» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Tvarogok

Вообще-то ты на обоих серверах настраиваешь расположения хранилищя CSS, а вот этих CSS может быть много (и на разных серверах) и они могут между собой синхронизироваться...

Добавлено:
Antdik


Цитата:

Задача раздать нет и почту через ISA

В чём проблемма то? Втыкаешь ещё две сетевухи, настроиваешь их (IP и т.п.) и делашь соотвествующие настройки в исе...

Antdik
между доменами 192.168.1.0/24 и 192.168.2.0/24 поднимай подключение Site-to-Site, потом создай нужные правила для доступа из одной сети в другую и обратно... а вот с сетку без домена можешь добавить дополнительной сетевухой на ИСА сервере и добавить подсеть 192.168.22.0/24 во внутренюю сеть...

Antdik
davinchi9
какой еще сайт ту сайт если они физически в одном месте?
самое простое и правильное: каждой подсетке свою сетевуху и все.

у меня похожий вопрос с организацией vpn канала между 2 сетями удаленными.
схема такова

сеть (192.168.0.1\24) нужно связатьс удаленым офисом сеть 192.168.1.1\24
2 интернет адреса 111,111,111,111 в одном филиале и 222,222,222,222 в другом.
как я понимаю эти адреса пропишутся в настройках сетевой карты ISA на головном и на филиале.

далее ставим ису2006ent с сервером настроек (configuration storage server)на головной филиал

в филиале что ставить? как членом array головного? он ведь его не увидит. значит тоже с сервером настроек. а потом уже все настройки site to site.
или как вообще надо на филиале ставить то? я представлял что это все зеркально будет. site to site на головном и также на филиале сайт ту сайт тока указываем наоборт адреса.

и думал что все централизовано все последующие тунели через иса будут в арае.

в общем сам принцип построения на ИСЕ раскажите, если не трудно.

в инете все инструкции как site to site vpn настроить через мастера тупа скриншоты того что я и сам могу увидеть, а принцип не показан. и еще у них всегда в примерах схема такая
LAN - (192.168.0.1 ISA 10.0.0.2) - маршрутизатор1 - инет - маршрутизатор2 - (10,0,2,2 isa 192.168.1.1)
маршрутизатором они значит настроили уже все тунели между офисами. чо там тогда иса делает? ее вообще можно с краю поставить, как проксю с одним интерфейсом. а рулить все на маршрутизаторе.

drocher
ISA и есть маршрутизатор, она тунель и устанавливает , а "скраю" - только прокси.
Вобщем ИСА (standart) в обоих филиалах стоит как маршрутизатор, сети назывем Office1 и Office2.
В Office1 создаешь VPN типа сеть-сеть с именем Office2. Если ИСА подключена к АД, то заводишь пользователя там, если нет, то локального или где там у тебя авторизация проводится, с именем Office2 (обязательно). Это сделано для того, чтобы ИСА поняла кто соединяется, простой VPN-клиент или маршрутизатор, если под Office2, то маршрутизатор. Если твоя сеть должна сама инициировать соединение, то укажи пользователя Office1, которого создашь позже.
В Office2 создаешь VPN типа сеть-сеть с именем Office1 и создаешь пользователя Office1. Если твоя сеть должна сама инициировать соединение, то укажи пользователя Office2.
Протокол везде PPTP.

hardhearted

Цитата:

davinchi9
какой еще сайт ту сайт если они физически в одном месте?
самое простое и правильное: каждой подсетке свою сетевуху и все.

не учел что все будет в одном месте - тогда конечно дополнительнымисетевухами на ИСЕ можно вполне обойтись...
BULLDOG
а про организацию массива можешь подробнее рассказать? конкретно интересует как ставить в удаленном офисе ису ENT - как ее соединять с хранилищем настроек в главном офисе для централизованного управления обеими ИСАми?

ну вот уже чтото прояснилось. BULLDOG tnx!

остался вопрос про enterprise версию.
как же всетакие выглядит модель с ентрепрайз системой.

сервер настроек стоит в головном офисе. удаленному надо попасть в арай по fqdn имени. попробуем как нить через днс или host файл сказать что внешний ip 111,111,111,111 это isa-mainoffice.firma.lan


в головном что нужно сделать? открыть в фаерволе полный доступ с интернета ну точнее с адреса 111,111,111,111 на локалхост?

потом в арай я захожу под пользователем из домена головного офиса. у него должны быть какието настройки в dial-in вкладке на allow ?

ладно заптре буду тестить эмперическим методом.

drocher
отпишись о результатах - опиши как удаленную ISA ENT подключал к CSS в головном офисе...

BULLDOG

Цитата:

ISA и есть маршрутизатор

Иса НЕ ЕСТЬ маршрутизатор и она не занимается РОУТИНГОМ. Роутингом занимаются винды!

Кто ни будь пытался настроить баннерорезку на ISA с помощью Response Modifier от Red Line ?
Она вроде поддерживает регекспы, что если попытаться скормить правила от Add Block Plus?
Тестовой машины под рукой нет, а на рабочем сервере пока проверить не могу. Может кто поделится опытом?

Объясните дураку как можно в ISA разрешить пользователям лазить по портам не 443 и 80 используя HTTP(S) прокси.
Не могу подключиться к jabber-серверам по портам 5222 и 5223.

isa 2006 при установке снёс все настройки RRAS, - статические роуты, persistent-ы, вызов по требованию. Узел "интерфейсы сети" вобще пропал из консоли RRAS, в свойствах сервера включаю маршрутизацию, "интерфейсы сети" появляются, но после перезагрузки опять всё сбрасывается. как сделать чтоб не сбрасывалось?

Цитата:

davinchi9

пока тока искал инфу. нашел как обычно на технете, ничо в рунете нет толкового (
дам ссылку. там все очень подробно расписано , но на англиском. )
сам еще не делал.
http://technet.microsoft.com/en-us/library/bb794783.aspx

hardhearted
По поводу сайт ту сайт абсолютно правильно. Но по поводу
Цитата:

самое простое и правильное: каждой подсетке свою сетевуху и все.

не совсем согласен ввиду того, что как оказалось рабочая группа не одна, а целых 5. Такое кол-во сетевух не влезет. Физически с настройками смогу поиграться только дня через два, сейчас занят физическим перевозом техники. Но теоретически хочу попробовать следующее: 1. Перевести новый домен и раб. группы в один диапазон, а затем на ISA создать юзеров и рулежки.
2. На ISA внутренний интерфейс с маской 255.255.252.0, т.е. все сетки входят. (на раб. группах изменить адреса на 192.168.3.0/24. но что дальше пока ХЗ.

Antdik
ну изначально звучало "не меняя структуру"
а повесить ипшники из разных сетей на один интерфейс?

Добавлено:
kirillkr
а причем тут, стесняюсь спросить, прокси?
ты или через прокси жабер настраивай или напрямую

Господа, а прозрачный прокси в исе вообще отключается?
В свойствах сети галочка с "Web Proxy" снята, но страницы от исы периодически ловлю.
Отключить хочу для одной сети.

Всем привет!
вот такая засада: есть VoIP шлюз работающий по H.323 и расположенный в локальной сети за ISA сервером. В исе создано правило публикации не вебпротоколов перенаправлющее Н.323 трафк (ТСР - входящий - 1720 и еще несколько портов которые использует шлюз) на внутренний IPшиник VoIP шлюза для подключений из внешней сети. При включении фильтра Н.323 это правило начинает игнорироваться но при этом исходящие звонки проходят. Я в правильном направлнии с использоанием фильта Н.323 или его все-таки надо отключить?

Пробовал отключать фильтр Н.323 и создать специальные протоколы для динамически-отрывающихся портов в процессе Н.323 сессии, далее создал на основе этих протоколов соответствующие правила доступа - по логам все нормально, отклоненных соединений нет, с внешнего VoIP шлюза стали приходить звонки но голоса нет на обоих сторонах и соединение через 5-10 сек. рвется, а со внутреннего VoIP шлюза вообще ничего не проходит - сделал вывод что без фильтра Н.323 никак, только как сказать ИСА серверу чтобы он отправлял вхдящие VoIP запросы дальше на шлюз т.к. правило публикации после влючения фильтра неработает...

в общем по подключению удаленно офиса к ent isa серверу



возник вопрос. создаю подключение в филиале через AppCfgWzd.exe
по инструкции (http://technet.microsoft.com/en-us/library/bb794783.aspx#AppendixB)
написано давать ip адреса для подключения из статики и из какойнить подсети.
например рабочии сети 192,168, 0 и 192,168,5
а давать из 10,0,0

как после подключения иса найдет чтонить в сети 192,168, ?

в результате у меня соединение устанавливается а подключится к домену не могу. он не видит ip адрес домена.

фуфло какоето )

Цитата:

как после подключения иса найдет чтонить в сети 192,168, ?

удали диаппазон адрсов из своей внутренней сети и выдели его в диаппазон для подключения VPN клиентов...

все разобрался.

делается именно так как описано.
у vpn канала ip 10.0.0.2 с одной стороны и 10.0.1.2 с другой.
и они отлично находят сеть 192.168.0.1\24
толи маршрутизация настраиватеся. толи просто уровень протокаола2 там ip адресация вообще не волнует.

Привратник Gatekeeper Н.323 для ИСЫ 2006 существует? Как к ИСЕ 2006 прикрутить этот Привратник Gatekeeper Н.323?

Откуда можно скачть ISA2006? можно ссылку?Запарился искать,Спасибо!

через ISA2006 возможно как-нибудь зарезать рекламу?

AdminQwe123
удали свое последнее сообщение
q111111
да, создаешь правило запрещающее сайты с рекламой
davinchi9
сколько я слышал, h323 с исой вообще через одно место работает, если вообще работает.


Добавлено:
MaximillianGreat
да, только отключением web proxy filter с http протокола

Цитата:

сколько я слышал, h323 с исой вообще через одно место работает, если вообще работает.

hardhearted
не совсем объективно... работает и причем вполне достойно и особенно без роблем с исходящим Н.323 после включения фильтра Н.323 и создани соответствующего правила доступа... вот с входящим сложнее - нужен Gatekeeper как я понял, сейчас разбираюсь - но вот не пойму - кипера который интегрируется в ису как это было в 2000й в 2006й уже нету???

hardhearted
А если я на одном интерфейсе хочу убрать(perimetr), а на другом оставить(internal), то никак?

MaximillianGreat
фильтры ставятся на протоколы а не на интерфейсы

q111111
_http://www.isaserver.bm/destination_sets.html

Есть вопросик, прошу сильно не бить так как я с исой не долго работаю. Я правильно понял: в ней только фильтрами/правилами для траффика вводятся ограничения? А активность программ на сервере где ISA стоит по другому ограничить нельзя? (как в Agnutum Outpost)

hardhearted вы предлагаете каждый сайт ручками банить? позвольте! это же наш метод. Неужели никто еще базу от admucher туда не прикрутил...

Kerk_PiRR
ты не путай мелкий персональный файер стоящий на клиенте и корпоративный файер стоящий на границе. иса в общем случае без понятия какая прога лезет в инет, поэтому контролировать она их не может (как и любой граничный фаер). отдельные варианты когда прога лезет как прокси клиент, в таком случае на уровне фильтров более высокоуровневых протоколов (например http фильтр) можно запрещать по сигнатуре приложения.

я не предлагал каждый сайт банить ручками, хотя это наилучший метод в плане снижения false positive, ибо ты точно сам знаешь какой сайт забанил, никто не запрещает юзать чужие сеты которые наверняка есть в инете, пользоваться сигнатурами в http фильтре или левыми эддонами с категоризованными наборами которые постоянно обновляются. правда в чужих наборах часто не бывает русскоязычных банерных сетей или наоборот, попадают сайты типа яндекса целиком