Tim2000
Что-нибудь получилось?
Что-нибудь получилось?
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
не а, не знаю что ещё сделать, остановился на решении с батниками..
Tim2000
А что именно, соединяется, но не пускает, или вообще не соединяется?.
А что именно, соединяется, но не пускает, или вообще не соединяется?.
я же объяснял... а с периметром не делал, ибо не к чему..
Tim2000
А попробовать нельзя, все равно ничего не работает?
А попробовать нельзя, все равно ничего не работает?
что попробовать то? пошагово..
Я уже все описал, ну а если не к чему, как хочешь.
Ребят не подскажите как сделать так чтобы в интернет пускало только пользователей зашедших под домаином?
Добавлено:
Добавлено:
csc
в АД создаёж группу юзеров инета, в ИСЕ пишеж правило дающее доступ в инет только этой группе.
в АД создаёж группу юзеров инета, в ИСЕ пишеж правило дающее доступ в инет только этой группе.
Тим, в АД 4 группы, всем им нужен доступ,
я попытаюсь описать ситуацию
30 машин, два сервера, на одном стоит Домаин Контролер, на Втором стоит ИСА , также через комп с ИСА в контору поступает интернет.
Ису ставил недавно и учусь пользоваться ею(для начала поставил правило ALL OPEN), ну так вот что нужно
чтобы интернет был доступен только пользователям домена.
чтобы шло логирование, кто , куда, сколько и зачем.
попытался сделать как ты мне посоветовал в АД у меня уже есть 4 групы, ты сказал чтобы в ИСЕ я создал правило чтобы только пользователям этих груп был доступен интернет, как добавить группы их АД в ИСУ???
спасибо заранее.
я попытаюсь описать ситуацию
30 машин, два сервера, на одном стоит Домаин Контролер, на Втором стоит ИСА , также через комп с ИСА в контору поступает интернет.
Ису ставил недавно и учусь пользоваться ею(для начала поставил правило ALL OPEN), ну так вот что нужно
чтобы интернет был доступен только пользователям домена.
чтобы шло логирование, кто , куда, сколько и зачем.
попытался сделать как ты мне посоветовал в АД у меня уже есть 4 групы, ты сказал чтобы в ИСЕ я создал правило чтобы только пользователям этих груп был доступен интернет, как добавить группы их АД в ИСУ???
спасибо заранее.
csc
в исе есть свои группы, туда мона включать виндовые (и ad) группы и юзерей
ps когда я начинал мне было стыдно такие тупые вопросы задавать, иса простой продукт с интуитивно понятным интерфейсом, достаточно мышкой пощелкать и f1 иногда нажимать.
в исе есть свои группы, туда мона включать виндовые (и ad) группы и юзерей
ps когда я начинал мне было стыдно такие тупые вопросы задавать, иса простой продукт с интуитивно понятным интерфейсом, достаточно мышкой пощелкать и f1 иногда нажимать.
csc
Имейте ввиду, что что для авторизации пользователей из АД, ИСА должна быть членом домена.
hardhearted
Цитата:
Не хорошо
Имейте ввиду, что что для авторизации пользователей из АД, ИСА должна быть членом домена.
hardhearted
Цитата:
когда я начинал мне было стыдно такие тупые вопросы задавать
Не хорошо
Цитата:
Имейте ввиду, что что для авторизации пользователей из АД, ИСА должна быть членом домена.
тоесть?
Юзер-найм в котором я устанавливаю и настраиваю ИСА он член домаина, это то что вы имели ввиду?
csc
причем тут юзер, имелось ввиду чт осервак с исой должен быть в домене
причем тут юзер, имелось ввиду чт осервак с исой должен быть в домене
не ну сервак само сабой член домайной сети.
Может уже было подобное ткните ссылкой...
Но вопрос таков:
Уже есть isa 2004 на одном сервере, поставил второй (isa 2006).
так вот как бы не обходя десятки-сотни компьютеров и не менять на файрволл-клиенте название сервера? хотелось бы как-то автоматом что-ли...
На обоих серверах включено,что клиентам использовать с сервера скрипт для подключения и т.д.
Но вопрос таков:
Уже есть isa 2004 на одном сервере, поставил второй (isa 2006).
так вот как бы не обходя десятки-сотни компьютеров и не менять на файрволл-клиенте название сервера? хотелось бы как-то автоматом что-ли...
На обоих серверах включено,что клиентам использовать с сервера скрипт для подключения и т.д.
bahtey
либо сделать автонастройку, либо на всех компах полтиикой/скриптиком поменять сервак в файлике %ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\common.ini
ps скрипт автоконфигурации к fwc не имеет никакого отношения, это для прокси
либо сделать автонастройку, либо на всех компах полтиикой/скриптиком поменять сервак в файлике %ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\common.ini
ps скрипт автоконфигурации к fwc не имеет никакого отношения, это для прокси
hardhearted
дело в том что автонастройка по не понятным причинам не прходит:"Не удалось обнаружить сервер ISA Server."
Изначально было на isa2004.И попробовал на 2006.Приходится вручную прописывать сервер.
Сеть наша - все компьютеры в домене,включая сервера с isa.
ps - про скрипт - да он для прокси,просто думал о скрипте и вот вписал.
дело в том что автонастройка по не понятным причинам не прходит:"Не удалось обнаружить сервер ISA Server."
Изначально было на isa2004.И попробовал на 2006.Приходится вручную прописывать сервер.
Сеть наша - все компьютеры в домене,включая сервера с isa.
ps - про скрипт - да он для прокси,просто думал о скрипте и вот вписал.
bahtey
Цитата:
а что ты сделал чтобы она заработало? само ничего не делается
Цитата:
дело в том что автонастройка по не понятным причинам не прходит
а что ты сделал чтобы она заработало? само ничего не делается
hardhearted
так вот...
куда ткнуться?
так вот...
куда ткнуться?
bahtey
кнопка F1 и в поиске automatic detection
а вообще тебе это врядли поможет, у тебя же все ручками настроено, а значит чтобы автоматом перенастроить нужно все ручками выставить в автоматический поиск
так что проще маленьким скриптиком всем сменить настроечку в файлике что я выше писал.
кнопка F1 и в поиске automatic detection
а вообще тебе это врядли поможет, у тебя же все ручками настроено, а значит чтобы автоматом перенастроить нужно все ручками выставить в автоматический поиск
так что проще маленьким скриптиком всем сменить настроечку в файлике что я выше писал.
bahtey
Вай, дорогой! Какой нафик скрипт? Если все компьютеры в домене - то, имхо, нет ничего проще.
В Active Directory Users and Computers - создаешь (к примеру) группу - где все пользователи, которым нужен интернет через прокси (через IE разумеется). И на эту группу делаешь Group Policy (групповая политика):
User configuration - windows settings - internet explorer maintenace - connection/proxy setting. Там задаешь IP адресс, порт шлюза.
И вуаля - всем юзерам (возможно после релога) в ИЕ будет прописан новый шлюз.
А что б через нат юзеры стали ломится через новый шлюз, то тут нужен DHCP - я надеюсь у тебя не статика на сетевых интерфейсах пользовательских компьютеров?
Кстатати BULLDOG
Спасибо что обратил внимание на мой пост,
на двух шлюзах WAN-External = 192.168.1.2 одинаков - потому что это ип адреса адсль модемов.
В данный момент у меня уже так стоит, и вроде бы ничего не конфликтует. На Адсль модемах тупо стоит НАТ для шлюзов. В принципе конечно ничего не мешает поставить им другие ИПшники, но не вижу в этом смысла.
Во вторых галочка Do not use recursion for this domain в Forwarders - нужно ее ставить для того, что б если пользовательская машина запрашивает днс домена:
- А какой ИП у машины Masha-buhgalter? (к примеру щас суббота и бухгалтера не работают)
Домен смотрит у себя в DNS - не находит регистрации этой станции.
- Я на знаю какой айпишник - комп по всей видимости выключен.
- Спасибо.
- Пожалуйста.
А если галочки стоять не будет, то DC пошлет запрос дальше ИСЕ, а потом иса пошлет запрос дальше провайдеру да? И в общем таким образом сеть будет тупить заметно сильнее?
Насчет форвардинга ДНС запросов на шлюзе. Раньше когда этой галочки не стояло, но пользователи не могли через нат разрешать имена интернетовские. Пришлось поставить. Ты точно уверен что без этой опции на шлюзах можно обойтись?
И насчет маски. Я в них плохо разбираюсь. В принципе да - в ближайший год, два вряд ли компов станет больше 255. Поэтому все ИП сейчас из диапазона. 172.23.5.Х.
В общем если в целом вариант нормальный, то в эту субботу буду ломать сеть к хренам.
Вай, дорогой! Какой нафик скрипт? Если все компьютеры в домене - то, имхо, нет ничего проще.
В Active Directory Users and Computers - создаешь (к примеру) группу - где все пользователи, которым нужен интернет через прокси (через IE разумеется). И на эту группу делаешь Group Policy (групповая политика):
User configuration - windows settings - internet explorer maintenace - connection/proxy setting. Там задаешь IP адресс, порт шлюза.
И вуаля - всем юзерам (возможно после релога) в ИЕ будет прописан новый шлюз.
А что б через нат юзеры стали ломится через новый шлюз, то тут нужен DHCP - я надеюсь у тебя не статика на сетевых интерфейсах пользовательских компьютеров?
Кстатати BULLDOG
Спасибо что обратил внимание на мой пост,
на двух шлюзах WAN-External = 192.168.1.2 одинаков - потому что это ип адреса адсль модемов.
В данный момент у меня уже так стоит, и вроде бы ничего не конфликтует. На Адсль модемах тупо стоит НАТ для шлюзов. В принципе конечно ничего не мешает поставить им другие ИПшники, но не вижу в этом смысла.
Во вторых галочка Do not use recursion for this domain в Forwarders - нужно ее ставить для того, что б если пользовательская машина запрашивает днс домена:
- А какой ИП у машины Masha-buhgalter? (к примеру щас суббота и бухгалтера не работают)
Домен смотрит у себя в DNS - не находит регистрации этой станции.
- Я на знаю какой айпишник - комп по всей видимости выключен.
- Спасибо.
- Пожалуйста.
А если галочки стоять не будет, то DC пошлет запрос дальше ИСЕ, а потом иса пошлет запрос дальше провайдеру да? И в общем таким образом сеть будет тупить заметно сильнее?
Насчет форвардинга ДНС запросов на шлюзе. Раньше когда этой галочки не стояло, но пользователи не могли через нат разрешать имена интернетовские. Пришлось поставить. Ты точно уверен что без этой опции на шлюзах можно обойтись?
И насчет маски. Я в них плохо разбираюсь. В принципе да - в ближайший год, два вряд ли компов станет больше 255. Поэтому все ИП сейчас из диапазона. 172.23.5.Х.
В общем если в целом вариант нормальный, то в эту субботу буду ломать сеть к хренам.
lypky
в первой подсети - статика, в остальных - dhcp.
в первой подсети - статика, в остальных - dhcp.
lypky
Цитата:
Я же не знал как у вас сделано, если 2 модема, то все нормально.
Цитата:
Masha-buhgalter.DNS-имя домена, а не проста Masha-buhgalter (DNS-имя домена дописывается автоматом)
Цитата:
Если он не знает адрес, значит комп не зарегистрирован на сервере, а включен он или выключен не важно.
Цитата:
Тупить она не будет, запросы к DNS-серверам провайдера или вообще к DNS-серверам в интернете все равно медленнее идут, чем внутри локальной сети.
Цитата:
Значит форвардинг не работает и DNS'ы на DC сами лезут в интернет. Галочка ставится для того, чтобы для всех доменов в списке наверху (по умолчанию все домены, кроме локального) использовался форвардинг на DNS-серверы из списка. Если они не находят нужный комп, то этот DNS-сервер сам не лезет искать - это бесполезно (если, конечно, все правильно настроено). Если Вы на ИСА серверах галочки поставили, то их нужно снять (он же должен лезть в инет, если у него в кэше нет нужной записи), а на DC оставить. Или, если оставите, то нужно в форвардинге на маршрутизаторах прописывать DNS-серверы провайдера, но лучше не заморачиваться.
Цитата:
на двух шлюзах WAN-External = 192.168.1.2 одинаков - потому что это ип адреса адсль модемов.
Я же не знал как у вас сделано, если 2 модема, то все нормально.
Цитата:
А какой ИП у машины Masha-buhgalter?
Masha-buhgalter.DNS-имя домена, а не проста Masha-buhgalter (DNS-имя домена дописывается автоматом)
Цитата:
Я на знаю какой айпишник - комп по всей видимости выключен
Если он не знает адрес, значит комп не зарегистрирован на сервере, а включен он или выключен не важно.
Цитата:
А если галочки стоять не будет, то DC пошлет запрос дальше ИСЕ, а потом иса пошлет запрос дальше провайдеру да? И в общем таким образом сеть будет тупить заметно сильнее?
Тупить она не будет, запросы к DNS-серверам провайдера или вообще к DNS-серверам в интернете все равно медленнее идут, чем внутри локальной сети.
Цитата:
Насчет форвардинга ДНС запросов на шлюзе. Раньше когда этой галочки не стояло, но пользователи не могли через нат разрешать имена интернетовские. Пришлось поставить.
Значит форвардинг не работает и DNS'ы на DC сами лезут в интернет. Галочка ставится для того, чтобы для всех доменов в списке наверху (по умолчанию все домены, кроме локального) использовался форвардинг на DNS-серверы из списка. Если они не находят нужный комп, то этот DNS-сервер сам не лезет искать - это бесполезно (если, конечно, все правильно настроено). Если Вы на ИСА серверах галочки поставили, то их нужно снять (он же должен лезть в инет, если у него в кэше нет нужной записи), а на DC оставить. Или, если оставите, то нужно в форвардинге на маршрутизаторах прописывать DNS-серверы провайдера, но лучше не заморачиваться.
lypky
Цитата:
насмешил, такое даже моя мама настроить может, тока толку не будет
там вопрос был про firewall client а не про прокси, браузеры то и сами настроятся через скрипт автонастройки.
по поводу твоих dns. до сих пор не пойму откуда у людей появляются такие идеи как взгромоздить dns сервер на ису, видимо болезнь всех новичков, сам такое хотел вначале сделать, но потом просто почитал немного, и сделал правильно. чем тебя контроллеры не устраивают как dns сервера?
Цитата:
В Active Directory Users and Computers - создаешь (к примеру) группу - где все пользователи, которым нужен интернет через прокси (через IE разумеется). И на эту группу делаешь Group Policy (групповая политика):
User configuration - windows settings - internet explorer maintenace - connection/proxy setting. Там задаешь IP адресс, порт шлюза.
И вуаля - всем юзерам (возможно после релога) в ИЕ будет прописан новый шлюз.
насмешил, такое даже моя мама настроить может, тока толку не будет
там вопрос был про firewall client а не про прокси, браузеры то и сами настроятся через скрипт автонастройки.
по поводу твоих dns. до сих пор не пойму откуда у людей появляются такие идеи как взгромоздить dns сервер на ису, видимо болезнь всех новичков, сам такое хотел вначале сделать, но потом просто почитал немного, и сделал правильно. чем тебя контроллеры не устраивают как dns сервера?
hardhearted
У меня ИСА 2006 стд. Сначала, тоже только на контроллерах стояло. Потом поставил СП1 на ИСУ, и инет нормально стал работать только на МАЗИЛЕ, а ОПЕРА и ИЕ-подобные еле открывали страницы. Поскольку, установил я СП1 днем, когда временно пропал инет, то и его появлении я узнал от пользователей, мол у него есть, а у меня нет, а срочно нужно. У меня тоже на МОЗИЛЕ работало нормально, а ОПЕРА плохо работала, АСЬКА вообще нет. Попал в ступор, проверил правила, без изменений, да и непонятно, на одном браузере быстро открывает (2-5 сек), а на других долгл (40-60 сек).Причем, скорость открытия страниц была примерно одинаковой, долго обрабатывались ДНС запросы. Вспомнил, что в какой-то книжке по ИСЕ было написано про установку ДНС на ИСУ, помимо внутреннего ДНС (как один из вариантов). Решил попробовать поставить ДНС на ИСЕ, а на контроллерах настроил форварднг - все стало работать нормально. Дальше копать не стал - от добра добра не ищут.
По-моему, до установки ДНС на ИСУ в форвардинг прописывал ДНС провайдера, но не помогло.
У меня ИСА 2006 стд. Сначала, тоже только на контроллерах стояло. Потом поставил СП1 на ИСУ, и инет нормально стал работать только на МАЗИЛЕ, а ОПЕРА и ИЕ-подобные еле открывали страницы. Поскольку, установил я СП1 днем, когда временно пропал инет, то и его появлении я узнал от пользователей, мол у него есть, а у меня нет, а срочно нужно. У меня тоже на МОЗИЛЕ работало нормально, а ОПЕРА плохо работала, АСЬКА вообще нет. Попал в ступор, проверил правила, без изменений, да и непонятно, на одном браузере быстро открывает (2-5 сек), а на других долгл (40-60 сек).Причем, скорость открытия страниц была примерно одинаковой, долго обрабатывались ДНС запросы. Вспомнил, что в какой-то книжке по ИСЕ было написано про установку ДНС на ИСУ, помимо внутреннего ДНС (как один из вариантов). Решил попробовать поставить ДНС на ИСЕ, а на контроллерах настроил форварднг - все стало работать нормально. Дальше копать не стал - от добра добра не ищут.
По-моему, до установки ДНС на ИСУ в форвардинг прописывал ДНС провайдера, но не помогло.
BULLDOG
это называется костыли
это называется костыли
Всем привет!!! Помогите побороть такую проблему - при зпросе по любому адресу в логи исы пишестя куча таких отклоненных соединений:
Цитата:
в каком направлении смотреть?
Цитата:
Неудачная попытка соединения
Тип журнала: Веб-прокси (прямой)
Состояние: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.
Правило: Разрешить отправку HTTP/HTTPS-запросов на указанные узлы
Источник: Внутренняя (192.168.0.х)
Назначение: Внешняя (213.199.161.251:443)
Запрос: urs.microsoft.com:443
Информация фильтра: Req ID: хххххххх; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Протокол: SSL-tunnel
Пользователь: anonymous
Дополнительные сведения:
Client agent: VCSoapClient
Object source: Интернет (Источник - Интернет. Объект был добавлен в кэш.)
Cache info: 0x0
Processing time: 0 ms
MIME type:
в каком направлении смотреть?
davinchi9
По обычному HTTP тоже SSL-tunnel
По обычному HTTP тоже SSL-tunnel
Вопрос вот возник: можно ли ИСой (2006) опубликовать один и тот же сайт с разными доступными путями внутренними и соот-но для разных пользователей? (т.е. что бы скажем user1 заходил по линку только на одни подсайты, а user2 видел весь сайт)
PS авторизация AD-шная
PS авторизация AD-шная
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.