» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

На Win2003+ISA2006 есть правило публикации RDP, перенаправляющее на другой сервер.
Оно работает, если этот "другой сервер" работает по Win2003. А если он под Win2008 - не работает.

Как таковое RDP подключение к Win2008 (из другой машины) работает.

В чём может быть трабл?

TALLII
на исе нет, она и так прекрасно знает кто где, а ври на клиентах придется.
ps как ты впн клиентам выделишь пул 192.168.0/24 если он у тебя в локалке определен?

Добавлено:
Markes
а почему ты думаешь что виновата иса? возможно на твоем 2008ом серваке что то не настроено, какой нить свой фаер или тупо не указан шлюз по умолчанию

hardhearted
Я не до конца понемаю настройку впн-а, делаю вот по этой инструкции. http://www.redline-software.com/rus/support/articles/isaserver/config/configuring-pptp-vpn-tmg.php
Получается сделать так, на сервере делаю впн подключение, с вин хр, подключаюсь, но мне нужен или тунель, или както объединить 2 сервера.
Мб я чтото не так понял, у меня есть 2 сервера, один имеет статический адрес, второй удалённый динамический, мне нужно объединить две сети. Подскажи пожалуйста как реализовать впн через ису. И нужен ли статический айпи второму серверу ?

hardhearted

Цитата:

а почему ты думаешь что виновата иса?

Я не уверен. Сюда пишу с надеждой, что кто-то сталкивался
Фаер выключен. Сам по себе сервер пускает по RDP, но по правилу через ISA - в никакую.

TALLII

Первая ошибка это это настройка LAN - Ethernet адаптера.
должно быть следующее:
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : IP внутреннего DNS сервера, никакого замыкания на себя типа 127.0.0.1 быть не должно и не может!
Поле альтернативного DNS должно быть пустым или там должна быть запись внутреннего DNS сервера!

INTERNET - Ethernet адаптер:
IP-адрес . . . . . . . . . . . . : 86.xxx.xxx.xxx
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз . . . . . . . . . . : 86.xxx.xxx.x
DNS-серверы . . . . . . . . . . . : Никаких DNS тут не должно быть, совсем никаких!

P.S. Настройка сетевых интерфейсов для ISA сервера.

Markes
приведи правило публикации, проверь протокол указанный там и порты

anton04


Цитата:

Первая ошибка это это настройка LAN - Ethernet адаптера.
должно быть следующее:
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : IP внутреннего DNS сервера, никакого замыкания на себя типа 127.0.0.1 быть не должно и не может!
Поле альтернативного DNS должно быть пустым или там должна быть запись внутреннего DNS сервера!

Поставил днс провайдера. Альтернативный пустой.

Цитата:

INTERNET - Ethernet адаптер:
IP-адрес . . . . . . . . . . . . : 86.xxx.xxx.xxx
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз . . . . . . . . . . : 86.xxx.xxx.x
DNS-серверы . . . . . . . . . . . : Никаких DNS тут не должно быть, совсем никаких!

У меня Экченж крутится на этой машине, убрать днс-ы не могу, т.к. почта ходить перестанет!

Ребята, я настроил ИСУ на приём, тоесть с WIN XP подключаюсь свободно, и всё работает, а вот как создать мост со вторым сервером не имеющего статического айпишника понять не могу.
И нужно ли ставить сертификаты на L2LP на винде?

Всем привет. Help. Вторые сутки не сплю...

Был сервак с MS ISA 2000Ent (наследине, ентерпрайс то и не нужен то был). Начал подыхать. По случаю решил поставить по уму и заново. Выбрал вариант W2K3+ISA 2006Std.
Правил много, перенес аккуратно все ручками. Схема сети проста - "интернет-ISA-локалка". Через ISA публикуется с десяток внутренных ресурсов (сайты, FTP, почтовик - сервера находятся во внутренней сети)...
Ко всему еще куча правил на ограничение доступа юзерам (в основном по группам IP и немного по группам из АД)...

Проблема в том, что по некоторым соображениям мне нужно обойтись без разворачивания на юзерских машинах FWC. И если с IE все понятно (прописал использовать прокси) и интернет есть, то с остальным беда. Куча программ (ICQ / Bat / Client-Bank / RDP...) без установки FWC не работают вообще...
Траффик мне считать не нужно, то, что в логах будут Анонимуся - не проблема....
Как заставить ISA пропускать приложения напрямую???

Спасибо большое заранее.
Голова совсем уже не варит..., не пинайте сильно!

Всем привет,

дайте пожалуйста совет - можно ли прикрутить через ISA баннер ко всем отдаваемым сайтам?
Подробно:
Хочу создать правило при котором сотрудник набирает имя сайта, а ISA ему отдает сайт с баннером. Хочу поздравлялку прикрутить на 8е марта.

UstasBy
если локалка - это всего одна подсеть, то делай ИСА-сервер шлюзом.
если у тебя несколько подсетей, то без FWC ИСА будет работать только как WEB-прокси со всеми вытекаюшими ограничениями


BujhmV
насколько помню можно редиректить только всю страницу целиком.

ПС: я лично всем обои поменял на открытку поздравительную через ГПО

BujhmV
нет, иса же не веб сервер чтобы заниматся прикручиванием банеров
можешь запретить все сайты с редиректом на какую либо страницу
либо можешь действительно взять SDK и написать свой web filter для исы который будет менять отдаваемый контент
я бы не занимался бы таким извратом а тупо поставил бы страницу поздравлялку через политику в качестве стартовой для браузеров

TALLII


Цитата:

Поставил днс провайдера. Альтернативный пустой.

Если у Вас есть внутренний DNS (даже если у тебя он на машине с исой) должен стоять IP внутреннего DNS. Если у Вас вообще нет DNS сервера тогда подними его и не мучайся.


Цитата:

У меня Экченж крутится на этой машине, убрать днс-ы не могу, т.к. почта ходить перестанет!

С чего это она ходить перестанет!? Она перестанет у Вас ходить только если у тебя неправильно настроены маршруты и DNS и не сделаны правила публикации для него в исе.

P.S. Приведите подробную архитектуру своей сети (лучше в картинке), если ли AD, где стоит почтовик, где DNS, какие сетевые настройки заданы на серверах. В общем всё. Похоже у Вас каша ещё та, без подробной архитектуры я даже больше ничего рекомендовать не стану. Просто бесполезно.

anton04

Цитата:

Если у Вас есть внутренний DNS (даже если у тебя он на машине с исой) должен стоять IP внутреннего DNS. Если у Вас вообще нет DNS сервера тогда подними его и не мучайся.

Внутрений днс, это вы имеете ввиду свой внутрений IP самого же сервера.

Мой Сервер. Вин 2003, АД, DNS, Иса 2006, Экченж, ФТП, ТрафикИнспектор, маршрутизация NAT. Через ису опубликован Экченж, ФТП, OWA.

Локальные настройки
IP-10.0.0.1
маска-255.255.255.0
DNS-127.0.0.1 <<<-----было так.
Внешние настройки.
IP-86.111.ххх.ххх
Маска-255.255.255.254
Шлюз-86.111.ххх.ххх
ДНС-провайдера
Альтернативный-провайдера.


Цитата:

С чего это она ходить перестанет!? Она перестанет у Вас ходить только если у тебя неправильно настроены маршруты и DNS и не сделаны правила публикации для него в исе.

Всё работает и уже не один месяц, поднимал сам всё с нуля.
Если убираю ДНСы провайдера, то почта не уходит и не приходит, в журнале куча ошибок.
anton04 спасибо что уделяете своё время!

TALLII
все-таки правильнее было бы настраивать ДНС в сетевых интерфейсах на самого себя.
достаточно просто в настройках службы ДНС указать адрес ДНС провайдера в форвардах

TALLII

Цитата:

У меня Экченж крутится на этой машине, убрать днс-ы не могу, т.к. почта ходить перестанет!

И у меня Exchange на этой машине. Я наплевал на все инструкции типа "Настройка сетевых интерфейсов для ISA сервера", указал на внешнем интерфейсе днс провайдера, а на внутреннем свой днс сервер. Все работает как часы!

Цитата:

raizo

Цитата:

если локалка - это всего одна подсеть, то делай ИСА-сервер шлюзом.
если у тебя несколько подсетей, то без FWC ИСА будет работать только как WEB-прокси со всеми вытекаюшими ограничениями

Упс... у меня в Internal добавлено два диапазона подсетей.... 192.168.0.*/192.168.100.*
где 192.168.0.1 - внутренний интерфейс ISA,
Подсеть 192.168.100.* подключена в мою сеть через виндовый компо-маршрутизатор...

Настройки сети ISA:
Внутренний:
IP 192.168.0.1
MASK 255.255.255.0
GATE NONE
DNS1/DNS2 - IP обоих DC

Внутренний:
IP 192.168.1.2
MASK 255.255.255.0
GATE 192.168.1.1 (адрес модема)
DNS1/DNS2 - NONE

Естественно как DefaultGateway он выставлен на всех клиентских компьютерах в настройках сетевых адаптеров...
Cоздавал правило на разрешение траффика по выбранным протоколам из Internal для диапазона внутренних IP в External Network для AllUsers, ставить его в самый верх. Проблема не решилась...

TALLII

Внутренний DNS это IP адрес DNS сервера Вашей локальной сети, внешний DNS это IP адрес внешнего DNS сервера вашего провайдера.

P.S. Вообще-то я бы крайне не рекомендовал на машину с исой ставить ещё что-то. Совет: выделите иса сервер на отдельный ПК.

SergeyMark

Цитата:

Я наплевал на все инструкции типа

Наплевать вы можете на всё что хотите, но это не значит что так правильно, книги про ису пишут люди знающие её от а до я (или от a до z) и притом участвующие в её создании, так что если вы не понимаете зачем что-то нужно делать так это не повод поступать вопреки этому.

hardhearted

Цитата:

тупо не указан шлюз по умолчанию

Указан, но не тот. "Починил"

anton04

Цитата:

Внутренний DNS это IP адрес DNS сервера Вашей локальной сети

Проще говоря, это айпи-адрес внутринней сетевой карты сервера!, а не 127.0.0.1


Цитата:

P.S. Вообще-то я бы крайне не рекомендовал на машину с исой ставить ещё что-то. Совет: выделите иса сервер на отдельный ПК.

Я прошу прощения, совет дельный не спорю, да и сам знаю по опыту что экчеж с исой работают жуть как не стабильно, но т.к. кризис в стране, бюджетирование обрезано ИТ-отделу до нимагу, если не сказать вообще практически ноль, приходиться выходить из ситуации, из того что имеем, поэтому на одной машине крутится очень много сервисов, при чём, машинка далеко не бюджетный вариант, но тянет.
Вопрос всё же по ВПН-у, могу ли я организовать ВПН с одной стороны имея статический айпи, со второй стороны динамический, только нужен не просто ВПН а тунель, как я понемаю, для соединения двух сетей между собою.?
Обычный ВПН на исе сделал за 5 минут, а вот тунель не получается, пишит что подключиться получилось а не прошёл проверку L2LP сертификат, вообще, нужен ли этот сертификат и ставить его на винду или на ису?

anton04

Цитата:

Наплевать вы можете на всё что хотите, но это не значит что так правильно, книги про ису пишут люди знающие её от а до я (или от a до z) и притом участвующие в её создании, так что если вы не понимаете зачем что-то нужно делать так это не повод поступать вопреки этому.

Проблема в том, что кроме умных людей, которые пишут умные книги, есть еще руководители. А эти руководители книг не читают. Но точно знают, что два сервера дороже одного. Вот и приходится выкручиваться.

Цитата:

Проще говоря, это айпи-адрес внутринней сетевой карты сервера!, а не 127.0.0.1

Да. Если DNS (который обслуживает внутреннюю зону) у Вас стоит на иса сервере.


Цитата:

Вопрос всё же по ВПН-у, могу ли я организовать ВПН с одной стороны имея статический айпи, со второй стороны динамический

Можете.


Цитата:

Обычный ВПН на исе сделал за 5 минут, а вот тунель не получается, пишит что подключиться получилось а не прошёл проверку L2LP сертификат, вообще, нужен ли этот сертификат и ставить его на винду или на ису?

Подсказка: запускаете консоль исы и нажимаете F1, далее "Поиск" и набираем "VPN", я думаю от туда можно много чего полезного под черпнуть

SergeyMark


Цитата:

Проблема в том, что кроме умных людей, которые пишут умные книги, есть еще руководители. А эти руководители книг не читают. Но точно знают, что два сервера дороже одного. Вот и приходится выкручиваться.

Выкручиваться Вы можете сколько угодно, но подталкивать людей к заведомо неправильным поступкам не стоит. По крайнем мере над этим стоит задуматься.

А что за фигня может быть, когда ручным назначаю статический IP, и пытаюсь поключится к ISA 2006, при регистрации компьютера в сети выдает ошибка: "Ошибка 720".
А если назначать динамический у интерфейса VPN (у клиента) то все нормально подключается.
IP адреса свободны и находится в правильном пуле.

Здравствуйте! Есть ISA 2006 на контроллере домена с двумя сетевыми интерфейсами. Возникла проблема с просмотром некоторых сайтов. Конкретно сайт - www.basegroup.ru, открывается главная страница и ещё ссылка "Образование", при попытке перейти по другим ссылкам прорисовывается верхняя часть страницы и меню и дальше в строке состояния обозревателя - ожидание... Обращалась к коллегам, у кого нет ИСЫ - у тех всё нормально, а у кого ИСА - та же песня (они говорят "может сайт как-то написан..."). Может кто попробует у себя сходить на этот сайт, а потом расскажет. А если у Вас работает, то в чём может быть проблема?

anton04

Цитата:

Выкручиваться Вы можете сколько угодно, но подталкивать людей к заведомо неправильным поступкам не стоит. По крайнем мере над этим стоит задуматься.

Согласен. Задумаюсь.

tata sava
И у меня ISA 2006, сайт - www.basegroup.ru загружается правильно. Ни каких ошибок. Заходил тремя браузерами: Opera, Mozilla Firefox, Google Chrome.

Добавлено:
tata sava

Цитата:

Есть ISA 2006 на контроллере домена с двумя сетевыми интерфейсами.

Есть книга "Справочник администратора Microsoft Windows Servwer 2003", авторы - Чарли Рассел, Шарон Кроуфорд, Джейсон Джеренд. На странице 1095 нписано:"Внимание. Не устанавливайте ISA Server на контроллере домена."

tata sava

Скорее всего у Вас стоит какой либо антивирусник, или фильтр для исы. Так же рекомендую посмотреть логи при коннекте к этому сайту.

P.S. Никаких проблем с отображением сайта www.basegroup.ru не наблюдаю.

Спасибо всем, кто ответил.


Цитата:

Есть книга "Справочник администратора Microsoft Windows Servwer 2003", авторы - Чарли Рассел, Шарон Кроуфорд, Джейсон Джеренд. На странице 1095 нписано:"Внимание. Не устанавливайте ISA Server на контроллере домена."

Это не специально так получилось, просто сервер всего один. А DC тоже нужен.

tata sava
думаю, размеры конторки таковы что под сервак хватит обычного компа (по опыту сервак на P4 +1гб памяти спокойно тянул ису на 100 юзерей и целиком обеспечивал 10мбит канал), а стоит это совсем немного по сранению со стоимостью исы
если приспичило ставить все на один сервак то у мелкомягких есть решение SBS 2003 premium, в нем есть специальные визарды по настройке всего на одном серваке

hardhearted

Цитата:

думаю, размеры конторки таковы что под сервак хватит обычного компа (по опыту сервак на P4 +1гб памяти спокойно тянул ису на 100 юзерей и целиком обеспечивал 10мбит канал), а стоит это совсем немного по сранению со стоимостью исы

Для ещё одного сервака на обычном компе нужен ещё одни обычный Server (в смысле ПО).
А его не предвидится (всё д.б. лицензионное, по академической лицензии не так дорого, хотя можно было и ещё сэкономить). Поэтому всё на одном.
И всё в общем работало и работает, пока не попался этот сайт (www.basegroup.ru), хотя вот у людей проблем не возникает, как пишут выше. Я просила соседей проверить из своей сети (у них всё по правилам установлено, иса на отдельном агрегате), у них тоже сайт не открывается по-нормальному.
Чем всё-таки можно объяснить???

tata sava

Цитата:

у них тоже сайт не открывается по-нормальному.
Чем всё-таки можно объяснить???

Нет уверенности, что ISA Server здесь виноват. Попробуйте у себя подключиться к интернету без ISA Server. Поробуйте разные броузеры. Убедитесь что в системе установлен flash_player.

tata sava
алертов никаких нет на исе?