» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

anton04
Установлен антивирус касперского для ISA и касперский enterprise edition. Из строрнних программ только Internet Acess monitor.

Цитата:

Регулирование правил относящихся к локалхосту осуществляется в системной политике иса сервера

Где посмотреть эту политику? Уже все перерыл.

Заметил что процесс sqlservr.exe в памяти постоянно растет, к концу дня вообще съедает всю оперативную память - порядка 2,1 Гбайт памяти отжирает и свапинг задействует на 50 проц, нашел решение здесь http://support.microsoft.com/?id=909636
Все сделал как написано - но это не помогло процесс как продолжает расти так и растет, пробывал хранить журналы прокси и firewall в текстовых файлах а не в MSDE все равно ситуация та же, кто-нить сталкивался с этим ?

это понятно, что сторонний продукт, но тк я не нашел по нему ничего на форуме, и он все-таки для исы, решил спросить сдесь, вдруг кто-то пользовался...

а если нет, то может кто-то подскажет как анализировать логи?
мне нужны отчеты кто когда, куда потратил выделенный для работы трафик
кто какими средствами решает?

artemk

Цитата:

а если нет, то может кто-то подскажет как анализировать логи?
мне нужны отчеты кто когда, куда потратил выделенный для работы трафик
кто какими средствами решает?

Самый лучший вариант Internet Access Monitor http://forum.ru-board.com/topic.cgi?forum=35&topic=15782&glp

JekaRus

Цитата:

Не понятно с чего вдруг скачалось 29 метров с IP 92.123.155.141 который принадлежит Akamai Technologies

весьма вероятно что это windows update, он тоже там хостится

vinspils

Цитата:

пробывал хранить журналы прокси и firewall в текстовых файлах а не в MSDE все равно ситуация

так ты когда логи в другой формат переключаешь сноси или выключай msde целиком

Цитата:

весьма вероятно что это windows update, он тоже там хостится

Windows Update на 4 гига за час? Не многовато ли? Тем более что все обновления настроены через всус.

JekaRus
еще adobe через них работает, и некоторые другие. смотри по логам какие конкретно урл лезут. если лезут клиенты через fwc то в в поле агент можно увидеть приложение

Цитата:

hardhearted : так ты когда логи в другой формат переключаешь сноси или выключай msde целиком

hardhearted вот здесь пробывал прибить сервис mssql$frw msde-новский как только его вырубаю выключается межсетевой экран - там в службах зависимости прописаны, как быть тогда ?

JekaRus


Цитата:

Установлен антивирус касперского для ISA и касперский enterprise edition. Из строрнних программ только Internet Acess monitor.

Сторонние программы это всё что не является исой! Каспер и IAM это сторонние программы


Цитата:

Где посмотреть эту политику? Уже все перерыл.

Плохо рыли, правой кнопкой по "Политика межсетевого экрана"
По умолчанию в исе стоит правило системной политики разрешающее подключение к windows update с локалхоста.

artemk


Цитата:

то может кто-то подскажет как анализировать логи?

Попробуй посмотреть тут.

Как в ISA настроить dns forwarding, при этом без ввода конкреных dns-доменов? Я когда kerio настраивал, так там без всякого ввода доменов все форвардится. А здесь откуда я знаю что писать?
Читал инструкцию, взятую с http://www.elmajdal.net/isaserver/Internal_DNS_Forwarding.aspx
Смутил 3-й пункт.

rdenk1
В смутившем Вас пункте говорится о пересылке в зависимости от домена/зоны, в керио тоже реализовано. Если необходимо пересылать ВСЕ запросы, то оставьте как есть.

Я понял. Вроде работает, но только видео с ютюбе не показывает на р/станции, только на сервере, при этом правила доступа одинаковые для обоих.

rdenk1
иса то тут причем, она dns не занимается она файрвол все таки и ее дело пропускать трафик или нет.

добрый день.

Есть домен, 5ть контроллеров домена, в головном офисе 2а + на филиалах по одному, филиальские контроллеры в своих сайтах подсети на сайтах указаны. Соединяются основной сервер isa2006(на реальной машине) и филиальские с помощью isa2006 и tmg2010 (на виртуальных машинах hyper-v), все вроде как работает, но раз в неделю бывает (иногда 2 раза, закономерности никакой нету) на филиальских точках, только где установлен tmg2010 пропадает связь, в RRAS пишет connected, отключаешь соединяется снова, но пакеты не ходят, при этом когда начинаешь пинговать с филиальской точки сервера основного офиса то пишет что-то типа hardware error в ipconfig нашёл такую штуку выделено жирным:


Windows IP Configuration

Host Name . . . . . . . . . . . . : BOBRUISKISA
Primary Dns Suffix . . . . . . . : bpx.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : bpx.local

PPP adapter inet:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : inet
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 999.999.999.999(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 0.0.0.0
DNS Servers . . . . . . . . . . . : 999.999.999.999
999.999.999.999
NetBIOS over Tcpip. . . . . . . . : Disabled

PPP adapter RAS (Dial In) Interface:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : RAS (Dial In) Interface
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 103.10.10.13(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter local:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Virtual Machine Bus Network Adapter
Physical Address. . . . . . . . . : 00-15-5D-F5-EA-0E
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 103.10.10.10(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 103.10.10.1
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter internet:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Virtual Machine Bus Network Adapter #2
Physical Address. . . . . . . . . : 00-15-5D-F5-EA-11
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.3.2(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Enabled

PPP adapter bobruiskmoscow:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : bobruiskmoscow
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.10.10.60(Deprecated)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Enabled

делаю реконнект ничего не помогает, выдаёт другие ip но всё равно DEPRECATED, помогает только перезагрузка виртуальной машины с tmg2010 после перезагрузки пишет тоже - Preferred и всё работает.

Такое происходит только в филиалах где установлен tmg2010, там где isa2006 такого не происходит. Инициаторов соединения менял с основоного на филиальский - не помогает. В гугле тоже ничего не нашёл, подскажите куда копать.

Заранее благодарен

Надо полагать жирным выделены девятки или deprecated? В логах ос что-нибудь пишет? А если DHCP поюзать для раздачи IP для VPN? Логично предположить что тупит либо Hyper либо TMG.

Не хочу показаться старым пердуном помешанном на секурности, но может всётаки шлюзы устанавливать строго на железки, используя одинаковые сетевухи и софт одинаковой версии.

Road Runner J

Цитата:

Не хочу показаться старым пердуном помешанном на секурности, но может всётаки шлюзы устанавливать строго на железки, используя одинаковые сетевухи и софт одинаковой версии.

Такие "железки" есть в продаже. Их производят несколько фирм. Покупайте и пользуйтесь.

SergeyMark

Цитата:

Такие "железки" есть в продаже. Их производят несколько фирм. Покупайте и пользуйтесь.

Имелось ввиду использование не виртуальных(ввиду возможной компрометации самого гипервизора, по этому поводу можно сильно не умничать, сам знаю что это мало вероятно), а реальных "железок", серверов, дэсктопов, компов интерпретируйте как угодно. Ничего личного, ни в коем случае не хотел ущемить чьи-либо права и предпочтения. Используйте что угодно, то было всего лишь личное мнение.

Ребята, поделитесь у кого есть анализатор логов isa 2006 se для MSSQL или может какие платные утилитки есть.

Ситуация такова:

Windows Server 2003 Standart R2
ISA 2006 Standart

С небольшой периодичностью пропадает интернет (через внешнюю сетевуху перестает идти трафик, при этом внутренние передают нормально). Для того чтобы его включить заново приходится отключать сетевуху, а потом включать заново.

При этом никаких ошибок в логах не пишется. В чем проблема? Кто знает?

vinspils

см. тут.

PRiM


Цитата:

В чем проблема? Кто знает?

В сетевухе, дровах или на крайняк в винде. Иса тут точно не приделах, так что обращайтесь в другой раздел.

Ребят, проблема при установке ISA 2006 Server пишет "ошибка при создании хранилища ISA Server 2006", как с этим бороться кто знает? Windows Server 2003 R2 SP 2 EN. Установлен на виртуальной машине из под XEN.

evilmorfey

ISA какая? Standard или Enterprise?

Standard
Может есть смысл Enterprise поставить?

evilmorfey

При установке, что выбираете где хранить логи? MSDE или текстовые файлы?


Цитата:

Может есть смысл Enterprise поставить?

Если есть для Вас смысл ставьте... у меня двух выходов в интернет нету, да и пользователей не 1000...

P.S. И вообще см. логи винды после возникновения этой ошибки и описание этой ошибки сюда.

Проблему решил. Оказывается ИСА отказывается ставиться на компьютер с одним сетевым интерфейсом. добавил второй и всё заработало. И ведь нигде это не описано!

evilmorfey
System Requirements


Цитата:

Other Devices    
Network adapter (1?) that is compatible with the computer's operating system for communication with the internal network; one additional network adapter, modem, or ISDN adapter (2?) for each additional network connected to the ISA Server computer.

One additional network adapter is required for intra-array communications for ISA Server 2006 Enterprise Edition integrated NLB.

Есть ли какая либо реальная информация о производительности пропускной способности (еще лучше - поверсионно)?

5555555
цифр точных не видел, и вообще точн опосчитать нельзя - сильно зависит от железа, левого софта и настроек.

Как заблокировать доступ ко всем сайтам в которых есть слово chat? Добавление в запрет http://*chat* не помогает.

контентный фильтр