» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

AgBoKaT
Сайт не работает, редирект идет на другую страницу.

BULLDOG
Сайт работает. Не поленился, сходил и дёрнул внешник из ISA 2006 и подключил его к ноуту без фаера - torrents.ru открылся.
Пытался отключить Web Proxy фильтры - не помогло.

В разных местах появляются темы по этой проблеме, но решения пока нет.

http://isaserver.ru/forums/thread/35377.aspx
http://forum.oszone.net/thread-138962.html
http://forum.ixbt.com/topic.cgi?id=7:35916

P.S.Где-то мелькало, что 27.04.09 на torrents.ru врубили метод сжатия аля GZip, который ИСА не хочет переваривать.

FL0od13
иса как раз только gzip и deflate и поддерживает

Потому и написал
Цитата:

аля GZip

Отключение Compression Filter и Caching Compressed Content Filter не помогает. Может вообще все фильтры отрубить?

Пока ковырял ISA, torrents.ru заработал сам собой. Заработал у меня (две ИСЫ, два внешних IP из разных подсетей) и ещё у двух товарищей - счастливых обладателей сабжа.

Всем привет
столкнулса с такой проблемой после включения ISA 2006 не присваиваеться ip-адресс сетевому адаптеру который смотрит в инет, скорее всего закрывает сам ISA какие протоколы нужно окрыть (DHCP(запрос/ответ) открывал не помогло )

mkgeka

обычное правило доступа делай в самом верху External -> LocalHost по протоколам DHCP (reply) и DHCP (request) всё должно работать

mkgeka

А можно ещё правило системной политики подправить.

iknow

Правило создаетса в "правилах межсетевого экрана" или "политика предприятия"??

Добавлено:
Спасибо Всем, сделал через сетевую политику.

FL0od13
Были проблемы с открытием torrents.ru, решилось разрешением http compression для torrents.ru (195.82.146.114).

Триалка ISA2006 std. подходит к концу... как правильно переустановить ? или ссылку на тему киньте в почту uxo@mail.ru

еще вопрос ... ссылки на скачивание ISA 2006 вначале даны, так вот те которые боевые - это не триалки ?

ISA 2006, опубликовал внутренний веб-сервер. Снаружи все работает. Внешнее имя фирма.ru, из внутренней сети доступа к этому сайту по внешнему имени фирма.ru нету. ISA пишет ошибку "10061: В подключении отказано".
Я помню раньше настраивал, чтоб во внутренней сети к сайту можно было обращаться по внешнему имени, но вот убей не помню, что и где в исе прописать. Напомните пожалуйста...кто знает....
Заранее спасибо!

Цитата:

внутренней сети доступа к этому сайту по внешнему имени фирма.ru нету.

рестартани службы...
а точно есть правило доступа из локалки туда ?
еще как вариент посмотри по ведению журналов в оповещениях по IP клиента фильтр поставь и попробуй может воoбще DNS ?

вот тут описано примерно тоже самое http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/aadad370-96e4-4f3c-87da-8cf52a054830 но с ФТП

З.Ы. ну ктонить с триалки 2006 std. на нормальную перелазил ? вопрос такой что будет если поверх триалки туже версию накатить но с серийником ?

uxogaevsky

Цитата:

еще вопрос ... ссылки на скачивание ISA 2006 вначале даны, так вот те которые боевые - это не триалки ?

С этим тебе сюда.

Цитата:

а точно есть правило доступа из локалки туда ?

Правило точно есть...


Цитата:

еще как вариент посмотри по ведению журналов в оповещениях по IP клиента фильтр поставь и попробуй может воoбще DNS ?

ДНС резолвит нормально...получаю правильный внешний IP. В журналах только ошибка "10061 Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение."


Цитата:

вот тут описано примерно тоже самое http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/aadad370-96e4-4f3c-87da-8cf52a054830 но с ФТП

читал, там про фтп-фильтр в основном...мне не подошло

vvnu
а ты в настройках слушателя какие network указал?

uxogaevsky
ни разу не видел серийник у исы
поверх триалки никогда не ставил, ибо триалкой не пользовался, но насколько я знаю мелкомягких, триалка на нормальную обычн оне обновляется легальными методами
а что тебе мешает удалить триал и поставить нормальную? это же не винда, ставиться за 5 минут

hardhearted
сначала было только внешняя...сейчас добавил и внутреннюю...рестартанул сервис...все равно не работает

hardhearted
Все равно падает. Правда реже и при обработке других запросов. Теперь чаще при HTTP запросах.

vvnu
мда, с матчастью совсем плохо, и с логикой тоже заметны проблемы
если чисто логически подумать, нет, подумать даже громкое слово, скажем прикинуть, то ты на внешний адрес исы ломишься по http из локальной сетки, иса как известно еще и прокся, и ты ломишься через прокси, а значит с точки зрения правила публикации ты ломишься не из локалки а с самой исы (web трафик то проксируется), то есть в слушателя надо добавить localhost, для тех кто не знает это сама иса, и она не принадлежит ни external ни internal (что тоже логично следует из принципа network - они никогда не должны пересекаться)

ps вопрос про network был намеком, то есть надо присмотреться, почитать, подумать - все ли там правильно

Добавлено:
bs2003
а в логах и алертах что нить остается?

hardhearted

Спасибо !!! Надеюсь проблем при сносе не возникнет.

hardhearted
Спасибо за критику! Учту! Поставил галочку в слушателе на локальном компьютере....те же грабли...ошибка "10061: В подключении отказано"...
Решил проблему следующим образом...в hosts, на исе, прописал внешнее имя на внутренний адрес веб-сервера...заработало... это правильно решение или так себе?;)

hardhearted
Ни в логах, ни в оповещениях исы ничего. Похоже не успевает записать до падения. В логах только после перезагрузки вот такое

The reason supplied by user KRV\Admin for the last unexpected shutdown of this computer is: Отказ системы: Ошибка STOP
Reason Code: 0x805000f
Bug ID:
Bugcheck String: 0x0000000a (0xc0000000, 0xd0000002, 0x00000000, 0x80817077)
Comment: 0x0000000a (0xc0000000, 0xd0000002, 0x00000000, 0x80817077)

адреса памяти всегда одни и те же
Все источники пишут что ошибка 0х0000000а связана с кривыми драйверами и должен быть там же указан драйвер вызвавший ошибку.
1.драйвер не указывается.
2.Иса стоит на виртуальной машине - кривого железа быть не может и кривого драйвера как следствие тоже
3.До этого на этой же виртуальной машине стояла иса 2004 - проблем не было

bs2003


Цитата:

2.Иса стоит на виртуальной машине - кривого железа быть не может и кривого драйвера как следствие тоже

Ну, что вы молодой человек виртуаклам тоже нужны дрова, да и переодичность update`ов тоже о чём-то да и говорит

Сорри, перечитал свой же мессадж - плохо написал... не пользовался практически никогда форумами... обычно сам разбирался или с поиском в инете... а тут ну запарился совсем... ничего путного не находилось по данной ситуации и CSS....

мне приходится только разбираться, вытаскивая работоспособность... не я настраивал и поддерживал... backup-ов нет

часть выгруженных правил в XML есть... и всё...

вообщем еще раз попробую...

было 2 ИСА сервера и один из с CSS, работало всё, грохнулась ветка SOFTWARE в винде где CSS (c HDD беда была)... будь она не ладна...

пропал доступ к серваку вообще... 2-й продолжал исправно работать, но доступ из ISA Server Management пропал совсем, требовал Connect to Configuration Storage Server и хоть ты тресни...

Event Type: Warning
Event Source: Microsoft ISA Server Control
Event Category: None
Event ID: 21238
Date: 17.04.2009
Time: 16:38:25
User: N/A
Computer: COMP2
Description:
ISA Server cannot connect to the Configuration Storage server COMP2.domain.ru for one of the following reasons:
- The Configuration Storage server is not available.
- There are general networking or authentication issues.
- The firewall policy for the array is incorrectly configured.
For information on resolving these issues, see http://go.microsoft.com/fwlink/?LinkId=37487.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
--------------------------------------

Event Type: Error
Event Source: Microsoft ISA Server Control
Event Category: None
Event ID: 11004
Date: 20.04.2009
Time: 14:04:23
User: N/A
Computer: COMP2
Description:
Microsoft ISA Server Control failed to start. The failure occurred during Security Watchdog notification processing because the system call ApplyAccessControlSettings failed. Use the source location 122.65.5.0.5723.504 to report the failure. The error description is: An attempt was made to reference a token that does not exist.


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: f0 03 07 80 ð..?
----------------------------------------

Event Type: Error
Event Source: MsiInstaller
Event Category: None
Event ID: 1013
Date: 21.04.2009
Time: 17:43:11
User: user
Computer: COMP2
Description:
Product: Microsoft ISA Server 2006 -- Setup was unable to uninstall the Configuration Storage server because the ISASTGCTRL service is stopped. Restart the service and then try uninstalling again.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 7b 44 44 34 43 45 45 35 {DD4CEE5
0008: 39 2d 35 31 39 32 2d 34 9-5192-4
0010: 43 45 31 2d 38 41 46 41 CE1-8AFA
0018: 2d 31 43 46 41 38 45 42 -1CFA8EB
0020: 33 37 32 30 39 7d 37209}
------------------------------------------------

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7001
Date: 20.04.2009
Time: 14:04:47
User: N/A
Computer: COMP2
Description:
The Microsoft ISA Server Job Scheduler service depends on the Microsoft ISA Server Control service which failed to start because of the following error:
The operation completed successfully.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
----------------------------

на серваке с CSS ни удалить ни починить не получалось (MS диск в привод не вставлял - предпочитаю копию на HDD по возможности)... ругался на setup was unable to install the configuration storage server because the isastgctrl service is stopped... вообщем через ADAM удалось сначало убить а потом заново создать этот сервис так что бы он запускался!!! (помогли китайские друзья, благо переводчики на инглиш работают)

вообщем сервак с CSS тоже стал работать как и раньше (ИСА только, включая VPN), но CSS не работал!!! по крайней мере его удалось анинсталлить... ничего другого не удалось всё равно... а доступ из ISA Server Management (MMC) пропал как на 1-м так и на 2-ом... управления нет... требуют CSS!!!

собственно такая вот ситуация... имею 2 сервака ИСА 2006 энтерпрайз без CSS и оба не управляемые в данный момент через MMC...

можно ли как-то получить доступ к настройкам серваков из MMC?

как установить CSS и подцепить к нему эти серваки ? (установить на них же сетап не дает... поставил на пустой комп...)

просто не все правила есть в сохраненых XML's.... снести всё и поставить заново - не устроит, т.к. многие настройки не очевидны - клиенты сильно уж раскиданы, в том числе в VPN, а найти людей их знающих не возможно!!!

Заранее спасибо!!!

еще раз сорри за не очень корректный 1-й мессадж!

cftvgybhu

Думаю это тебе поможет.

P.S. см. раздел "Automatic Backups"

vvnu
у меня опубликовано два сайта на одном слушателе, стоит all networks, и все работает и изнутри и снаружи.

anton04
То что и виртуалкам дрова нужны это и ежу понятно. Только виртуалка заточена именно под Винду. И дрова стоят поэтому только родные (не кривые, как пишут кривых производителей) Виндовые.
И SP и апдейты последние тоже стоят.
И повторюсь - ИСА 2004 работала прекрасно.
А вообще принципиальная разница между 2004 и 2006 есть?

Цитата:

anton04

спасиб. эт я пробовал, правда немножко другим способом... и не получалось...
а этот скрип тож даёт отлуп, как и всё остальное....

AutomaticBackUp_ISAServer2006.vbs(6, 13) FPC.Root.1: The property or method Arrays is not supported when the ISA Server computer is not connected to a Configuration Storage server.

как напрочь отцепить ИСУ от CSSа??? в регах нашел место, где он ссылается на него, но описания не нашел как грамотно эт сделать...

bs2003


Цитата:

То что и виртуалкам дрова нужны это и ежу понятно. Только виртуалка заточена именно под Винду. И дрова стоят поэтому только родные (не кривые, как пишут кривых производителей) Виндовые.

Так, стоп, а виртуалка какая? VMWare, Vitrual PC или что-то третье? И версия какая.


Цитата:

А вообще принципиальная разница между 2004 и 2006 есть?

Принципиальная есть, ещё бы её не было... это как windows 2000 sp4 и windows xp sp3, в принципе то же самое, но в последней удобнее.
Да и список служб немного отличается (помоему какую-то одну убрали в 2006). Но, чтобы иса падала и ссобой тащила винду это что-то... такого ещё не видел, хотя с исой работаю с 2005 года.

P.S. Может переставить на виртаулке windows?

Добавлено:
cftvgybhu

Скрипт можно попробовать подправить, т.к. по умолчанию он пытается сохранить и политики предприятия (которые недоступны), а тебе хоть локальные щас сохранить уже хорошо.

P.S. Попробуй порыть в книге дяде Шиндлера (найти её не проблема, хоть она и для 2004 исы, но для 2006 то же потянет). И ещё вторая и третья ссылка, в шапке, тебе в помощь.

anton04

Цитата:

это как windows 2000 sp4 и windows xp sp3, в принципе то же самое, но в последней удобнее.

Вот именно в 2006 удобнее и приятнее на родном языке, а не буржуйском. А принципиальной разницы я не вижу. Одно то что клиент у нее остался 2004

Цитата:

а виртуалка какая? VMWare, Vitrual PC?

VMWare ESX 2.5 на Linux

Цитата:

P.S. Может переставить на виртаулке windows?

Наверно придется. Возможно 2004 Иса криво деинсталировалась. 2006 поверх 2004 отказалась ставится

У меня была вся линейка Фаерволов от Мелкомягких. Начиная с WinProxy 2.0, ISA2000, ISA2004. И не с одной из них подобного не было. Поэтому и обратился на форум. Где-то на форуме промелькнуло что выявлен баг 2006-ой - аварийное завершение службы фаервола. А у меня полное падение сервера. Может кто сталкивался и как лечили

bs2003


Цитата:

Одно то что клиент у нее остался 2004

Не совсем... он немного обновился...


Цитата:

Возможно 2004 Иса криво деинсталировалась.

Нуууу... коли так, то вероятноть очень высока...