greenfox
[offtop] ну с таким же успехом циски и сервера тоже все бесплатны, их тоже можно украсть
)
[offtop] ну с таким же успехом циски и сервера тоже все бесплатны, их тоже можно украсть
)
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
hardhearted
offtop Нет, простите, но циску украсть сложнее чем скачать варез из инета
Уж вам то как русскому человеку наверно приходилось с этим сталкиваться? А вот цискивы не "прихватизировали" думаю...
offtop Нет, простите, но циску украсть сложнее чем скачать варез из инета
Уж вам то как русскому человеку наверно приходилось с этим сталкиваться? А вот цискивы не "прихватизировали" думаю...Есть доменная сеть, в ней ISA 2004 - 1 шт. и Exchange 2003 - 1шт.
Сделал доступ OWA через HTTPS методом SSL-c-SSL (т.е мост SSL от клиента к ISA, затем мост SSL от ISA к веб-серверу) Сейчас два раза приходиться вводить пользователя и пароль, это не удобно. Как сделать чтобы пользователя и пароль вводить 1 раз. Наверняка где-то на ISA можно поставить галку редирект учётных данных пользователя?
Сделал доступ OWA через HTTPS методом SSL-c-SSL (т.е мост SSL от клиента к ISA, затем мост SSL от ISA к веб-серверу) Сейчас два раза приходиться вводить пользователя и пароль, это не удобно. Как сделать чтобы пользователя и пароль вводить 1 раз. Наверняка где-то на ISA можно поставить галку редирект учётных данных пользователя?
vicwanderer
на всех форумах все равно одни и те же
на всех форумах все равно одни и те же
Цитата:
Сделал доступ OWA через HTTPS методом SSL-c-SSL
А зачам два ССЛя? Шпиономания?
Имхо снести один, сертификат тока на ИСУ и будет одна авторизация.
У меня вообще ИСА не в домене, авторизация по радиусу - так кошернее. Всё пучком.
mickles
Цитата:
два потому что снаружи иса принимает по ссл, а внутри iis тоже принимает по ссл, это нормальный конфиг для owa
сертификатов может быть два, например если внешнее имя по которому клиенты лезут отличается от внутреннего имени сервака, такое частенько бывает.
Цитата:
А зачам два ССЛя? Шпиономания?
Имхо снести один, сертификат тока на ИСУ и будет одна авторизация
два потому что снаружи иса принимает по ссл, а внутри iis тоже принимает по ссл, это нормальный конфиг для owa
сертификатов может быть два, например если внешнее имя по которому клиенты лезут отличается от внутреннего имени сервака, такое частенько бывает.
Вопрос чайника.
Сейчас у меня стоит Windows 2003 Server SP2, который выступает в роли интернет шлюза. На сервере две сетевухи: WAN, LAN. Настроена маршрутизация и удаленный доступ. Там же настроен "интерфейс вызова по требованию" (PPOE). Установлена прога Трафик Инспектор и настроены правила доступа юзеров в инет.
Задача: заменить Трафик Инспектор на ISA 2006.
Вопрос: перед установкой ISA что нужно сделать?
Понятно что снести Трафик Инспектор, а как быть с маршрутизацие и настройками интерфейсов?
Сейчас у меня стоит Windows 2003 Server SP2, который выступает в роли интернет шлюза. На сервере две сетевухи: WAN, LAN. Настроена маршрутизация и удаленный доступ. Там же настроен "интерфейс вызова по требованию" (PPOE). Установлена прога Трафик Инспектор и настроены правила доступа юзеров в инет.
Задача: заменить Трафик Инспектор на ISA 2006.
Вопрос: перед установкой ISA что нужно сделать?
Понятно что снести Трафик Инспектор, а как быть с маршрутизацие и настройками интерфейсов?
bhl
естественно придется все настраивать в ИСЕ по аналогии как было в трафикинспекторе, настройки RASS должны неизменится после удаления трафикинспектоа, но в ИСЕ надо будет и для удаленного доступа правила настраивать. RASS и ИСА работают совмесно, но все настройки делаются делаются в ИСЕ. Рекомендую сохранить как можно больше информации о существующих правилах в трафикинспекторе чтобы потом было с чего создавать правила в ИСЕ...
естественно придется все настраивать в ИСЕ по аналогии как было в трафикинспекторе, настройки RASS должны неизменится после удаления трафикинспектоа, но в ИСЕ надо будет и для удаленного доступа правила настраивать. RASS и ИСА работают совмесно, но все настройки делаются делаются в ИСЕ. Рекомендую сохранить как можно больше информации о существующих правилах в трафикинспекторе чтобы потом было с чего создавать правила в ИСЕ...
Уважаемые, у меня такой вопрос. У меня стоит ISA 2004 v.4.0.2165.610.
Я всегда считал что у меня стоит ISA'04 - SP3. Так как устанавливал все вплоть до:
ISA2004SE-KB924406-x86-ENU.msp
sha1: 122a009204051857fbad45c1eeef9fa9f3c05920
Тут вот недавно прочитал статью:
Обзор ISA 2004 SP3
http://oszone.net/5382/ISA_2004_SP3
А там написано что в журнале просмотра подсвечиваются разными цветами события. А у меня не подсвечиваются.
Так вот вопрос, а у меня точно стоит SP3?
Я всегда считал что у меня стоит ISA'04 - SP3. Так как устанавливал все вплоть до:
ISA2004SE-KB924406-x86-ENU.msp
sha1: 122a009204051857fbad45c1eeef9fa9f3c05920
Тут вот недавно прочитал статью:
Обзор ISA 2004 SP3
http://oszone.net/5382/ISA_2004_SP3
А там написано что в журнале просмотра подсвечиваются разными цветами события. А у меня не подсвечиваются.
Так вот вопрос, а у меня точно стоит SP3?
lypky
вот тут пишут про всякие версии читай 2004/2006
http://www.isaserver.org/tutorials/Determine-Correct-ISA-Server-Version-Service-Pack-Information.html
ISA Server 2004 Version numbers
4.0.2165.594 01.02.2006 SP2
4.0.2165.610 10.04.2006 SP2 with KB 916106
4.0.2167.887 01.05.2007 SP3
вот тут пишут про всякие версии читай 2004/2006
http://www.isaserver.org/tutorials/Determine-Correct-ISA-Server-Version-Service-Pack-Information.html
ISA Server 2004 Version numbers
4.0.2165.594 01.02.2006 SP2
4.0.2165.610 10.04.2006 SP2 with KB 916106
4.0.2167.887 01.05.2007 SP3
lypky
при просмотре журнала на правой панели задачь у тебя есть "Define Log Text Colors"? если есть тыкни на нее и задай цвета, скорее всего у тебя там все одним цветом задано...
Добавлено:
Подскажите как объединить две ИСЫ в разных подсетях (в разных офисах) в массив, достаточного простого объяснения "на пальцах" как это вообще работает?
И еще такой вопрос: чтобы две ИСЫ работали в масиве должны быть обе Ent или только одна на которой будет сам массив?
при просмотре журнала на правой панели задачь у тебя есть "Define Log Text Colors"? если есть тыкни на нее и задай цвета, скорее всего у тебя там все одним цветом задано...
Добавлено:
Подскажите как объединить две ИСЫ в разных подсетях (в разных офисах) в массив, достаточного простого объяснения "на пальцах" как это вообще работает?
И еще такой вопрос: чтобы две ИСЫ работали в масиве должны быть обе Ent или только одна на которой будет сам массив?
поставил ISA 2006 sp1
прикрутил Internet Access Monitor
есть какой-нибудь способ посмотреть какие именно файлы качал пользователь(например когда большой перерасход трафика, интересует что за фильмы, игры он качал и тп)?
прикрутил Internet Access Monitor
есть какой-нибудь способ посмотреть какие именно файлы качал пользователь(например когда большой перерасход трафика, интересует что за фильмы, игры он качал и тп)?
Hedin2
только если по конкретному url смотреть, но в url чаще всего не пишут что за файл. либо левыми фильтрами
только если по конкретному url смотреть, но в url чаще всего не пишут что за файл. либо левыми фильтрами
hardhearted
а что за фильтры к примеру?
а что за фильтры к примеру?
вопросец имееццо.
Щаз нет возможности экспериментировать но хочется подстраховаться.
есть иса 2006, на машинах не стоят клиенты исы но через GPO браузеры настроены на подключение к проксе.
что нужно сделать чтоб в исе отображались доменные юзвери а не анонимные и чтоб юзверям не надо было вводить логин и пароль на доступ в инет.
Щаз нет возможности экспериментировать но хочется подстраховаться.
есть иса 2006, на машинах не стоят клиенты исы но через GPO браузеры настроены на подключение к проксе.
что нужно сделать чтоб в исе отображались доменные юзвери а не анонимные и чтоб юзверям не надо было вводить логин и пароль на доступ в инет.
SHRIKE74
Можно так-же через GPO установить флаг в дополнитеных настройка браузера "Входить в сеть с текужим имененм и паролем". А чтобы исключить доступ к сети анономов можно в настройках веб-прокси пофставит флаг "Разрешить доступ толлько аутентифицированным пользователям", но тут надо быть осторожным...
Можно так-же через GPO установить флаг в дополнитеных настройка браузера "Входить в сеть с текужим имененм и паролем". А чтобы исключить доступ к сети анономов можно в настройках веб-прокси пофставит флаг "Разрешить доступ толлько аутентифицированным пользователям", но тут надо быть осторожным...
davinchi9
а если ручками где этот флаг ставится и где искать сие в GPO, я щас выгляжу как нуб но просто хочется щас всё узнать потому что делать придётся поздно вечером а времени искать просто не будет, если не трудно ответь плз.
а если ручками где этот флаг ставится и где искать сие в GPO, я щас выгляжу как нуб но просто хочется щас всё узнать потому что делать придётся поздно вечером а времени искать просто не будет, если не трудно ответь плз.
SHRIKE74
в обозревателе:
свойства обозревателя -> вкладка Безопасность -> зона Интернета -> уровень безопасноти - кнопка Другой -> Папаметры - Проверка подлинности пользователя - Вход - Автоматический вход в сеть с текущим имененем и паролем...
в GPO:
конфигурация пользователя -> политики -> админстративные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления обозревателем -> Вкладка безопасности -> Зона Интернета -> Параметры входа -> Параметры входа в систему -> Автоматический вход в сеть с текущими именем пользователя и паролем -> Включено
в обозревателе:
свойства обозревателя -> вкладка Безопасность -> зона Интернета -> уровень безопасноти - кнопка Другой -> Папаметры - Проверка подлинности пользователя - Вход - Автоматический вход в сеть с текущим имененем и паролем...
в GPO:
конфигурация пользователя -> политики -> админстративные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления обозревателем -> Вкладка безопасности -> Зона Интернета -> Параметры входа -> Параметры входа в систему -> Автоматический вход в сеть с текущими именем пользователя и паролем -> Включено
davinchi9
огромноге тебе спасибо, не придётся теперь вечером париться
огромноге тебе спасибо, не придётся теперь вечером париться
Hedin2
понятия не имею, я таким идиотизмом не страдаю, чтоб еще смотреть файлы что юзера качают
смысл в том что в http и ftp можно смотреть загружаемый контент, в том числе и файлы, а значит можно создать фильтр который будет отслживать это. правда в случае http имена файлов часто могут быть тарабарщиной или вообще загрузка может выпонятся скриптами и прямого указания на файл нет.
SHRIKE74
нужные правила должны быть неанонимными, а эта галка
Цитата:
а сей "флаг" в IE обычно стоит по умолчанию.
понятия не имею, я таким идиотизмом не страдаю, чтоб еще смотреть файлы что юзера качают
смысл в том что в http и ftp можно смотреть загружаемый контент, в том числе и файлы, а значит можно создать фильтр который будет отслживать это. правда в случае http имена файлов часто могут быть тарабарщиной или вообще загрузка может выпонятся скриптами и прямого указания на файл нет.
SHRIKE74
нужные правила должны быть неанонимными, а эта галка
Цитата:
"Разрешить доступ толлько аутентифицированным пользователям"- дикая ересь и очень вредная.
а сей "флаг" в IE обычно стоит по умолчанию.
ещё вопросик, как на все машины в доменной сети тихо установить исового клиента? через GPO или батничком, насоветуйте что-нить
SHRIKE74
можно через гпо, можно и батничком, что удобнее
об этом и в книге и на офсайте все уже написано и разжевано
можно через гпо, можно и батничком, что удобнее
об этом и в книге и на офсайте все уже написано и разжевано
SHRIKE74
Цитата:
если в доменной то GPO тебе в руки, если в одноранговой то батником - типа как методы соответстувуют сетям, а выбор делай сам...
Цитата:
ещё вопросик, как на все машины в доменной сети тихо установить исового клиента?
если в доменной то GPO тебе в руки, если в одноранговой то батником - типа как методы соответстувуют сетям, а выбор делай сам...
вообще меня интересовала пошаговая инструкция, пробовал как на офсайте сделать то ли что-то упустил то ли я дебил, но тем не менее не получилось, может просто потому что ни разу ничего не разворачивал с помощью политик нет ни достаточных знаний ни опыта
SHRIKE74
на сайте и в книге как раз и есть пощаговая. а разворачивание софта с помощью гпо это уже не по исе вопрос.
на сайте и в книге как раз и есть пощаговая. а разворачивание софта с помощью гпо это уже не по исе вопрос.
Народ, такая пробелема.
На одном компьютере стоит FTP сервер Gene6 FTP и ISA 2006 STD. Нужно передавать данные по FTP с SSL шифрованием. Ставлю FTP клиента FlashFXP в локальной сети. Подключаюсь к FTP серверу, клиент принял сертификат сервера и все открылось. Подключаюсь из вне и вот что выдает
Цитата:
Т.е., как я понял, шифрованный трафик не проходит через ISA. В логах ИСЫ блокировок нет, только "Начатое соединение", а чуть позже "Закрытое соединение". Как быть?..
На одном компьютере стоит FTP сервер Gene6 FTP и ISA 2006 STD. Нужно передавать данные по FTP с SSL шифрованием. Ставлю FTP клиента FlashFXP в локальной сети. Подключаюсь к FTP серверу, клиент принял сертификат сервера и все открылось. Подключаюсь из вне и вот что выдает
Цитата:
[R] Connecting to ***.ru -> DNS=***.ru IP=**.**.**.** PORT=21
[R] Connected to ***.ru
[R] 220 Gene6 FTP Server v3.10.0 (Build 2) ready...
[R] AUTH SSL
[R] 234 AUTH command ok; starting SSL connection.
[R] Connected. Negotiating SSL session..
[R] Connection failed (Connection timed out)
Т.е., как я понял, шифрованный трафик не проходит через ISA. В логах ИСЫ блокировок нет, только "Начатое соединение", а чуть позже "Закрытое соединение". Как быть?..
Есть какой-то способ научить ISA писать в LOG все FTP команды, которые идут через него ? Какой-нибудь add-in ?
Добавлено:
Есть какой-нибудь способ научить ISA писать в log все FTP команды, идущие через него ? Add-in ?
Добавлено:
Есть какой-нибудь способ научить ISA писать в log все FTP команды, идущие через него ? Add-in ?
Добавлено:
Есть какой-нибудь способ научить ISA писать в log все FTP команды, идущие через него ? Add-in ?
Добавлено:
Есть какой-нибудь способ научить ISA писать в log все FTP команды, идущие через него ? Add-in ?
Цитата:
передавать данные по FTP с SSL шифрованием.
Открывать порты, IMHO на isaserver.org есть толковая статья
Насчет Gene6 не уверен что есть эта опции, но в MS FTP Publishing Service for IIS 7.0
можно явно задать внешний IP и диапазон портов для вторичного потока
Добавлено:
Цитата:
передавать данные по FTP с SSL шифрованием.
Открывать порты. Например, в MS FTP Publishing Service for IIS 7.0
можно задавать внешний IP и дипазон портов для FTPS
Добавлено:
Sorry -- что-то глючит на сервере
foruum
в какой лог? у исы только два лога web proxy и firewall, ftp это уже другой уровень и логировать фтп проблема фтп сервера и не исы. хотя фильтр сделать можно, который писал бы ftp в отдельный лог.
в какой лог? у исы только два лога web proxy и firewall, ftp это уже другой уровень и логировать фтп проблема фтп сервера и не исы. хотя фильтр сделать можно, который писал бы ftp в отдельный лог.
Создал 2 протокола с параметрами TCP, исходящий и входящий, порт 990. Т.к. FTP-сервер стоит на том же компе, что и ISA, то я пробовал даже правило доступа создавать, в котором открывал доступ и ВНЕШНЕЙ сети на ЛОКАЛЬНЫЙ КОМПЬЮТЕР по всем протоколам для всех. Все равно не работает.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.