попробовал запустить через екзешник MS_FPC_Server, пишет что на контроллер домена не ставиццо...2006 иса стояла на 2003 сервере и работала, а тмг на 2008 р2 не может...что за хрень?
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
kpbisin
Ссылко
Уже TMG MBE через заднее место ставил - сначала MBE затем домен. Теперь пришлось 2-й сервер ставить.
Ссылко
Уже TMG MBE через заднее место ставил - сначала MBE затем домен. Теперь пришлось 2-й сервер ставить.
Привет всем. Подскажите, пожалуйста.
Есть задача установить на предприятии кэширующий прокси-сервер с интеграцией в AD.
Выбор стоит между ISA2006 и TMG2010.
Опыта работы с этими продуктами не имею. Но на первый взгляд у ISA2006 интерфейс быстрее работает, ресурсов меньше потребляет. Не такая тяжелая что-ли.
Дело в том, что пограничный файрвол с антивирусом у нас уже есть.
Собственно посоветуйте, что ставить для прокси? Пользователей порядка 500 человек.
Есть ли смысл ставить TMG2010 или достаточно будет ISA2006. Какие преимущества? Балансировка каналов интернета осуществляется пограничным шлюзом, антивир есть. Почта через другой канал идет.
Есть задача установить на предприятии кэширующий прокси-сервер с интеграцией в AD.
Выбор стоит между ISA2006 и TMG2010.
Опыта работы с этими продуктами не имею. Но на первый взгляд у ISA2006 интерфейс быстрее работает, ресурсов меньше потребляет. Не такая тяжелая что-ли.
Дело в том, что пограничный файрвол с антивирусом у нас уже есть.
Собственно посоветуйте, что ставить для прокси? Пользователей порядка 500 человек.
Есть ли смысл ставить TMG2010 или достаточно будет ISA2006. Какие преимущества? Балансировка каналов интернета осуществляется пограничным шлюзом, антивир есть. Почта через другой канал идет.
Товарищи! Прошу вашей помощи! Я облазил все, что можно, но конкретного руководства не увидел. Итак, описание проблемы.
Имеется ЛВС c контроллером домена Windows Server 2003 R2 Enterprise Edition. Контроллер домена подключен выделенно к интернету, присвоен статический IP. На него я поставил ISA Server 2006. Настроил NAT, IP контроллера домена 192.168.0.1. Моя задача - настроить на контроллере домена Web-сервер. Уже купили доменное имя. В качестве веб-сервера был выбран Apache (на некоторых ресурсах было выскакзано мнение, что последний менее глючный по сравнению с IIS, например на IIS некорректно работают UserFrendly URL в Joomla). Но после установки Apach, веб браузер долго грузит localhost и в итоге НЕ выводит надпись "It works!". Поискав в Google, я понял, что необходимо опубликовать Web-сервер в ISA, чтобы работал Apache, но, как бы я не настраивал Web-сервер и Web-listener, у меня, в итоге, ничего не получается
Есть ли какое-нибудь полное руководство как поставить и настроить Apache на Windows Server 2003 с ISA? Шаманю неделю - результат 0. У Шиндера не нашел ответ на свой вопрос.
Заранее преблагодарен за ответы (особенно подробные)!
Имеется ЛВС c контроллером домена Windows Server 2003 R2 Enterprise Edition. Контроллер домена подключен выделенно к интернету, присвоен статический IP. На него я поставил ISA Server 2006. Настроил NAT, IP контроллера домена 192.168.0.1. Моя задача - настроить на контроллере домена Web-сервер. Уже купили доменное имя. В качестве веб-сервера был выбран Apache (на некоторых ресурсах было выскакзано мнение, что последний менее глючный по сравнению с IIS, например на IIS некорректно работают UserFrendly URL в Joomla). Но после установки Apach, веб браузер долго грузит localhost и в итоге НЕ выводит надпись "It works!". Поискав в Google, я понял, что необходимо опубликовать Web-сервер в ISA, чтобы работал Apache, но, как бы я не настраивал Web-сервер и Web-listener, у меня, в итоге, ничего не получается
Есть ли какое-нибудь полное руководство как поставить и настроить Apache на Windows Server 2003 с ISA? Шаманю неделю - результат 0. У Шиндера не нашел ответ на свой вопрос. Заранее преблагодарен за ответы (особенно подробные)!
zx12r
ну вообще ставить ису и тмг только как кеширующий прокси - деньги на ветер, функционал будет использоваться не полностью.
у тмг больше возможностей по фильтрации трафика, в том числе по категориям.
KOMSOMOLEC1
за вебсервер. контролле и ису на одном серваке я бы простреливал колено
публиковать необязательно. сначала убедись что нужный порт (скорее всего 80й) никто не слушает кроме апача, и убедись что апач его слушает на внешнем интерфейсе. после чего создай правило разрешающее http снаружи (b если надо изнутри) к localhost
если хочешь именно опубликовать, то убедись что апач слушает только внутренний интерфейс, а потом публикуй его на внешнем через обычную публикацию вебсервера
еще может мешать автодискавери прокси, если его включить то по умолчанию оно слушает 80порт
в принципе чтобы не париться с занятым портом настрой этот дурацкий апач на левый порт, а исой публикуй по 80му
ну вообще ставить ису и тмг только как кеширующий прокси - деньги на ветер, функционал будет использоваться не полностью.
у тмг больше возможностей по фильтрации трафика, в том числе по категориям.
KOMSOMOLEC1
за вебсервер. контролле и ису на одном серваке я бы простреливал колено
публиковать необязательно. сначала убедись что нужный порт (скорее всего 80й) никто не слушает кроме апача, и убедись что апач его слушает на внешнем интерфейсе. после чего создай правило разрешающее http снаружи (b если надо изнутри) к localhost
если хочешь именно опубликовать, то убедись что апач слушает только внутренний интерфейс, а потом публикуй его на внешнем через обычную публикацию вебсервера
еще может мешать автодискавери прокси, если его включить то по умолчанию оно слушает 80порт
в принципе чтобы не париться с занятым портом настрой этот дурацкий апач на левый порт, а исой публикуй по 80му
zx12r
ISA 2006 действительно менее требовательный по ресурсам и достаточно стабильный.
Учитывай, что ISA встанет только на W2K3 в то время как TMG нужен будет уже W2K8.
Отмечу, что функционал прокси-сервера в данных продуктах достаточно кастрированный и если нужен будет обсчет трафика или шейпинг канала, то придется брать дополнительный платный модуль.
А вообще для прокси я бы присмотрелся к бесплатному проверенному варианту SQUID+Samba+SAMS
ISA 2006 действительно менее требовательный по ресурсам и достаточно стабильный.
Учитывай, что ISA встанет только на W2K3 в то время как TMG нужен будет уже W2K8.
Отмечу, что функционал прокси-сервера в данных продуктах достаточно кастрированный и если нужен будет обсчет трафика или шейпинг канала, то придется брать дополнительный платный модуль.
А вообще для прокси я бы присмотрелся к бесплатному проверенному варианту SQUID+Samba+SAMS
Цитата:
ISA встанет только на W2K3 в то время как TMG нужен будет уже W2K8
и на контроллер домена TMG уже фиг поставишь.
Задам, возможно, стандартный вопрос:
Каким образом можно на проксе с доменной авторизацией (ISA 2004, смотрит напрямую в интернет) можно заблокировать использование внешних прокси и анонимайзеров вкупе с известными сайтами (одноклассники, вконтакте и тп.)?
Также чем лучше считать траффик?
Каким образом можно на проксе с доменной авторизацией (ISA 2004, смотрит напрямую в интернет) можно заблокировать использование внешних прокси и анонимайзеров вкупе с известными сайтами (одноклассники, вконтакте и тп.)?
Также чем лучше считать траффик?
raizo
подсчет трафика, квотирование и шейпирование не относится к функционалу прокси, это просто доп фичи комбинированных пролдуктов
Valery12
официально да, но наоборот люди ставят (сначала тмг потом dcpromo), но вообще за установку контроллера и исы на один сервак надо расстрелдивать туманным утром за баней но судя по посту (500 человек) автору это точно не понадобится
OverLocker
запрещать адреса этих самых прокси и сайтов, на то иса и фаер
а считалок очень много всяких, в шапке есть ссылка на исасервер.орг там есть раздел по софту с краткими описаниями, выбери то что тебе подходит
подсчет трафика, квотирование и шейпирование не относится к функционалу прокси, это просто доп фичи комбинированных пролдуктов
Valery12
официально да, но наоборот люди ставят (сначала тмг потом dcpromo), но вообще за установку контроллера и исы на один сервак надо расстрелдивать туманным утром за баней
но судя по посту (500 человек) автору это точно не понадобится OverLocker
запрещать адреса этих самых прокси и сайтов, на то иса и фаер
а считалок очень много всяких, в шапке есть ссылка на исасервер.орг там есть раздел по софту с краткими описаниями, выбери то что тебе подходит
Вопрос на машине установлен MS SQL 2008 R2 нужно установить Forefront Threat Management Gateway 2010 Standard так вот при установке он за собой тянет MS SQL Express 2008 как установить что бы не тянул и использовал если нужно 2008 R2 или вообще не использовал сиквел? При установки с диска нет выбора компанентов установки.
DmitryV
Найдите файл установщика TMG, а не запускайте общую установку.
Найдите файл установщика TMG, а не запускайте общую установку.
John_Doe_72
Спасибо попробую
Спасибо попробую
Ребята, срочно надо делать переброс RDP, но че то не каннает (
в качестве руотра стоит модем, на нем сделал переброс
RDP ALL 3389- 3389 3389- 3389 192.168. 0.20 (это адрес компа, куде должны подключиться)
а на ISA2006 сделал такое правило:
Но не подключается удаленный пользователь.
пинги идут, а вот подключиться по RDP - никак.
может где-то что то еще надо настроить ?
--------
До ISA все работало нормально.
( в качестве руотра стоит модем, на нем сделал переброс
RDP ALL 3389- 3389 3389- 3389 192.168. 0.20 (это адрес компа, куде должны подключиться)
а на ISA2006 сделал такое правило:
Но не подключается удаленный пользователь.
пинги идут, а вот подключиться по RDP - никак.
может где-то что то еще надо настроить ?
--------
До ISA все работало нормально.
contrafack
Я иначе поступаю. Подключаюсь к сети по vpn, тогда RDP работает без всяких правил.
Я иначе поступаю. Подключаюсь к сети по vpn, тогда RDP работает без всяких правил.
SergeyMark
да. так работает нормально. но человек едет в командировку. У него интернет через beeline модем, а там режеться GRE пакеты у провайдера. Т.е. VPN не реально подключить через этот провайдер.
А может в модеме что то еще надо настроить? типа статические маршруты и т.п. дела ?
У модема IP 192.168.1.1, а у конечнего пользователя 192.168.0.20.
да. так работает нормально. но человек едет в командировку. У него интернет через beeline модем, а там режеться GRE пакеты у провайдера. Т.е. VPN не реально подключить через этот провайдер.
А может в модеме что то еще надо настроить? типа статические маршруты и т.п. дела ?
У модема IP 192.168.1.1, а у конечнего пользователя 192.168.0.20.
Цитата:
У модема IP 192.168.1.1, а у конечнего пользователя 192.168.0.20.
тоесть модем работает в режиме роутера и для ИСЫ сеть 192.168.0.0 внутренняя, а 192.168.1.0 ДМЗ или внешняя? и какие между ними отношения НАТ или роутинг
Вот рисовал как работает сеть.
Вот как сделано портмапинг:
а это правила в ISA:
но не хочет работать Мне кажется проблема в модеме.. т.к. в логах ISA нету ничего по RDP.
Вот как сделано портмапинг:
а это правила в ISA:
но не хочет работать
Мне кажется проблема в модеме.. т.к. в логах ISA нету ничего по RDP.повторюсь по поводу сетей 192.168.0.0 и 192.168.1.0
Цитата:
если между ними НАТ то получается двойной НАТ и маппить порт на модеме нужно на ИСУ (на 192.168.1.10) а уже на ИСЕ на внутренний хост
если между ними роутинг то на модеме должен быть маршрут в сеть 192.168.0.0 через ИСУ
Цитата:
какие между ними отношения НАТ или роутинг
если между ними НАТ то получается двойной НАТ и маппить порт на модеме нужно на ИСУ (на 192.168.1.10) а уже на ИСЕ на внутренний хост
если между ними роутинг то на модеме должен быть маршрут в сеть 192.168.0.0 через ИСУ
Valery12
да, получается 2 NAT.
надо делать так ?
1. на ZyXEL делаю ремап на ISA
2. А как с ISA ремапить на внутренний хост ?
Цитата:
Ну вот на всякий сделал вот такой статический маршрут:
P.S. а как узнать между ними роутинг или NAT ?
вот роли ISA сервера:
да, получается 2 NAT.
надо делать так ?
1. на ZyXEL делаю ремап на ISA
2. А как с ISA ремапить на внутренний хост ?
Цитата:
если между ними роутинг то на модеме должен быть маршрут в сеть 192.168.0.0 через ИСУ
Ну вот на всякий сделал вот такой статический маршрут:
P.S. а как узнать между ними роутинг или NAT ?
вот роли ISA сервера:
Цитата:
P.S. а как узнать между ними роутинг или NAT ?
в конфигурация -> сети -> сетевые правила
Цитата:
2. А как с ISA ремапить на внутренний хост ?
в ISA это называется публикация (правило публикации протокола не web сервера...)
Добавлено:
нужно еще глянуть networks
Valery12
Цитата:
НУ я же сделал правила:
Цитата:
вот:
Добавлено:
До сервера добрался наконец. теперь надо на ISA настроить ремапинг на комп клиента под IP 192.168.0.20
Цитата:
в ISA это называется публикация
НУ я же сделал правила:
Цитата:
нужно еще глянуть networks
вот:
Добавлено:
До сервера добрался наконец. теперь надо на ISA настроить ремапинг на комп клиента под IP 192.168.0.20
Цитата:
НУ я же сделал правила:
это исходящее правило а нужно входяще: создать -> "правило публикации протокола не web сервера..."
Valery12
Так и будет называться?
Цитата:
Так и будет называться?
Цитата:
"правило публикации протокола не web сервера..."
сделал такая публикация:
Код: Name:
RDP remap
Published Server:
192.168.0.20 (куда надо подключиться)
Published Service:
RDP (Terminal Services) Server
Listen on:
External (это интернет интерфейс )
Код: Name:
RDP remap
Published Server:
192.168.0.20 (куда надо подключиться)
Published Service:
RDP (Terminal Services) Server
Listen on:
External (это интернет интерфейс )
contrafack
1. с модема на ису пробрасывай другой порт, не 3389, ибо он слушается самой исой (на ней тоже есть rdp), а например 3390. то есть внешний порт с модема 3389 пробрасывай на ису как 3390
2. на исе делаешь правило публикации, протокол rdp (terminal services) server, по кнопке ports ставишь слушать внешний порт 3390
1. с модема на ису пробрасывай другой порт, не 3389, ибо он слушается самой исой (на ней тоже есть rdp), а например 3390. то есть внешний порт с модема 3389 пробрасывай на ису как 3390
2. на исе делаешь правило публикации, протокол rdp (terminal services) server, по кнопке ports ставишь слушать внешний порт 3390
hardhearted
на модеме сделал так:
P.S. IP адрес 192.168.1.225- это внешний адрес ISA сервера
на ISA сделал такое правило:
P.S. IP адрес 192.168.0.167 - это адрес, куда надо перенаправить
как и сказали, при публикации поставил порт тот:
Но что то не работает((
P.S. Еще надо сохранить возможность подключиться внутри сети к серверу(где стоит ISA). данный момент он нормально работает, но боюсь после этих манипуляциями он станет невозможным.
на модеме сделал так:
P.S. IP адрес 192.168.1.225- это внешний адрес ISA сервера
на ISA сделал такое правило:
P.S. IP адрес 192.168.0.167 - это адрес, куда надо перенаправить
как и сказали, при публикации поставил порт тот:
Но что то не работает
(( P.S. Еще надо сохранить возможность подключиться внутри сети к серверу(где стоит ISA). данный момент он нормально работает, но боюсь после этих манипуляциями он станет невозможным.
contrafack
лог что говорит?
ps с исашным rdp все будет ок
лог что говорит?
ps с исашным rdp все будет ок
hardhearted
Лог в ISA включил и просил клиенту из другого города подключиться. НО в логах так и не появился ничего подобного RDP, 3390, 3389 или что небудь подозрительного.
Тут все верно? может не в том разделе поставил порт ?
Лог в ISA включил и просил клиенту из другого города подключиться. НО в логах так и не появился ничего подобного RDP, 3390, 3389 или что небудь подозрительного.
Тут все верно? может не в том разделе поставил порт ?
contrafack
порт правильно указан
если логирование включено и в логах ничего нет, то либо ты не так фильтры поставил либо до исы ничего не доходит и косяк где то в модеме
порт правильно указан
если логирование включено и в логах ничего нет, то либо ты не так фильтры поставил либо до исы ничего не доходит и косяк где то в модеме
hardhearted
да нет. с логами нормально. я без фильтром включил и наблюдал в on-line режиме при процессе подключения. никаких подозрительных соединение/отбросов.
а в модеме что может быть? ведь он тогда до ИСЫ кидал нормально.
да нет. с логами нормально. я без фильтром включил и наблюдал в on-line режиме при процессе подключения. никаких подозрительных соединение/отбросов.
а в модеме что может быть? ведь он тогда до ИСЫ кидал нормально.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.