» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

hardhearted
пардон. из дома сам проверил. ДНС-ы выдаёт, и если указывать в явном виде адрес как FQDN - он его преобразует и для пингов, и для чего хошь. А автоподстановку доменного имени не делает, почему-то. (машины и доменные, и недоменные, подключающиеся по ВПН имеют один и тот же глюк) В правилах - ВПН клиентам можно всё и туда, и обратно (ну, вроде как, я вообще не очень верю тут исе в том, что касается UDP и ICMP трафика)

Vetkol
а с чего ты взял что комп будет делать такую "подстановку"? если ты набираешь короткое имя то искать он будет только с теми суффиксами поиска что у него вписаны - ты суффиксы вписывал?
иса тут вообще не причем, как настраивать компы и днс обсуждают в другом форуме.

Vetkol
DHPC-ретранслятор настрой и все будет ок. (два правила + протокол маршрутизации добавить)

Добавлено:
TMG без MS SQL мне за два дня холостого хода сгенерил больше 1 Гб логов (надеюсь с SQL все будет компактней). Работает нормально, правда несколько раз непонятно почему рвал впн-подключение, ну и политики применяем криво, т.е. пишет что все ок, а сам начинает их отрабатывать только минуты через 3-4.

Доброго времени суток, господа.
Подскажите, уже второй день сижу...Вообщем есть 3 сервера: 1й.Контроллер домена, на нём также установлен АД. 2й.Дхцп. 3й. РАздаёт интерент. Вот на тот, который раздаёт интернет(3), поставил иса2004 и не могу клиентам дать интернет. Т.е. при добавлении пользователей в ИСА, там есть "добавить", нажимаю добавить и хочу добавить группу пользователей из АД, а её не находит. Серваки пингуются между собой, между клиентами, вообщем вся сеть пингуется и всё шуршит нормально. Пользуны в домене, серваки в домене, в АД группа пользователей, которую хочу добавить, создана.

зы: заранее благодарен всем. ...то ли праздники сказались, то ли бубен поломался(

Добавлено:
ах да, совсем забыл самое главное...всё на винде2003 r2

ytkaaa
Сервер с ISA точно в домене? Под учеткой с правами Администратора домена настраиваешь? Во время добавления группы кнопку Размещение нажимал, указывал что в AD искать группу надо? Группа Универсальная или Глобальная должна быть, а не локальная.

блин, вот сервер с иса не в домене. Можно ли как то сделать чтобы группу ад добавить, не цепляя его к домену? Группа глобальная. Размещение указывал в АД

ytkaaa
Насколько мне известно нет. Ну как-то через RADIUS сервер помоему можно, но... сложно (мне так кажется)

т.е. лучше и правильней заепить инет.сервак в домен да? проблем не будет тогда...?

ytkaaa
в твоем случае наверно лучше и правильней, плюсов больше чем минусов. http://www.isaserver.org/tutorials/Debunking-Myth-that-ISA-Firewall-Should-Not-Domain-Member.html

с английским не особо(

ytkaaa
Ну ничего, чувак просто пишет что ИСА в домен вводить можно и + очень много, главное грамотно настраивать политики доступа

ytkaaa
иса должна быть в домене, а иначе толку от нее как от сраного керио, тем более в такой примитивной сетке как у тебя
а с английским дружи, без английского в ит делать совершенно нечего, разве что мышки менять и провода таскать
Salik

Цитата:

Группа Универсальная или Глобальная должна быть, а не локальная

группу можно добавлять любую

hardhearted


Цитата:

иса должна быть в домене,

Спешу не согласится в этом. Иса не должна, а может быть в домене. Всё зависит от задачи. Надеюсь Вам известны термины и различия внутренний и пограничный межсетевой экран!?

anton04
в его случае должна быть )
а те кто геморроится пытаясь оградить ису от домена это параноики каких мало, такое реализуют в редких случаях когда например иса раздает инет нескольким разным сеткам или когда админ исы и админы домена разные люди и друг другу не доверяют.
для обычной конторы ооо "рога и копыта" такие случаи крайне редки

hardhearted


Цитата:

для обычной конторы ооо "рога и копыта" такие случаи крайне редки

Это на западе более 60 % налогов платит малый бизнес, а в России более 80 % платит крупный и средний бизнес, так что где редки, а где не очень...

anton04
я имел ввиду именно его случай, у него мелкая конторка с одной исой, одним доменом и одним админом. при этом ему нужна аутенфикация юзеров.

[offtopic] а по поводу налогов. не путай количество налогов с количеством компаний, 80% налогов платит всего 20% компаний (в лучшем случае ) а мелких ооо очень много, пример тому дикий ажиотаж в налоговых когда перерегистрацию потребовали

Цитата:

TMG без MS SQL мне за два дня холостого хода сгенерил больше 1 Гб логов (надеюсь с SQL все будет компактней). Работает нормально, правда несколько раз непонятно почему рвал впн-подключение, ну и политики применяем криво, т.е. пишет что все ок, а сам начинает их отрабатывать только минуты через 3-4.

Да... я тоже заметил, у меня еще без mssql один раз вообще упала раздача инета на локальную сеть... Тоесть начал обновлять конфигрурацию (включение отключение проверки сети на вирусы), начала обновляться конфигурация и привет.. все отрубилось.. Еще я забыл дать шлюзу RDP коннект, пришлось тащиться через пол города)))

ЗЫ временно поставил обратно шлюз на ISA2006 SP1 который работает безукоризненно (правда я отключаю обнаружение флуд атак, а то торренты на клиентах живут фигово. Я даж в исключения ставил и по подсетке, и по IPшкам.. Не помогает, все равно говорит - превышено кол-во не tcp подключений и бла бла бла..

Учитывая что железо ограничено, сервер построен на hyper-V, хост свободен от серверных функций, все на виртуалках.

Кроме шлюза с ISA (или альтернативы из 2008R2 + TMG) еще на виртуалках крутиться mssql + sharepoint.

Вот и думаю, стоит ли вообще использовать новый TMG, если сетка расчитана человека на 20 под sharepoint (2007 естественно, железка 2010 не выдержит).

Вы уже изучили плюсы TMG в сравнении с ISA2006? Есть что нить действительно интересное, кроме как проверки http шлюза и обратки https (хотя https я лично не использовал, т.к. банальная проверка сертификатов в большинстве случаев не сильно помогает, а иногда и вообще зайти нельзя на самоподписанные..)

Добавлено:
ЗЫ изначально, из-за проблем с видео и Hyper-V пробовал виртуализацию Vmware server как программный вариант. Mssql умирал)

Может кто нить вкурсе, можно ли на хосте 2008R2 Сервера каким нить образом выставить разрешение рабочего стола для широкоформатного монитора?? Нужно выставить 1920 на 1080.

Стандартный видео драйвер майкрософта входящий в 2008R2 сервер не позволяет это сделать....

Сейчас используются видео ускоритель от ATI вместе с hyper-v = большие видео глюки. (задержки при cntr + alt + del, и тд)

Майкрософт дает решение проблемы простое - не используйте никакие видео ускорители (драйвера), при установленной роли hyper-v.

Так что единственное решение проблемы - найти способ стандартному vga драйверу майкрософта дать разрешение экрану 1920 на 1080.

Есть ли какие нить способы для этого??? Буду оч. благодарен за помощь.

Цитата:

Может кто нить вкурсе, можно ли на хосте 2008R2 Сервера каким нить образом выставить разрешение рабочего стола для широкоформатного монитора?? Нужно выставить 1920 на 1080.

Ставь родной драйвер видеоадаптера и в путь
У нас стоит ATI ES 1000, проблем с широкоформатом нет, по крайней мере по RDP.
P.S. Кстати, а может у тебя видеоадаптер в принципе данные разрешения не поддерживает? Если так, то меняй адаптер

Цитата:

Ставь родной драйвер видеоадаптера и в путь

Еще раз повторяю, тут стоит ati видюха, на нее драйвер ставишь и все шикарно работает на фулл скрин. 1920 на 1080.

НО!! почитайте документацию Hyper-V Видимо вы не сталкивались с такой проблемой. Hyper-V дает массу видео глюков, если использовать сторонний (отличный от стандартного VGA драйвера) видео ускоритель. Единственный путь решения глюков - удаление ускорителя. Так пишет msdn.

Вопрос в том, как заставить стандартный драйвер VGA (на Windows 2008r2), работать с широкоформаткой.

P.S. RDP вообще использует свой драйвер и при RDP Все замечательно без глюков. Но я спрашивал о другом.

Добавлено:
P.S. Чтобы понять о чем я вообще толкую, берете и устанавливаете свой драйвер от ATI и добавляете роль Hyper-V и сразу поймете о каких "глюках" я говорю Проверять без RDP - локально.

tysovwik


Цитата:

Вопрос в том, как заставить стандартный драйвер VGA (на Windows 2008r2), работать с широкоформаткой.

Вам не кажется что это отношение к исе не имеет!?


Цитата:

Вот и думаю, стоит ли вообще использовать новый TMG, если сетка расчитана человека на 20 под sharepoint (2007 естественно, железка 2010 не выдержит).

В этом случае не стоит. Получается избыточная функциональность при недостаточной производительности сервера.

Цитата:

Вам не кажется что это отношение к исе не имеет!?

Да я уже спрашивал, но никто не знает как менять..) Мож остались еще умные люди...

Так все же, ответа по TMG Так и не дали, что в нем вкусного появилось, если сравнить с ISA 2006? например как у него с защитой против атак извне, на томже уровне или лучше чем у ISA 2006? Кто уже ввел в эксплуатацию, отпишитесь.

- с какими проблемами столкнулись
- Как дела с производительностью
- Что получили нового для себя и сети, что удобно применять
- впечатления

tysovwik
1. Проблем замечено не было.
2. Так как ISA был на отдельной машине, а TMG сейчас на виртуале, то сложно сравнивать. Сейчас работает быстро.
3. Много новых фишек, но самое интересное, что вспоминается сразу, это встроенная система категоризации сайтов (зачастую работает не совсем верно, но это из-за того, что продукт вышел относительно недавно и со временем база будет более правильная), встроенная проверка на вирусы и разные вредные сигнатуры.
На самом деле есть еще масса вещей, которые улучшились или в принципе новые по сравнению с ISA.
4. Только положительные.

P.S. Можно посмортеть описание продукта на сайте Microsoft, там есть раздел что нового.

Вопрос был к тому, просто ISA 2006 крутилась себе на 1 ядре и 512мб оперативки и ничего не хотела))

для TMG выделил 1.5 гига и 1 ядро пока, думаю этого достаточно, если нету постоянной нагрузки сотен пользователей.

Стоит ли оставлять TMG и отдавать ей лишнее ресурсы, или предпочесть старый проверенный неприхотливый вариант из ISA2006...?)

tysovwik

Всё зависит от доступных ресурсов ПК, если ресурсы есть, то переходить стоит, если нету то и суда нету...

P.S. Лично я для себя пока не вижу смысла переходить на TMG, лишь по одной причине... слишком уж TMG охочь на ресурсы ПК по сравнению с 2006 исой.

подскажите профану...
имеется домен, сеть маршрутизируется CISCO и в ней же прописаны подсети(192.168.x-x.x)
имеется сервер с isa 2006.
и еще один сервер ставлю isa 2006 в домен.
но вот нужно DMZ на ней (с этим понятием только поверхностно знаком с сайтов, да по Шиндеру). у провайдера прошу еще 3 адреса (нужно web-публикация и др., сервера не вдомен!). втыкаю 3-карту.
локал: 192.168.x.x
inet: 212.x.x.x
DMZ: 10.0.x.x

Что требуется:
из инета вход на эти сервера по адресам, что выдал провайдер (в исе планирую настоить правила публикации)
из локал.сети вход на сервера по 10.x.x.x

Что сделал:
DMZ<>Inet - Nat
DMZ<>Local - Route
Правильно?

Компы ил локал.сети должен пинговать или видеть сервера в DMZ и наоборот? или надо маршруты добавлять какие-либо? или просто правила прописать?

Благодарю!

bahtey

Цитата:

Компы ил локал.сети должен пинговать или видеть сервера в DMZ и наоборот? или надо маршруты добавлять какие-либо? или просто правила прописать?

это ты должен решить нужно чтобы они видели друг друга или нет. обычно dmz на то и dmz чтобы не видеть локалку или видеть очень ограниченно (например фронтовый почтовик пересылает почту на бэковый, или сайт инет магазина обращается к sql серверу в локалке за данными)
поэтому исходить надо из своих задач и требований а не спрашивать абстрактные и непонятные вопросы на форумах
правила и маршруты нужны и есть всегда, тебе надо только выяснить надо ли дописывать что то дополнительно. это опять же зависит от поставленной задачи и от текущего положения дел

Нарыл на сайте софткея прогу для Microsoft Forefront Threat Management Gateway 2010 для квотирования трафика http://www.softkey.ru/catalog/program.php?ID=90592&CID=211 кто ставил на ISA 2000 2006 нормально ли она работает.

alex_drozd


Цитата:

Нарыл на сайте софткея прогу

Эта прога не единственная в своём роде, но у друга на работе работает уже так лет 5... сначало на 2000 исе, потом на 2006. На TMG пока не переходил.

P.S. Лично мне больше по душе Bandwidth Splitter, чем благополучно и пользуюсь.

У кого настроена связка "ISA2006+VPN"? Требуется подсказка небольшая.

Цитата:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwsrv\DependOnService:
- MSSQL$MSFW
- isactrl
- fweng
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\DependOnService:
- RpcSS
- fwsrv

RemoteAccess = auto
fwsrv = auto


Гляньте у себя, если не сложно, у всех идентичные настройки на серверах с ISA2006? У меня ни с того ни с сего RRaS перестал нормально стартовать (работало всё годами), тормозит после каждого ребута, не даёт загрузить сервер (висит на "Applying Computer Settings"), потом минут через 15 служба тупо отрубается, и "fwsrv", соответственно, благополучно умирает ещё до логона. Как результат - очень мёртвая сеть.


В журналах из следов только "21199" и "14104". Делал так:

Цитата:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwsrv\DependOnService:
- MSSQL$MSFW
- isactrl
- fweng
- RemoteAccess
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\DependOnService:
- RpcSS

... и так:

Цитата:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwsrv\DependOnService:
- MSSQL$MSFW
- isactrl
- fweng
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\DependOnService:
- RpcSS

... не помогло.