» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

systech78

Не путай корпоративный фаервол с локальным, блокировать выход в интернет конкретным приложениям ISA не может да и не должна уметь!
Единственное, что можно (в этом случае) сделать, это запретить конкретному приложению использовать FWC для связи с проксёй и всё.

На исе можно блокировать по портам, URL Set, DNS Set и IP (по содержимому веб страницы я в расчёт не беру) и всё баста, используй что-то из вышеперечисленного, другого решения нет.

Ещё раз повторю, вопросы таго рода решаются грамотной и тонкой настройкой самих прог через GPO.

anton04 я не путаю, не сравниться конечно с персональными, но как раз с помощью FWC иса и контролирует выход приложений в инет, если конечно при этом не используются соединения SecureNat и WebProxy. Как я писал выше мне и нужно запретить FWC для всех приложений кроме некоторых, а не перечислять все запрещенные. Но если нет такой возможности, буду реализовывать другими путями (политиками, персональными файерволами)

XANTAN
когда ж вы научитесь вопросы задавать....


Цитата:

Стоит экченж с АД, поверх ИСА

вот с этого и стоило начинать, мы гадать что ли должны где у тебя и что стоит.
все верно, iis занимает 80 порт
варианта два и вполне очевидных:
1. сказать iis чтобы слушал только внутренний интефейс (читай доку по iis) и настроить публикацию по инструкции выше
2. не юзать публикацию, тупо разрешить 80 и 443 порты снаружи на localhost для all users. в этом случае другие сайты на 80 порту ты не сможешь опубликовать - iis занял.

ps и выучи русский, вроде технарь, а пишешь хуже студента журфака, читать невозможно

systech78

Цитата:

но как раз с помощью FWC иса и контролирует выход приложений в инет

ты путаешь теплое с мягким, с помощью FWC иса ничего не контролирует, fwc нужен только для аутенфицации - его задача перехватывать трафик приложения и с аутенфикацией отправлять на ису, и disable в нем сделали чтобы исключать приложения которые с fwc некорректно работают. а то что ты пытаешься это использовать для контроля - мелкомягких мало волнует
корпоративные персональные фаеры настраиваются централизовано, к тому же в компаниях количество ПО ограниченно и регламентировано, его легко все перечислить

доброго времени суток.

Встал вопрос обновления ISA 2006 на forefront TMG.. Есть некоторые вопросы..

Конфиг хоста:

Процессор - q6600 4 ядра 2.4 ггц.
Оперативка - 8 гигов
мама - asus p5q pro
2 сетевухи (не интел )

Конфиг паравиртуализатора под ISA2006:
vmware server 2.0.2
512 мб оперативки.
1 ядро.

Вопрос:

Сразу скажу, это не для Production! но для сервака, который должен работать 24 на 7 и выполнять роль веб сервера, помойки, фтп сервера и тд.

Долгое время свои серваки стояли на схеме 2008 сервер - vmware server - 2003 - ISA.

Пока не пришло время поставить 2008R2, vmware server работает не очень стабильно на win7 ядре. Хотя внешне все вроде бы нормально. Пробовал ставить hyper-v, но там упирался в проблему широкоформатного 24" монитора и видео в хосте от радеона, дефолтные драва 2008r2 сервера не позволяют нормально использовать монитор, а драва от ATI вместе с hyper-v тормозят (сам майкрософт просто не рекомендует использовать никакие ускорители, кроме дефолтных, на сервере с hyper-v)/

поэтому оставался вариант только Vmware server.

Совсем недавно вышел RTM версия forefront TMG 2010. Уже даже переведена на русский и остальные языки. Поставил на хост, вместо шлюза на vmware server, отключил все фишки фильтрации трафика (на вирусы htts и прочую хрень.. оставил только маршрутизацию и защиту сети от различных атак). Единственный момент который не очень нравится в новом forefront tmg это его ресурсоемкость (заслуга конечно не самого firewall он жрет не больше 200-300мб, а mssql который отжирает в режиме простоя до 2 гигов оперативки.. Непонятно как сделать так, чтобы он не хавал ее понапрасно..)

Очень многие фишки да практически все от forefront TMG мне просто не требуються.. всегда хватило защиты сети и маршрутизации от ISA 2006 Stnd edition.. Но!.. хост то на 2008r2 сервере и шлюз можно организовать только через vmware server (который официально не поддерживается на win7 и могут быть косяки)..

Что порекомендуете? решать проблему ресурсоемкости TMG (в основном решить надо только с mssql) или же использовать на vmware server ISA 2006 как основной шлюз?

systech78


Цитата:

помощью FWC иса и контролирует выход приложений в инет

FWC ничего не контролирует и не должен, он обеспечивает прозрачную и безопасную аутентификацию на иса сервере! Запомните это все раз и навсегда.

tysovwik

Во первых Isa server 2000/2004/2006 не занимается маршрутизацией! это дело винды на которой она стоит.
Во вторых не использовать SQL ты можешь, для этого достаточно писать логи исы и текстовые файлы и всё
В третьих устанавливать ису на виртуалку это не совсем правильно/безопасно и смысла в этом я не очень-то вижу...

tysovwik
у mssql нет проблем с ресурсоемкостью, sql всегда старается занять всю свободную память, даже если ему столько не требуется, на это можно не обращать внимания - если другим прогам понадобится память sql ее отдаст.
так что если это не продакш сервер то можешь оставить tmg на хосте и не париться, или поставить tmg в hyper-v предварительно решив проблемы с дровами. собственно как серверу ему физический моник и не нужен, можешь через rdp или mmc рулить.
а вообще странный выбор сервака на десктопных компонентах.

anton04

Цитата:

Во вторых не использовать SQL ты можешь, для этого достаточно писать логи исы и текстовые файлы и всё

не факт что в tmg ты сможешь сделать такое, там при установке не предлагают убирать sql

hardhearted


Цитата:

не факт что в tmg ты сможешь сделать такое

Могу и ничто мне в этом не помещает (говорю, т.к. пробовал сам).


Цитата:

там при установке не предлагают убирать sql

А кто тебе говорит про установку... ставишь TMG выбираешь куда сохранять логи и удаляешь SQL.

кто нибудь нашёл вариант установки TMG STD без SQL Express?

WingDog
тебе выше же написали, ставь с sql express, логи переключай в текстовики, sql можно загасит или удалить.

Что-то сделал как вы сказали, перевел с mssql на обычный текстовый, нажал ОК (он правда ругнулся что-то вроде о том, что чтобы хорошо логи шли, надо бы через mssql делать, а не через файл)

После удалил mssql и усе привет медведям) все службы tmg forefront перестали запускаться))

Добавлено:
Может нужно было только остановить службу mssql... А то ща посыпалась система и после удаления mssql она не хочет его заново ставить и стартовать. Временно перекинул обратно на шлюз на vmware ISA 2006.

Добавлено:
P.S. Какие компоненты из mssql нельзя трогать и которые используются самим tmg forefront ? (а то не хочется второй раз наступать на теже грабли)

tysovwik

Если у тебя всё на vmware, то делай копию и эксперементи на здоровье сколько хошь, иль чё мешает?

P.S. Посмотри зависимости служб и в TMG его реакцию на отсутствие SQL. К тому же папка куда писать логи должна существовать физически, учти это Иначе TMG переходит в режим защиты.

P.P.S. Странно, только что проделал, указал сохранять логи в папку, удалил SQL перезагрузился и TMG работает. В мониторинге TMG остановлена только одна служба: "SQL Server Reporting Services (ISARS)"

кому нить удалось поставить TMG 2010 на 2008 R2 ?

wd123
Да. Я поставил на чистую 2008 R2 Enterprise

wd123


Цитата:

кому нить удалось поставить TMG 2010 на 2008 R2 ?

А что есть проблемы!? Чё то не заметил.

Тоже столкнулся с проблемкой. Ставлю TMG на виртуалку с чистой Win2008 R2. Стадия установки самого TMG проходит нормально, спотыкается на установке MSSQL. Привожу часть лога с ошибкой:


2009-12-16 11:17:57 Slp: Sco: Attempting to write hklm registry key SOFTWARE\Microsoft\Microsoft SQL Server to file C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Log\20091216_111714\Registry_SOFTWARE_Microsoft_Microsoft SQL Server.reg_
2009-12-16 11:17:57 Slp: Sco: Unable to write hklm registry key SOFTWARE\Microsoft\Microsoft SQL Server to file C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Log\20091216_111714\Registry_SOFTWARE_Microsoft_Microsoft SQL Server.reg_, Win32 error 2
2009-12-16 11:17:57 Slp: Sco: Attempting to write hklm registry key SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall to file C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Log\20091216_111714\Registry_SOFTWARE_Microsoft_Windows_CurrentVersion_Uninstall.reg_
2009-12-16 11:17:57 Slp: Sco: Attempting to write hklm registry key SOFTWARE\Microsoft\MSSQLServer to file C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Log\20091216_111714\Registry_SOFTWARE_Microsoft_MSSQLServer.reg_
2009-12-16 11:17:57 Slp: Sco: Attempting to write hklm registry key SOFTWARE\Wow6432Node\Microsoft\Microsoft SQL Server to file C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Log\20091216_111714\Registry_SOFTWARE_Wow6432Node_Microsoft_Microsoft SQL Server.reg_
2009-12-16 11:17:57 Slp: Sco: Unable to write hklm registry key SOFTWARE\Wow6432Node\Microsoft\Microsoft SQL Server to file C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Log\20091216_111714\Registry_SOFTWARE_Wow6432Node_Microsoft_Microsoft SQL Server.reg_, Win32 error 2
2009-12-16 11:17:57 Slp: Sco: Attempting to write hklm registry key SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall to file C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Log\20091216_111714\Registry_SOFTWARE_Wow6432Node_Microsoft_Windows_CurrentVersion_Uninstall.reg_
2009-12-16 11:17:57 Slp: Sco: Attempting to write hklm registry key SOFTWARE\Wow6432Node\Microsoft\MSSQLServer to file C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Log\20091216_111714\Registry_SOFTWARE_Wow6432Node_Microsoft_MSSQLServer.reg_
2009-12-16 11:17:57 Slp: Sco: Unable to write hklm registry key SOFTWARE\Wow6432Node\Microsoft\MSSQLServer to file C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Log\20091216_111714\Registry_SOFTWARE_Wow6432Node_Microsoft_MSSQLServer.reg_, Win32 error 2
2009-12-16 11:17:58 Slp: MsiGetProductInfo failed to retrieve ProductVersion for package with Product Code = '{CB2D89EE-29A3-4A54-A81E-3BC9A4FEA2B7}'. Error code: 1608.
2009-12-16 11:17:58 Slp: Watson bucket for exception based failure has been created
2009-12-16 11:17:58 Slp: Sco: Attempting to create base registry key HKEY_LOCAL_MACHINE, machine
2009-12-16 11:17:58 Slp: Sco: Attempting to open registry subkey
2009-12-16 11:17:58 Slp: Sco: Attempting to open registry subkey Software\Microsoft\PCHealth\ErrorReporting\DW\Installed
2009-12-16 11:17:59 Slp:
2009-12-16 11:17:59 Slp: ----------------------------------------------------------------------
2009-12-16 11:17:59 Slp:
2009-12-16 11:17:59 Slp: Error result: 2064843076
2009-12-16 11:17:59 Slp: Result facility code: 787
2009-12-16 11:17:59 Slp: Result error code: 324


Такое чувство что нехватает прав на запись в реестр.

AlexLoo

Ставили через autorun и "Run Preparation Tool"?

Да через авторан, установка производилась по следующему алгоритму:
1) Установка последних обновлений на систему
2) Запуск Preparation Tool, который показал успех.
3) Непосредственная установка TMG.

AlexLoo

Я ставил на голую 2008 R2 (с двумя сетевыми адаптерами) и сразу запуск "Run Preparation Tool", потом как по маслу... и никаких вопросов вообще.

Проблема решена Гугл рулит

И так описываю алгоритм решения проблемы.
После появления ошибки при установке MS SQL 2008 Express идём в папку с логами (C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Log\дата_установки_время) ищем там файлик Detail_ComponentUpdate.txt, открываем его и прокручиваем в самый низ, в моём случаи сбой произошёл из-за следующеего MsiGetProductInfo failed to retrieve ProductVersion for package with Product Code = '{CB2D89EE-29A3-4A54-A81E-3BC9A4FEA2B7}'. Error code: 1608.
Каждого продукт имеет свой Product Code и Installation Code. Причём Installation Code не что иное как поблочно инвертированный Product Code, т.е. в моём случаи это EE98D2BC-3A92-45A4-E18A-7B2AEF4A9CB3. Походу при установке установщик сверяет их каким то образом и если есть разногласия то ругается.
Дальше открываем редактор реестра, заходим в ветку HKEY_CLASSES_ROOT\Installer\UpgradeCodes и делаем поиск по первому блоку Installation Code, в моём случаи это EE98D2BC. После того как подраздел будет найден (у меня нашло что то типа EE98D2BC3BC9A4FEA2B7A3294A54A81E), делаем его экспорт (мало ли что бывает ) и удаляем его.
Далее снова запускаем установщик и ждём. Ошибки быть не должно. По крайне мере мне помогло. Удачи

Господа есть пара вопросов о возможностях isa, т.к. до этого ису не юзал может быть вопросы покажутся дилетантскими.Но подробных объяснений мне типа "как это сделать?" мне не нужно, просто интересует есть ли такая возможность у исы.

Если на клиентских компах есть специализированный софт который не юзается через прокси смогу ли я пускать такой трафик через маршрутизатор с исой?

Если мне нужно фильтровать исходящий трафик в инет и локальную сетку с клиенского компа, есть ли для исы клиентское решение типа Outpost или Zonealarm вообщем персональный фаервол?

aak1980
а почитать инфу по продукту религия не позволяет? открываешь офсайт идешь на страницу продукта и читаешь
1. да, иса это фаер+прокси, использование последнего вовсе необязательно.
2. а что значит персональный фаервол для исы? иса это межсетевой фаер. а что ты поставишь на компы это твоя проблема, с исой они никак не связана.

Подскажите пожалуйста, будет ли нормально работать Иса с отключёнными службами SQL.

Будет.

Вообщем решил проблему tmg forefront и mssql) удалять не стал, просто отключил все сервисы mssql.

Итого ща система работает на 2008R2 Сервере - шлюз на хосте на TMG forefront - виртуалки все на vmware server 2.0.2 (не скажу что производительность шик, но катит)

Вполне стабильное решение и mssql на хосте больше не достает. Я доволен.

P.S. Для удаленки используется RDP + logmein.com там где нельзя RDP + teamviewer для простой передачи файлов. Шик

Добавлено:
P.S. Посмотрел лог ошибок forefront 2010, после отключения mssql, вот что пишет:

Сбой конфигурации служб отчетов - Описание: Произошла ошибка при настройке служб отчетов SQL Server для Forefront TMG.

или

Описание: Не удалось настроить службы отчетов SQL Server для Forefront TMG. Разрешить проблему можно путем перезапуска службы планировщика заданий Microsoft Forefront TMG. Сведения об ошибке служб отчетов: [DBNETLIB][ConnectionOpen (Connect()).]SQL Server не существует, или доступ запрещен.

Сбой произошел из-за ошибки: Неопознанная ошибка

Службы отчетов - ошибка инициации службы:

Описание: Этот сервер Forefront TMG определен как активный сервер отчетов, но не удалось запустить следующую связанную службу: службу %1. Эта служба необходима для служб отчетов Forefront TMG. Рекомендуется просмотреть предыдущие события для определения возможных причин и затем запустить службу вручную.

или

Описание: Сервер Forefront TMG определен как активный сервер отчетов, однако не удалось запустить следующую связанную службу: служба MSSQL$ISARS. Эта служба требуется для работы служб отчетов Forefront TMG. Рекомендуется просмотреть список прежних событий, чтобы обнаружить возможные причины, затем запустить работу службы вручную.
Сбой произошел из-за ошибки: Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.


Сервер Forefront TMG определен как активный сервер отчетов, однако не удалось запустить следующую связанную службу: служба ReportServer$ISARS. Эта служба требуется для работы служб отчетов Forefront TMG. Рекомендуется просмотреть список прежних событий, чтобы обнаружить возможные причины, затем запустить работу службы вручную.
Сбой произошел из-за ошибки: Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.

P.S. Перевел все логи на папку, которую предварительно создал. В этой паке ща 2 файла - ISA log FWS и ISA log WEB.

То, что пишет ошибки службы, которую я вырубил, это нормально? или надо что-то сделать? Сам forefront работает нормально, маршрутизирует и тд)

Правда после ISA2006 TMG forefront 2010 тормоз ппц.. Нажимаешь на вкладку и ждешь пока откроется.. Хотя конфиг выше крыши для этой системы.

tysovwik
Вообще-то вопрос с памятью MSDE/SQL Express решается очень просто, я удивлен, что Вы не нагуглили решения.
На машине с SQL Express запускаете в консоли osql -E -S servername\MSFW. Вставляете следующий SQL-скрипт:
USE master
EXEC sp_configure 'show advanced options', 1
RECONFIGURE WITH OVERRIDE

USE master
EXEC sp_configure 'max server memory (MB)', кол-во выделяемой памяти в мегабайтах
RECONFIGURE WITH OVERRIDE

USE master
EXEC sp_configure 'show advanced options', 0
RECONFIGURE WITH OVERRIDE
GO
Все, проблема решена. Я сам так сделал на машине с ISA 2006, и с тех пор MSDE больше память не жрет.

Цитата:

Вообще-то вопрос с памятью MSDE/SQL Express решается очень просто, я удивлен, что Вы не нагуглили решения.
На машине с SQL Express запускаете в консоли osql -E -S servername\MSFW. Вставляете следующий SQL-скрипт:
USE master
EXEC sp_configure 'show advanced options', 1
RECONFIGURE WITH OVERRIDE

USE master
EXEC sp_configure 'max server memory (MB)', кол-во выделяемой памяти в мегабайтах
RECONFIGURE WITH OVERRIDE

USE master
EXEC sp_configure 'show advanced options', 0
RECONFIGURE WITH OVERRIDE
GO
Все, проблема решена. Я сам так сделал на машине с ISA 2006, и с тех пор MSDE больше память не жрет.

Надо попробовать. А то что-то без mssql не очень шустро работает TMG.. Да и уже пару раз отвалилась служба файрволла при обновлении конфигурации..))

На TMG 2010 проканает способ?


Добавлено:
P.S. Опубликовал через TMG forefront 2010 - SharePoint 2007 (находиться на виртуалки Vmware)

В браузере вместо предложения логина пароля по опубликованному урлу - белая страница..

В чем косяк может быть? Открыл порты 80 и 443. В sharepoint сделал сопоставление альтернативного доступа к URL. В 2003 сервере (на котором sharepoint) сделал сопоставление в IIS на нужный URL. Но все равно белая страница.

Пробовал просто с IP - тоже белая страница. Скорее всего проблема в проверке подлинности. Как лечить? в ISA2006 все сразу работало) Тут сложнее что-то. Еще даже ssl не настраивался.

Проверка правила публикации sharepoint в tmg 2010 ни 1 ошибки не выявляет.

В чем может быть проблема? хелп

P.S. для проверки был сделан sharepoint на дефолтных настройках. Проверка подлиности - обычные Html формы windows и еще NTLM. Без ssl.

Вопрос не связан, возможно, с самим ISA server, но:

VPN-клиенты получают IP-адреса, но не адреса DNS-серверов.
Как следствие - по IP доступ ко всему работает. По именам - нет.

Как решение - RDС по IP на удалённый стол любого сервера или своего компьютера, и оттуда уже рулишь как хочешь по именам.

НО, есть желание (и настойчивое требование руководства), чтобы изначально имена ресолвились.

Настройка VPN стандартная, как "по учебнику".

Тут вот для себя нашел ещё один способ борьбы с онлайн видео и аудио - может кому будет полезно..

Имеется домен - интернет только аутентифицированным пользователям (через прокси)

Для этих пользователей
первое правило ЗАПРЕЩАЮЩЕЕ Internal -> External протоколы http https в свойствах этого правила в Content Types отмечаем Audio и Video (в видео дополняем список расширений необходимых к запрету... а то поразвелось разных форматов понимаешь)
Второе правило РАЗРЕШАЮЩЕЕ Internal -> External протоколы http https и здесь Content Types можно не трогать вообще..

При таком раскладе удачно блокирует именно сами ролики видео не трогая баннеры и прочий шлак в виде всяких карт яндекса ... ну в общем не претендую на оригинальность - но вот так вот ищешь ищешь какой нибуть ответ на проблему и ничего нет - а кто знает ответ ленится им поделиться с нуждающимися ... буду рад если кому поможет

iknow

Действительно ничего оригинального нет, я таким пользовался ещё со времён 2000 исы.

Vetkol
ты уверен что адреса dns серверов впн клиенты не получают? ipconfog /all на клиенте что говорит?