» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Привет парни!
Сейчас столкнулись со странной проблемой. ИСА 2004 пишет логи в SQL 2000, но при записи в webproxylog почему-то путает местами столбцы bytessent и bytesrecived (т.е. то, что посылает клиент, записывается в recived, а то, что отвечает сервер, записывается в sent). Что может быть причиной?
зы при этом в файл логи пишутся адекватно
ззы установлен trafficFilter

Цитата:

пингую с одного сервера шлюз на котором установлен ISA, пингуется, отключаю правило, применяю,
всё равно пингуется, проходит штук 50 -70 пингов, пока перестаёт пинговаться.

Вот еще версия/предположение :
Возможно дело в том, что ISA обрабатывает серию ICMP-пакетов а-ля TCP session
а rules в середине сессии ISA не перепроверяет
т.к. ( и это уже 100% точно -- сам долго ждал следующей порции записей в log) ISA server пишет в лог всю серию пакетов ping -t одной записью

greenfox
залезь в ррас в раздел нат и поройся, эт овопрос уже не этого раздела, иса тут не причем.
2004 и 2006 очень мало чем отличаются, а по части роутинга вообще не отличаются - у них его нет и не было, и в ближайшее время не будет

zzmeioka111
причина в мозге, в головном
у проксей всегда так пишется, просто надо смотреть на это с правильной стороны received это не то что посылает клиент, а т очто получает прокся от клиента )
ps полезн очитать маны и книжки

Цитата:

можно ли скажем из 3-х ip на внешнем интерфейсе

Можно попробовать обходной вариант:
-- 3 отдельных комп-а c ISA
-- а policy routing (он же source routing) реализовать на eBox Platform,
разместив его в LAN до ISA

Все это можно запустить на Hyper-V ( eBox там завелся)

minin
отличная идея, ты в курсе сколько это будет стоить?
может тогда каждому компу в локалке поставить по исе впридачу?
тогда уж проще купить одну циску за жалкие 500 баксов и она это все разрулит без проблем

hardhearted
minin
ясно, спс. Мне проще будет роутер на фряхе сделать

hardhearted, после гугления я пришел к выводу, что твой совет оптимальный. Так и поступил. Только в настройках под кэш выделил по 512 МБ на каждом диске (их всего два). Включил кэш вчера в 16 часов. Сегодня к 12 инет опять пропал.
К сожалению, это проблему не решило. Может что-то не так настроено, при том что настройки не трогал.

greenfox
Цитата:

Мне проще будет роутер на фряхе сделать

and
hardhearted
Цитата:

проще купить одну циску за жалкие 500 баксов

А поддержка Exchange? NTLM-auth? И т.д., и т.п.

Кстати, eBox -- это оболочка из настроечных скриптов и Web-интерфейса к Ubuntu / Debian
Все интерактивно а-ля Wintel Ж-), а по возможностям приближается к FreeBSD

hardhearted
Цитата:

отличная идея, ты в курсе сколько это будет стоить?

Привожу по памяти:
ISA 2006 Std $2500
ISA 2006 Ent $6000 ( или все 8 Ж-) )

О расходах на "железо":
Цитата:

Все это можно запустить на Hyper-V

<=> 1 комп с 2-4Gb RAM

Добавлено:
hardhearted
Цитата:

тогда каждому компу в локалке поставить по исе впридачу?

До выхода Win 2008 ( там встроенный firewall на основе ISA), я такой вариант, по крайней мере для notebook-ов и, в меньшей степени, для серверов, вполне серьезно рассматривал.
Например, не потребовалось бы изучать pesonal firewall Ж-) или фокусы с фильтрацией правилами IPSec

minin

Цитата:

А поддержка Exchange? NTLM-auth? И т.д., и т.п.

а что не так с exchange? опублимковать его owa можно на чем угодно
и вообще задача была про роутинг, если надо сохранить и то и другое то можно циску поставить вместе с исой, тандемом, достаточно распространенная конфигурация.

Цитата:

ISA 2006 Std $2500

это ты погорячился, 1400-1500 + 700 на винду

Установил ИСА2006 на контроллер домена и теперь не могу ввести в домен новых пользователей - блокируется LDAP. С DHCP разобрался, открыл правило, а с LDAP немогу. Наверняка не я первый борюсь с проблемой, подскажите статью плз!
Прошу ногами не пинать, я знаю что категорически не рекомендуется ставить ISA на DC, но сервер в конторе единственный, второго не будет НИКОГДА и выпросить нереально. Да и никто не пойдет на такие расходы...

DogEatGod

Цитата:

Да и никто не пойдет на такие расходы...

а может просто не стоило вообще ставить ису? она на конторку в полтора землекопа с одним сервачком не рассчитана, и стоит она 1400-1500 уев, то есть вдвое больше винды. поэтому ее использование в мелких конторах редко имеет смысл и для таких случаев создана sbs
в инете, на офсайте и в блоге шиндера были гайды про установку исы на контроллеры.

DogEatGod
Цитата:

блокируется LDAP

Странно -- с LDAP все должно быть просто
А вот c RPC придется повозиться, или отсоединить от RPC протокола Application Filter
см. так же isaserver.org


Добавлено:
hardhearted
Цитата:

стоит она 1400-1500 уев

Набираем в Google "ISA Server 2006" цена

Цитата:

ISA Server 2006 Standard Rus CD 1 Processor License. цена: 64 059.00 руб.

64059/27 примерно 2316
впрочем, в соседней ссылке за ISA Server Std Ed 2006 Russian 54,750.85 руб.
за ISA Server Std Ed 2006 Sngl OLP NL 1 Proc 40,720 руб.
Короче, мутный вопрос Ж-)


Добавлено:
hardhearted
Цитата:

а что не так с exchange? опублимковать его owa можно на чем угодно Ж-)

ISA сам ( до попадания в Exchange) проверяет пароли, причем есть несколько вариантов этого процесса.
А еще в ISA есть RPC Filter

minin

Цитата:

64059/27 примерно 2316

ну это как в анекдоте: а там за углом такой же и за 5

Цитата:

ISA сам ( до попадания в Exchange) проверяет пароли, причем есть несколько вариантов этого процесса.
А еще в ISA есть RPC Filter

но это не значит что exchange ничем кроме исы нельзя опубликовать

Цитата:

но это не значит что exchange ничем кроме исы нельзя опубликовать Ж-)

Ж-) Можно, но лучше родным MS-офтовским Ж-)

O ISA и приеме входящих по DialUp:
-- ISA трубу поднимает сама
-- DialUp-пользователь сразу распознан в rules и логах
-- Но это скорее RAS-режим, чем RRAS, т.е. routes и фильтрация в направлении
звонящего не поднимаются
Я просто поднял PPTP VPN поверх DialUP

Alarm!
В консоли RRAS вручную ( т.е. не в консоле ISA) лучше не орудовать:
мне "удалось" Ж-) получить ситуацию, когда ISA просто отправляла комп в reboot,
не дожидаясь Logon-окна.
Пришлось восстановить из backup-образа диска.

Всем доброго времени суток
Помогите при помощи ISA резрулить ситуацию
Есть 5 офисов. В трех Domen,AD,DNS,DHCP в двух рабочие группы. Везде на границе стоит ISA. У прова купили услугу VPN. В итоге в каждый офис протянули по кабелю с серыми IP. Теперь нужно чтобы 2 компа в каждом офисе могли общаться через этот VPN. IP внутренних сетей и IP VPN не из одних подсеток.
Прошу помощи, в сторону какой схемы смотреть?

Antdik
то есть впн организует пров? и выдал по левому ипшнику?
тогда в чем проблема, нужен как минимум роутер в каждый офис чтобы роутить локалку офиса в другие офисы, например можно организовать на тех же исах, прописать этот ипшник исе и написать пару маршрутов. лучше всего на отдельный, третий интерфейс

Цитата:

то есть впн организует пров? и выдал по левому ипшнику?

Да,на сегодня пока 3 (два офиса не готовы) правда непонятно почему /24
192.168.20.1 /24
192.168.30.1 /24
192.168.40.1 /24
Третий интерфейс ставлю. Появились вопросы
Какой DNS на него прописывать мой Внутренний?
Какой шлюз указывать?

Antdik
а нафига на нем днс и шлюз?
днс на исе должен быть только на внутренних интерфейсе(если иса в домене)

ГРАЖДАНЕ!!! ВОПРОС!!! исходники: w2003(в домене), isa2006. создал правило по доставке почты по pop(от internal в external по порту pop для пользователя "я" разрешить). при запуске проверки почты в логах исы пишет, что согласно этого правила сессия моя была заблокирована. я проверил еще одно правило all to all(стандарт) -> та же фигня. а теперь скажите плиз: как разрешающее правило может блокировать? и что мне делать, чтобы решить эту проблему?


Добавлено:
уточню. иса не видит имя пользователя и поэтому блочит. клиент стоит, инет идет, а outlook почему то не хватает это имя.

rezets
уже в другом форуме ответил

hardhearted
off/2 извиняюсь, что сразу не отписался, пришлось уехать

Сделать успел , проверить нет. Хочется узнать правильно ли я сделал
3 IP выданные провом
192.168.20.1 (офисная сеть 192.168.1.0)
192.168.30.1 (офисная сеть 192.168.7.0)
192.168.40.1 (офисная сеть 192.168.9.0)

Установил 3-й интерфейс
IP - 192.168.40.2
Mask - 255.255.255.0
Gateway - Нет
DNS - Нет

На ISA создал Networks
Name 40
Addresss:192.168.40.0

создал Network Rules
Source Network - Internal
Destination Network - 40
Network Relationship - Route

Policy
40 allow All traffic internal 40 all users

и команда route add -p 192.168.1.0 mask 255.255.255.0 192.168.40.1

Antdik
192.168.40.1 это наверное не ип выданный провом а шлюз на стороне прова.
тогда почти все верно, тока сетку 192.168.1.0 тоже ведь надо определить в сеть 40, туда ведь все идет через тот же интерфейс. собственно иса об этом сама скажет в алертах

hardhearted
Да правильно это шлюз, я неверно сформулировал определение сетки сделаю. Остальные три офиса тоже нужно добавить. Вот только попробывать сразу не получится. Ввиду неоплаты (кризис мля) услуга пока заблокирована.
А ведь все так хорошо начиналось (с)

Имею проблему следующего типа: не пускает на https://194.85.126.119:9023/

Стоит ISA 2006

Что делал: 1. в isatpe добавил порт 9023
2. создал протоколы TCP Outbound и Inbound 9023
3. создал Firewall Access Rule для этих протоколов From "моя сеть" To External
4. добавил сайт в разрешенные узлы

В итоге ничего не помогло, не знаю где копать.

В Логах пишет следущее:


194.85.126.119    0xc0 194.85.126.119 SSL-tunnel Failed Connection Attempt 10060     домен\user
194.85.126.119    0x0 10.52.3.37 SSL-tunnel Allowed Connection 407    anonymous
194.85.126.119    0x0 10.52.3.37 SSL-tunnel Allowed Connection 407    anonymous
194.85.126.119    0x800    10.52.3.37 SSL-tunnel Allowed Connection 407    anonymous
194.85.126.119    0x800    10.52.3.37 SSL-tunnel Allowed Connection 407    anonymous

забыл отписать, вопрос решен

Tvarogok
https на нестандартном порту простым правилом не откроешь - надо разрешать на исе соот-й порт спецом для https
по поиску соот-й скриптик найдёте без проблем

у меня вопросы по ISA 2006
1) как посмотреть кто что в интернете посещал?
2) как запретить ходить на какие-либо сайты (вообще и резать рекламу в частности)?
3) как собирать статистику кто где был?
4) как просмотреть содержимое кэша?

q111111

Цитата:

у меня вопросы по ISA 2006
1) как посмотреть кто что в интернете посещал?
2) как запретить ходить на какие-либо сайты (вообще и резать рекламу в частности)?
3) как собирать статистику кто где был?
4) как просмотреть содержимое кэша?

1) Internet Access Monitor from isa наиболее удобный (и дешевый) инструмент для детальных отчетов, встроенные отчеты в ISA поражают своим минимализмом.
2) Либо настраивать явные запреты в правилах, либо фильтр стороннего производителя (сам ищу толковый фильтр) знаю пока Surfcontrol (мощный и со всех сторон замечательный, но требует sql)
3) см пункт 1
4) есть какая то тулза от микрософта, искать честно слово лень, ибо зачем? имхо лучше посвятить немного времени на предмет изучения настроек что и как кешировать на исе и в кеше будет именно то что нужно )


Добавлено:
Ищу толковый фильтр для isa2006 - фильтрация по контенту, рекламе, с разграничением по группам пользователей ..аля Surfcontrol, только чтонибуть альтернативное.

Порекомендуйте так же фильтр для сканирование входящего траффика на предмет вирусов.

Нет ли у кого опыта обеспечения отказоустойчивости доступа в инет через иса (помимо NLB)?
Никто не слышал о возможности построения failover cluster (a/a или a/p) для ISA/Forefront?

Ребятушки привет... раскажите старому деду.........
Вобщем мало что знаю, и мало в чем еще шарю так сказать....... Вощем что есть и что нужно....
Есть - AD, DNS, ISA
Нужно - жестко разграничить интернет для пользователей.......... тобишь смотреть по статистике что юзер например test скачал, куда ходил, отключить его например на 5 минут...... запретить ему посещение сайтов.........
Как это реализовать на ИСА ??? щас она раздает всем все без ограничений........ мож какой модуль нужно доставить ??? расскажите, где почитать про это.... мож компонент какой есть ???

IeugeniyI
старому деду по поводу статистики, что, кто, куда, сколько и во сколько, рекомендую Internet Access Monitor from isa

все ниже заявленные пожелания - запретить, отключить и прочее прочее - созданием грамотных правил, а для того чтобы понимать как настроить правила нужно понимать как работает иса, следовательно нужно почитать чтолибо про нее... а что читать подскажет шапка (как ни странно)
еще есть неплохая книжка для понимая основ - Isa Server 2004. Томас В. Шиндер (годится и для 2006) в принципе данной книжки достаточно для поднятия isa с нуля и для управления уже существующей.