» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Цитата:

Иса блочит всё или по расширению или по MIME типу, см. логи исы при закачке этого файла и см. какой MIME тип выдаёт удалённый сервер, если MIME тип другой он (само сабой) в блокирующий контент не попадает.

P.S. Щас очень многие сайты выдают неправильный/искажённый MIME тип файла при закачке, а то вообще переименовывают какой-то блаблабла.mp3 в блаблабла.db и всё, юзер после закачки меняет расширение и вперёд и с песнями.

Понял, спасибо!


Добавлено:
Сейчас попробовал, почему то в логах MIME Type всегда пусто или --
Пробовал грузить разные типы файлов, не там смотрю может? (Monitoring > Logging)
Сервак ISA 2006

blade000


Цитата:

Сейчас попробовал, почему то в логах MIME Type всегда пусто или --

Значит MIME типа просто нет, удалён/искажён или веб сервер не натсроен на отдачу соотвествующей информации.

Цитата:

blade000


Цитата:Сейчас попробовал, почему то в логах MIME Type всегда пусто или --


Значит MIME типа просто нет, удалён/искажён или веб сервер не натсроен на отдачу соотвествующей информации.

или поле MIME не настроено в логгинге

sasyls
лезешь в логи и удаляешь, в чем проблема то?

hardhearted
[оффтопег] я всё понимаю, но чем иса не шутит.. х) [/оффтопег]

Цитата:

hardhearted
или поле MIME не настроено в логгинге

А разве оно настраивается? вроде включенно или выключено просто....
Если настраивается, укажите где?

боюсь нарушить структуру файла. слышал что такая прога есть.

blade000
там же в настройках логгинга вкладка Fields

Добавлено:
sasyls
логи пишутся туда тупо и построчно, во всех форматах, в том числе и скулевых,
ищешь нужные строчки и удаляешь.

Цитата:

там же в настройках логгинга вкладка Fields

2 hardhearted
Спасибо, разобрался!

такой вопрос по установке:

можно ISA 2006 standard установить на Windows 2003 web edition (32 bit) ?
И если можно, то никаких проблем не будет с дальнейшим работой? нет никакие ограничения ? или какие то компоненты, который требуется для ISA, но у web edition_а отсутствует..

contrafack
а зачем? есть же нормальная практика : выбраешь продукт - выбираешь ось под него - выбираешь железо
что за стремление сделать все через одно место?
ps кажется я уже начал повторяться

hardhearted

да, правила то правильная, но когда нет таких возможностей - приходится сделать реверсную практику. т.е. сначало железо, потом ОС, потом продукт.
У фирмы 2 серверных лицензии. 1 - это windows 2008 standard (32/64), a 2 - windows 2003 web edition 32 bit.
w2k8 уже используется, да и ISA 2006 по него не работает, остается только w2k3 web edition.

P.S. можно скачать с официальных источниках ISA server 2006 standard с интегрированным SP1 ?

contrafack

Цитата:

можно скачать с официальных источниках ISA server 2006 standard с интегрированным SP1 ?

можно, тока по отдельности

а по моему проще интегрировать sp1 в дистрибутив ISA

ildarU
а смысл? по отдельности поставить сложно что ли? там дистриб и сп ставятся минуты

hardhearted
ну так человеку нужен дистрибутив с sp1, вот я и предложил...

Цитата:

P.S. можно скачать с официальных источниках ISA server 2006 standard с интегрированным SP1 ?

Можно, но оф. сайте есть или загляни в варез.

Добрый день.
Имеется такая проблема. В организации шлюз на ISA 2006, подключение к интернет через ADSL оператора соединением PPPoE. Шлюз держит VPN от удаленных офисов и сам поднимает VPN (PPTP) до сервера головной организации. Раз в сутки провайдер рвет соединение. После этого в подавляющем большинстве случаем исходящее VPN не поднимается, лечится только рестартом службы Microsoft Firewall.
С чем может быть проблема? Пока обхожусь скриптом, перезапускающим службу, после разрыва соединения провайдера, но как то это некрасиво..
Узел к которому пытаемся установить подключение недоступен, пинг даже не проходят

anton04
ildarU
hardhearted

в оф. сайте нету. есть по отдельностью. ладно, значит по отдельностью поставлю.

P.S. кстати, пытался поставить ISA 2006 на windows 2003 server WEB edition, НО не получился !! так что имейте ввиду

contrafack

Цитата:

кстати, пытался поставить ISA 2006 на windows 2003 server WEB edition, НО не получился !! так что имейте ввиду

это и так давно известно, достаточно на офсайте прочитать

contrafack


Цитата:

в оф. сайте нету. есть по отдельностью

Есть всё в месте, сам в варезятнике ссылку на оф. сайт видел.

P.S. Вот нашёл.

Пардон за ламерский вопрос,
но как можно ходить в ИНет через ISA, не входя в домен?

Суть в следующем - на работе хочется воткнуть свой ноут вместо тормозного десктопного компа, который в домене (с установленным клиентом ISA)

HitcHiker


Цитата:

Суть в следующем - на работе хочется воткнуть свой ноут вместо тормозного десктопного компа, который в домене (с установленным клиентом ISA)

В этом варианте никак, т.к. FWC обеспечивает аутентификацию клиента (т.е. тебя любимого).

А вот если бы аутентификации небыло бы, то тогда всё тросто, копируешь настройки IP и порта и будет тебе счастье.

HitcHiker
зарезервировать ноуту ипшник, разрешить этому ип ходить через ису анонимно
для этого надо быть администратором исы, если ты не админ то ты ошибся разделом форума ))

ps если достаточно веба и прокси настроена на десктопе, то в браузере можно настроить ее же, тока если требуется аутенфикация то браузер будет спрашивать имяпароль

Цитата:

ps если достаточно веба и прокси настроена на десктопе, то в браузере можно настроить ее же, тока если требуется аутенфикация то браузер будет спрашивать имяпароль

Я примерно на это и расчитывал (по аналогии, как запрашивают доменный пароль общие сетевые ресурсы у компа, что не в домене) и прописал проксю в браузере, но вместо запрашивания имени/пароля ISA просто выдаёт страницу ошибки...
Может как-то можно прописать в браузере проксю вместе с учетными данными?

Поставил Forefront Threat Management Gateway Beta 3 - создал SMTP Route, а как удалить не знаю кто нить подскажите. Спасибо.
HitcHiker

Цитата:

Может как-то можно прописать в браузере проксю вместе с учетными данными?

В браузере в свойствах соединения достаточно прописать IP и порт ISA сервера. При обращении к сайту вас попросят аутентифицироваться, введете свой доменный логин и пароль и пользуйтесь инетом

Цитата:

В браузере в свойствах соединения достаточно прописать IP и порт ISA сервера. При обращении к сайту вас попросят аутентифицироваться, введете свой доменный логин и пароль и пользуйтесь инетом

Пасиб, получилось!
Первый раз проблема, видимо, была в том что проксю не прописывал руками, а ставил автоматическое определение прокси-сервера...

Рабочая группа в которой стоит ISA и всё прекрасно работает без "клиентов иса".
компьютер на котором настроена ISA , называется "сервер" имеет 2 сетевые карты LAN(192.168.0.1) и WAN(реальный\белый ip)
Настраиваю новый сервер называю "server" на Windows server 2003, ставлю адресс 192.168.0.254 временно и ставлю ISA импортирую правила со старого.
на WAN такой же адрес как на старом только пока не воткнут в модем.
Поднимаю на нем же Контроллер домена, переношу данные(файлохранилище со старого).
Отключаю старый, меняю ip на 192.168.0.1 и перезагружаю. всё прекрасно? кроме одного не работает NAT HTTP при этом в мониторинге появляется лишь initiated connection , правило отрабатывают правильно. ошибок конфигурации не пишет в алертах чисто. при этом Web Proxy - если явно указать в IE то страницы грузятся. по DNS любой сайт пингуется. telnet www.google.com 80 показывает пустую черную страницу т.е. connection error нету. почта , аськи , скайпы и т.д. работают, всё кроме страниц.

даже не знаю что это может быть. прошу вашей помощи.

Имеется Win 2k3 R2 SP2 + ISA 2006 SP1 (включен в домен)

1. На ISA установлен, настроен VPN-сервер.

2 VPN-клиент при подключении получает IP- адрес, все нормально.

3. В политике безопасности ISA создано разрешающее правило для VPN клиентов: VPN-клиенты -> Внутрення сеть, протокол ICMP ECHO, пользователи: все пользователи.

3.1. В политике безопасности ISA создано разрешающее правило для ISA: Весь исходящий трафик с локальной машины в внутреннею сеть и обратно.

4. При подключении VPN-клиента (доменный пользователь) на удаленой рабочей станции, пингуется внутренняя сеть. Если в п.3. в кладке пользователи выбрать доменного пользователя или все прошедшую проверку пользователи. То пинги прекращаются.
4.1 VPN клиенты подключаются по протоколу PPTP

5. Не проходит аунтентификация / авторизация на ISA доменных пользователей. В чем может быть ошибка?

se111

Смотри внимательно настройки правил системной политики. Статья тебе в помощь.

DNS у тебя там же где и AD? Тогда тебе нужно разрешить трафик DNS из локального хоста во внутреннюю сеть. А лучше (в качестве эксперимента) создать два правила:

1. из локал хоста во внутреннюю сеть-всем-все протоколы-всегда.
2. из внутренней сети в локал хост-всем-все протоколы-всегда.

anton04
спасибо, но я уже сделал. сниффером нашел в чем беда. там настроечку выключил одну в сетевой карте Intel pro гигабитная. и всё зашуршало.