» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Народ ниид хелп...
На одном сервере устанавливаю АД ДНС ДХЦП всё пашет отлично компьютеры входят в домен и имена в днс разрешаются на отлично... только ставлю Ису и всё сыпется сразу перестают компы входить в домен с ошибкой "Ошибка при вызове удалённой процедуры" а если компьютер в домене то перестают применяться правила да и вообще как будто не видет сервера! Помогите что происходит .,?

Acreature
Куда ИСА ставится? Если на контроллер, то в правило нужно создать, разрешающее любые действия из внутренней и локального компьютера во внутреннюю и локальный компьютер.

Acreature - еще дополню что если ISA стоит на домен-контроллере и они же с двумя интерфейсами, один из которых внешний. Так вот на внешнем интерфейсе снимать галочки с "File and printer sharing" нельзя - тоже начнуться глюки.

Но зато можно ограничить доступ к доменному контроллеру только из внутренней сети.

Недавно начал работать сисадмином и вот решил изучить ISA 2006 .

собсвенно в первый раз увидел это чудо в одном учебноц центре
там на учебных компах в сетевых настройках был прописан только айпишник и маска
больше нигде ничего, ни прокси ни шлюзов не было прописано и пока был запушен ISA client интернет был.
мне такая идея очень понравилась и вот теперь я решил подобное реализовать у себя на работе
дабы не прописывать проски в каждой программе в большинстве из которых и прописывать то негде.

но как только поставил ИСУ ну тестовый пк столкунлся с кучей проблем

сеть такая:
удалённый офис в 20 км от города, 10-20 компов объеденены в workgroup. выход в инет через почти что диалап(CDMA usb модем).
почитал руководства которые нашёл в нете и первые главы книги "Шиндер Т Шиндер Д ISA Server 2004", где описан "быстрый старт".

поставил ису, выбрал профиль(стена между инетом и локальной сетью) настроил дозвон и выбрал это подключение как дэфолтный шлюз, сделал правило разрешить весь трафик как описано в книге
поставил на другую машину клиент

как результат: ISA client даже не видет сам сервер.


подскажите что я упустил и в какую сторону нужно копать?
что ещё нужно сделать?

Hedin2
Для внутренней сети включить поддержку клиента межсетевого экрана. А на клиенте руками прописать IP-адрес ИСА сервера.

Hedin2
а чт оты сделал чтобы иса клиент видел ису? автоматом просто так ничего не увидится
isa в workgroup - деньги на ветер
Acreature
найди статью на офсайте про установку isa на контроллеры.

hardhearted
в перспективе там планируется сервер и домен, но пока деньги на это найдуться, я хочу разобраться с исой и обкатать её использование

Правило создаю сразу после установки исы, галочки везде стоят. Поможите...

BULLDOG

в свойствах внутренней сети разрешен клиент

при этом на клиентской машине сервер с ИСА всё равно не виден
и клиент не подключается(адрес прописал)


с сервера клиентский пк при этом пингуется, т.е сеть есть

может ещё какие-нибудь правила нужно создать
кроме "разрешить весь исходящий траффик из внутренней во внешнюю для всех пользователей"????

Hedin2
а клиент то под каким именем подключается?

Цитата:

Hedin2
а клиент то под каким именем подключается?

hardhearted

сорри, но я не понимаю, что значит "под каким именем"?

так у меня и не получается с публикацией, вроде все как написано делаю, но не выходит... если кто шарит нормально и не тяжело помочь... можно было бы обсудить все в аське.

Добавлено:
такая картина.... в чем может быть проблема не пойму

Hedin2
ну fwc создан впервую очередь для аутенфикации юзера, под каким именем у тебя юзера на ису ломятся?

Добавлено:
Keprocs
как определен rdp5555?

hardhearted

как исходящий TCP. хотя вообще надо-ли было его создавать... А подключение должно было установиться на 192.168.10.200

все же удобней было бы в аське и скрины бы сделал всех настроек и скинул бы тебе... уже немного сроки просто поджимают.

Keprocs
какой к лешему исходящий, ты читал что такое публикация?
все протоколы при публикации только inbound

Проблема такая:
Требуется закрыть доступ к сайту, скажем к одноклассникам. Пишу - Deny из Internal в Url set, в котором пишу ввв.odnoklassniki.ru/*, всё закрывается. Но узверь, он умный, ползёт, скажем, на translate.google.com и т.п., вбивает там перевести сайт одноклассники и запросто попадает на него. При этом ссылка имеет вид:
hччp://translate.google.com/translate?u=www.odnoklassniki.ru&hl=ru&ie=UTF-8&sl=en&tl=ru. Добавление в URL set записи типа *odnoklassniki* Ни к чему не приводит.
Вопрос, как избавится от этой проблемы, т.е. закрыть сайт полюбому.
если зайти через сайт hччp://www.llty.info, что слово одноклассники вообще в ссылке не фигурирует.

hardhearted
знаю что при публикации только inbound, туда другой вообще-то и не засунешь даже если очень захотеть..... на rdp5555 можно не смотреть... либо я где-то что-то не то прописал... сейчас выложу скрины:
настройка модема:

правило публикации на ИСА:




что я делаю не так? )))

hardhearted
с подключением FWC разобрался
оказалось нужно было вместо выставленного по дэфолту имени компа с исой, поставить его IP и клиенты смогли к ней подключиться

Karreraseg
*odnoklassniki* в url забивать нельзя, открой доку или книгу по исе, там четко написаны правила куда и как можно пихать звездочки
по слову в url можно залочить через http сигнатуры
анонимайзеры лучше лочить отдельно, просто так одним нажатием ты не закроешь все пути обхода, иначе не было бы смысла их создавать.
Keprocs
а нетворки как настроены?

Книгу открыл, всй понял. Можно ли както загрузить URL-set из текстового документа? Можно поподробнее про сигнатуры?

следующий вопрос
играюсь пока на виртуальных машинах
инет ещё не сделал так что точно проверить не могу, но уже возник вопрос:

при попытки ввода любого адреса в браузере на машине с ИСА вылазит экран самой иса с сообщением о том что страница недоступна

а при попытки ввода того же самого с клиентской машиной вылазит экран самого браузера
как я понимаю при правильных настройках тоже должна сообщать об этом иса

что и где ещё нужно включить и настроить?

Karreraseg
можно скриптами, в книге у шиндера даже скрипт есть, или самому написать можно без проблем
сигнатуры тоже к ниге есть, или в консольке жми F1 и в поиске набери http signatures, там все разжеванно

hardhearted

Hedin2
исашные ошибки выдаются только прокси клиентам

Добавлено:
Keprocs
с виду все ок, а на внутренних клиентах иса шлюзом прописана?

hardhearted
естественно.... вот и не могу понять в чем дело... почему отклоняется запрос.. с радмином таже история.... возможно где-то что-то упустил но не могу понять где и что... так как сам все это делаю первый раз... а разобраться и надо и интересно )


Добавлено:
больше идей ни у кого нет?

ISA 2006 Enterprise (SP1) настроена как web-proxy.НА ISA настроен тунель L2TP с Cisco PIX в другой сети.Во второй сети находится локальный сайт на этот приходится ходить по имени (особенность реализации).В DNS создал зону и две записи типа (A),всё лукапится(ссылки на сайте ссылаюся на несколько серверов в домене до которого у нас тунель).Но на сайт не зайти по имени,по Ip доступен (но из-за реализации нада ходить по имени иначе часть контента недоступна)

=====================================================

В эксплорере

Error Code: 502 Proxy Error. The host server is unreachable. (10065)

======================================================

Если смотретьчерез Traffic Simulator (ISA 2006 Sp1)


Rule Name: Local WEB
Rule Order: 1

Additional information
From: Internal
To: Вторая сеть
Network Rule Name: ****
Network Relationship: Route
Protocol: Local HTTP
Rule Application Filter:
=======================================================


Вот порядок моих правил....

1 Allow LocalHttp Internal--- второря сеть
2 Allow LocalHttp вторая сеть ---- internal
3 Deny Http Internal ---- вторая сеть

Владельцы русской версии ISA 2006 Ent, будьте любезны ,поделитесь пожалуста русскими страницами ошибок, которые лежат в \ErrorHtmls.

TokImota
спрашивай в варезнике

Есть ADSL линк и небольшая домашняя сеть на 15 компов. Недавно было решено взять еще один линк от того же провайдера. Ходит ессно в Инет все это дело через ISA Server. Появилась мысль как бы объединить оба канала. Порыскав пору часов в нете понял что проще и правильнее делать все Циской, но тут не те денежные ресурсы, по-этому возник вопрос, может кто софтовым образом это делал? Еще загвоздка в том что скорость каналов разная, первый 8Mb D/1Mb U второй мегабит туда и обратно

ITeXPert
исой никак в принципе, она не роутер
циска на 15 компов с нормальным роутинегом - максимум 500-600 баксов, иса самая простая 1500 и еще 700 за винду, ну и сам сервак денег стоит
если есть сервак и жалко грошей на циску то можно другим софтом который выполняет функции роутинга, а самое дешевое - что нить из юниксов, у них роутинг более человеческий чем у винды

ps иса в домашней сети - извращение, за такое надо статью в УК предусмотреть