» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Vxd2000
А ISA это разве не прокся?


Добавлено:
Просто положи на сервак страницу в которой можешь написать всё что душе угодно и в правилах сделай перенаправление на URL страницы.

MishaDoom
иса это файрвол+прокси, и у нее 4 основных типа клиента, он имел ввиду что когда прокси клиент получает ошибку то она ему приходит на "фирменном бланке" исы, в коричневых тонах.
Vxd2000
это врядли, клиент когда идет мимо прокси получает страничку с ошибкой от самой винды, иса тут уже не при делах и на ней ты не настроишь.

Здравствуйте!! Такая проблема: Есть Exchange 2003, есть ISA 2006, между ними настроены сертификаты, внутренняя почта работает, то есть из браузера внутри сети можно попасть в почту, но снаружи ISA не пропускает на корпоративную почту. Страница аутентификации открывается, но дальше вводишь имя пользователя и пароль и...
The page cannot be displayed
Explanation: There is a problem with the page you are trying to reach and it cannot be displayed.

--------------------------------------------------------------------------------

Try the following:

Refresh page: Search for the page again by clicking the Refresh button. The timeout may have occurred due to Internet congestion.
Check spelling: Check that you typed the Web page address correctly. The address may have been mistyped.
Access from a link: If there is a link to the page you are looking for, try accessing the page from that link.

--------------------------------------------------------------------------------

Technical Information (for support personnel)

Error Code: 403 Forbidden. The server denied the specified Uniform Resource Locator (URL). Contact the server administrator. (12202)
Роюсь в политиках уже хз сколько. Правило прочесал вдоль и поперек. Не могу понять где я не поставил галочку? Если есть какие-то замечания и советы, очень прошу, откликнитесь.

Цитата:

иса это файрвол+прокси, и у нее 4 основных типа клиента, он имел ввиду что когда прокси клиент получает ошибку то она ему приходит на "фирменном бланке" исы, в коричневых тонах.

Так и есть и то (firewall+proxy) и в коричневых.


Цитата:

это врядли, клиент когда идет мимо прокси получает страничку с ошибкой от самой винды, иса тут уже не при делах и на ней ты не настроишь.

Почему возник этот "вопрос" , есть Iadmin, там при отключенной proxy "приходит" "фирменно стилизованная" ошибка.

Господа, заинтересовало следующее - вычетал в каком-то форумае, что ИСА при атаке посылала имейл.. везде её перерыл - не нашёл где такая опция есть. А действительно хотелось бы чтобы при каких-нибудь ошибках или предупреждениях она слала бы имейл, возможно-ли это?

Tim2000
Все просто
ISA\Наблюдение\Оповещения\настроить оповещения
В определениях выбираешь нужный алерт и в его свойствах задаешь в действиях SMTP-отправку.

Alex_H_aka_RAT
опа, а поанглийски это где?? иса 2004 кстати..

Добавлено:
нашёл, сэнкс

вопрос такого характера,не работает докачка файлов на ПК через ису,может кто сталкивался

всё-таки подниму ещё раз свой вопрос - может ли иса сама подключаться к инету, если соединение vpn (pptp) ?
ну немогу найти(((((((

Tim2000
че тут искать то, это сотни раз обсуждали, и во всех мануалах написано
да может.

hardhearted
дак блин, всё делаю как надо: в Алоу автоматик дайлинк ту тис нетворк - выбираю экстёрнал, ставлю галку Конфигьюре эс дефолт гейтвэй(пробовал и без неё), выбираю соединение из выпадающего списка, задаю пользователя и пароль.. и капец - Подключение, Отключение, Подключение, Отключение до бесконечности.

Closed Connection
Log type: Firewall service
Status: A connection was terminated because it was idle for more than the timeout period, or the timeout on an uncompleted action expired.
Rule: inet
Source: Local Host
Destination: External
Protocol: PPTP

рул на пптп из локалхост до экстёрнал есть, че ей ещё нужно(((

Tim2000
Попробуй указать сеть, к которой поключаешься по VPN как Perimetr, а не External

BULLDOG
такой сети в исе нет по умочланию и не должно быть

hardhearted
В 2004 есть, по-моему. Я, просто, уже давно перешел на 2006.

BULLDOG

Цитата:

Perimetr

что за страшненькое слово
нет такого)

Добавлено:
вот что нашел _http://forum.0day.kiev.ua/index.php?s=58bd61987f4ae52ccda4356ef07b5ad0&showtopic=73073&pid=877583&st=0&#entry877583
вот я тоже ничего другого кроме тамошнего решения не придумал.. почти так же всё замутил, работает, но почему же иса так вредничает....

Tim2000
Вот аннотация из книги

Цитата:

Для создания новой сети нужно выполнить следующие действия:
1.    В консоли управления Microsoft Internet Security and Acceleration Server
2004 разверните имя сервера, а затем разверните узел Configuration (Настройка).
Щелкните узел Networks (Сети).
2.    Щелкните на вкладке Tasks (Задачи) на панели задач. Щелкните ссылку Create
a New Network (Создать новую сеть).
3.    На странице Welcome to the New Network Wizard (Вас приветствует мастер соз¬
дания новой сети) введите имя новой сети в текстовое поле Network name (Имя
сети). В данном примере она будет назваться DMZ. Щелкните Next (Далее).
4.    На странице Network Type (Тип сети) выберите вариант Perimeter Network
(Сеть периметра) (рис. 4.32). В открывшемся диалоговом окне должно быть
четыре варианта:
- Internal Network (Внутренняя сеть) — создание НОВОЙ внутренней сети, рас¬положенной «внутри* брандмауэра ISA. Этот критерий не является жестким, поскольку брандмауэр ISA не рассматривает окружающее в противопостав¬лении «внешнее - внутреннее», он применяет фильтрацию с отслеживани¬ем соединений и проверку с отслеживанием соединений ш уровне прило¬жения ко всем соединениям, устанавливаемым через него. Обозначение «внут¬ренний» в данном случае применяется скорее для учета используемых ресур¬сов. При выборе этого варианта можно настроить сеть с помощью диалого¬вого окна Properties (Свойства) и установить настройки, схожие с теми, ко¬торые можно установить для внутренней сети по умолчанию;
- Perimeter Network (Сеть периметра) — создание новых сегментов DMZ. На¬стройки сети периметра и внутренней сети, заданные мастером при их соз¬дании, практически не различаются. В диалоговом окне Properties (Свойства) представлены те же варианты, что и при создании внутренней сети. Основным преимуществом является то, что в пользовательском интерфейсе можно легко определить, какие сети являются внутренними, а какие — DMZ;
- VPN Site-to-Site Network (сеть VPN «узел-в-узел») — создание VPN-подклю¬чения «узел-в-узел» с другим офисом. Этот мастер позволяет задать адресный диапазон и конфигурацию VPN для VPN-подкяючения «узел-в-узел»;
- External Network (Внешняя сеть) — создание сети, находящейся «вне» бранд¬мауэра ISA. Хотя брандмауэр ISA не делит все сети на внутренние и внешние, можно придерживаться следующего практического правила: любую сеть, доступную с интерфейса брандмауэра ISA, в которой есть шлюз по умолча¬нию, связанный с брандмауэром ISA, можно рассматривать как внешнюю сеть. Стоит обратить внимание на то, что при создании новой внешней сети, так же как и при создании новой внутренней сети или сети периметра, в диало¬говом окне Properties (Свойства) приводятся одинаковые варианты конфи¬гурации.

Я имел ввиду Perimeter Network

BULLDOG
между 2004 и 2006 разницы нет почти
если у тебя была значит кто то ее создал руками, обычно ее делают для дмз который вешают на третью сетевуху

BULLDOG
а зачем мне это делать? 0_о

hardhearted
Она уже есть в ISA 2004, а в ISA 2006 уже нет.

Tim2000
Если все работает, то не нужно.

никто не может помочь?

BULLDOG
я ж писал, сама она в 2004 не появляется, тока если сам создашь, и, возможно если выберешь шаблон 3-leg
советовать ее создавать не надо, она ему не нужна
советую почитать что такое сети и какую они выполняют роль.

Добавлено:
paravozS
ну если так задавать вопросы то ответа будешь ждать долго

Добрый день господа. При создании объекта "компьютер" ISA не видит не одной машины, через поиск, сеть на основе рабочих групп, IP прописаны вручную. Все IP пингуются. Спасибо

Здравствуйте!
Распаблишил веб интерфейс Kerio Mail Server.
Все работает, но иногда(!) не скачиваются ms office вложения в письма если зайти на почту снаружи.
В св-вах правила - Link Translation- Content Types - отмечены Compressed Files, Documents, Images, Html Documents.

Локально все работает нормально. Подскажите как исправить?

bpa ничего подозрительного не выдал.
Isa 2004 sp3 (Version: 4.0.2167.887)
Win2k3 sp1

вопрос такого характера,не работает докачка файлов на ПК через ису,может кто сталкивался

Syn1976
я на другом форуме ответил
кратко: область поиска ограничена доменом, в случае когда комп вне домена то этой областью является сам комп, а у него тока своя учетная запись, других он не содержит
ps вообще иса без домена - деньги на ветер

paravozS
и какого ответа ты ждешь, инфы ноль, вопрос из разряда "машина не едет, кто сталкивался?"
чем качаешь? откуда? какой софт на исе стоит?
у меня качалки через ису качают без проблем.

BULLDOG

Цитата:

Если все работает, то не нужно.

так в том то и дело что не работает, и по ходу дела не должно работать((

Tim2000
Как было у меня раньше (когда работал в другой организации). Есть центральный офис, все дополнительные офисы соединены с центральным через интранет. Выход в интернет из дополнительных офисов через центральный, в котором прокси-сервер, чтобы следить за людьми. Я работал в филиале. Но чтобы иметь возможность подключаться к прокси-серверу нужно создать VPN-соединение, своебразная авторизация (пароли выдавались не всем).
Что сделал я. Поставил ISA 2004 SP2 в режиме с одним сетевым адаптером. Создал на компьютере VPN-подключение. Дальше порядок действий может немного отличаться, давно было. В ISA 2004 в меню "Укажите параметры доступа" указал Внешняя, и выбрал созданное поключение.Потом в "Сети" ->"Веб-цепочка" создал или изменил правило по умолчанию, чтобы все запросы перенаправлялись на вышестоящий сервер и внизу поставил галочку для автоматического подключения VPN. Что получилось. VPN соединение создавалось, но трафик на вышестоящий прокси-сервер через него не шел, т.е. как у тебя VPN отключалось по таймауту и затем снова подключалось. Что я сделал дальше. Я создал сеть типа Perimeter Network с адресами(ом) (уже не помню) вышестоящего VPN-сервера (прокси находился в той-же подсети) и в меню "Укажите параметры доступа" к какой сети подключаться выбрал толи внутренняя, толи, если там 3 пункт появляется, то его (а может быть оставил внешняя). После этого интернет заработал. Т.е. авторизация проходила в сети периметра, а интернет работал из внешней сети.

Добавлено:
У тебя похожая ситуация, только нет вышестоящего проки-сервера и настраивать надо (как я понял) с двумя сетевыми адаптерами.

Снова здравствуйте, немного оффтопик в этой ветке, но все же думаю сдесь собрались наиболее компетентные специалисты в данной области.

И так - есть офис. В нем 2 контроллера домена (основной и резервный). Два шлюза на базе ISA 2004.

Как правильно указать настройки сети для всех этих машин?

Я вот в картинке зарисовал как я это планирую, посмотрите - укажите на ошибки. Особенно не могу ясно понять что нужно указывать в сетевых интерфейсах DC, что б небыло проблем с AD.





Заранее спасибо.

PS: если совсем не в тему сдесь сделал пост -то переместите тему в более подходящий топик, пожалуйста.

lypky
Во-первых, на двух шлюзах WAN-External = 192.168.1.2, не понятно? Одновременно они работать не будут, конфликт IP адресов.
Во-вторых, поставьте галочку Do not use recursion for this domain в Forwarders, что бы внутрисетевые DNS сами не лезли в инет, если не получат разрешение имени от шлюзовых DNS-серверов. На каждом контороллере домена в качестве основного DNS-сервера лучше указать адрес другого DC, а в качестве альтернативного, свой.
В-третьих, для шлюзов на интерфейсе LAN DNS-forwarder указывать не нужно.
В-четвертых, почему бы не сделать маску подсети 255.255.255.0, у вас же все адреса начинаются на 172.23.5.х

BULLDOG

Цитата:

настраивать надо (как я понял) с двумя сетевыми адаптерами

именно