» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Цитата:

И еще вопрос не по теме, сколько 1 комп может выкачать обновлений за месяц?

Если юзера есть доступ в интернет, но нет админских прав на установку обновлений, качать может до бесконечности. Я из-за этого перекрыл юзерам доступ к серверам макромедия и адобе.

anton04
Я им пользуюсь не 1 год все в порядке и всегда сходится с расхождением небольшим по статистике провайдера...

invip
а ты трафик по каким логам считал? если по файрвол то весь отпроксированный трафик будет светиться от исы, прокси трафик надо считать по прокси логам.

invip


Цитата:

Я им пользуюсь не 1 год все в порядке

Я им то же пользуюсь и не один год, а так лет так 5 минимум... и расхождения всегда есть и будут, т.к. баги никто не отменял, а за это время ProxyInspector закрыл кучу багов в том числе и относящихся к неправильному подсчёту трафика, собственно вся история есть на оф. сайте.

Возникли грабли с Исой 2006. Есть нестандартный конфиг домен 2003r2 + отдельно иса тоже в домене. На контроллере крутится стандартный сайт для подачи заявок на получение сертификата работающий через ISS 6 только по проколу https на 443 порту режим проверки подлинности "краткая проверка для серверов доменов windows" -> область указан локальный домен в безопасных подключениях сгенерирован сертификат для сайта. На исе рулесы внутри локалки разрешено все, инет - все протоколы из вкладки веб + создано правило для публикации сайта с конфигом: откуда->везде, куда ->ip контроллера + название веб узла «sertificate.bank» , трафик ->HTTPS, создан прослушиватель с конфигом: [сети->внутреняя+лк, подключения -галка напротив подключения ssl порт 443, сертификаты сгенирован сертификат на имя «sertificate.bank» и он выбран как единый, проверка подлинности->проверка подлинности ssl-сертификат клиента в дополнительно ->список довер. серт. выбран пункт ->принимать любые сер-ты, во вкладке настройка проверка подлинности - выбран пункт "требовать проверку у всех пол-ей" (кстати может кто в курсе как включить - домен проверки подлинности так как он неактивен)], внешнне имя ->запросы к следующим веб узлам добавлен "sertificate.bank", пути -/*, использование моста ->веб-сервер-порт 443,(кто знает как сделать сертификат который бы появился в пункте использовать сер-т для проверки подлинности SSL на веб сервере - так как серт на сам сайт есть в доверенных указан серт контроллера, а это что за приблуда для чего его генерить ) пользователи - просшедшие проверку, делегирование ->без, но клиент может ,преобразование ссылок ->стоит галка применить(рапорт сгенерированый браузером:{ Внешнее имя: sertificate.bank

Исходный URL-адрес Преобразованный URL-адрес Сведения о сопоставлении Один веб-прослушиватель Общий DNS-суффикс Имя массива
http://sertificate.bank:80 https://sertificate.bank Определенное правилом: sertificate.bank
http://sertificate.bank https://sertificate.bank Определенное правилом: sertificate.bank
https://sertificate.bank:443 https://sertificate.bank Определенное правилом: sertificate.bank
https://sertificate.bank https://sertificate.bank Определенное правилом: sertificate.bank }

На клиентах стоит wfc.

Главный прикол инет получается от линуха а именно squid/2.6.STABLE20+ICAP в веб цепочке в действиях указан перенапрвлять на высше указаный сервер тоесть проксю которая требует авторизацию обычную - все данные введены;(на проксе есть фича типа логин привязан к ip), резервный маршрут -напрямую в нет с возможностью делегирования , во вкладке исп-ие моста -перенапрвлять ssl запросы как ssl, http как http.

Собственно трабл: доступа к линуху нет - чтоб править его конфиг, доступа к сайту нет при включенном прокси исы ерор:
ОШИБКА
Запрошенный URL не может быть доставлен

--------------------------------------------------------------------------------

Во время доставки URL:
sertificate.bank:443

Произошла следующая ошибка:

Невозможно определить IP адрес узла
Сервер адресов ответил:

DNS Domain '

Были попытки указать сайт в файле хост, добавить в исключения браузеру, добавить через proxycfg:

Настройка текущих параметров прокси WinHTTP:
HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\
WinHttpSettings :

Прокси-сервер: 192.168.232.209 -(иса)
Список обхода : [sertificate.bank]

Доступа нет ни из своего внутренего диапазона ip а именно 192.168.232.0/24 + с компов которые в домене, но есть доступ с компов которые не в домене которые исп-т проксю линуха но в исключених добавлен этот сайт + указан доп. днс а именно контроллера, основной -для других целей в файле хост записи нет. Если на тазиках домена убрать проксю сайт работает во всех сетях так как настроен в днс.

Есть идея но пока не реализована стоит ли ее воплащать в жизнь, а именно поднять еще одну ису с тем же конфигом но в браузере указать в параметрах прокси сервера для secure - адресс второй исы. Необходимо чтоб был инет от прокси с исой 1 + работал сайт. Задам ламерский вопрос где рыть, куда копать или где мои грабли?

P.S. при отправке поста у вас выкотилось /home2/forum/forum.ru-board.com/data/boardstats.cgi did not return a true value at /home2/forum/forum.ru-board.com/post.cgi lin
For help, please send mail to the webmaster (root@host1), giving this error message and the time and date of the error.

byhlym
ничего из этого бреда не понял )

Цитата:

прослушиватель с конфигом: [сети->внутреняя+лк

зачем ты публикуешь сервер для внутренней сети? обычно публикация нужна чтобы сделать ресурс доступным для внешней

Цитата:

проверка подлинности->проверка подлинности ssl-сертификат клиента

Цитата:

кстати может кто в курсе как включить - домен проверки подлинности

для твоего метода проверки пользователей домен не включается ибо не нужен. домен пишется только для http и form

Цитата:

кто знает как сделать сертификат который бы появился в пункте использовать сер-т для проверки подлинности SSL на веб сервере

это нужно только когда твой веб сервер требует сертификат клиента, тогда для исы надо выпускать сертификат которому веб сервер будет доверять.
по всему остальному непонятно чего ты хочешь добиться. если сайт внутри то внутренние пользователи должны на него ходить напрмяую, и иса тут не при делах.

Господа помогите в решении задачи:

Поставили цель посмотреть логи одного человека, куда и когда он заходил в интернет. Не подскажите куда нажимать ? Я просто с ISA не работал, а того кто знает сейчас нема. Очень нужно, выручайте. ISA у нас 2006.

Цитата:

зачем ты публикуешь сервер для внутренней сети? обычно публикация нужна чтобы сделать ресурс доступным для внешней

Для меня внешняя сеть это автономные адресса с диапзона 192.168.0.0-192.168.255.255, кроме 192.168.232.0/24


Цитата:

если сайт внутри то внутренние пользователи должны на него ходить напрмяую, и иса тут не при делах.

Я сам удивляюсь почему не ходят, повторюсь в браузерах у клиентов которые в домене включен прокси исы которая перенаправляет весь трафик на проксю линуха. Необходимо сделать желательно настройками только исы чтоб они попадали на сайт желательно через один браузер а именно IE. Трабл в том что при переходе на сайт у них выпадает сообщение:

ОШИБКА
Запрошенный URL не может быть доставлен

--------------------------------------------------------------------------------

Во время доставки URL:
sertificate.bank:443

Произошла следующая ошибка:

Невозможно определить IP адрес узла
Сервер адресов ответил:

DNS Domain '

то есть не срабатывает перехват запроса а именно прослушиватель косячит я так думаю, и странно что не срабатывает исключение в браузере. Так как сообщ-ие это от линуховой прокси, по-этому я и думаю поднять вторую ису но уже без перенаправления трафика на линух чтоб прописать ее как secure proxy. Вход на сайт должен контролироватся исой а не web-сервером по-этому обычный вход не используется.


Цитата:

hardhearted

- спс за объяснение по сертификатам

Kacblm
идешь в monitoring - logging и справа смотришь настройки логов, если нужны сайты то тебе интересны proxy logs
из настроек узнаешь куда и как складываются логи
дальше в зависимости от типа
если текстовик то можешь глазами смотреть текстовый файл, либо анализировать его левыми тулзами, например когда мне надо было посмтотреть что то особо, чт ов стандартных анализоторах не видно, то я юзал микрософтовский logparser
если sql то похожиме методы: левые аналайзеры (под скуль их меньше) либо своим запросом select...

Хочу устранить давнее неудобство. От момента загрузки Windows 2008 до запуска служб Forefront TMG проходит примерно 6 минут. В это время почти постоянно горит светодиод HDD.
За минуту до запуска тех самых служб, в журнале событий приложений есть событие:
"Cчетчики производительности для службы WmiApRpl (WmiApRpl) успешно загружены. Данные записи в секции данных содержат новые значения индексов, назначенные этой службе."
Не это ли событие занимает такое количество времени?
Что можно сделать? Подскажите, пожалуйста.
Памяти на сервере - 2Гб, процессор - двухъядерный Атлон.

John_Doe_72

Ну уж это к TMG всяко отношения не имеет.

Сегодня после перезагрузки опять слетели PPTP порты.

Вообщем надоело мне с Исой бодаться, включил L2TP порты с предварительным ключом, т.к. сертификатов пока нет.

Подробнее:

На исе!

Управление ISA сервер -> Виртуальные частные сети -> 3. Проверить свойства VPN - ставим галочку Разрешить протокол L2TP/IPSec.

3. Конфигурация удаленного доступа -> Проверка подлинности - ставим галочку Предварительный и вводим ключ.

Применяем все изменения. L2TP порты в RAS-е должны появится.

На клиенте!

Заходим в свойства созданного VPN-соединения -> Сеть - тип VPN выбираем L2TP IPSec VPN -> Безопасность - Параметры IPsec -ставим галочку и вводим ключ.

Жмем ок.

Все.

Это просто издевательство...
VPN через L2TP проработал до первой перезагрузки... Теперь соединять просто не хочет...
Зато PPTP порты опять появились.

PRiM

Логи, то что говорят!?

hardhearted
подскажите пожалуйста,как зарубить торрент через ИСУ 2006.
Небольшая сеть на 30 машин, сервер 2003 с исой.
стоит задача порубить всяких фейсбуков онлайн игр и пр торрентов, штобы интерент задышал.
Всем спасиб,кто откликнется, просто только сел за сабж, опыта мало, советы бесценны.
Ps с сайтами разобрался, торрент не нашел пока
[more]http://server-news.ru/net/netstat/1105-blokirovanie-opasnyx-sajtov-s-pomoshhyu-naborov.html[/more]

anton04
Вам которые логи показать?
Иса соединения пропускает, все нормально.
Я IPsec монитор врубил, там отображается соединение, но согласовать по ходу не может.

anton04

Цитата:

John_Doe_72
Ну уж это к TMG всяко отношения не имеет

Не прав, однако. Файлов логов TMG накопилось больше 20 Гигов...

AQAQ

Торенты можно рубить или с помощью запрета запуска программ (GPO) или с помощью шейпера трафика, т.е. ограничивать трафик (в исе встроенного нет, поэтому только сторонние дополнения)...

PRiM


Цитата:

Вам которые логи показать?

Мне нужны логи которые отображают момент когда не хочет соединятся VPN по L2TP или PPTP.

John_Doe_72


Цитата:

Не прав, однако. Файлов логов TMG накопилось больше 20 Гигов...

В чём не прав!? Что у Вас логов накопилось 20 гигов!? ну так иса, то тут причём!? Она пишет всё что ей сказано... Или в том что у Вас производительность сервера от этих 20 гигов логов падает в никуда!? Ну так это то же не имеет отношение к исе... Есть такая простая вещь как оптимизация...

Подскажите программу для ограничения скорости для пользователей на TMG 2010.

Fannat
Под ISA 2006 последние версии отлично работают: Bandwidth Splitter
Под TMG, по-идее, тоже должно быть всё гуд.

AQAQ
с торрентами не все так просто, хотя я ими почти не пользую.сь никогда, поэтому нужно решать комплексно, в зависимости от условий
есть ли програмы кроме браузеров которым нужен инет?
используется ли firewall client?
умеют ли торрент клиенты работать через прокси и аутенфицироваться на ней?
могут ли они менять agent string в http?

hardhearted
firewall не используется, стоит тока ИСА 2006
программ много, диспетчерский софт, всякие бухгалтерские программы, и тп я даже всех не знаю.
у нас 4 офиса по впн я был только в двух.
может, подскажете как через GPO определенный запрет только торрента повесить?
или через иса может можно запретить запуск определенных типов файлов, с расшр торрент?
PS Мой блеклист на ИСЕ 2006 простоял неделю.все ходили и скрипели зубами.
увидев у бухгалтерши одноклассников, я спросил- как, я же запретил урл???
Она мне сказала- прокси еще никто не отменил
кажется, не того человека взяли админом
как победить девчонку и ее проксю?
Я поставил правило: запретить весь траффик из internal в блек лист. и сбацал урлов тридцать.
добавить external еще или так я сам себе доступ закрою?
или можно как-то выкупить ее прокси и его тоже того?
посмотрел айпишник одноклассников и добавил отдельный список айпишников к запрету на сайты.Поможет?

AQAQ
сколько бредовых вопросов и все в одном посте

Цитата:

firewall не используется, стоит тока ИСА 2006

я говорил не про firewall а про firewall client для isa - это совершенно разные вещи


Цитата:

может, подскажете как через GPO определенный запрет

через gpo тебе в раздел про ad - запуск прог на компе к исе не имеет никакого отношения


Цитата:

или через иса может можно запретить запуск определенных типов файлов, с расшр торрент?

без проблем, тока не запуск а загрузку, правой педальью на правиле, configure http, вкладка extentions


Цитата:

кажется, не того человека взяли админом

нельзя не согласиться


Цитата:

как победить девчонку и ее проксю?

для этого существуют административные меры, если есть запрет по конторе на посещение подобных сайтов, на ковер к руководству ее, пусть разбираются. твое дело отследить момент, а наказания не твоя работа. если подобных запретов нет - то зачем ты это вообще затеял?


Цитата:

добавить external еще или так я сам себе доступ закрою?

если в этом правиле будешь ты и твой комп то конечно закроешь


Цитата:

посмотрел айпишник одноклассников и добавил отдельный список айпишников к запрету на сайты.Поможет?

конечно нет

спасибо, буду дальше ковырять.
С наступающим!

Пытаюсь опубликовать внутренний сайт компании. Проблема в том, что в сайте несколько виртуальных сайтов, и даже если выбираб опубликовать multiple sites все равно получается доступ только к default сайту. Все сайты на одном серваке на одном айпишнике. У кого опыт публикации multiple sites? Как правильно их публивовать?

Скачал Forefront Threat Management Gateway 2010 Evaluation
из варезника
(Русская версия (Прямые ссылки [?]) -ставлю на 2008 R2 в средстве подготовки активна кнопка только диспетчера, сам ТМГ не ставится...посоветуйте где ковырять?

kpbisin
Как эт не ставится? Что говорит?
Может Вы только консоль ставите?

JekaRus
попробуй галочку на вкладке to "Forward the original host header..."
если не прокатит то публикуй каждый сайт отедбльным правилом и указывай его в public name

Forefront Threat Management Gateway 2010 Evaluation
после распаковки вылазит меню: 1обзор возможностей,2обновление винлы,3подготовка к установке,4сама установка...
я винду обновил, а в подготовке к установке после соглашения с лицензией из 3х вариантов усановки доступен только средний-то есть только диспетчер...а остальные серые((( может нехватает чего в винде?

прочитал на микрософте что подходит для висты и 2008, а у меня 2008 R2 не в этом дело?

kpbisin
Во время подготовки к установке устанавливаются необходимые для работы TMG роли Windows Server. Так что без этого никуда.
TMG ранее на этот копьютер не устанавливалась?
Посмотрите какие экзешники ещё есть в папке установщика, может другой запустить. Помнится, я так делал, точно уже не помню.