» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

turbov1
на офсайте что ли забанили, поиск в 2 секунды дает кучу инструкций
http://technet.microsoft.com/en-us/library/bb794845.aspx
и какая религия запрещает сделать разные доменные имена для owa и левого сайта?

Isa 2006 SP1
Переставил систему на ноутбуке WindowsXP Pro SP3 и почему то перестал работать ISA-client. Ноутбук к домену не подключен. На самой ИСЕ ничего не менял. До перестановки системы все работало отлично, только лагало сильно(((. Система была таже.
Клиент межсетевого экрана открывает и тут же закрывает соединение, иногда выдает нераспознанные IP-данные.
Подскажите куда копать?

Добавлено:
Проблема оказалась в NOD 32 v4
причем отключение проверки хттп ничего не дало, пришлось полностью сносить.

ребята, кто имеет практика по установке ISA 2006 на виртуальную среду ?

Имеется хостовая система: WINDOWS 2008 server standard 32 bit, на нем стоит VMware server 2.0.1-156745, а под виртуалку стоит уже WINDOWS 2003 server standard 32 bit, и под него установил ISA server.
И сервера 2 физических сетевых карт: один смотрит на локалку(LACAL) а другой в интернет (INET). на w2k3 тоже установил 2 сетевых карт, и назначил IP адреса:
у хоста: W2K8 (LOCAL)
IP: 192.168.0.5
mask: 255.255.255.0

INET:
IP: 192.168.1.225
mask: 255.255.255.0
DG: 192.168.1.1 (адрес интернет роутера)
DNS: 192.168.1.1

У гостевого: W2K3 (local)
IP: 192.168.0.10
mask: 255.255.255.0

INET:
IP: 192.168.1.10
mask: 255.255.255.0
DG: 192.168.1.1 (адрес интернет роутера)
DNS: 192.168.1.1

у клиентов стоит IP адреса: (в локальном сети)
IP: 192.168.XX
mask: 255.255.255.0
DG: 192.168.0.10
DNS: 192.168.0.10
на хосте интернет есть. а на гостевом толи есть, то ли нету. часто не пингуется на 192.168.0.10 не с хоста не с моего компа (администратор). приходиться перезагрузить и хост и гостевой, чтоб пинговал. но все равно у клиентов интернет не бывает. Очень проблематично достучатся до 192.168.0.10.
сам ISA настроен вроде нормально. все правила прописал.

hardhearted
Добрее надо быть к людям. И не зачем отсылать на англоязычным сайтам. Религия не мешает, а вот отсутствие зарегистрированного доменного имени вполне.

turbov1
итшник должен англоязычные итшные сайты понимать как родные, иначе ему проще сразу профессию менять, вся документация идет на английском, переводят далеко не все (например этой статьи на русском технете нет), и часто настолько криво что лучше не читать. а использовать русские серверные продукты это вообще маразм
и в конце концов, на гугле тоже забанен? 100% есть такие же статьи или даже эта на русском
если одно доменное имя есть, то к нему можно кучу хостов и поддоменов зарегать без проблем.

hardhearted
Если ничего конкретно по теме сказать не можете, то не зачем флеймить, и заниматься нравоучениями

turbov1
могу сказать аналогично, если не умеешь читать пошаговые инструкции к товару, то зачем ты его руками трогаешь? даже последняя индокитайская обезьяна сможет по такой статье настроить что угодно

ps и кстати, тупыми нравоучениями ты первый начал. добрее я буду к людям которые думают межушным нервным узлом прежде чем пишут тупые вопросы

turbov1
hardhearted
личную переписку переносим в ПМ.

ShriEkeR
удали просто последние 6 постов включая этот и будет профит ) мне еще не хватало с ним в личную переписку вступать
ему люди ссылки ищут, помочь пытаются, а он кидает им в лицо прикуп и ноет что он не умеет читать

Добрый день!

В качестве прокси использую ISA 2006, клиенты ходят в инет через WEB proxy.

Сегодня заметил проблему...не открывается сайт hh.ru через IE, пишет следующее:
"Internet Explorer не может отобразить эту веб-страницу", тоесть сообщение не ISA сервера.
Через Firefox сайт открывается, но сперва появляется сообщение:
"Неверное перенаправление на странице", нажимаю F5 и всё ОК.
В логах сообщения для IE и для Firefox одинаковые.

Подскажите куда смотреть?

Вот, еще один косяк нарыл, думаю кому-нибудь поможет.
Для ISA 2006 SP1.
С некоторых пор при попытке установить VPN соединение на компьютерах клиентов появляется 800-ая ошибка. До этого все работало нормально. В RRAS пропали все PPTP порты. Перезагруз и перезапуск служб VPN на ISA не помогает.
Решение:
Удалить обновление КВ971143

ситуация такая.
жесткие фильтры, все закрыо. только работа. isa 2006.
и если пользователи хотят войти в интернет без ограничений то за свой счет.


смысл таков. я открываю браузер , работаю. есть блокировка всякого рода однокласников и прочее.

хочу зайти на однокласников, (переключаюсь) на свободный интернет за свой счет.
чатюсь сколько хочу. в конце месяца плачу по трафику.

так вот (переключаюсь) - надо реализовать.

пока придумал только доп учетные записи для каждого пользователя. и настроить 2ой браузер на эти реквизиты.через оперу например.
открывает оперу . инет чистый - платный.
открывает ИЕ - инет резаный.

наверняка кто-то уже так делал. есть решение?

drocher

Цитата:

жесткие фильтры, все закрыо. только работа. isa 2006

Как показывает практика - нет смысла что-то закрывать. Есть смысл открывать только то, что нужно
Могу предложить такой вариант: Создать группу безопасности для "платного" инета. На рабочих столах пользователей выложить два скрипта. Первый добавляет в группу текущего пользователя, второй из неё удаляет.

ага это смысл если используют 3 сайта. а если поисковик ? ))

больше мне понравился вариант с переадресацией на внутрений сайт при попытки входа на блокированный сайт и предложение зайти за свой счет или покинуть сайт.

как тока сделать... )

drocher
Иса создавалась как корпоративный шлюз для буржуев, у которых:
1. Во первых. Траффик либо безлимитный, либо дешевый. Поэтому они вообще не заморачивались над твоими вопросами.
И практически нереально сделать так чтобы и тебе было удобно и людям. Это просто дрочка какая то.
2. Во вторых помню тоже как то работал в организации где начальство любило и закрывало глаза на то что ктото хочет там в одноклассниках посидеть и т.д. Мне приходилось тоже вот так изобретать вилосипед... фу как я с дрожью вспоминаю эти времена.

Потом стал поопытней и постарше и закрутил все гайки. Работать на работе. Одноклассники дома.

А если все же очень хочешь вот такой вот хитрый биллинг и шмиллинг. Посмотри в сторону програмы траффик инспектор от смарт софт. Жутко навороченная в плане биллинга, но немного глюкавая поделка. В т.ч. интегрируется в ISA2004/2006.

Ну и обрати внимания на плагин traffic quota для ISA. Может она поможет реализовать тебе твои фантазии.

ну в общем то у нас пока не буржундия. но трафик уже сейчас по 0,5 рубля (покурсу) со след года будет 0,1 рубля за метр.
что скажем не дорого.

скорость 10 мегбит международный трафик и 100 мегабит местный трафик в рамках страны. с такой скоростью они за день накачают тафика даже за 0,1 рубля стока что мама не горюй.

для чего система нужна. пускай они качают, что хотят, но платят по тарифу скажем 1 за метр. даже если много не накачают (ну отдадут 100-200 рублей каждый, даже сами рады будут), зато это с лихвой окупит все затраты компании на интернет и еще останется.

и пользователи рады и компания деньги получает.

за софт спасибо, буду смотреть.

drocher
мда, ник оправдывает ) чем тока люди не занимаются
а смысл переключаться то? просто считай трафик на все запрещенные сайты и выставляй счет. для удобства можно например теми же квоттерами это делать, просто квоту ставить болльшую, и указать что разрешенный список в квоту не считать (квоттеры так умеют вроде)
как уже выше писали, сама иса создавалась не для биллинга, но почему то некоторые люди пытаются все делать через одно место и с помощью тех инструментов которыми это делать нельзя
кстати 0.1 за метр это такие копейки что компания средних размеров (50-500 чел) даже не заметит этой суммы. работодатели запрещают сайты не из-за трафика, а за тем чтобы сотрудники на работе работали. некоторые например вне рабочего времени разрешают серфить левые сайты, у исы для этого расписание в правилах даже есть.
ps интересно как бухгалтерия будет проводить такие оплаты трафика )

hardhearted
жоский офтоп. коенчно.

мне нужно решение. а не филосовские умозаключения!

а вот по каждому пользователю выбирать "плохие " сайты это точно задротство!
как она по вашему узнает платит он уже за сайт на который зашел или нет?

по расписанию это и будет работать , обеденное время и после рабочее.
пожалуйста сидите вконтакте!

drocher

Поставлю жирную точку в бесмысленном обсуждении.

Тебе нужна система билинга и иса тебе тут не помошник.

drocher
офтопом это ты занимаешься с такими задачами иди в другой раздел форума - иса создавалась не для этого, и это не философия, это так и есть на самом деле.

Есть офис №1
ISA 2006 с поднятым RRAS для VPN подключений (из дома соедниение проходит)

Есть офис №2
ISA 2006, но при подключении из этой сетки пишет ошибку 619, в логах ISA ошибка FWX_E_CONNECTION_KILLED
причем если подключаться из этого же офиса, но напрямую без ISA через тот же модем, то соединение проходит

Вопрос: неужели если с 2х сторон установлены ISA 2006, то простое подключение через VPN не возможно?

PS: Site-to-Site не допустим, т.к. офисе №2 динамический IP
PS2: все рекомендации по отключению RSS выполнил

kuah
а на второй исе ты разрешил коннектиться по впн?

hardhearted
на второй исе из вне все порты закрыты
пользователю, делающего соедниение по vpn, разрешено всё

ps: при нажатии "подключиться" мельком выскакивает окно с надписью "проверка пользователя и пароля" и сразу же ошибка 619

kuah
из вне порты никого не волнуют
как конкретно ты пользователю разрешил? опиши правило

hardhearted
стандартное правило

From: 192.168.0.5
To: External
Protocols: All Outbound Traffic

Добавлено:
перерыл всю сеть, попробовал 100 вариантов - ничего

есть у кого 2 сервера с ISA 2006?
попробуйте подключить один к другому через VPN (не Site-to-Site)

kuah
а правило для кого? на вкладке users что указано?
че там пробовать, абсолютно точно можно подключиться (сам так постоянно подключаюсь с одной работы на другие), у исы и винды с этим проблем нет, в отличие от некоторых поделок типа домашних роутеров.

hardhearted
правило для конкретного IP-адреса
в Users указано All Users
модем тут не причем, т.к. напрямую без исы коннект есть

какие ещё могут быть соображения?

Добавлено:
причем из обеих сеток есть коннект к любому корбиновскому серверу
_http://homenet.corbina.net/index.php?showtopic=167241

hardhearted
а выше неанонимных правил для этого ип или всей сетки нет?
конечно можно предположить что ты в реестре nat-t у винды выключил, но случайно такого не сделаешь.

hardhearted
винду переустанавливали, нат не трогали

даже с такими правилами не хочет коннектится

Доброго времени суток!

Вводная:
Свежепоставленный Isa Server 2006 на win2003. Работают клиенты WEBProxy, FWC. SecureNAT ни в какую.

Задача: пустить в инет некоторых пользователей как SecureNat (нужны ping, tracert и т.д.).

Отсюда вопрос: какие настройки или правила надо прописать. Пробовал весь исходящий из локалки во внешнюю для всех пользователей. Не работает. Шлюз по умолчанию прописан, внутренний интерфейс "исы". Возникает мысль, что дело в настройках "исы" или windows, а не в правилах. В журнале "исы" никаких записей, касающихся клиента нет.


Цитата:

Это клиент:

Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : BACKUP

Основной DNS-суффикс . . . . . . : domain.ru

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : нет

WINS-прокси включен . . . . . . . : да

Порядок просмотра суффиксов DNS . : domain.ru



Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller

Физический адрес. . . . . . . . . : 00-0F-EA-50-96-4A

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.11.222

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : 192.168.11.215

DNS-серверы . . . . . . . . . . . : 192.168.11.14



Это сервер:

Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : mail2

Основной DNS-суффикс . . . . . . : domain.ru

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : да

WINS-прокси включен . . . . . . . : нет

Порядок просмотра суффиксов DNS . : domain.ru



Локалка - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller

Физический адрес. . . . . . . . . : 00-15-F2-05-1F-02

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.11.215

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :

DNS-серверы . . . . . . . . . . . : 192.168.11.14



Интернет - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC

Физический адрес. . . . . . . . . : 00-E0-4D-05-04-C0

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 212.*.*.*

Маска подсети . . . . . . . . . . : 255.255.255.192

Основной шлюз . . . . . . . . . . : 212.*.*.*

NetBIOS через TCP/IP. . . . . . . : отключен