» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Цитата:

SM8Yozhig
с таким талантам так задавать вопросы - за голову )

гыыыыыыыыы ))))))))))) я под столом )))))))))))) в баш кидайте

Сорри за офф-топ, не смог сдержатся.

hardhearted

Цитата:

у ее нет приоритезации трафика (ее убогий http diffserv не в счет), шейперов, квотеров и т.д. тока другими средствами

т.е. такими как Bandwidth Splitter? можешь посоветовать что-то конкртное для этих целей?

TokImota
а при запросе лигина\пароля там разве нет возможности поставить флаг "сохранить пароль"?
еще попробуй так: панель управления - учетные записи пользоватей - управление сетевыми паролями - вот там и вбей доменные учетные данные пользователя для дступа к хосту на котором иса стоит...

TokImota
тогда забей в ису локальных юзеров зеркальных локальным юзерам на машинах (тот же имя и пароль)

Добавлено:
davinchi9
Прог реализующих шейпирование по протоколу или сервису я для исы не встречал и никогда таким не интересовался. для таких целей обычн оиспользуют правильные железки и софтины, иса для этого не разрабатывалась

davinchi9

Цитата:

а при запросе лигина\пароля там разве нет возможности поставить флаг "сохранить пароль"?

есть, но положение не меняет, так как выскакивает окошко с сохраненными логином и паролем и прости каждый раз нажать ОК

Цитата:

управление сетевыми паролями - вот там и вбей доменные учетные данные пользователя для дступа к хосту на котором иса стоит

вот это пока работает
а не подскажите как поступить с клиентами которые по линуксом ?) (хотя наверно с этим мне в другой топик..)

У меня IAM v.2.7b под ISA2004 SP2 почему-то выдает не всю инфу из логов. Пропадают куда-то некоторые юзеры, у некоторых отсутствуют данные о траффике за несколько дней. А если вид отчета сделать по IP-адресам - то нормуль. Но по адресам у нас не прокатит. Один юзер может работать в разное время на разных машинах.
И часть псевдонимов слетает постоянно.
Как это поправить?

TokImota
а у них что в настрйоках прокси не забить имя пароль?

sergiologino
проверь логи, если в логах инфа есть, значит проблемы IAM а не исы

hardhearted

Цитата:

а у них что в настройках прокси не забить имя пароль?

логин и пароль забиты, сохранены, выскакивает окошко с уже сохраненными логинами паролями при обращении к некоторым новым страницам

Добавлено:
еще вопрос, возможно ли заставить outlook ходить через ISA ? без установки клиента? (ситуация для не доменных пользователей) клиенты Web-proxy

TokImota

Цитата:

еще вопрос, возможно ли заставить outlook ходить через ISA ? без установки клиента?

да, анонимно

Начал настраивать доступ к офисной сети по VPN по статье "Настройка VPN сервера в ISA Server 2004", расположенной http://www.networkdoc.ru/microsoft-isa-server/nastroyka-vpn-servera-v-isa-server-2004.html Подключение по PPTP получается без проблем, но такое подключение не очень безопасно. Попытался настроить по L2TP/IPSec. У меня возник вопрос по созданию сертификата. В статье описывается пункт:"• В окне Advanced Certificate Request выберете сертификат Administrator из списка Certificate Template. " Но у меня такого пунта нет, вот скриншот - http://rapidshare.com/files/164952410/cert.JPG.html . Может это по тому, что у меня ISA 2006? Что нужно выбрать в моем случае? Может есть подобная статья по ISA 2006?

"играюсь" с этой штукой, сделал под ESX server три виртуальных сервера, долго реагирует на изменение/отмену правил. например создал правило, пингую с одного сервера шлюз на котором установлен ISA, пингуется, отключаю правило, применяю, всё равно пингуется, проходит штук 50 -70 пингов, пока перестаёт пинговаться. очень неудобно. так и должно быть? особенность у ISA такая или что-то другое?

Народ, помогите!
У меня после ребута встала служба Microsoft ISA Server Control, из-за нее не запускается Microsoft firewall.
.в журнале пишет ошибку :
Microsoft ISA Server Control failed to start. The failure occurred during Service initialization because the system call QueryServiceStatus failed. Use the source location 100.181.4.0.2163.213 to report the failure. The error description is: Системе не удается найти указанный путь.
При попытке запуска какой-то код -2147024893
Вся контора без инета.
Что делать?

sergiologino
ничего не написал
искать над ов первую очередь по источнику и коду ошибки

Источник : Microsoft ISA Server
Код : 11004

sergiologino
а на офсайте искать пробовал?

все перекопал. Со вчерашнего обеда мучаюсь. Без толку.

MrEugene
http://support.microsoft.com/default.aspx?scid=kb;en-us;841140


All
Вопрос такого плана - иса2006. На внешнем интерфейсе 3 внеш.ip (белых). На исе днс так же крутиться. Сейчас днс открыт на все 3 ip-шника (простым правилом доступа аля отовсюду_ту_локалхост протокол днс). Хочу отсавить только 1 ip для доступа к днс (закрыть именно средствами исы а не прослушивателем днс сервиса). Вопрос - мне в дестинейшине указать что теперь это один тот самый ip (предварительно создав его в сетевых объектах) или попробовать опубликовать днс сервер на саму ису же (знаю что пудликация не для этого).

И ещё вопрос - как иса (2004\2006) выбирает какой из ip брать и использовать в качестве NATящего для внутренних клиентов?

Скажите плиз где хранятся логи. Есть ли какое-то место по умолчанию и как можно их найти. И можно ли их как-нибудь слить

в папке где установлен ISA server , папка ISAlogs

greenfox
доступ к одному ип можно сделать обоими способами, тока какой в этом смысл?
для всего исходящего трафика, в том числе для ната, винда берет первый ипшник, согласно таблице роутинга. иса не роутер ей на ипшники плевать, как винда сделает так и будет. nat можно настраивать через rras, правда с установленной исой я это не пробовал делать.

EmissarOfLight
там где указано в настройках исы, открыть можно

hardhearted

Цитата:

доступ к одному ип можно сделать обоими способами, тока какой в этом смысл?

всмысле какой смысл? Сделать ДНСу конкретный Ip а не все висящие на внеш.интерфейсе исы. (а на файере всё закрыть по максимуму согласно стратегии "один октрытый порт одна лишняя дырка"(с)
Цитата:

для всего исходящего трафика, в том числе для ната, винда берет первый ипшник, согласно таблице роутинга. иса не роутер ей на ипшники плевать, как винда сделает так и будет. nat можно настраивать через rras, правда с установленной исой я это не пробовал делать

Таблице роутинга? Мне казалось там маршруты прописаны ... Судя по всему лн взял Ip -шник который прописан основным на интерфейсе (или первым в списке если смотреть через св-ва RRAS) - его и исп-т для натинга...

MrEugene

Цитата:

"играюсь" с этой штукой, сделал под ESX server три виртуальных сервера, долго реагирует на изменение/отмену правил. например создал правило, пингую с одного сервера шлюз на котором установлен ISA, пингуется, отключаю правило, применяю, всё равно пингуется, проходит штук 50 -70 пингов, пока перестаёт пинговаться. очень неудобно. так и должно быть? особенность у ISA такая или что-то другое?

это особенность. связанная с рекомендуемыми требованиями к железу.
После того как для Windows 2003 вышел SP2 особенность стала чуть чуть дольше длиться.

sergiologino
посмотри не отключена ли галочка на сетевом адаптере "File And Printer Sharing".

greenfox
использовать надо публикацию. первый способ имеет правило иногда не срабатывать, в часных случаях когда требует для 1 ip перекинуть на dmz , а для всех остальных например на другой , при том что порт и source совпадают. Теоретически зависит высоты расположения в policy, но на практике это не так. именно в 2006. в 2004 всё работает как положено.

se111
пост не совсем понятен

greenfox

Цитата:

закрыть по максимуму согласно стратегии "один октрытый порт одна лишняя дырка"(с)

если днс порт не слушает значит дырки нет

Цитата:

Мне казалось там маршруты прописаны ...

все верно, представь что у тебя на внешнем интерфейсе несколько ипшников из разных сеток, или вообще несколько интерфейсов с разными ипшниками
исходящий ипшник берется согласно роутингу, в зависимости от того в какую сетку надо попасть (0,0,0,0 то есть по умолчанию, тоже считай сетка, будет использоваться первый ипшник с которого виден шлюз по умолчанию)
просто я написал общий принцип, в твоем примитивном случае: несколько ип из одной подсетке на одном внешнем интерфейсе с одним маршрутом по умолчанию - да, так и будет: первый ип по списку. nat относится к тому же исходящему трафику, для него все это справедливо
так по умолчанию работают все роутеры, но некоторые умеют менять это поведение
rras умеет задавать конкретный адрес для nat для отдельных источников, но с весьма сильными ограничениями.

Проблема следующая.
Прихожу сегодня на работу, а клиентским машинам не раздается инет - переодически пишет ошибку 403 либо иса выкидывает свое сообщение.
Захожу на компьютер с исой (win2k+ISA2004), анализирую политики - все ок. Потом обращаю внимание, что места мало на диске С (520 мб) и нахожу файл *.cdt (или как кэш обозначается), а он 5 ГБ занимает.
Захоэжу на ису и в настройках отключаю кэш. Инет появился.

Собственно вот проблема, чем может быть вызвано (места еще достаточно)? А так же как правильно настроить кэш чтобы такого больше не случалось? До сего дня иса работала идеально и без сбоев. Дата создания файла кэша 2006 год.

А также интересует как отчеты дневные удалять, т.к. с 2005 года их огромное кол-во.

AndrewShan
попробуй пересоздать кэш (выключить, удалить файл, включить)
срок хранения отчетов настраивается там же в отчетах

hardhearted

Цитата:

если днс порт не слушает значит дырки нет

это из области веры... По твоему если открыть ряд портов на исе, на которых ничего не висит то и как бы ничего страшного. Однако по факту страются по максимуму всё закрыть ещё на уровне файера. Что логично хотя бы по причинам перестраховки (+ откуда ты знаешь что там M$ накодила в этом днс сервере? может сервис что-н с пакетами делает... ты что дамп программы делал? Нет... вот что бы не терзать себя "смутными сомнениями" принято всё закрывать что не нужно, что бы до хост-машины по минимуму доходило...)
Цитата:

исходящий ипшник берется согласно роутингу, в зависимости от того в какую сетку надо попасть (0,0,0,0 то есть по умолчанию, тоже считай сетка, будет использоваться первый ипшник с которого виден шлюз по умолчанию)
просто я написал общий принцип, в твоем примитивном случае: несколько ип из одной подсетке на одном внешнем интерфейсе с одним маршрутом по умолчанию - да, так и будет: первый ип по списку. nat относится к тому же исходящему трафику, для него все это справедливо

это понял - гейт в данном случает отвечает от имени ip соот-го интерфейса. Логично конечно. Вопрос был ес-но как он уже на интерфейсе выбирает Вот интересно в первую очередь может ли ИСА (или она на основании rras-а) менять ip и драть не первый в списке а другой? И может ли она натить не по одному ip а по нескольким? (читал на форумах что ответ в целом нет, но всё же спрашиваю...)

greenfox

Цитата:

откуда ты знаешь что там M$ накодила в этом днс сервере?

откуда ты знаешь что таже самая ms накодила в исе


Цитата:

Вот интересно в первую очередь может ли ИСА (или она на основании rras-а) менять ip и драть не первый в списке а другой? И может ли она натить не по одному ip а по нескольким?

иса вообще ничего не может, она не была роутером и не будет, роутингом она не занимается, ипшниками тоже, и натом она не занимается. это все виндовые обязанности, что умеет винда с ррасом то и будет. дело исы работать фаером. сетевые правила просто определяют отношения между сетевыми обьектами (nat или route) но не определяют ни адресов ни маршрутов.
а использовать другой ип нет ничего проще - поставь его первым и радуйся )
по нескольким ип rras умеет только статический nat

hardhearted

Цитата:

откуда ты знаешь что таже самая ms накодила в исе

в моём варианте на пути пакета встанет только "непонятно как написанная" ИСА, в твоём варианте - оба "чудесных" продукта
Цитата:

а использовать другой ип нет ничего проще - поставь его первым и радуйся )
по нескольким ип rras умеет только статический nat

не понял - можно ли скажем из 3-х ip на внешнем интерфейсе исы 2 задействовать для организации SNAT-а (скажем выделить 2 сервера под DMZ), а 3-й использовать под маскарадинг всех остальных хостов внутри лок.сетки?

greenfox

Цитата:

не понял - можно ли скажем из 3-х ip на внешнем интерфейсе исы 2 задействовать для организации SNAT-а (скажем выделить 2 сервера под DMZ), а 3-й использовать под маскарадинг всех остальных хостов внутри лок.сетки?

черезе rras вроде бы можно, однозначное соответствие 1 внутренний - 1 внешний и есть статический нат в нормальной терминологии

hardhearted
а вместе в комплексе и что бы иса работала нормально? (т.е. 2 SNATа организовать и один маскарадинг на внеш инт исы?)
Вроде на isaserver.org читал что не может это иса, правда тогда 2004 версия была ...