» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Цитата:

ну и откуда по твоему провайдерский днс будет знать об именах твоего центрального офиса? )
что такое "свой собственный днс"? где стоит, какие зоны держит?

В общем схема такая Главный Офис = Домен с DNS где все работает и ISA сервер, мелкий офис в филиале где нету домена а есть только ISA сервер на котором поднят DNS и DHCP. Между офисами (между ISA) настроен туннель, сам туннель работает, то есть из любого офиса по IP адресу пингуется любой хост в другом офисе а вот по имени хоста не пингуется...
В свойствах ДНС на обеих серверах на закладке пересылка добавил сервера противоположного офиса ДНС то есть в главном офисе добавил айпишник филиала а в филиале добавил айпишник главного офиса.
с самой исы то же самое с любой исы противоположные хосты по айпи пингуются а по имени нет....

AdminNovichok
если форвардинг на днс настроен правильно и клиенты пользуются этим dns то все должно работать.
про суффиксы поиска не забывай на клиентах, если в суффиксах ничего нет то компы из рабочей группы по короткому имени ничего не найдут

Как я понимаю трафик через isa должен идти или через web-proxy (настройки прокси в браузере, доменная политика) или через firewall (с помощью клиента)
Какой метод все же лучше?
Пробовал и так, и так - ISA кажет трафик на 80 порт, а не на 8080, как указано для веб-прокси...

Цитата:

если форвардинг на днс настроен правильно и клиенты пользуются этим dns то все должно работать.
про суффиксы поиска не забывай на клиентах, если в суффиксах ничего нет то компы из рабочей группы по короткому имени ничего не найдут

получается на каждой рабочей станции из workgroup в филиале надо в сетевых настройках приписать суффикс типа company.hq (который является доменом в главном офисе)... ? А автоматизировать это никак нельзя или это вручную придется делать везде?

AdminNovichok
ну через dhcp можно раздать суффикс
либо в адресной строке всегда набирать fqdn. что собственно справедливо для любых сетей - короткое имя работает только если есть суффиксы, а суффикс родного домена всегда ставится как примари и в суффиксах поиска обычно присутствует по умолчанию

Добавлено:
erve
через веб прокси могут работать только те приложения которые это поддерживают нативно (браузеры, некотоыре IM и т.д.), а те кто не умеет через прокси могут работать через fwc, при условии что это winsocks приложения. те же кто не умеет ни того ни другого (icmp например, ip-level трафик и т.д, трафик от серверов который не проксируется) могут идти как securenat, но в этом случае не будет аутенфикации пользователя. иса все правильно показывает, на самом деле она показывает и 8080 (факт подключения прокси клиента) и 80 (обращение к сайту по http)

В общем такая ситуация, нужно найти решение.
В маленькой канторке (30 компов всего) организована ЛВС с доменом, есть отдельно домен (так для сведения) и отдельно сервер инета с установленным на нем ISA 2006. В один из маршрутизаторов втыкаем WiFi роутер (его защищаем и ваще скрываем), автоматом он получает IP, в ISA создаем правило, что для такого-то IP (компутара с таким-то IP) нужен инет без ограничения и такие-то протоколы. Вроде бы все ровно, на роутере (Asus WL-500-gP V2) все ровно, пишет что есть соединение с инетом, но есть несколько "но".
1. Подключаюсь на обычном PC (из того же домена, отключив предварительно кабельное соединение) к беспроводной сети, вроде все работает инет есть, сетевые ресурсы есть, но на этом компе стоит и работает ISA клиент, все он находит, зеленая стрелка вверх. Как только его отключаю инет пропадает, сеть остается.
2. Соотв. на др. моб. устройствах КПК и прочих инета нет вабче.

Как бы победить это? Чтобы сеть и инет были в обоих случаях. Предлагалось решение в виде настройки (предв. создания правила в ISA) роутера на PPTP соединение, но пока из этого получается только конфликт IP.

Отношу себя к категории продвинутых юзверей, поэтому если что-то не так написал прошу не пинать сильно.

Kiter70
этот роутер реально как роутер работает или только как wifi точка?
если как роутер, он роутит трафик или натит?
и что это за маршрутизаторы внутри сетки на 30 компов?
в упомянутом правиле на исе кому конкретно дается доступ? указаны ли пользователи в этом правиле или в вышестоящих?
в конце концов что пишут логи?

Ребят, пожалуйста, подскажите толковое руководство по настройке Wins на Windows Server 2003.....

hardhearted
Все пизнец... Термины...
Постараюсь как-то ответить на Ваши вопросы.
Работает как роутер. NAT отключен ничего там не настроено. Маршрутизатор или концентратор я тут не особо силен.
Правило: from ip роутера, протоколы выбрал нужные, to экстернал, кондишн все пользователи и даже анонимы.
Логи говорят что идет трафик когда на компе с иса-клиентом подключаешься к вайвай а без него ничего.
Завтра утром дополню пост скрином, так-то точно проще будет Вам понять ситуевину.

Ребята, выручайте! Сегодня накатил обновления на 2003+ИСА2006. На ИСУ СП1 поставился, ну а винда просто критические обновления. Теперь при попытке зайти на некоторые сайты с некоторых браузеров (что удивительно) возникает следующая ошибка:

Код: Неудачная попытка соединения GATE 20.05.2011 13:53:21
Тип журнала: Веб-прокси (прямой)
Состояние: 50 Такой запрос не поддерживается.
Правило: Administrators
Источник: Внутренняя (192.168.168.50)
Назначение: Внешняя (www-13-02-snc5.facebook.com 66.220.149.32:80)
Запрос: GET http://66.220.149.32/
Информация фильтра:
Протокол: http
Пользователь: anonymous
Дополнительные сведения
Client agent: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
Object source: Интернет (Источник - Интернет. Объект был добавлен в кэш.)
Cache info: 0x231e0100 (Запрос содержит заголовок CACHE-CONTROL: MAX-AGE, заголовок CACHE-CONTROL: MAX-STALE или заголовок CACHE-CONTROL: MIN-FRESH. Ответ содержит заголовок CACHE-CONTROL: PRIVATE. Ответ содержит заголовок CACHE-CONTROL: NO-CACHE или PRAGMA: NO-CACHE. Ответ содержит заголовок CACHE-CONTROL: NO-STORE. Ответ содержит заголовок CACHE-CONTROL: MUST-REVALIDATE или CACHE-CONTROL: PROXY-REVALIDATE. Ответ содержит заголовок EXPIRES. Ответ содержит заголовок SET-COOKIE. Ответ содержит заголовок TRANSFER-ENCODING.)
Processing time: 500 ms
MIME type:

Коллеги, взгляните пожалуйста, вот пост
(там собственно вопрос) и ещё один. Кто-нибудь пользовался этим методом?

Ребят помогите,стоит isa 2004.во всей организации есть инетернет,кроме FTP!Ясно что его режет фаейрволл иса,но никак не могу правильно прописать правило для открытия 21 порта.
Помогите,тыкните носом как правильно это сделать,заранее благодарен!

Zebuin

Цитата:

тыкните носом как правильно это сделать

Publishing FTP Servers Using ISA Server 2004 (на английском)
http://technet.microsoft.com/ru-ru/library/cc713319(en-us).aspx
Microsoft ISA Server 2006 – Публикация защищенного FTP сервера (на Русском, со скриншотами)
http://www.oszone.net/10782/ISA-Server-2006-FTPS

Коллеги, помогите.
Стоит Forefront TMG 2010 в режиме web proxy. Пытаюсь запретить юзерам всевозможные соц. сети и анонимайзеры. Т.к. руками вести блэклисты не очень эффективно, то я на TMG в качестве DNS указал dns от сервиса www.skydns.ru (там можно выбрать категории неугодных сайтов). Все вроде замечательно работает, но особо хитрые пользователи стали ходить по IP адресам в url т.е. например http://217.20.145.158/ попадают на одноклассников. Есть ли способ задать такой фильтр url в TMG чтобы вообще запретить url содержащий IP адрес сайта? В squid подобное делается элементарно через регулярное выражение.

В TMG 2010 вроде есть встроенное решение фильтрации URL. Создаешь запрещающее правило, все как обычно, а во вкладке "Куда" указываешь категории, которые хочешь запретить, предварительно проверив, в какую категорию входит сайт для запрета. Категории постоянно обновляются. Можешь сам заносить сайты в категории (точно не помню).

Уважаемые, просьба не пинать больно, не силён в исе.
Есть: вин2000 сервер + isa версии 3.0.1200 с установленным sp1.
Что сделал: акронисом сделал копию диска с исой и системой, потом закатал её на другой диск и выбрал режим Universal Restore это чтобы все запустилось на новом железе.
Железо естественно новое. После запуска установил драйвера, почистил от старых, сетевухам назначил айпишники, далее обновил систему до вин 2003.
Так вот что то не стартует иса Есть варианты выдрать настройки из неё и потом подпихнуть их какой нибудь свеже установленной чистой копии исы, например 2004 или 2006?
Просто там куча правил для клиент-банка и пр. а как их выдрать, тем более настроить самому что то не въеду, ибо с сабжем не знаком абсолютно.
Спасибо.
P.S. логины откуда она берет? Похоже что интегрирована в домен она. Может быть потому и не стартует, потому что нет связи с контроллером?
Ибо пока держу её без связи, т.е. не подключена ни к локалке ни к глобалке, чтобы не было конфликта в сети.

SergeyMark

Сергей спасибо за ссылки, но это публикация СВОЕГО ФТП=) Я наверно не учень удачно выразился,у меня через ИСА 2004 не работает НИ ОДИН ФТП в интернет,тупо режет их,пишет "Соединение не удалось".Например захожу через мегафон на тот же фтп,все норм,как только подключение через иса 2004,все ни один фтп недоступен((ВОт и спрашиваю какое правило нужно создать через иса 2004 чтобы у меня начали открываться ФТП в Инете?Люди спасайте,начальство уже замучало.

Хм, выяснилось что иса 2000 обновляется до 2004, а 2004 до 2006.
2004 можно установить только на 2003 винду, 2006 поверх старой исы 2000 нельзя ставить.
И домен должен быть доступен во время установки %)
В общем придётся 2000 обновлять до 2004, а уж потом 2004 до 2006.
Надеюсь ничего не слетит, правила все останутся.

Zebuin
1. Новое правило доступа- Разрешить - Выбранные протоколы:FTP - От внутренней сети - К внешней сети - Все пользователи.
2. Правой кнопкой на правиле доступа - настроить FTP

Zebuin

Цитата:

спрашиваю какое правило нужно создать через иса 2004 чтобы у меня начали открываться ФТП в Инете?

В предъидущем посте geminisf написал тебе пошаговые действия. Могу лиш добавить скриншоты, для наглядности. http://www.rapidshare.ru/2667433


Добавлено:
Serg0FFan

Цитата:

В общем придётся 2000 обновлять до 2004, а уж потом 2004 до 2006.
Надеюсь ничего не слетит, правила все останутся.

Попробуй конечно. Образ системы созданный акронисом у тебя есть, если что откатишься.
Но 99 к одному, что правила перенесутся криво. Я пробовал, все пошло не так, как хотелось. Поставил все с нуля, настроил и работает.
Ставь чистую систему и настраивай по новой. И времени затратишь меньше и работать будет без глюков.

Господа, подскажите, можно запретить ходть через ису по HTTP в виде IP адреса?
Например - hттp://94.100.191.202 для mail.ru. Т.е. без ввода доменных имен.

OneHunt
1. Инструментарий - Сетевые объекты - Создать компьютер - Даешь имя и вводишь ip - ОК
2. Новое правило доступа - Запретить - Выбранные протоколы:HTTP - От внутренней сети - К твоему созданному компу - Все пользователи.

geminisf
Просто забанить IP нет проблем. Тут прикол в том, что я не могу в принципе перечислить все IP которые захотят набрать юзеры.

OneHunt


Цитата:

Тут прикол в том, что я не могу в принципе перечислить все IP которые захотят набрать юзеры.

пробуй диапазон IP.

anton04
Тоже не пойдет, суть таже, заранее низвестен и слишком много вариантов. Смысл действия - "убивать" походы юзеров на разные внешние прокси, закрытые по доменным именам сайты и т.п.

OneHunt
а вот так
http://1*
http://2*
и т.д.

Цитата:

Просто забанить IP нет проблем. Тут прикол в том, что я не могу в принципе перечислить все IP которые захотят набрать юзеры.

Тогда:
1. Средства сторонних разработчиков, например GFI Webmonitor.
2. Ставить TMG, там встроенная система контроля web доступа по категориям с постоянно обновляемыми базами.
3. Найти готовый список и внести его либо в наборы компьютеров, либо в наборы URL. Вроде бы где-то попадалось, когда пользовался "исой".
4. Либо все-таки формировать этот список самому

Valery12
Цитата:

а вот так

Интересная мысль)) Спасибо, попробую.

geminisf
Если не поможет предыдущее, что-то придется добавлять из стороннего софта. Списки анонимных прокси можно искать и корректирвать их реальными значениями из логов Исы, но это "на шаг позади юзеров".

Valery12
отлично! то что нужно. единственное, что под такие правила попадают сайты типа http://4elyabinsk.ru/
Чтобы не было таких срабатываний можно сделать 254 правила:
http://1.*
...
http://254.*

У меня еще была другая мысль делать не URLset, а Domain name sets вида:
*0
*1
...
*9
тогда бы все IP попадали под фильтр, а обычные доменные имена никогда не заканчиваются на цифру, но почему-то такие правила не заработали

OneHunt
банить всех по ип смысла мало, так как если ип обратно резолвится в имя то иса это сделает и забанит по имени

slaynew

Цитата:

но почему-то такие правила не заработали

потому что это не доменные имена а звездочки с цифирьками