» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Не понял как работает кэширование Windows Update ...сеть из 10 машин на всех ХР SP3, начал обновлять ...понятно - кэш на исе включен, все правила кеша по умолчанию (вернее там два правила - одно для Windows Update другое дефолтное нижнее) ...первая машина засосала все упдейты необходимые, ну я обрадовался - думал теперь дело пойдёт быстрее, т.к. интернет чуть ли не модемный ...нифига - следующие машины похоже забили на исовый кэш и вытягивали апдейты по новой - где косяк? Спасибо.

iknow
Installing and Configuring Microsoft ISA Server 2004 SP2
Как клиент Windows Update определяет, какой прокси-сервер использовать для подключения к веб-узлу Windows Update
из шапки Разрешение ISA 2004 Server использовать Windows Update Services (Службы Обновления Windows)
Проблемы с подключением к веб-узлу Windows Update версии 5 через сервер с ISA Server

ShriEkeR

нет у меня никаких проблем с подключением к Windows Update, и ISA у меня 2006 SP1 ... и Кэш я настроил как пишут в мануалах и в интернетах на всяких форумах - и вопрос вообще в том почему оно не кэшировало? почему остальные машины сосали упдейты по новой? ...

Народ, такая проблема:
Есть домен, вертится на вин 2000, ввел в домен вин 2к3, поставил на этот вин2к3 ИСА серв 2006 стандарт. Настроил порт подключения для проксирования.
(авторизация встроеная и даджест, порт и всё остальное не трога, добавил тока галку дайджест и больше ничего не трогал)
Создал группу в АД, создал юнита в исе присвоил группу из АД в юнит.
Создал правило из внутренней сети выпускать во внешнюю через протокол HTTP-прокси, (также порт по умолчанию 8080) включен вэб фильтр, для этого юнита из исы.

Пытаюсь идти с машины в инет через IE (предварительно естественно настроив прокси), срабатывает почему-то правило по-умолчанию, т.е. блок.
У меня мозг взрывается уже, бьюсь 3ий день.

Если создать правило из внутренней во внешнюю выпускать всех через хттп(просто как шлюз) - пропускает и всё работает, но так не правильно.

З.Ы. Есть мнение что контроллер домена работает не корректно и иса не может взять учётку из домена. Но кроме исы всё остальное хозяйство работает более менее стабильно.

lamobot1

Цитата:

Создал группу в АД, создал юнита в исе присвоил группу из АД в юнит.

ты писать по русски можешь? где ты там юнит нашел? и присваивают не в что-то а чему-то
если у тебя в этом случае отрабатывает дефолтное то причем тут контроллер? ты в логи то смотрел?
напиши подробнее какое ты правило создал и какие протоколы разрешил?

В АД в OU "Groups", создана группа "Интырнет", добавлена моя учётка.
В исе, в закладке Пользователи создан юнит "Интырнет", туда назначена группа из АД "Интырнет".

В правилах создано:
Действие - Разрешать
Откуда - Внутренняя
Куда - Внешняя
По протоколу -
1) HTTP-прокси (встроенный протокол) порт 8080, со включеным фильтром ВЭБ-прокси
2) ДНС.
Пользователи - "Интырнет".

Всё, вроде должно работать, но не работает.

В логах пишет что идёт запрос с моей учётки по протоколу HTTP-прокси и срабатывает дефолтное запрещающее всё правило.

lamobot1
мда...
очень советую почитать какие нить общие книги по работе сетей и в частности прокси. особенно о том как работают последние
когда юзер идет через прокси он идет на саму ису, и это разрешать не надо отдельным правилом (тока галкой в свойствах network). а чтобы разные протоколы могли работать через проrси их надо как раз разрешить наружу, в частности http (нормалный обычный http) и остальные какие нужны (ftp например или https)
и кстати на http proxy насколько я помню не стоит web filter

ps
Цитата:

В исе, в закладке Пользователи создан юнит "Интырнет",

у нормальных людей это называет User set (набор пользователей или группа), а юниты остались в игрушках

Хорошо, убрал протокол HTTP-прокси, оставил HTTP, HTTPS, DNS, откуда - поставил локальный компьютер (иса русская поэтому написал не локалхост) , куда - также Внешняя.

Лог пишет Соединение начато, следующая строчка - Соединение закончено.

Если не сложно, кинь в ПМ мне свою аську или скайп чтоб оперативнее разговаривать.

А с какого фига тебя должно пускать по порту 8080 на сайты? HTTP и HTTPS открой для юзеров наружу, и будет тебе счастие. А ДНС форвардь.

Добавлено:
2lamobot1
_http://isaserver.ru/forums/thread/14710.aspx - беги туда, качай книжку, читай раздел по быстрой настройке ИСА сервера - настраивай в соответсвии с ним, получиш рабочую ИСУ. Потом перечитай на досуге всю внимательно.

lamobot1
dns через прокси работать не будет, проверяй как у тебя вообще dns настроен (настройка dns к исе отношения мало имеет, главное разрешитить этот протокол для твоих внутренних доменных dns)
говноскайпом не пользуюсь, асек я никому не даю, был печальный опыт, потом не отобьешься от лавины тупых вопрос гуманитериев

Фух, всем спасибо! Разобралсо!

Ребета привет...
Есть вопрос...
Есть АД + ДНС + ИСА...
Хотел бы сделать так, что бы когда Юзер превышает лимит закачки ( например > 100 мегабайт) мне на почту приходило письмо, что юзер такой-то качает то то...
Но что бы после 100 метров... до 10 метров пусть качает ...
Знаю что можно, но зыбыл как и не помню...
Кто поможет ))) ?

IeugeniyI
у исы нет лимитов, во всяком случае у 2004|2006|tmg

hardhearted нет не лимиты...
Есть такая фича... не помню де....
Делаешь свое правило... например - отповещать меня если пользователь пошел на такой то сайт, или пользователь начал закачку файла болшего чем 100 мегабайт..
Есть 100%........

IeugeniyI
это тебе 100% приснилось
иса не может отслеживать какие файлы кто качает, тем более в начале закачки - в лог иса пишет обьем при завершении соединения, и она пишет только обьем за соединение и не пишет файлы и остальную ерунду (этим могут заниматься только левые фильтры и плагины и то далеко не все они могут предусмотреть)
все алерты и оповещения можно настраивать только в monitoring->alerts->configure alert definitions, но там ты ничего не найдешь про закачки, фалы и их размер

Сильно ногами не бейте, задайте только направление где копать

Есть Win2003SP2 сервер, на нем подключение в Инет через сеть провайдера по PPTP. В данный момент зашарено это подключение стандартными средствами винды. Попробовал поднять ISA2006 на сервере, сделал одно правило с локалхоста наружу разрешить все. После этого при попытке PPTP соединения зависает не проходит проверку логин/пароля.

hardhearted нет, мы друг-друга не понимаем )))
Можно... я Вам докажу )))
На на сатдии закачки, а в проуесе закачуи определить......
Юзер начал закачку 600 метров.... с качал уже 100, и ОПА... мне на почту месадж - юзер такойто привысил 100 мегабайт...
МОЖНО ...
не могу вспомнить

IeugeniyI
а доказательство где?
во первых определись с термином - что ты называешь закачкой? для любого фаера, и исы, закачка это любой трафик, будь это просто html страничка с кучей картинок, потоковое видео или радиотрансляция, или просто файл - для нее это все просто веб трафик
во вторых в ИСЕ ТАКОГО НЕТ И ТОЧКА
левые эддоны вполне способны лимиты отслеживать, а иса нет. но лимиты опять же надо определить - для отдельно взятого закачанного файла лимитов нет, потому как однозначно определить где один файл а где несколько очень тяжело, левые квотеры могут определять лимиты за какой либо ранее указанный период (например 100 мб за день) - это всегда пожалуйста.
можешь напрягать свою память сколько хочешь, но гораздо проще посмотреть глазами и убедится что там такого нет - в исе настройки все на поверхности и их очень мало

вобщем полная картина следующая:
стоит small business 2003 server, на нем AD и ISA 2004.
PPPoE поднимает ISA
когда рвется связь, например из-за косяка на линии и происходит разрыв РРРоЕ, то ИСА блокирует доступ к компу по сети целиком и полностью, т.е. авторизация вся у юзерей отваливается полностью.
второй косяг: ИСА, когда линия восстанавливается и модем показывает что коннект есть РРРоЕ соединение поднять уже не может, точнее пробует, а в лог сыпятся сообщения, что ИСА не может поднять соединение из-за того, что удаленный компьютер не отвечает или неправильные юзер и пароль. Хотя, если рестартануть сервак полностью, то ИСА прекрасно поднимает РРРоЕ и все крутиться на автомате.
-
Плюс, когда падает РРРоЕ у ИСА в логах появляется ещё и следующая ошибка:
" ISA Server detected routes through the network adapter Сетевое подключение that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 0.0.0.1-10.0.0.0;10.0.0.121-126.255.255.255;128.0.0.0-192.167.255.255;192.168.2.0-223.255.255.255;240.0.0.0-255.255.255.254;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
<br>ISA Server detected routes through the network adapter Loopback that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: ххх.ххх.ххх.ххх-ххх.ххх.ххх.ххх;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur."
(примечание: ххх.ххх.ххх.ххх во второй части ошибки - айпи получаемое после РРРоЕ соединения)
Вопрос:
1. как сделать чтобы ИСа не блокила сервак, т.к. АД в ближайшей перспективе перенести некуда.
2. куда копать по поводу невозможности ИСА поднять соединение после обрыва?
Помогите пожалуйста.

demondeimos
тебе кажется в другом форуме насоветовали поднимать pppoe на модеме
у многих иса косячит с этим дурацким pppoe, и не припомню что бы кто то этот косяк разрулил нормально.

demondeimos
В недавнем прошлом сталкивался с подобной ситуацией. Для начала проверь настройки DNS
Для восстановления соединения я использовал скрипт. Поставил его в ИСЕ на проверку связи - пинговал свой же внешний ip-адрес. Как только PPoE отваливается, адрес не пингуется, запускается батник. На всякий случай скрипт можно поставить и в стандартный планировщик, чтобы выполнялся, например, каждые 15 минут - если связь оборвалась, восстановит, если связь есть - ничего делать не будет.
Сам скрипт (автор - drunia, forum.script-coding.info): [more]

@Echo Off

Rem OS: WinXp

Rem AAA - имя подключения, нужно своё вписать.
Set Connection="AAA"
Rem Имя пользователя
Set User="*****"
Rem Пароль есс-но
Set Pass="*****"
Rem Инициализация переменной для счетчика
Set /A i="0"
Rem Максимальное колл-во попыток
Set Max="100"

:Loop
Echo.
Echo Trying conect to %Connection%
Echo Attempt #%i%
RasDial %Connection% %User% %Pass% 2>Nul 1>&2
If %ErrorLevel% GTR 0 (
Echo Error in Connect to %Connection%, Try again...
Set /A i="i + 1"
If "%i%" == %Max% GoTo Sorry
GoTo Loop
) Else (
Echo.
Echo Connected Ok.
GoTo EOF
)

:Sorry
Echo.
Echo Sorry, connect to %Connection% Failed.
Pause >Nul

:EOF
[/more]

Интуиция мне подсказывает, что это не самое лучшее решение и возможно сделать что-нибудь более изящное, но может хоть так поможет. Ещё проверь "параметры удалённого доступа" в конфигурации ИСА.Выстави "Установить подключение самостоятельно", тогда и ругаться перестанет, а то ИСА сама пытается восстановить соединение, используя прописанные параметры учётной записи подключения.

У меня же такой вопрос:
с недавних пор при попытке зайти в раздел "наблюдение" вываливается окно с ошибкой

Обновление не выполнено.
Ошибка 0x80070002
Не удается найти указанный файл.

ISA 2006, Windows server 2003 std R2
В виндовом журнале событий никаких записей не появляется.
Сдаётся мне, глюкануло какое-то обновление.
Запустил filemon, при входе в раздел "наблюдение" зафиксировал следующие предупреждения:

10:21:40    mmc.exe:2668    QUERY INFORMATION    C:\Program Files\Microsoft ISA Server\UI_HTMLs\Generic.htm:Zone.Identifier    NOT FOUND    Attributes: Error

10:21:40    isastg.exe:1480    OPEN    C:\Program Files\Microsoft ISA Server\StgData\5EEF980F382800D637A1F01122715BE61C964FDA0D110D7.stg    NOT FOUND    Options: Open Access: Read    

Файл stg - это файл политики с настройками? Возможно ли его восстановить или просто избавиться от обращения к нему?
ИСУ полностью переустанавливать не резон, пробовал сделать "восстановление" - ошибка не исчезла.


10:50 просто создал пустой файл с именем искомого и всё заработало О_О
Подскажите, чревато ли это чем-нибудь? Может, пропал важный файл, а я его, понимаешь, пустым заменил.

    

подскажите, плиз:
1. способ импортировать список IP адресов из текстового файла (НЕ из XML) в Computer Set
2. ссылочки на известные списки Free Proxy, спамеров, хакеров, т.п.

Цитата:

demondeimos
тебе кажется в другом форуме насоветовали поднимать pppoe на модеме
у многих иса косячит с этим дурацким pppoe, и не припомню что бы кто то этот косяк разрулил нормально.

в итоге так и сделал.


Цитата:

demondeimos
В недавнем прошлом сталкивался с подобной ситуацией. Для начала проверь настройки DNS

ДНС пашет правильно.
скрипт поглядел на виртуалке, но решил не заморачиваться лишними нагромождениями и поменять модем

mikeak
вот тут есть необходимые скрипты http://www.isascripts.org/

ShriEkeR
вроде - то, что доктор прописал.

и еще, не знаете ли анализатора лог-файлов - но НЕ того, который смотрит куда кто изнутри лазит, а наоборот - кто извне лезет ко мне и куда (ну, к примеру, на 80, 25, 110, 53 порты)? в идеале - чтобы мог их одним щелчком в черный список добавлять

mikeak

Цитата:

в идеале - чтобы мог их одним щелчком в черный список добавлять

интересно а по какому критерию ты собираешься в черный список добавлять?

hardhearted

Цитата:

интересно а по какому критерию ты собираешься в черный список добавлять?

от FTP кусок вчерашнего лога:

04:02:16 218.80.215.176 [3]USER Administrator 331 0
04:02:16 218.80.215.176 [3]PASS - 530 1326
04:02:17 218.80.215.176 [3]USER Administrator 331 0
04:02:17 218.80.215.176 [3]PASS - 530 1326
04:02:18 218.80.215.176 [3]USER Administrator 331 0
04:02:18 218.80.215.176 [3]PASS - 530 1326
04:02:18 218.80.215.176 [3]USER Administrator 331 0
04:02:20 218.80.215.176 [3]PASS - 530 1326
04:02:20 218.80.215.176 [3]USER Administrator 331 0
04:02:21 218.80.215.176 [3]PASS - 530 1326
04:02:21 218.80.215.176 [3]USER Administrator 331 0
04:02:21 218.80.215.176 [3]PASS - 530 1326
04:02:22 218.80.215.176 [3]USER Administrator 331 0
04:02:22 218.80.215.176 [3]PASS - 530 1326
04:02:23 218.80.215.176 [3]USER Administrator 331 0
04:02:23 218.80.215.176 [3]PASS - 530 1326
04:02:24 218.80.215.176 [3]USER Administrator 331 0
04:02:26 218.80.215.176 [3]PASS - 530 1326
04:02:26 218.80.215.176 [3]USER Administrator 331 0
04:02:26 218.80.215.176 [3]PASS - 530 1326
04:02:27 218.80.215.176 [3]USER Administrator 331 0
04:02:29 218.80.215.176 [3]PASS - 530 1326
04:02:29 218.80.215.176 [3]USER Administrator 331 0
04:02:30 218.80.215.176 [3]PASS - 530 1326
04:02:30 218.80.215.176 [3]USER Administrator 331 0
04:02:30 218.80.215.176 [3]PASS - 530 1326
04:02:32 218.80.215.176 [3]USER Administrator 331 0
04:02:32 218.80.215.176 [3]PASS - 530 1326
04:02:33 218.80.215.176 [3]USER Administrator 331 0
04:02:33 218.80.215.176 [3]PASS - 530 1326
04:02:34 218.80.215.176 [3]USER Administrator 331 0
04:02:34 218.80.215.176 [3]PASS - 530 1326
04:02:35 218.80.215.176 [3]USER Administrator 331 0
04:02:36 218.80.215.176 [3]PASS - 530 1326
04:02:36 218.80.215.176 [3]USER Administrator 331 0
04:02:37 218.80.215.176 [3]PASS - 530 1326
04:02:37 218.80.215.176 [3]USER Administrator 331 0
04:02:37 218.80.215.176 [3]PASS - 530 1326

пароль пытаются подобрать...
думаю - все очевидно...

Цитата:

от FTP кусок вчерашнего лога

так это фтп лог а не исашный, в исашном ты такого не увидишь и аналайзером не определишь

hardhearted

Цитата:

в исашном ты такого не увидишь и аналайзером не определишь

это почему же не определишь?
глаза на месте, выпуклый продолговатый нарост над плечами - тоже...

требуется инструмент, хоть чуть более эргономичный, чем штатный просмотрщик логов ISA - чтобы хоть что-либо в нем было автоматизировано... хоть немного эвристики... не ужто нет такого?

mikeak
не увидишь ты в исашном логе команды типа pass ) тока подключение и отключение и все.
тебе какая эвристика то нужна?
если нужен эргономичный просмотрщик логов то бери query analyzer для sql или logparser для w3c и смотри