» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

anton04

Цитата:

Цитата:
Возможно 2004 Иса криво деинсталировалась.


Нуууу... коли так, то вероятноть очень высока...

Это только предположение

Добавлено:
anton04

Цитата:

Цитата:
Одно то что клиент у нее остался 2004


Не совсем... он немного обновился...

Обновилась версия и добавился родной язык. А сам он так и называется Firewall client ISA 2004

bs2003


Цитата:

Это только предположение

Не более. Т.к. информации недостаточно.


Цитата:

Обновилась версия и добавился родной язык. А сам он так и называется Firewall client ISA 2004

Да обновилась, я разве что-то другое сказал!? Добавилась поддержка Vista`ы.

есть вот такой вопрос: есть win 2003 с поднятой ISA, та етой машине с помощью Vmware подняли еще один win 2003, ввели в домен которыйц поднят на сервере с isa, виртуальная машина сервер видет нормально,а вот клиенты не могут увидеть виртуальную машину,в isa стоит маршрутизация с одной сети на сеть где находить виртаульная,пингую с одной сети виртуальный ПК ПРЕВЫШИН ИНТЕРВАЛ ОЖИДАНИЯ

Добавлено:
все получилось просто нада было указать на сетевой адаптер который смотрит в сеть

Доброго времени суток! ISA 2006 stand SP1. Долго бился с проблемой ошибки 12206 isa detected proxy chain loop. Нашел, что
1.надо поменять очередность внутреннего и внешнего интерфейсов (ISA binding order), внутренний поставить выше внешнего.
ИЛИ
2. убрать галочку Web Proxy Filter в свойстве протокола HTTP.
Нашел, убрал, заработало. Но. При этом Internet Access monitor перестал его "видеть". Т.е. я точно знаю, что я ходил на такие-то сайты, просидел там столько-то. Гружу логи, выделяю свою учетку - хттп трафика нету! Ставим галочку - ошибка 12206. Что такое может быть? Появилась эта ерунда где-то с февраля 2009, а иса трудится с ноября 2007 (если это важно).

Или другой вопрос - где поменять isa binding order?
Спасибо

pavel1978


Цитата:

Или другой вопрос - где поменять isa binding order?

Настройка сетевых интерфейсов для ISA сервера.


Цитата:

Ставим галочку - ошибка 12206. Что такое может быть?

Это проблемма не исы, а Internet Access monitor.

Всем привет!
Есть ISA 2006 и контроллер домена с ролью DNS сервера держащий доменные зоны и работающий как кеширующий сервер пересылки на DNS сервера провайдера. Надо вынести задачи по кешированию и пересылке на ISA сервер с целью разделения обязанностей, т.е. DNS на домене отвечает только за разрешение внутренних доменных имен и держит доменные зоны, а DNS на ISA сервере кеширует и пересылает запросы на разрешение имен на сервера провайдера. Второй целью является доступ к инету при недоступности DNS на контроллере домена.
Вопрос собственно в следующем:
1. как правильно настроить пересылку: с доменного DNS на DNS ISA сервера - далее на прова или на доменном DNS никаких пересылок - только на DNS ISA сервара?
2. на клиетских компах в свойствах TCP\IP прописовать оба IP - какой первый - доменный или исовый DNS?

davinchi9

Во первых, иса тут вооще не причём, так что ты ошибся топиком
Во вторых, коли уж я тут отвечу:


Цитата:

1. как правильно настроить пересылку: с доменного DNS на DNS ISA сервера - далее на прова или на доменном DNS никаких пересылок - только на DNS ISA сервара?

На доменном DNS тебе нужно указать что есть ещё один (вышестоящий) DNS, вот туда-то тебе он и будет слать запросы (а контроллеру домена просто нужно обрубить протокол DNS на исе, т.е. запретить правилом посылать запрос по протоколу DNS в Internet). Т.е. по сути все запросы от доменых ПК будет приходить в доменный DNS/AD, а от туды (в случае надобности) перенаправлятся на кэширующий DNS на исе и далее везде.


Цитата:

2. на клиетских компах в свойствах TCP\IP прописовать оба IP - какой первый - доменный или исовый DNS?

Только доменный!

Ну иса тут не совсем не причем...

Цитата:

На доменном DNS тебе нужно указать что есть ещё один (вышестоящий) DNS

т.е. это не просто указание пересылки на исовый днс? как указать вышестоящий днс?

Цитата:

Только доменный!

при таком варианте при не доступности доменного днс инет будет не доступен - это не решает второй задачи... Если вторым IP днс сервера (альтернативный который) прописать IP исы - этоже даст возможность достучаться до инета при недоступности доменного днс?

davinchi9


Цитата:

т.е. это не просто указание пересылки на исовый днс? как указать вышестоящий днс?

Да нет, это просто указание пересылки... банально альтернативный DNS сервер в свойствах подключения.


Цитата:

при таком варианте при не доступности доменного днс инет будет не доступен

Да будет.


Цитата:

Если вторым IP днс сервера (альтернативный который) прописать IP исы - этоже даст возможность достучаться до инета при недоступности доменного днс?

Даст, но ты учитывай как у тебя настроенна иса!? Если у тебя все клиенты SNAT (т.е. не требуется аутентификация), то клиенты домена получат доступ в интернет, в противном случае иса не сможет проверить что за пользователь пытается получить доступ в инет и сработает последнее правило "Deny All".

Цитата:

...иса не сможет проверить что за пользователь пытается получить доступ в инет и сработает последнее правило "Deny All"

это понятно, для этих случаев можно держать аварийное правило разрешающее выход в инет без авторизации с определенного IP - включить его проще чем не иметь раздельного днс...
Подскажите еще такой момент - каким образом система выбирает с каим IP днс сервера она будет работать - с основным или альтернативным? типа идет запрос к первому IP - нет ответа, тогда ко второму - есть ответ - все последующие запросы сыпятся на него... - так???

davinchi9


Цитата:

типа идет запрос к первому IP - нет ответа, тогда ко второму - есть ответ - все последующие запросы сыпятся на него... - так???

Да... теоретически всё так.

davinchi9
anton04
какую то вы ахинею придумали
для клиентов в домене должны указываться только доменные dns и для исы (как для доменного компа) тоже, а воротить днс на исе да еще указывать его у клиентов это маразм - такое можно оправдать только рабочей группой за неимением других днс серверов. а чтобы все было доступно есть очень простое и жесткое правило - контроллеров должено быть не менее двух !

hardhearted


Цитата:

какую то вы ахинею придумали

Во первых, не я ставил задачу. А во вторых, я только помогаю с её реализацией.


Цитата:

воротить днс на исе да еще указывать его у клиентов это маразм

Вопрос целесообразности в данный контекст не входил.

Проблема с аутентификацией.

Win 2003 Ent, Isa 2006 Ent SP1

Есть 2 сервера(сервера находятся в разных массивах):

isa1 - головной офис, снатирован в Inet
isa2 - филиал, завернут на головную isa через Web Chaining

На массивах в сети Internal, Web Proxy -> Authentication -> Integrated + Require all user

Пользователи головного и филиала через isa1 авторизуются и ходят в Inet без проблем.

Проблема возникает, когда в браузере прописываем isa2:

IE, Opera - спрашивают пароль, затем пускают пользователя в инет, но при любом допольнительном запросе (ссылка, картинка) браузер повторно просит авторизоваться и так постоянно.

Firefox 3.0.1 - через isa2 работает без проблем.

Помогите пожалуйста

Tvarogok
в ie галка выставлена про использование windows аутенфикации ?

hardhearted
Да пробовал и анонимный вход и с текущим пользователем, результат тот же.

Tvarogok

Контрольный вопрос, а логи что говорял!?

anton04
hardhearted
Надеюсь на вас парни


Логи на ISA1



Логи на ISA2



P.S. isa1 находится на виртуалке

ты логи то мог отфильтровать ?

Tvarogok

Между офисами (точнее AD) настроенны доверительные отношения? Или это один домен/лес!?

P.S. Попробуй вот это решение, очень похоже, что первичное соединение с исой (для запроса параметров wep proxy клиентов) у тебя не анонимное, а должно быть наоборот.

hardhearted
Тебе только ошибки показать?
По логам ничего не ясно?

anton04
Спасибо за ссылку по настройке сетевых интерфейсов! Помогло (на 2м объекте внешний был выше внутреннего). Но проблема осталась. ИАМ в упор не видит хттп, когда хожу во внешку. Но шлёпает траф по этому протоколу по правилу, к инету не имеющему никакого отношения - фром: интернал\локалхост ту: интернал\локалхост, и упирается в трендмайкро на сервере по внешнему интерфейсу, думая, что он в USA. В чем прикол-то?!

pavel1978


Цитата:

о проблема осталась. ИАМ в упор не видит хттп, когда хожу во внешку

Ещё раз повторю, это не проблема исы, а проблема левой (по отношению к исе) приблуды - Internet Access monitor


Добавлено:
Tvarogok


Цитата:

По логам ничего не ясно?

Ты их так выложил, что понятно мало что...

anton04
Решение что ты дал не помогло. Но все равно спасибо.

Лес один, в филиале дочерний домен.

Я вот думаю может на самих серваках ISA нужно ДНС покрутить?

anton04
Так ведь лицензионная приблуда-то!
...а какую тогда "правую" приблуду можно прикрутить? Ибо встроенные отчеты, которые иса может предоставить, скупы донельзя...

Tvarogok


Цитата:

Лес один, в филиале дочерний домен.

Репликации проходят нормально?
dcdiag ошибок не выводит?


Цитата:

Я вот думаю может на самих серваках ISA нужно ДНС покрутить?

У тебя на ISA`е DNS стоит!? Или на обеих!? Тогда какую зону они держат (внутреннюю или внешнюю)?

pavel1978


Цитата:

Так ведь лицензионная приблуда-то!

Ну так и обращайся к разработчикам Пускай ищют косяк.


Цитата:

..а какую тогда "правую" приблуду можно прикрутить?

А правых приблуд нет, ибо MS рекомендует сам SQL и SQL запросы...

возможно ли с помощью isa объеденить два удаленных офиса в одну рабочую группу?

GTA3
офисы соединить можно, а причем тут рабочая группа?

hardhearted
Ну я имею ввиду.
есть два офиса (оба в группе WORKGROUP)
что бы когда заходил в WORKGROUP оба офиса видели компы обоих доп офисов.... два доп офиса работали как один... но по инету...

GTA3

Можно... соединяешь две исы по VPN Site-to-Site и всё Но помни ISA не занимается роутингом! Это дело она передаёт винде.