» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

oler2
не знаю что у тебя там за лист, но если там в списке все элементы соотвествуют правилам заполнения исы то импортировать список без проблем, обычным скриптом. пример скриптов есть в книге у шиндера, в блоге у шиндера (ссылка в шапке), на офсайте, и вообще гуглом найти можно за 10 сек

Такая история - сменился внешний IP ISA сервера 2006.
Все заработало, правила по мелочам подправил.

Но вот VPN перестал подниматься на новый IP. Изнутри сети, на внутренний IP - пожалуйста.

Правило - [System] Разрешить трафик от VPN клиента к серверу.
Ошибка с кодом 0x8007274dWSAECONNREFUSED

По ошибке пока ничего не нашел... Такое ощущение что иса запомнила где-то свой старый айпишник...

Помогите

В одном из офисов установлен сервер ISA Server 2004. Статистика за прошлый месяц показала довольно большой трафик с адреса 92.122.213.104 и трафик шел с внешнего IP. Команда tracert показывает, что это сервер deploy.akamaitechnologies.com Поиск в google показал несколько жалоб на подобные ситуации, но ни каких конкретных действий против этого трафика. Может кто уже сталкивался с этим, как с этим бороться?

SergeyMark
может правилом заблочить это...

bahtey

Цитата:

может правилом заблочить это..

А если окажется, что это Symantec так извращенно обновляется через akamaitechnologies?

erve
иса никакие свои ипшники нигде не запоминает, она вообще не знает что такое интерфейс и ими не управляет.

SergeyMark
это может быть и микрософт и симантек
проверяй по логам откуда и куда шел трафик

Цитата:

[/q]
[q]иса никакие свои ипшники нигде не запоминает, она вообще не знает что такое интерфейс и ими не управляет.

В итоге все решилось отключение впн-а в исе и его включением. После этого все заработало. Мда

Доброго времени суток!
Перевернул весь Инет, но так и не нашел как мне сделать, что-то типа :
Установка клиента ISA (FWC) на все машины в лок сети (имеется АД) с уже предписанными настройками, а так же с автоматической настройкой всех приложение (ICQ, OutLook....) под мой прокси сервер.
---
Как поставить клиента на все машины, задача простая, это я быстро сделал через GPO.
А вот настраивать параметры на каждой машине - меня как - то не радует. Хочу, что бы у клиента сразу были нужные настройки.
Ну и далее по тексту - автоматом настройки на всех приложениях.
---
Кто - нить может мне подсказать, как мне всё это реализовать и на сколько это возможно?

Johny_x3mal
уточни, где и какие настройки тебе надо раздать?
если приложение работает без указания прокси, то fwc должен правильно отправлять трафик шлюзу с аутентификацией.
для работы icq и outlook не всегда требуется прописывать прокси (зависит от правил на isa)

Установка Threat Management Gateway (from EBS 2008), на windows server 2008 R2 x64 standard evaluation вылетает сообщая следующее: "setup filed while registering forefront tmg filtrs" Проблема где то в реестре или в не установившейся до конца службе или ось не та?

Привет всем, с Понедельником, дай Бог, чтоб он пролетел по скорее )

Так вот, по настройкам:
На FWC нужны след настройки:
1. Сервер задан вручную - 192.168.3.1
2. Вкл автоматическую настройку веб-обозревателя
Вот и всё, в принципе.

Вот тут ещё один фикус вышел . После установки и настройки клиента с установленной галкой - авто настройки браузеров - Mozila перестала открывать странички, т.е. полоностью её блочить стало - ставлю галку "вручную настроить проскси" и всё начинает работать, только вот интересно - а перехватывает трафик FWC при этом?
Может у кого есть готовое решение задачки?
-----

Цитата:

для работы icq и outlook не всегда требуется прописывать прокси (зависит от правил на isa)

Мне надо, что бы всё проходило через аутентификацию - что бы в статистике не вылазил anonymous

Johny_x3mal
не путай fwc и прокси, это совершенно разные и никак не связанные клиенты. прокси трафик fwc не трогает вообще. единственное сто может fwc это принудительно настроить прокси в IE, но к трафику это отношения не имеет, просто дополнительная галочка для удобства, которой многие и не пользуются (настроить браузер через политику или autodiscovery гораздо удобнее)

по настройкам все просто - либо настраиваешь autodiscovery (два щелчка мышью) либо меняешь настройки в ini файликах fwc, найти их и младенец может, в профайле юзера или all users в application data

а что ты собрался настраивать в icq и тем более в outlook?

Johny_x3mal
Т.Шиндер в помощь, для начала
ну и хотелось бы увидеть правило, разрешающее инет для внутренней сети (в firewall policy), а также проверку аутентификации (networks->internal->internal properties-> web proxy -> authentification). а дальше уже можно предметно говорить о готовых решениях.

ребята помогите ламеру !!!

я тут в исе плутаю уже неделю, у меня раньше была 2 зонная система, и все работало, неделю назад сделал 3-х зонную и ДМЗ, и сразу пошли косяки:

Description: The routing table for the network adapter LAN_TB includes IP address ranges that are not defined in the array-level network Internal, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
The following IP address ranges will be dropped as spoofed:
External:10.20.0.0-10.20.0.0,10.20.1.255-10.20.1.255;

ISA Server detected routes through the network adapter LAN_TB that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 10.1.2.0-10.1.2.255,10.20.2.0-10.20.2.2,10.20.2.4-10.20.2.254,10.20.30.2-10.20.30.2,10.52.2.2-10.52.2.2,172.25.24.0-172.252.24.255,192.168.226.10-192.168.226.20,192.168.253.11-192.168.253.11;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

The routing table for the network adapter WAN includes IP address ranges that are not defined in the array-level network External, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
The following IP address ranges will be dropped as spoofed:
Internal:10.1.2.0-10.1.2.255,10.20.2.0-10.20.2.2,10.20.2.4-10.20.2.254,10.20.30.2-10.20.30.2,10.52.2.2-10.52.2.2,172.25.24.0-172.252.24.255,192.168.226.10-192.168.226.20,192.168.253.11-192.168.253.11;

ISA Server detected routes through the network adapter WAN that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 10.20.0.0-10.20.0.0,10.20.1.255-10.20.1.255,10.255.255.255-10.255.255.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

подскажите, кто сможет, как тут разобраться ???

Цитата:

а что ты собрался настраивать в icq и тем более в outlook?

Настройки прокси прописывать, автоматом


Цитата:

ну и хотелось бы увидеть правило, разрешающее инет для внутренней сети (в firewall policy)

А что там на правило смотреть? пока так: лок хост, вн. сеть -> внеш - протоколы HTTP, HTTPs и прочие - все пользователи (единственное, что сделал правила отдельно для Веб, почты и асек всяких.


Цитата:

а также проверку аутентификации (networks->internal->internal properties-> web proxy -> authentification)

А тут ты меня озадачил... Незнаю даж чего написать. Аутентификации сейчас вообще никакой нет, хочу завязать на уровне доменного пользователя.

Добавлено:

Цитата:

не путай fwc и прокси

про клиента прокси не нашел инфо, дай плиз ссылку.

Добавлено:

Цитата:

либо меняешь настройки в ini файликах fwc

А тут я прям чего - то тупанул Спс, наставил на путь истинный

Доброго времени суток, Господа!
Такая вот ситуация!
Сейчас в организации используется интернет предоставленный провайдером. Для прокси был выбран Kerio. Дак вот это всё хорошо, инет раздавался без особых проблем.
Сейчас планово переходим на инет предоставляемый головным офисом, скажем так. Дак вот они используют ИСУ. Пришли к нам поставили клиента, все настроили => инет есть, на той машине (назовем её АРМ), в которую воткнут шнурок. А чтобы для других юзеров был инет, то и для них нать завести клиентов с переименованием машин и прочим. Меня, канешно это не устраивает. Дак вот вопрос: инет, который я получаю посредством клинта
с машины АРМ, можно как-то разделить на всю сеть? Про ИСУ познания отсутствуют.
Заранее спасибо! если что спрашивайте. Извиняюсь, если не туда запостил!

champa
что то я не понял, а причем тут иса?

Johny_x3mal
почитай что ли матчасть - зачем тебе прописывать прокси в icq и outlook (впервые слышу что аутлук может работать через прокси) если ты ставишь fwc ?


Цитата:

про клиента прокси не нашел инфо, дай плиз ссылку

прокси клиент это любое приложение у которой в настройках прописана прокси.
инфы на офсайте гигабайты, и книг тоже несколько штук написано, того же шиндера например.

exileness
все очень просто, иса тебе вполне четко говорит что у тебя банально неправильно настроены networks и/или интерфейсы

hardhearted
все очень просто, иса тебе вполне четко говорит что у тебя банально неправильно настроены networks и/или интерфейсы

возможно я тут напутал что-то, а может сможете подсказать литературу или статью по настройке 3-х зонных систем на иссе, а то настроить надо, а ни фига не получается ... заранее спасибо !!!

exileness
3 зоны, 4 зоны, n зон, ничем не отличаются от двух зон )
литературы полно, в том же шиндере или ноэле есть главы про настройку. да и в инете полно таких статей, тока непонятно зачем они

Johny_x3mal
при правиле from Internal to External HTTP/HTTPS/ICQ2000/etc. for All Users
и аська и outlook будут работать и так, при условии что при установке fwc был выбран ISA server вручную (не думаю, что autodiscovery отстроено как надо, для включения автоопределения на клиенте )
в самих программах (их настройках) прокси и аутентификацию автоматом прописать не удастся (если конечно не будет какойто самосборный пакет установки с записью в реестр всех нужных параметров). как правильно заметил hardhearted можно править ini файл у fwc.

DalayLamer
Johny_x3mal
да что вы привязались к fwc и прокси, это абсолютно разные сервисы и через них работают абсолютно разные клиенты, между собой они не пересекаются в принципе.
если приложение работает через прокси то fwc ему не нужно, и наоборот.
outlook как почтовый клиент не работает через прокси в принципе, потому что слава богу ни у кого не хватило ума гонять smtp через http прокси
у аськи могут быть проблемы с аутенфикацией на прокси, если разрешена только integrated, потому как аську писали криворукие и поддержки ntlm и kerberos у нее не было (может сейчас и появилось, я не в курсе)
если написать правило для all users то никому ни прокси ни fwc не нужны, приложения смогут ходить анонимно как securenat клиент без дополнительных настроек.
вообще не вижу проблемы - поставить автонастройку у всех клиентов (и fwc и браузерах) и настроить ее, в хелпе исы это действие описано в два нажатия мышью. и все будет хорошо - те проги что умеют работать через прокси будут ходить через прокси (браузеры например), а те что не умеют или которым это не надо (например аськам всяким http прокси больше вредна чем полезна, из-за специфики соединения) будут работать через fwc
читайте наконец матчасть там все очень четко описано

hardhearted
тут Johny_x3mal поставил вопрос какпрописывать настройки прокси (т.е. использовать режим прокси или web-прокси на ISA) и в то же время "автоматом", что возможно подразумевало использование fw-клиента, который перенаправлял бы трафик на ISA. ну и Шиндера я привел с самого начала, чтоб была основа для понимания работы ISA.

Всем доброго времени суток.
Столкнулся с проблемой: есть AD, Exchange, OWA; сейчас запустил сайт, и пытаюсь опубликовать его в интернет, чтобы доступ осуществлялся по выделенному ip Правила публикации OWA и web серверера перекрывают друг друга, т.е. работает что-то одно. Как сделать доступным и OWA и web сервер без изменения 80 порта web сервера

turbov1
вариант 1. возьми у оператора (провайдера) второй внешний ip и публикуй сервисы на разных адресах. не забудь добавить в зону dns соответствующие записи.
вариант 2. можешь еще опубликовать сервисы на разных портах (на внешнем интерфейсе), а в правиле трафик будет направляться куда надо.

turbov1

Не работал с OWA, и не понятно какой web сервер используется, но почему бы не использовать http протокол для сайта, а https для OWA ? или не создать домен 3 уровня и назвать его, к примеру owa.мой-сайт.ru или мой-сайт.ru/owa

turbov1
либо на разных ип, либо по правильному - сайты можно публиковать на разных именах, при одному ип и порту

Еще раз объясню ситуацию. OWA был опубликован разрешающим правилом (обращение по 80 порту направлять на 192.168.0.253) Доступ из инета работал по адресу Http://companyname.ru\exchange
Недавно на локальной машине с ip 192.168.0.13 запустил web сервер, который хочу опубликовать в интернет. Доменного имени для него нет, обращение делаю через внешний ip (т.е. внешний интерфейс ISA2006)
Предполагаю что надо настроить OWA на другой порт. Вот только как это сделать?

turbov1
опубликуй OWA на 443 порту, а web-сервер пусть на 80 сидит.
подрбнее с картинками тут:
hххp://www.isaserver.org/tutorials/Using-2006-ISA-Firewall-RC-Publish-OWA-Sites-Part1.html

DalayLamer
А как быть с получением сертификата? Ни разу не делал подключения через SSL

Попробовал получить сертификат - ничего не вышло, есть ли у кого инструкция как это сделать.