» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

други, что означают сии ошипке:

Host: SRV4
Log: System
Type: Error
Date: 15.12.2008 22:52:22
Source: TermDD
Event ID: 50
Message: Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента

Host: SRV4
Log: Application
Type: Warning
Date: 16.12.2008 13:03:25
Source: Microsoft ISA Server Web Proxy
Event ID: 23002
Message: ISA Server was unable to decompress a response body from /blau.html because the response was compressed by the windows-1251 method, which is not supported by ISA Server. This happens when a Web server is configured to supply responses compressed by the windows-1251 method regardless of the type of compression requested.

If you want ISA Server to block such responses, configure the policy rule's HTTP policy to block the Content-Encoding header in responses. Otherwise, such responses will be forwarded without decompression to the client and can be cached.

You can cancel or reduce the frequency of the alert generated by this event in ISA Server Management.

Tim2000
Windows Event ID 50 from TermDD
Из-за ошибки безопасности клиент не смог подключиться к серверу терминалов


Windows Event ID 23002 from Microsoft ISA Server Web Proxy

ShriEkeR
на ивентайди и сам ходил.. просто хотел чтоб мне внятно объяснили пачиму и что к чему..
сэнкс.

у меня в офисе интернет через АДСЛ модем и VPN соединение
пытаюсь настроить ISA 2006 sp1 на вин2003р2сп2

в исе разрешён весь исходящий трафик
+ разрешён протокол PPTP с локалхоста и внутреней сети на впн сервер провайдера(как в книжке)

у самого провайдера настройки ВПН такие http://support.adsl.by/VPN-XP.doc
и адрес модема указывается как шлюз в настройках сетевой карты

самое интересное что если подрубить инет иногда при запущеном аплете управления
то доступ с клиентских компов через хттп прокси появляется на пару секунд и запрошеный сайт на половину загружается, но потом всё останавливается и больше ничего не грузится

Технические сведения (для персонала службы поддержки)
Код ошибки 11001: Узел не найден
Дополнительная информация: данная ошибка указывает, что шлюзу не удалось найти IP-адрес веб-узла, к которому вы пытаетесь получить доступ. Обычно это происходит вследствие ошибки, связанной со службой DNS.
Дата: 17.12.2008 12:02:26 [GMT]
Сервер: test.beltechprom.local
Источник: Ошибка DNS


Добавлено:
вобщем мучался и вот что получилось
вопервых есть непонятная бага
при добавлении к внутреней сети сетевухи
добавляется не подсеть 192,168,0,1-168,168,0,255
а вот что:
0.0.0.1-91.187.17.186,
91.187.17.188-91.255.255.254,
92.0.0.0-126.255.255.255,
128.0.0.0-192.167.255.255,
192.168.1.0-223.255.255.255,
240.0.0.0-255.255.255.254;

так вот если во внутреней сети прописать
192,168,0,1-168,168,0,255 и добавить ещё IP ВПН провайдера 81.25.32.68

и кроме стандартного
Неограниченный доступ к Интернету
    разрешить
    весь исходящий трафик
от    VPN-клиенты, Внутреняя
в    Внешняя
    все пользователи


создать своё правило:
    разрешить
    весь исходящий трафик
от    Локальный компьютер
в    81.25.32.68
    все пользователи


то инет подключается и доступ с клиентскийх пк через вэб прокси есть


почему нужно добавлять адрес впн к к внутреней сети
и почему в правило не работает только для протокола PPTP, а необходимо выставлять "весь исходящий трафик"?

это я что-то не так настроил
или у провайдера такие "необычные настройки"???

ShriEkeR, мне с ними Site-to-Site не нужен. Я у них "приходящий мастер" ). Скорее всего что то не правильно настроил в публикации.

vicwanderer
я тебе на другом форуме ответил, ты порты точно правильно указал? протокол то на 1055 а коннектишься то на другой порт.

Tim2000
termdd не исашная проблема
а про компрессию там тебе четко написали, что сайт писали криворукие уроды, и поэтому сам сайт отдает сжатый контент в своем формате, несмотря на то что в запросе четко был указан запрашиваемый формат сжатия. нормальные сайты если требуемый формат не поддерживают то шлют не в сжатом виде.

hardhearted
спасиба мегачеловег

Вообщем трабла такая -
На клиентских машинах стоит FWC CLient (ISA). В его настройках ставлю Manually select ISA server, вписываю server, он проходит тест.
Но на некоторых машинах его состояние "Connected to ISA server" и все отлично работает, но на некоторых тоже тест проходить, но его состояние "Configured ISA Server" и все.. так постоянно. В подключенном состоянии Стрелочка зеленая загорается, а тут так и остается.

Вопрос: Что сделать чтобы прошел Connect?

Спецы, подскажите, начался тотальный скан портов из Китая.. и прочих Индонезия и тд.

Долбят каждые 2 минуты уже, два дня переживаю.. Иса 2006 грит что half scan с такого то IP.

В ринципе все запачено конечно, но сам факт неприятный как минимум.

Если какие то варинты.

Пока создал правило deny с этих подсетей на все остальное ext, int, local.
Их вариантов пока не чоень много, но это не метод же...

Кто-то с подобными массовыми атаками сталкивался?

mva12
стрелочка загорается когда через этот fwc какое нить приложение идет в инет, если им никто не пользуется то стрелочки не будет. тебе шашечки или ехать, если все работает на кой тебе эта стрелочка? )
amstudia
правила создавать безполезно, скан это не установление коннекта, такчто правила не сработают и не нужны, ибо иса сама это блокирует когда засекает

hardhearted
В последствии разберусь с ИСА, на прежнем месте работы работал с Керио, а тут принципиально ИСа и все.. ниче не поделаешь, приходится аврально без потери времени на мат часть пробовать методом тыка
Ну в принципе я так и понял прно стрелочки, подозрение вызывает вот такая проблемка-
2 компа, с одного Кип по 5190 порту(умолчанию) в инет выходит, а на другой машине не работает, пашет тока при http (443) порт, и то если я вписывааю в аутефикацию только админский пасс. Правило стоит такое - "Из локалки" - "в инет" - сервис (выбрал все где написано ICQ), - domain users. И с этой проблемной тачки в инет то выходит, почему то вот Кипу не дает пробится :\
Есть советы?

mva12
говнокип будет тока черех fwc работать

Кто нибудь сталкивался с проблемой выхода на внешние ftp сервера через ISA?
Лично у меня не пускает. Если есть решение, напишите пожалуйста.


connecting to 217.106.225.41:21
Connected to 217.106.225.41 port 21
220---------- Welcome to Pure-FTPd [TLS] ----------
220-You are user number 207 of 500 allowed.
220-Local time is now 07:18. Server port: 21.
220 You will be disconnected after 15 minutes of inactivity.
USER anonymous
230 Anonymous user logged in
PWD
257 "/" is your current location
Host type (I): UNIX (standard)
PASV
227 Entering Passive Mode (217,106,225,41,58,80)
connecting to 217.106.225.41:14928
- -
connecting to 217.106.225.41:14928
! Connection failed 217.106.225.41 - connection timed out
! connect: error 0
PORT 10,52,3,37,9,90
200 PORT command successful
LIST

Помогите настроить Isa 2006

Собственно проблема такая,
Есть Isa на ней две карты, одна в нутрь, другае на ружу, та что на ружу подключена к циске, а уже циска лезет в иннте.
На циске поднято куча ВПН до удаленных офисов.
Вот теперь вопрос:- Какое правило надо сделать на исе чтобы из удаленных офисов была видна локалка за исой???
Мне это нужно что бы настроить доверие между доменами.

palpatinn
банальнейшая задача, я уже в другом форуме ответил

Странный трабл имею с ИСой 2006 - переодически она отрубает все соеденения на полминуты в рез-те чего все программы устраивают реконнект... Неприятно. В логах исы только переодически записи о превышении подкл TCP с некоторых ip (время записи не совпадает правда с фактом отрубания, дп и блокируется только 1 ip вроде судя по логике)...
Не могу даже понять куда копать и какой лог включить что бы промониторить более детельно

Tvarogok
лог что исы кажет? + фильтр FTP включён в исе? (версия исы какая?)

PS
hardhearted
Цитата:

говнокип

господи, откуда такой негатив к вроде хорошему клиенту!?
Цитата:

будет тока черех fwc работать

будет по моему и без FWC правда придётся для IP открывать доступ (т.е. без авторизации по пользователям)

Всем привет!
Такая задача: нужно объеденть два офиса через инет, но в удаленном офисе сеть только организуется и админа там нет - все должно управляться удаленно. Офисы должны быть в одном домене. Вопрос в том как организовать шлюз в удаленном офисе на основе ИСЫ, т.е. поставить в главном офисе ISA Ent а в удаленном ISA Std и ввсети ее в массив на главном офисе или это совсем другое и в обоих офисах надо использовать ISA Srd и конфигурировать их с разных консолей? Чель - централизованное управление обеими шлюами и правильный подход к решению задачи в данной ституации, т.е. так как это должно быть по граотному, а не как проще оргнизовать.
P.S. если кто подкинет статейку по настройке VPN между шлюзами с использованием самого безопасного метода передачи данных или хотя бы пнет в нужном направлении буду очень благодарен!

Tvarogok
толку от копи-паста вашего клиента никакого...
правило есть выхода на ftp

davinchi9
поиск рулит - на том же isaserver.org или isaserver.ru полно соот-х статей. Гугль рулит тоже.
По проблеме - её как бы у вас и нет. Ставьте 2 исы (стандарт и энтерпрайз не важно - разницу по поиску найдёшь) между ними впн. Далее канал есть - всё остальное к исе не относиться как вы там домен нарисуете...

davinchi9

Цитата:

если кто подкинет статейку по настройке VPN между шлюзами с использованием самого безопасного метода передачи данных или хотя бы пнет в нужном направлении буду очень благодарен!

Такая статья есть в журнале "Системный администратор" №1 за 2007г. страницы 26-31.
Журнал можно поискать в соответствующем топике http://forum.ru-board.com/topic.cgi?forum=93&topic=0353&start=1100

Разницу между исой ENT и STD я знаю, но хотел бы уточнить - в массив на исе ENT можно добавить ису STD из удаленного офиса?

hardhearted

Прописал я всех в субнет, добавил правила и все равно не работает.....
из своей сети я их вижу а они опять только ип исы......
чего я мог забыть прописать?

greenfox

Цитата:

будет по моему и без FWC правда придётся для IP открывать доступ

как securenat клиент будет работать все что угодно, ну или почти все
если использовать только securenat то и смысла ставить ису нет никакого

greenfox

Версия ISA 2006

Правило естественно создано:

Allow | FTP HTTP HTTPS | From мой домен | To External | группа домена


В настройках правила FTP-> ports -> allow traffic from any allowed source port

В логах ругается - The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.

Tvarogok

Цитата:

The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.

ты уверен что это тот самый кусок лога?
он русским по белому гласит что твой фтп клиент не умеет работать через прокси с аутенфикацией.

hardhearted

Это он выдает когда запрос на фтп идет на прокси от имени anonymous

greenfox


Цитата:

Странный трабл имею с ИСой 2006 - переодически она отрубает все соеденения на полминуты в рез-те чего все программы устраивают реконнект... Неприятно. В логах исы только переодически записи о превышении подкл TCP с некоторых ip (время записи не совпадает правда с фактом отрубания, дп и блокируется только 1 ip вроде судя по логике)...
Не могу даже понять куда копать и какой лог включить что бы промониторить более детельно

посмотри статейку, может твой случай
http://isaserver.ru/blogs/isaserver/archive/2008/12/24/microsoft-isa-server-2006-sp1.aspx

hardhearted

Цитата:

если использовать только securenat то и смысла ставить ису нет никакого

нет, безспорно что ИСА наиболее выгодна когда юзается вместе с правами доступа по АД скажем, но тем не менее... Просто как "бесплатный" файер по ip тоже можно, так сказать если не хочется покупать железяку или зверинец выращивать в организации

raizo

Цитата:

посмотри статейку, может твой случай
http://isaserver.ru/blogs/isaserver/archive/2008/12/24/microsoft-isa-server-2006-sp1.aspx

у меня увы таких ероров в логе нет как там описано

Какой можно лог включить на исе что бы посметреть почему переодически коннекты рубит?

greenfox
иса бесплатна? 1500 уев + 700 за винду + сколько то за железку (серваки и даже компы тоже денег стоят, и часто больше чем аппаратный фаер), и это при том что она тока как фаер, роутинга у нее нет
даже из фаеров есть не хуже, у исы только одно преимущество в качестве фаера - fwc, ну еще веб фильтры некоторые бывают полезны, при публикации например.

Tvarogok
первый запрос к веб прокси ВСЕГДА анонимный, никогда не обращай внимания на него

hardhearted
ты же видешь я кавычки использую Понятно что платна, но ты что весь "белый" у нас такой? Ес-но что речь идёт что когда вопрос о покупки не стоит ИСА неплохо может юзаться просто как файер и без FWC неплохо. Но согласен- главный плюс тогда пропадёт.

PS "бесплатный" например так же полученый по партнёрской программе Ну есть ещё "совсем бесплатный" тоже для всех актуально.... это жизнь увы.