» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

anton04

Цитата:

пропустил выход...

Бывает Рекомендую обновиться. Небо и земля.

TrustyM

Спасибо, но пока погодю... т.к. переставлять для это ось и всё остальное не очень хотца..

уважаемые, кто настраивал VPN и Remote Site Network в ISA2004(SP3)?

соединение создано, с локальной машины на которой установлена ISA трафик благополучно проходит в удаленную сеть, но локальная сеть (скрытая за ISA) доступа в удаленную сеть VPN не имеет

правило маршрутизации в секции Networks из локальной в удаленную сеть создано

вопрос снят...

anton04

Цитата:

В internal должен быть прописан весь диапазон IP адресов, т.е. от 172.21.0.0 до 171.17.255.255

какой дикий диапазон )

TrustyM
Это если SA есть и сервак 64bit, а иначе такое обнволение влетит на несколько штук баксов, а бенефитов там особых то и немного не такая там и огромная разница чтобы с небом и землей сравнивать, хотя дистриб у tmg действительно в 20 раз больше )

А как понять где иса режет мультикаст?
вот что поисходит:


правила для dhcp:


при открытии dhcp отовсюду везде - адреса раздаются

подскажите пожалуйста, я уже в курса сбился где искать..

tomas12
во первых не мультикасты, а броадкасты - это абсолютно разные вещи
dhcp request открывать надо для anywhere, reply можно только для internal

dhcp request открывать надо для anywhere
hardhearted
а в обе стороны? у меня из anywhere в localhost.

(из anywhere в anywhere?)

Возможно тема уже поднималась, как к ISA2006 прикрутить баннеро резку?

2 XANTAN
может поздновато, советы давать...
но вот конкретная реализация такой ситуации:
делаете резервацию на DHCP и далее на ISA через IP...

Добавлено:
Доброго времени суток Нам Всем!

есть желание закрыть игры с сайта mail.ru
сам сайт нужен... никто не сталкивался с подобной ситауцией?

Bachelor67

Цитата:

есть желание закрыть игры с сайта mail.ru

Нутак URL set тебе в помощь



Добавлено:
BFDA

DNS set и URL set + перенаправление на внутренний сайт типа http://mydomen.loc/banner.gif
где banner.gif это gif файл в размером 1х1 пиксел.

tomas12

Цитата:

а в обе стороны? у меня из anywhere в localhost.

request идет на броадкаст, значит надо разрешить на anywhere, в вот от кого еще надо бы проверить, возможно и от internal прокатит

anton04
Спасибо, сам как то и не догадался (вполне серьезно) посмотреть...

hardhearted
у меня дибильная иса!! У меня отовсюду везде не дает dhcp, а для all protected networks работает без проблем.

Но у меня другая беда. Вот работал у меня народ в 1с, получали они сетевые лицензии hasp по 475 порту.
было правило и все работало. Со вчерашнего дня запросы стали идти не на ip адрес локалхоста, а на 255,255,255,255 и все, все блочится....
там даже правила отовсюду везде не помогают, ISA блочит бродкаст наглухо..(((
как это исправить?hardhearted

tomas12
спрашивается какого лешего у тебя эта левая ересь hasp стоит на исе? убери с исы всякую дрянь (dhcp кстати тоже очень желательно убрать)
если раньше работало нормально а сейчас нет, значит у тебя в 1с что то сьехало, это тебе в другой форум
1с можно настроить на ее идиотский ключ по прямому адресу без броадкастов, у меня в одной из контор 1сник так и делал (броадкаст между офисами ты точно через впн не пропустишь), там вроде все элементарно где то в файлике прописывается. спроси на форуме 1сников, я к счастью в 1с никогда не лазил и не буду, не царское это дело в говне ковыряться )

да, все прописано в файлике, впрямую указаны IP адреса машин с этими ключами. тут 1с не причем.

может у меня проблема в маршрутах?
Должна же ISA определять 255.255.255.255 как локалхост?!

она блочит нетбиос, хасп, rpc, все что идет на 255.255.255.255

зае**ла она меня уже....

Доброго времени суток всем! Может кто-нибудь сталкивался с такой напастью в ИСЕ 2006. Просто наглухо перестали показываться результаты настроенных фильтров в Наблюдение -> Ведение журналов. Просто висит - Получение результатов... и всё, тишина. При этом действия разные точно происходят, то есть должно высвечиваться - тот-то делает то-то, или там нужный мне порт показывать - что вот, например, кто-то на внешнюю почту полез изнутри. С чем это может быть связано, вроде всё уже перепроверил... Раньше всё было отлично. Спасибо!
PS Антон, благодарю за наводку!

а что в настройках фильтра?

Например, порт назначения: 25, 110. Сеть назначения: External; Тип записи журнала: Межсетевой экран или фильтр веб-прокси, Время записи - непосредственно.
И тишина... хотя так вообще все действия нормально падают в лог и выводятся в ежедневных отчетах.

tomas12
с какого это она должна броадкаст определать как localhost? броадкаст это броадкаст, и по правильному он не должен выходить за предел сегмента. иса будет его запрещать и правильно делает, он ей нафиг не сдался
а то что ты пытаешься использовать ису так как ее нельзя использовать это твои проблемы - сама иса тебе ничего не должна

Qwait
логи куда пишутся? консоль на исе смотришь или на другом компе?

Логи пробывал писать и в стандартную папку (C:\Program Files\Microsoft ISA Server\ISALogs) и в любую другую. И стирал всё, и заново начинал. Пробывал во все форматы: MSDE, SQL, w3c, iis - по барабану. InternetAccessMonitor, кстати, прекрасно всё читает из них. Логи смотрю подключившись к серверу по RDP - то есть локально. Не работает просто очень удобное наблюдение - кто и куда в данный момент.

Qwait


Цитата:

Пробывал во все форматы: ...iis

Простите а IIS тут причём!? это не БД.

hardhearted
да я бы и рад жить с ней в мире)))
но когда я указываю что ключ должен быть виден от всех сетей во все сети для всех пользователей, а иса по-прежнему блокирует бродкаст, - я начинаю быть озадаченным...

tomas12

Нужно умеючи настраивать hasp, шоб не использовал net-bios. (описание не для этой темы).

anton04

Я имел в виду *.iis - формат файла ISA Server

anton04, hardhearted
я настроил чтобы не использовал бродкасты - все ок.
Просто я у меня несколько ключей стоят и не виден тот, который на исе.

Если с нее убрать, думаю и так виделся бы.

спасибо парни что помогаете!

tomas12


Цитата:

Просто я у меня несколько ключей стоят и не виден тот, который на исе.

Могу ещё раз повторить что было сказано. Для корректной работы хасповых ключей, (коли у тебя много одинаковых ключей), необходимо:
1. Установить HLM.
2. Отредактировать следующие файлы:
nhsrv.ini
NETHASP.INI
Обеспечить наличие файла nhsrv.ini в двух директориях.

P.S. На исе хасп это вред.

Доброго всем! Подскажите по такой теме:
Стоит Isa 2006 и traffic quota. В исе настроены правила, в "квоте" раставлены лимиты ... Все это работало прекрасно примерно год, полтара. Теперь у некоторых пользователей появился перерасход трафика ... стали разбираться. и выяснилось интересная ситуация - пользователей, у которых перерасход трафика, иса стала пускать по правилу, которое запрещает всему и все (это правило самое поледенее в списке ). Это видно в мониторинге - кому бьет по рукам, а кого пускает, при это у пользователей одинаковые права доступа в "ад" ... Пробовали менять настройки правила в исе, пробовали ставить дополнительное запрещающее правило, переставляли "квоту" ... пока проблема не решается. Старший админ говорит, что такая ситуация была уже давно и решили ее переустановкой всего (исы и "квоты"). Посоветуйте - где еще что покавырять для решения проблемы ?

BlackVetal
задать вопрос разработчикам этой левой "квоты", что то вроде : "че за ...ня?"

hardhearted

Цитата:

левой "квоты"

"traffic qouta" такая же левая как и "Surf corp" (если не ошибаюс в названии) ... отличие в том что на первое есть лекарство ... Да и подозрения в ошибке больше на Isa 2006 - так как "traffic qouta" переставляли уже - при этом ничего не изменилось ... Поэтому обращаюс за советом к местным гуру. Если же считаете что все таки виновата "traffic qouta" - посоветуйте софтинку с лекарством для управления квотами.