p все делается

hardhearted
Это такой изврат? с батниками
и какая разница между rras и route add?

FaustOVO
изврат это ставить два роутера в локалке, и раз уж начал извращаться то придется идти до конца. там батник то 10 строчек route add )


Цитата:

какая разница между rras и route add?

route add проще )
в ррасе много чего можно нажать ненужного особенно если не знаешь

Добавлено:
FaustOVO
а если хочешь без извратов и правильно то выноси это в отдельный интерфейс на исе
или можно эти сети вынести в external, тогда маршрут понадобится тока на исе (у меня например циска стоит снаружи, она и в другие сети ведет и в инет)

Ребята очень срочно помогите...
все снес, ставлю ИСА Сервер 2006.... он выдает ошибку Setup failed to install ADAM
Что это может быть ? все перелапатил...
тоже самое...
Винда стоит сервер 2003 R2 SP1

помогите пожалуйста....

Добавлено:
вот моя ася...
помогите может онлайн так сказать, просто все горит..
умоляю


Добавлено:

IeugeniyI

Установи http://rapidshare.com/files/64550695/ADAMSP1_x86_English.exe.html

Это спец обновл для ADAM ISA

А что это....
дело в том что обновление даже не успел загрузить от микрософта...
это какоето обновление ?

MS описание

Цитата:

ADAM это Active Directory Application Mode, т.е. это вариант Active Directory - фактически LDAP - для приложений. чтобы они не "портили" обычную доменную Active Directory.
Ставится вместе с ISA Enterprise. Либо как компонент Windows 2003 R2.

MS download

Товарищи не подскажете почему ВПН клиенты не могут войти в ICQ и в другие IM сервисы, а также не могут пинговать сервера из внешнего мира? А серфить по инету запросто, какая-то странная ситуация

IceFusion
У меня могут всё. Смотри настройки и правила
Настройки: прописан ли шлюз при подключении
Правила: Что разрешено группе VPN Clients