» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

hardhearted

Цитата:

не увидишь ты в исашном логе...

да это почему же не увижу?

есть проблема - слишком много юзеров туда "плюют" - в реал тайм - не проанализировать, фильтры нужны... ну лучше в оффлайне...

"logparser для w3c" - в таком формате у меня и есть - ссылочку можно? платный?

Есть сервак Win serv2003 SP2 + Isa 2006 Std.Ed. rus, проблема в одном -- не открываются некоторые сайты (в том числе и ru-board) явно запрещающих правил нет, ограничены пользователи по протоколам......но сайты даже не открываюся с самой Исы...приведу пример пользователь с клиентской машины открывает сайт ru-board.com, Иса после не долгих раздумий ему кидает отказ в котором написано что мол ошибка DNS---этот же сайт я открываю с самой Исы (я на ней прописал правило и она ходит в инет) меня кидает на поисковик MSN где он находит этот сайт,но как бы открыть его не может.
Т.е не понятно что происходит, без Исы на прямую в этого IP все прекрасно ходит....
Помогите разобраться пожалуйста.

mikeak
www.microsoft.com в поиске
эту тулзу должны знать все админы, это не анализатор, эта тулза позволяет парсить очень много разных форматов логов (откуда и название). можешь писать запросы сам, как в скуле

postman27
проверяй настройки dns

Настройки какого ДНС? На контролере или те которые дал провайдер? Т.е сейчас ситуация такая что сайты стали открываться которые не открывались вчера...т.е не понятно нет закономерности.....

Добавлено:
вот например не открывается http://www.rapidshare.ru/, я на сколько знаю ДНС контроллера домена здесь не причем, или я ошибаюсь

Помогите разобраться в проблеме:
Установлена ISA2006 ent.
Настроено правило публикации протокола не веб сервера.
Клиенты из внешней сети подключаются используя это правило к серверу во внутренней сети. Протокол TCP. Соединение должно быть постоянным. Т.е. один раз клиент подключился и целый день висит. Но периодически соединения рвутся с кодом
FWX_E_GRACEFUL_SHUTDOWN 0x80074E20 или
FWX_E_ABORTIVE_SHUTDOWN 0x80074E21

Что можно сделать?

Вопрос по ISA. Правильно ли я понял, что на базе ISA возможно организовать: фильтрацию и учет трафика для AD пользователей и организовать VPN доступ к локальной сети без установки на внешнего клиента дополнительного ПО?

Giant
ты сам то понял что хотел написать? ) напиши поточнее и понятнее что ты хочешь сделать для ad юзеров а что для vpn
art80
что значит должно быть? если серва к или клиент долго висят и ни кто не собрается коннект поддерживать то он рвется, причем тут иса то?
postman27
ты можешь настроить dns у провадера? либо ты крут либо провайдер лох
я вообще то про твои настройки спрашивал

Цитата:

Настройки какого ДНС? На контролере или те которые дал провайдер? Т.е сейчас ситуация такая что сайты стали открываться которые не открывались вчера...т.е не понятно нет закономерности.....

Добавлено:
вот например не открывается http://www.rapidshare.ru/, я на сколько знаю ДНС контроллера домена здесь не причем, или я ошибаюсь

если с ДНС все в норме, то такая фигня бывает когда РРРоЕ, например, соединение поднимает модем и получается что NAT модема нещадно глючит.
у меня со старым нонэйм модемом так было: то открывается, то не открывается. сменил модем - все закрутилось.

hardhearted
Коннект поддерживается периодическими "пингами" от клиента к серверу. И тем не менее связь рвется.
Вообще в ISA есть где-нибудь настройка таймаута после которого соединение будет разорвано?

art80
почитай книжку про сети, пинг тут вообще не при делах, речь то идет не о "связи" а о сессии, это совершенно разные вещи. в исе есть настройка таймаута тока на веб листенере. и далеко не факт что это иса рвет коннект, это может сам клиент или публикуемый сервер

Цитата:

Вопрос по ISA. Правильно ли я понял, что на базе ISA возможно организовать: фильтрацию и учет трафика для AD пользователей и организовать VPN доступ к локальной сети без установки на внешнего клиента дополнительного ПО?

Для организации VPN в ISA есть специальный мастер - можно пошагово настроить все параметры. На стороне клиента никакого дополнительного софта не понадобиться - создаётся VPN-подключение через обычный мастер создания новых подключений.
Для учёта трафика можно настроить ведение журнала за определённый период времени. ISA будет писать журнал в файлы, можно выбрать формат этих файлов. Если есть SQL-сервер, то можно прямо и туда, а потом уже средствами SQL смотреть, кто, где и сколько скачал. Либо использовать анализаторы логов типа Proxy Inspector и т.п. Например, бесплатный Loggerythm Log Analyser

Народ, подскажите пожалуйста куда копать по следующему вопросу:
на ISA поднят VPN, пока сама ISA поднимала РРРоЕ - все пахало и коннектилось, но там были свои проблемы и теперь, после смены модема на TP-LINK TD-8810, РРРоЕ поднимает сам модем, но при этом перестал коннектиться VPN.
На модеме порт 1723 на вход открыт.
В логах ИСА я вижу следующее:
Initiated Connection DEIMOS 06.04.2009 8:10:41
Log type: Firewall service
Status: Операция успешно завершена.
Rule: Allow VPN client traffic to ISA Server
Source: External ( хх.хх.хх.хх:7543)
Destination: Local Host ( 192.168.1.3:1723)
Protocol: PPTP
User:


Initiated Connection DEIMOS 06.04.2009 8:10:42
Log type: Firewall service
Status: Операция успешно завершена.
Rule: Allow VPN client traffic to ISA Server
Source: External ( хх.хх.хх.хх:0)
Destination: Local Host ( 192.168.1.3:0)
Protocol: PPTP
User:


Closed Connection DEIMOS 06.04.2009 8:10:42
Log type: Firewall service
Status: ISA Server ended the connection.
Rule: Allow VPN client traffic to ISA Server
Source: External ( хх.хх.хх.хх:7543)
Destination: Local Host ( 192.168.1.3:1723)
Protocol: PPTP
User:

на стороне клиента вылетает ошибка "619: не удается подключиться к удаленному копьютеру, поэтому порт подключения закрыт...."

пробовал на модеме открыть порты с 1 по 65000 - не помогло.

что самое загадочное: одного пользователя все же пускает по VPN, но в логах появляется следующая ошибка:
---
ISA Server detected a spoof attack from Internet Protocol (IP) address хх.хх.хх.хх. A spoof attack occurs when an IP address that is not reachable via the interface on which the packet was received. If logging for dropped packets is set, you can view details in the packet filter log.
---
где хх.хх.хх.хх внешний адрес пользователя.
Народ, что-то я где-то очень сильно упустил повидимому. помогите разобраться пожалуйста.

Приветствую!
Чего-то не выходит у меня SMTP-шлюз с ORF на исе 2006 заработал чтоб...
вроде как по статье с kerio-rus все делаю, делаю дисейбл правилу публикуемого exchange сервера.
1.заменяю его на публикуемый (SMTP Server) SMTP-сервер исы на внутренний адрес шлюза, для него Networks External/Internal
2.с локал хоста по интернал на сервер exchange (SMTP)
3.по интернал exchange-сервер на локал хост (SMTP)
4.локал хост в экстернал (SMTP)

пробую телнетом с наружи - черный экран.
соответсвенно письма не идут на отправку, а отправителю с наружи идет:
550 5.7.1
Unable to relay for s@domen.ru (in reply to RCPT TO command)

по логам: 25 SMTP Denied Connection External - Local host.

Что надо?
может еще надо добавлять правила?

srv-g подразумевает (192.168.1.1)
srv-mail подразумевает (192.168.1.15) сервер с Exchange

bahtey
ну бред нагородил
для любого публикуемого smtp сервака должно быть только два правила - на получение (публикация) и на отправку (обычное правило от сервака наружу)
а у тебя 5 штук и все задизаблены

hardhearted
хм...
изначально не работало. с двумя правилами или тремя...
сейчас выложенный скрин,без правки, и дисейбл - потому как отключены,за не работостью их же !!!
так вот и прошу помощи,по-мимо указанного (31-го) какие должны быть еще?

Добрый день.

Сервер ISA используется как шлюз по умолчанию.
К серверу подключены 2 сети
192.168.0.0 255.255.255.0 - основная
и
192.168.22.0 255.255.255.240 - вспомогательная

на ISA соответственно 2 карточки 192.168.0.1 и 192.168.22.5

Как не пытались, не получается осуществить маршрутизацию из 192.168.0.0 в 192.168.22.0 и наоборот.

С самой ISA ping ходит по всем направлениям. У компов шлюзы по-умолчанию 192.168.0.1 и 192.168.22.5, но ping только до самой ISA - дальше "болт!".

Оба адресных пространства в сети "Внутренняя".
Пробовал прописывать маршруты route add 192.168.22.0 mask 255.255.255.240 192.168.22.5. После этого начинает ходить ping с ISA в 22 сеть, он не более того.

Как заставить ISA маршрутизировать пакеты из обоих сетей?

P.S. Также к ISA подключен Интернет канал с IP-адресом и шлюзом по умолчанию провайдера. ISA работает в режиме "Пограничный межсетевой экран"

bahtey
не знаю что такое ORF и знать не хочу, но если он работает как обычный релей на вход и ты его хочешь опубликовать на внутреннем интерфейсе (кстати зачем публиковать?) то кроме 31го правила нужно еще allow smtp from localhost to srv-mail(или internal)
при этот этот самый orf не должен слушать внешний интерфейс, иначе он займет порт и публикация обломается

dedmad
есть банальное азбучное правило: один интерфейс - один network

hardhearted
Сделал для интерфейса 22.0 - отдельную сеть "Вспомогательная". Настройки аналогично сети "Внутренняя". Доступ из обоих сетей к ISA полный.
Пакеты не ходят

dedmad


Цитата:

hardhearted
Сделал для интерфейса 22.0 - отдельную сеть "Вспомогательная". Настройки аналогично сети "Внутренняя". Доступ из обоих сетей к ISA полный.
Пакеты не ходят

а не пробовал в ИСЕ прописать отношение между этими подсетями и два правила по доступу между ними

dedmad

Цитата:

Доступ из обоих сетей к ISA полный.

к исе им доступ то и не особо нужен
как правильно указали выше нужен доступ между сетями и network rule конечно же

hardhearted
1. (кстати зачем публиковать?) - какой вариант?

hardhearted
Спасибо!
Прописал правила отношения сетей "Маршрутизация" и все заработало

bahtey
Раз уж такие правила написал, попробуй сделать enable правилам 32 33 34 35, потестируй и проверь логи. А то написал строчку из логов, а к какому сочетанию правил не понятно.

d_a_z
да на самом деле правил были изначально 31 34 35 33.
то что сейчас в скрине - это уже дальнейшие ухищрения...нинкак не могу включить их оставлено как есть,ибо рабочее время,и люди шлют письма!!!!!!
а логи в целом,такого характера,что SMT Server разрешается и пишет инициализацию с других серверов SMTP,но когда посылаю с какого-нибудь mail.ru то по логам на сервере пишет SMTP 25 Denied External LocalHost

Ребят, помогите. Наступил на грабли и пока не могу с них сойти
ISA 2006 EE, две сетевухи - одна смотрит в мир, другая в локалку. Появилась необходимость наличия Apache на внутреннем интерфейсе - поставил и вроде бы всё работает, но есть один неприятный момент. На апаче крутится самописная статистика расхода трафика для пользователей, а так как доступ раздаётся по IP-адресам, то соответственно мне нужно определять с какого айпишника клиент залез на сайт со статистикой. Пока сайт отлаживал на другом сервере всё было нормально, но после переноса на ISA апач для всех клиентов определяет не их действительный адрес а свой собственный (т.е. адрес внутреннего интерфейса).
Подскажите, в чём может быть косяк.

bahtey
ну если сервис на самой исе то гораздо логичнее тупо открыть трафик по smtp на саму ису иногда публикация тоже используется, но только когда в этом есть смысл (например порты подменять надо или фильтрацию какую организовать с аутенфикацией, но последнее тока для web используют)

bahtey
Ну, вот, как люди перестанут слать письма, ты попробуй без 31 го правила (с 32 по 35) и поставь их повыше, а то кто знает что там утебя над ними ещё прячется :)

d_a_z
в том и шляпа....
пробовал на прошлых выходных...
поднял эти правила на самый верх (перед ними ...впринципе, не связанные с почтой правила).
ну т.е. как понял попробовать сверху опять, но уже 32-35 поднять над 31-м...

bahtey
всё так, только 31 - disable

Доброго времени!
ISA 2006 Standart (c включенной галкой принудительной аутентификации(Require all users to authenticate))
Есть клиент на ноут-буке не включенном в домен, но имеющий IP внутренней сети,
возможно, ли сделать, каким либо образом, исключение по IP ноутбука, чтоб обойти принудительную аутентификацию?
те нужно чтоб бук ходил в интернет не передоставля доменые учетные данные со включенной на ИСЕ галкой принудительной аутентификации.


Пробовал правило: весь исходящий трафф с IP бука в интернет для Всех пользователей. не работает.

Возможно есть ключи реестра типа: http://support.microsoft.com/kb/889035 (сдесь рассматривается отключение аутентификации для RoutingInformation (авто обнаружение клиента при включенной принудительной аутентификации))...

Помогите разобраться, снять галку не вариант.