Цитата:
это еще зачем?
ну или сервак начнет гркбсти и место на винтах закончится...
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
Цитата:
ну или сервак начнет гркбсти и место на винтах закончится...
davinchi9
ну извращенный метод, я бы затирал старые записи по расписанию например
delete
from ...
where...
никто не отменял
ну извращенный метод, я бы затирал старые записи по расписанию например
delete
from ...
where...
никто не отменял
hardhearted
во... то что нужно... можно в планах обслуживания создать задание вычищающие все сташре ну скажем двух мясяцов и чтобы это выполнялось в начале каждого месяца... спасибо за идею!!! осталось только разобраться почему выборка логов в исе перестала работать...
во... то что нужно... можно в планах обслуживания создать задание вычищающие все сташре ну скажем двух мясяцов и чтобы это выполнялось в начале каждого месяца... спасибо за идею!!! осталось только разобраться почему выборка логов в исе перестала работать...
hardhearted
днс настройки
сервак DNS1 внутр зона myoffice.lo там все усеры и АД
домен в др офисе через кот хочу настр инет и почту office1.lo
в форвардах у меня на DNS1 указана office1.lo и ip её днс сервера
nslookup проходит отлично все имена разыменовываются
ping идет нормально и по ip и по имени
все разобрался надо было для всех других в днс указать тот ip сервак из др офиса
теперь http все летает
будем разбир с почтой
днс настройки
сервак DNS1 внутр зона myoffice.lo там все усеры и АД
домен в др офисе через кот хочу настр инет и почту office1.lo
в форвардах у меня на DNS1 указана office1.lo и ip её днс сервера
nslookup проходит отлично все имена разыменовываются
ping идет нормально и по ip и по имени
все разобрался надо было для всех других в днс указать тот ip сервак из др офиса
теперь http все летает
будем разбир с почтой
hardhearted
"попробуй создать заного с тем же именем и потом снова удалить
если не вышло то можно удалить его ручками, в случае SE это в реестре, только в случае малого радиуса кривизны рук делать это советую с большой осторожностью"
Заново пробовал создавать и удалять - не помогает.
Руками удалил ветку в разделе HKEY_LOCAL_MACHINE\IsaStg_Eff2Policy\PolicyRules с именем Internet_Samara - перестали работать все правила вообще, может лишнего удалил? ))
"попробуй создать заного с тем же именем и потом снова удалить
если не вышло то можно удалить его ручками, в случае SE это в реестре, только в случае малого радиуса кривизны рук делать это советую с большой осторожностью"
Заново пробовал создавать и удалять - не помогает.
Руками удалил ветку в разделе HKEY_LOCAL_MACHINE\IsaStg_Eff2Policy\PolicyRules с именем Internet_Samara - перестали работать все правила вообще, может лишнего удалил? ))
Можно ли настроить маршрутизацию на исе? Конкретно из этой сети в эту, через вот этот шлюз?
usmd
да, тока не на исе а на винде, иса не роутер, она маршрутами не рулит
на исе надо торлько включить между какими сетями делать route а между какими nat
да, тока не на исе а на винде, иса не роутер, она маршрутами не рулит
на исе надо торлько включить между какими сетями делать route а между какими nat
Такая непобедимая трабла: при обращении по HTTPS к внутренним веб-серверм присходит ошибка в соединении, в логах исы соединение отваливается с таким результатом: "995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения." - что он означает?
davinchi9
а обращались откуда?
а обращались откуда?
из внутренней сети...
в основоном такое происходит когда в Outlook 2007 принимаешь почту, то при обращении к внутреннему Exchange 2007 куча ссесий режется... те что от anonimus с кодами ошибки 12209 - иса требует аутентификации или 5 - ошибка доступа, ну с ними вроде понятно - правилом разрешен доступ к внутренним веб-серверам только прошедшию проверку пользователям, а вот те что от аутентифицированного пользователя с ошибкой 995... думаю в сторону сертификатов на самом Exchange, но пока не знаю что могло бы быть не так...
в основоном такое происходит когда в Outlook 2007 принимаешь почту, то при обращении к внутреннему Exchange 2007 куча ссесий режется... те что от anonimus с кодами ошибки 12209 - иса требует аутентификации или 5 - ошибка доступа, ну с ними вроде понятно - правилом разрешен доступ к внутренним веб-серверам только прошедшию проверку пользователям, а вот те что от аутентифицированного пользователя с ошибкой 995... думаю в сторону сертификатов на самом Exchange, но пока не знаю что могло бы быть не так...
davinchi9
из внутренней сети к внутреннему серваку весь трафик должен идти мимо исы
из внутренней сети к внутреннему серваку весь трафик должен идти мимо исы
hardhearted
ну ты же сам говорил что иса FQDN воспринимает как адреса из внешней сети, так адрес типа mail.domain.ru в любом случае попадет в логи исы даже если он внутреннего сервера - разве не так? и в этом случае он всегда проходит через ису...
ну ты же сам говорил что иса FQDN воспринимает как адреса из внешней сети, так адрес типа mail.domain.ru в любом случае попадет в логи исы даже если он внутреннего сервера - разве не так? и в этом случае он всегда проходит через ису...
davinchi9
причем тут логи исы, я говорил что галочка про локальные адреса в браузере подразумевает что fqdn не локальный адрес и на все что задано по fqdn эта галка не распространяется, но это не значит что ты не можешь вписать в браузере исключения по человечески руками
причем тут логи исы, я говорил что галочка про локальные адреса в браузере подразумевает что fqdn не локальный адрес и на все что задано по fqdn эта галка не распространяется, но это не значит что ты не можешь вписать в браузере исключения по человечески руками
hardhearted
Проблема в том, что я не знаю, как это сделать средствами isa server 2004 под win2003.
Проблема в том, что я не знаю, как это сделать средствами isa server 2004 под win2003.
hardhearted
По почте нашли пока временное решение через usergate прокыдываем порты
Через ису пока нет решения
Возможно порешаем через Cisco...
По почте нашли пока временное решение через usergate прокыдываем порты
Через ису пока нет решения
Возможно порешаем через Cisco...
hardhearted, я тебя очень уважаю и не в обиду будет сказано, но не мог бы ты выражаться конкретнее, а то и по делу и непонятно что ты хотел сказать:
Цитата:
притом что в них фиксируются эти ошибки, если бы их небыло я бы даже и не знал о существовании этой проблемы...
Цитата:
ты про "Не использовать проски-сервер для локальных адресов"?
Цитата:
где это в браузере прописать исключения (хотя это и не имеет отношеня к проблеме)?
Выводы:
если адрес задан в FQDN и даже если он внутри домена, то независимо от настроек браузера и исы он все ровно будет восприниматься как адрес внешней сети и проходить через ису...
Но все это отхождение от темы вопроса: что означает ошибка http протокола 995, точнее чем она может быть вызвана?
Цитата:
причем тут логи исы
притом что в них фиксируются эти ошибки, если бы их небыло я бы даже и не знал о существовании этой проблемы...
Цитата:
я говорил что галочка про локальные адреса в браузере подразумевает что fqdn не локальный адрес и на все что задано по fqdn эта галка не распространяется
ты про "Не использовать проски-сервер для локальных адресов"?
Цитата:
но это не значит что ты не можешь вписать в браузере исключения по человечески руками
где это в браузере прописать исключения (хотя это и не имеет отношеня к проблеме)?
Выводы:
если адрес задан в FQDN и даже если он внутри домена, то независимо от настроек браузера и исы он все ровно будет восприниматься как адрес внешней сети и проходить через ису...
Но все это отхождение от темы вопроса: что означает ошибка http протокола 995, точнее чем она может быть вызвана?
Всем привет, чем можно протестировать следующую проблему.
Периодически умирает внутренний интерфейс на ИСА сервере (MS ISA 2006 Standart).
В логах тишь и благодать. Причем во всех, аппаратно вроде бы все в порядке, но если честно не уверен. Поскольку замена сетевой карты на заведомо рабочую, проблему не решила.
Умирает достаточно странно, минут на 5-10 раза три-четыре в течении дня. Правила на текущий момент самые простые. 1-ое всем разрешено ползать по инету, 2-ое фильтр некоторых сайтов. Собственно и все.
Конфа сети
Циска - ДМЗ - ИСА - Внутренняя сеть
В ДМЗ терминальный сервак + ВПН авторизация.
Иса стоит на серваке 2003 со всеми обновлениями.
Циска пыхтит бесперебойно, Внутренняя сеть тоже без проблем. Отмирает только внутренний интерфейс Исы.
За неделю до этого все работало нормально, изменений в конфу не вносилось.
Периодически умирает внутренний интерфейс на ИСА сервере (MS ISA 2006 Standart).
В логах тишь и благодать. Причем во всех, аппаратно вроде бы все в порядке, но если честно не уверен. Поскольку замена сетевой карты на заведомо рабочую, проблему не решила.
Умирает достаточно странно, минут на 5-10 раза три-четыре в течении дня. Правила на текущий момент самые простые. 1-ое всем разрешено ползать по инету, 2-ое фильтр некоторых сайтов. Собственно и все.
Конфа сети
Циска - ДМЗ - ИСА - Внутренняя сеть
В ДМЗ терминальный сервак + ВПН авторизация.
Иса стоит на серваке 2003 со всеми обновлениями.
Циска пыхтит бесперебойно, Внутренняя сеть тоже без проблем. Отмирает только внутренний интерфейс Исы.
За неделю до этого все работало нормально, изменений в конфу не вносилось.
davinchi9
Цитата:
я имел ввиду, что когда говорил про fqdn, то ни словом не упоминал про логи
еще раз на пальцах
браузер настроен на прокси, если никаких больше настроек нет то весь веб трафик он кидает на прокси
там есть галка "Не использовать проски-сервер для локальных адресов", если она стоит то он не будет кидать на прокси запросы которые считает локальными. НО то что вписано по FQDN он всегда считает НЕ локальными.
кроме того, даже моя бабушка знает, что там же в настройках браузера есть кнопка "дополнительно" и там есть поле "исключения", куда можно вписать все что угодно и на эти адреса браузер никогда не обратится через прокси.
все вышенаписанное не имеет к исе никакого отношения, это все юзерские настройки IE, и работают они всегда независимо от того какая прокси используется и используется ли вообще.
что там у тебя за 995 ошибка понятия не имею, и искать по офсайту влом, это ты и сам можешь сделать.
Цитата:
Цитата:причем тут логи исы
я имел ввиду, что когда говорил про fqdn, то ни словом не упоминал про логи
еще раз на пальцах
браузер настроен на прокси, если никаких больше настроек нет то весь веб трафик он кидает на прокси
там есть галка "Не использовать проски-сервер для локальных адресов", если она стоит то он не будет кидать на прокси запросы которые считает локальными. НО то что вписано по FQDN он всегда считает НЕ локальными.
кроме того, даже моя бабушка знает, что там же в настройках браузера есть кнопка "дополнительно" и там есть поле "исключения", куда можно вписать все что угодно и на эти адреса браузер никогда не обратится через прокси.
все вышенаписанное не имеет к исе никакого отношения, это все юзерские настройки IE, и работают они всегда независимо от того какая прокси используется и используется ли вообще.
что там у тебя за 995 ошибка понятия не имею, и искать по офсайту влом, это ты и сам можешь сделать.
В наличии Isa 2004 SE eng (все это дело в домене) и Cisco VPN Client 4.0.4
И проблема
Есть правило такого вида
Allow – IKE Client , IPSec NAT-T Client – Internal – External – All User
Все работает , НО если разрешить не All а только определенному доменному пользователю то коннект не возможен, Cisco VPN Client 4.0.4 ругается на то что узел не доступен
Может кто подскажет в чем дело ???
И проблема
Есть правило такого вида
Allow – IKE Client , IPSec NAT-T Client – Internal – External – All User
Все работает , НО если разрешить не All а только определенному доменному пользователю то коннект не возможен, Cisco VPN Client 4.0.4 ругается на то что узел не доступен
Может кто подскажет в чем дело ???
123Maximus123
везде он, я на другом форуме уже все ответил
везде он, я на другом форуме уже все ответил
уже прочитал
Dr_Spectre - касательно NetBIOS 137-138 портов:
http://forums.isaserver.org/m_2002054270/mpage_1/key_/tm.htm#2002059660
вот здесь объясняется, что это нормальная реакция ISA на запросы DHCP/NetBIOS извне.
http://forums.isaserver.org/m_2002054270/mpage_1/key_/tm.htm#2002059660
вот здесь объясняется, что это нормальная реакция ISA на запросы DHCP/NetBIOS извне.
Ранее писал
"Сервер ISA 2006, было ранее создано Access Rule под именем Internet_Samara, потом его удалили за ненадобностью и создали другое правило под именем Internet, но в логах постоянно появляются сообщения где фигурирует правило Intenet_Samara!! В чём глюк? Как убрать, куда смотреть?"
Проблему так и не смог решить, правило создавал заново с таким именем и удалял, не помогло.
В реестре удалил ветку [HKEY_LOCAL_MACHINE\IsaStg_Eff2Policy\PolicyRules\{FA9DCB44-57D4-4EA6-B9B2-7D876F1D1119} где фигурировало имя этого правила, после этого в логах правило пропало, но и другие новые правила перестали работать, ISA теперь не распознаёт юзеров (или anonimous или знак ? после имени ) и не пускает в инет.
Ветку в реестре восстановил, всё вернулось на свои места, опять теже глюки....хелп!! Как это вылечить?
"Сервер ISA 2006, было ранее создано Access Rule под именем Internet_Samara, потом его удалили за ненадобностью и создали другое правило под именем Internet, но в логах постоянно появляются сообщения где фигурирует правило Intenet_Samara!! В чём глюк? Как убрать, куда смотреть?"
Проблему так и не смог решить, правило создавал заново с таким именем и удалял, не помогло.
В реестре удалил ветку [HKEY_LOCAL_MACHINE\IsaStg_Eff2Policy\PolicyRules\{FA9DCB44-57D4-4EA6-B9B2-7D876F1D1119} где фигурировало имя этого правила, после этого в логах правило пропало, но и другие новые правила перестали работать, ISA теперь не распознаёт юзеров (или anonimous или знак ? после имени ) и не пускает в инет.
Ветку в реестре восстановил, всё вернулось на свои места, опять теже глюки....хелп!! Как это вылечить?
Решил экспортом конфигурации, перестановкой ISA и далее импорт конфигурации обратно...всё заработало ))
ISA Std 2004 (sp2) + Windows Server 2003 (sp1)
проблема с Клиент Банком, на этот раз они выпустили прогу которая работает ч.з. SSL (443 порт). Для ip адреса машины на которой стоит КлиентБанк я открыл на ISA все порты (IN/OUT) для все пользователей, на закладк WebProxy отключил галочку Require all users to authonticate. И все равно соединение с сервером не происходит. Если я в браузере пытаюсь зайти по адресу сервера: https://blaa.blaa.blaa, выдается Internet Explorer не может отобразить эту веб-страницу
в логах ISA server в этот момент
Захожу на https://gmail.com и сертификат безопасности нормально запрашивается, в логах ИСА видно, что SSL-туннель создался без ошибок.
проблема с Клиент Банком, на этот раз они выпустили прогу которая работает ч.з. SSL (443 порт). Для ip адреса машины на которой стоит КлиентБанк я открыл на ISA все порты (IN/OUT) для все пользователей, на закладк WebProxy отключил галочку Require all users to authonticate. И все равно соединение с сервером не происходит. Если я в браузере пытаюсь зайти по адресу сервера: https://blaa.blaa.blaa, выдается Internet Explorer не может отобразить эту веб-страницу
в логах ISA server в этот момент
Захожу на https://gmail.com и сертификат безопасности нормально запрашивается, в логах ИСА видно, что SSL-туннель создался без ошибок.
Isa Server 2006 установлен на Windows server 2003. Заведён в домен (домен1).
Имеются компьютеры с WinXPSP2+Internet Explorer 7:
- первый ПК в домене (домен2);
- второй ПК в рабочей группе.
Оба компьютера в одной сети с ISA, с обоих ISA пингуется, в обоих в настройках подключения IE указан прокси сервер и порт одинаковый.
На ПК из рабочей группы при запуске IE спрашивает логин/пароль - ввожу логин/пароль (из домена1), успешно соединяюсь с интернет.
На ПК из домена2 при запуске IE не спрашивает ничего, просто не соединяется, пишет:
Цитата:
На ISA в логе наблюдения:
Цитата:
Использую на ПК из домена2 Mozilla, Opera - успешно выходят в интернет.
Т.о. ПК из другого домена (домен2) не может через IE7 в интернет, а ПК из рабочей группы может.
Установил клиента межсетевого экрана, IE сообщает тоже самое, плюс к тому блокируется клиент межсетевого экрана. Отключил проверку авторизации через клиента межсетевого экрана - клиент не блокируется, выход в интернет без изменений.
Без использования прокси - не помогло.
Как заставить IE7 из другого домена (домен2) работать через имеющуюся ISA в домене1?
Имеются компьютеры с WinXPSP2+Internet Explorer 7:
- первый ПК в домене (домен2);
- второй ПК в рабочей группе.
Оба компьютера в одной сети с ISA, с обоих ISA пингуется, в обоих в настройках подключения IE указан прокси сервер и порт одинаковый.
На ПК из рабочей группы при запуске IE спрашивает логин/пароль - ввожу логин/пароль (из домена1), успешно соединяюсь с интернет.
На ПК из домена2 при запуске IE не спрашивает ничего, просто не соединяется, пишет:
Цитата:
Internet Explorer не может отобразить эту веб-страницу
Возможные причины:
Нет подключения к Интернету.
На веб-узле возникли неполадки.
Возможно, сделана опечатка в адресе.
Попробуйте сделать следующее:
Диагностика проблем подключения
Подробнее
Эта проблема может быть вызвана различными причинами, например:
Потеряно подключение к Интернету.
Этот веб-узел временно недоступен.
Нет доступа к DNS-серверу.
На DNS-сервере не найден адрес для домена этого веб-узла.
Если это безопасный адрес (HTTPS), выберите команду "Сервис", "Свойства обозревателя", "Дополнительно", и проверьте, что протоколы SSL и TLS в секции безопасности включены.
Для пользователей в автономном режиме
Вы можете просматривать веб-каналы, на которые вы подписаны и некоторые недавно просматривавшиеся веб-страницы.
Для просмотра веб-каналов, на которые есть подписка
Нажмите кнопку "Центр избранного" , выберите "Веб-каналы", а затем нужный веб-канал.
Для просмотра недавно посещенных веб-страниц (не всегда возможно)
Щелкните "Сервис", а затем "Работать автономно".
Нажмите кнопку "Центр управления избранным" , выберите "Журнал", а затем нужную веб-страницу.
На ISA в логе наблюдения:
Цитата:
Начато соединение PROXY 31.07.2008 13:31:33
Тип журнала: Служба межсетевого экрана
Состояние:
Правило:
Источник: Внутренняя (10.10.2.85:1356)
Назначение: Локальный компьютер (10.10.4.53:8080)
Протокол: HTTP-прокси
Пользователь:
Дополнительные сведения
Передано байтов: 0 Получено байтов: 0
Время обработки: 0ms Исходный IP-адрес клиента: 10.10.2.85
Агент клиента:
Закрытое соединение PROXY 31.07.2008 13:31:33
Тип журнала: Служба межсетевого экрана
Состояние:
Правило:
Источник: Внутренняя (10.10.2.85:1356)
Назначение: Локальный компьютер (10.10.4.53:8080)
Протокол: HTTP-прокси
Пользователь:
Дополнительные сведения
Передано байтов: 550 Получено байтов: 5163
Время обработки: 0ms Исходный IP-адрес клиента: 10.10.2.85
Агент клиента:
Использую на ПК из домена2 Mozilla, Opera - успешно выходят в интернет.
Т.о. ПК из другого домена (домен2) не может через IE7 в интернет, а ПК из рабочей группы может.
Установил клиента межсетевого экрана, IE сообщает тоже самое, плюс к тому блокируется клиент межсетевого экрана. Отключил проверку авторизации через клиента межсетевого экрана - клиент не блокируется, выход в интернет без изменений.
Без использования прокси - не помогло.
Как заставить IE7 из другого домена (домен2) работать через имеющуюся ISA в домене1?
привет, дело такое, спокойно долгое время работало правило блокировки по url иcчо с 2004 исы, поставили 2006 ису импортнули правило и бах у кого то оно работает у кого то нет, причем трафик по http использует только правило доступа в инет и правило блокировки на сайты, с тех пор канитель такая, блокировка по урл не пашет ващще никак, удаляли, создавали заново, под разными сетами, че за хрень может быть?
Похоже при попытке соединения с помощью IE7 соединение с прокси не проходит.
Другими броузерами - всё ок.
Если в WinXP имеется IE6, то всё работает: выдаётся запрос логин/пароль, и в интернет выход проходит удачно.
Всё дело в IE7.
А как побороть?..
Добавлено:
Побороть удалось.
Способ 1:
Проблема заключалась во встроенной проверке подлинности Windows, которая по умолчанию включена в IE7. Отключив её удалось добиться выдачи запроса логин/пароль. (Дополнительно->Разрешить встроенную проверку подлинности Windows).
Но это не лучший способ, часто надо оставить текущей учётную запись как есть, из домена к которому принадлежит ПК (удалённый вход в Outlook Web Access, Sharepoint Portal Server и т.п.).
Способ 2:
Можно позволить анонимный выход во внешнюю сеть, по IP-адресу:
1. Создаём правило разрешающее выход во внешнюю сеть с определённых IP-адресов (создаём группу компьютеров), для пользователей "Все пользователи".
2. Перемещаем созданное правило в самое начало списка правил, можно не в самое начало, главное, чтобы перед запрещающими правилами, которые используют проверку подлинности (например, у меня правило deny запрещает выход во внешнюю сеть пользователям исчерпавшим квоту).
После этого IE7 выходит во внешнюю сеть без авторизации - анонимно с указанных в правиле IP-адресов. Для временной потребности такой способ достаточно удобен, не требует настроек у клиента в браузере.
Другими броузерами - всё ок.
Если в WinXP имеется IE6, то всё работает: выдаётся запрос логин/пароль, и в интернет выход проходит удачно.
Всё дело в IE7.
А как побороть?..
Добавлено:
Побороть удалось.
Способ 1:
Проблема заключалась во встроенной проверке подлинности Windows, которая по умолчанию включена в IE7. Отключив её удалось добиться выдачи запроса логин/пароль. (Дополнительно->Разрешить встроенную проверку подлинности Windows).
Но это не лучший способ, часто надо оставить текущей учётную запись как есть, из домена к которому принадлежит ПК (удалённый вход в Outlook Web Access, Sharepoint Portal Server и т.п.).
Способ 2:
Можно позволить анонимный выход во внешнюю сеть, по IP-адресу:
1. Создаём правило разрешающее выход во внешнюю сеть с определённых IP-адресов (создаём группу компьютеров), для пользователей "Все пользователи".
2. Перемещаем созданное правило в самое начало списка правил, можно не в самое начало, главное, чтобы перед запрещающими правилами, которые используют проверку подлинности (например, у меня правило deny запрещает выход во внешнюю сеть пользователям исчерпавшим квоту).
После этого IE7 выходит во внешнюю сеть без авторизации - анонимно с указанных в правиле IP-адресов. Для временной потребности такой способ достаточно удобен, не требует настроек у клиента в браузере.
Имеется три сетевых карты. На компьютере установлены Windows 2003 R2 и ISA 2006. Одна карта смотрит в локальную сеть, другая в интернет, а третья через cisco соединяется с другим оффисом. Интернет и локальная сеть работают через ISA. Помогите настроить третьий интерфейс. Что надо прописать в ISA?
JPV
принцип простой, и писали это сотни раз
для каждого интерфейса отдельный network куда пишутся ВСЕ сети в которые через этот интерфейс можно попасть
а дальше все как всегда, network rules, firewall rules и в винде прописать нужные маршруты если они нужны (в твоем случае сетка видна не напрямую, значит нужны)
принцип простой, и писали это сотни раз
для каждого интерфейса отдельный network куда пишутся ВСЕ сети в которые через этот интерфейс можно попасть
а дальше все как всегда, network rules, firewall rules и в винде прописать нужные маршруты если они нужны (в твоем случае сетка видна не напрямую, значит нужны)
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.