» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Цитата:

У меня еще была другая мысль делать не URLset, а Domain name

нет, только URLset и увы набор подстановочных символов скуден, вот было бы здорово если бы можно было в URLset использовать регулярные выражения.

Valery12

Цитата:

вот было бы здорово если бы

BG прямо сказал, что такие скудные настройки в консолях MS сделаны специально. Не только MS зарабатывает деньги, но и дает заработать своим коммерческим партнерам. Так что ожидать изменения чего-либо в политике M$ не приходится. Покупайте продукты партнеров MS.

Что касается BlackList, то его увеличение скажется на быстродействии ИСы. Будут доп тормоза при открываении страниц.

del

HmH
Друг любезный, а подскажи программулину, с помощью которой ты схему сети нарисовал?)
Предлагаю вышезаданный пост поставить в образец того, как надо задавать вопросы.

KOMSOMOLEC1
offtop
оч похоже на visio

Да Visio 2010 + Virtualization stensils

По сути плиз... Задолбал уже этот сервер глючить...!!!!! %%%%%)))))))) &&&&&%%%%%))))
Над схемой сидел очень долго, так и не смог пончять как правильно нарисовать физическую и логическую модель
Получилось физически-логическая!
Так подробно рисовал, чтобы правильно поставить вопрос, схема не простая в силу сложившейся инфраструктуры
Изначально мастером TMG настроен как EDGE FIREWALL
Хотя по схеме получается 3-Leg

Поэтому много текста....

По сути вопроса, плиз, очень прошу плиз...

HmH
По сути вопроса, я где-то встречал эту проблему: что виртуальная сетевуха перестает работать. Попробуй поставить сервиспаки на ОСь и на ТМГ с последними роллапами. Если не поможет, то ищи свою проблему на английском, на форумах TechNet.

Все обновки стоят
Зависает именно физическая сетевая карта Intel PRO/1000GT - "For_HW_Inet1"
До скриншотов было прибиндено к сетевке Intel Gigabit CT Desktop Adapter
Сетевку менял на такую же Intel Gigabit CT Desktop Adapter, сняв с работающего сервера, где все ОК!

Тогда можно поиграть с дровами и режимами работы сетевухи. Почитать системные логи, позаписывать графики сетевой активности...

С дровами игрался неделю...
позаписывать графики сетевой активности - реальный вариант!

Я уж думал что вылечилось как на форум задал вопрос... НЕТ нифига
Сервер проработал без глюков двое суток и 23 с копейками часа (можно сказать трое суток), и опять повис... за это время VPN не отваливался...
После отключения/включения повис примерно через пол часа..., после чего не поднялся
Пришлось ехать. Снова отвалился RAID (уже третий раз), проработал опять около 30-40 минут, и снова все повисло
Причем виснет как-то странно, внутренний интерфейс (192.168.0.1) пингается, но зайти на него не могу, в нстройках стоит перезагрузка в случае чего, нифига не перегружается.
Монитра как и клавы/мыши там нет (контора бедная, экономит...) пипец како-то
Больше чем за двое суток в логах TMG все ОК, отключил кабель от интерфейса который смотрит в медиа-конвертер. Часть людей пока посидит без инета, все кто через WiFi работают... Тогда будет сразу понятно в чем проблема!!!


Короче мнение что глюки в самом конвертере, ну ничего уже быть не может...
Сетевки менялись с БП все ОК, все подключено через УПС, в том числе оборудование сетевое которое смотрит в сервер..
Щас пытаюсь вспомнить с чего началось... Поначалу сервер не повисал, а пропадал инет, на сервер можно было спокойно зайти через второй инет на 192.168.0.1, Иногда было видно что сетевка которая смотрит в медиа-конвертер, говорит кабель отключен/подключен, и так по кругу несколько раз... Иногда перегружался по нормальному, а иногда нужно было принудительно...

Первый раз такие бока, что выловить не могу, в чем же реально проблема...

HmH
Вот я смотрю ты всё мучишься с этим серваком. Используй преимущество виртуализации -- перемести свою машину с TMG на другой хост. Хоть на персоналку. И посмотри, что будет.

Привет всем.
Ответа не нашел, поэтому спрошу:
периодически появляется окно с запросом имени пользователя и пароля (чаще всего в почтовом веб-интерфейсе, напр. mail.ru, главным образом на прикреплении файлов/отправке письма), с чем это может быть связано?

окно появляется произвольно, буквально - неделю полет нормальный, а потом день с переменным успехом - то есть, то нет.
в домене 2 сервера - ISA 2006@win 2003, "железный" сервер и TMG 2010@win 2008, виртуализирован в Hyper-V, оба работают только как web proxy, проблема проявляется на обоих

11101_SE

Цитата:

периодически появляется окно с запросом имени пользователя и пароля (чаще всего в почтовом веб-интерфейсе, напр. mail.ru, главным образом на прикреплении файлов/отправке письма), с чем это может быть связано?

В своем профиле на mail.ru измени способ выгрузки файлов с "расширенного" на "стандартный". Выйди с mail.ru и зайди снова. Запрос пароля исчезнет.

SergeyMark
беда в том, что, как я писал, это не только на mail.ru
радикально как то лечится? хотя бы в чем причина?

http://s1.ipicture.ru/uploads/20110717/ZUxeJuto.jpg
[more]Данные об оповещениях
Описание: ISA Server обнаружил маршруты через сетевую плату wan, которые не связаны с сетью, которой принадлежит эта плата. Правильная настройка сети подразумевает, что диапазоны IP-адресов каждой сети уровня массива должны включать все IP-адреса, маршрутизируемые через сетевые платы этой сети согласно их таблицам маршрутизации. В противном случае действительные пакеты могут отбрасываться как поддельные. Следующие диапазоны включены в диапазоны IP-адресов этой сети, но не маршрутизируются ни через одну из сетевых плат: 169.254.255.255-169.254.255.255;. Обратите внимание, что это событие может однократно создаваться после добавления маршрута, создания удаленной сети или настройки балансировки сетевой нагрузки. Его можно проигнорировать, если оно больше не возникнет.

Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : xxxxxxx

Основной DNS-суффикс . . . . . . : xxxxxxxx.local

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : да

WINS-прокси включен . . . . . . . : да

Порядок просмотра суффиксов DNS . : Gromovair.local



Интерфейс RAS-сервера - PPP адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

Физический адрес. . . . . . . . . : 00-53-45-00-00-00

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.66.201

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз . . . . . . . . . . :



wan - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : VIA VT6105 Rhine III Compatible Fast Ethernet совместимый адаптер

Физический адрес. . . . . . . . . : 00-21-91-7A-14-70

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : xxxxxxxxxxxxxx

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : xxxxxxxx



Local - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Realtek PCIe FE Family Controller

Физический адрес. . . . . . . . . : 00-24-8C-BA-28-78

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.66.1

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :

DNS-серверы . . . . . . . . . . . : 192.168.66.1

192.168.67.3



{08A0B452-9276-424E-BB9A-8543488B3927} - PPP адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

Физический адрес. . . . . . . . . : 00-53-45-00-00-00

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.64.204

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз . . . . . . . . . . :



dmd_pdc66 - PPP адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

Физический адрес. . . . . . . . . : 00-53-45-00-00-00

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 169.254.178.183

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз . . . . . . . . . . :

DNS-серверы . . . . . . . . . . . : 192.168.67.3

192.168.64.5

NetBIOS через TCP/IP. . . . . . . : отключен



dmd_ztb1 - PPP адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

Физический адрес. . . . . . . . . : 00-53-45-00-00-00

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.67.218

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз . . . . . . . . . . :

DNS-серверы . . . . . . . . . . . : 192.168.67.3

192.168.64.5



grom-356-pdc - PPP адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

Физический адрес. . . . . . . . . : 00-53-45-00-00-00

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 169.254.26.187

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз . . . . . . . . . . :

DNS-серверы . . . . . . . . . . . : 192.168.70.1

192.168.64.5

NetBIOS через TCP/IP. . . . . . . : отключен



{AB407561-31DC-4BE4-854F-8CD8E866AAD6} - PPP адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

Физический адрес. . . . . . . . . : 00-53-45-00-00-00

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.69.28

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз . . . . . . . . . . :

[/more]
Доброго всем!
Суть проблемы такова- построены ВПН туннели до удаленных офисов.часто стали отваливаться туннели.
шары есть, пинги ходят, но вываливается вот такая ошибка.
погуглив ошибку, нашел что надо снимать галку регистрировать в ДНС на впн интерфейсах туннеля в маршрутизации, но не помогает,
Может, на моем скрине (я только при установке сетевуху выбрал, и все) нужно прописать адреса, чтобы они относились ко внутренней сети?
Еще иногда сам интерфейс маршрутизации м.б. в APIPA а иногда интерфейс впн туннеля...
Это нормально или нет?

isa 2006 не устанавливается на windows 2008???

Цитата:

isa 2006 не устанавливается на windows 2008???

да, не устанавливается

еще вопрос - почему маршруты с ИСЫ не приплывают ко мне через впн?
я кидаю впн подключение к оффису, галку использовать шлюз не ставлю.
подключение устанавливается, я имею доступ к той сети , к которой кинул впн.
но на исе подключены впн туннели, почему ко мне не идут до них маршруты?
прописываю рукой маршрут, и все хорошо, сразу вижу удаленную другую подсеть. но хочется автоматом, чтобы подключился по внп и получил маршруты не только до локальной сети но и до удаленных подсетей.
как-то правила допилить?

ты сам вручную отключил использование удаленного шлюза на isa, и хочешь использовать ее маршрутизацию автоматом. как-то это не логично тебе не кажется?

ReXXxxar
это я понимаю, что с галкой ИСПОЛЬЗОВАТЬ ШЛЮЗ меня иса маршрутизирует туда, куда у нее есть машруты( туннели)
вопрос в том, что я как то наковырял так, что у меня БЕЗ галки это было. только конфиг не сохранился.

Коллеги... невнятная петрушка какая-то...

Имеем:

1. TMG 2010
2. Основной канал в Интернет
3. Запасной (всё накручено через ISP Redundancy)
4. Интерфейс смотрящий в Локальнаую сеть (сама сеть 192.168.0.0/24, адрес на Интерфейсе 192.168.0.1)
5. Интерфейс смотрящий в сторону филиала (IPVPN на mpls сети, уровень сети Layer3 по OSI). Сама сеть 10.0.2.0/24, интерфейс имеет адрес 10.0.2.2, шлюзом является для него 10.0.2.1)


Так вот, с самого TMG всё ("всё" громко сказано, скажу - PING) летает без проблем в другую сеть (10.0.3.0/24) и в сторону шлюза 10.0.2.1. В то время как из локальной сети 192.168.0.1 в 10.0.3.1 и даже 10.0.2.1 ничего не попадает... в логах пишется дебильное - "The network rules do not allow the connection requested" либо "A packet was dropped because its hop limit or time-to-live limit was exceeded"

В Networking > Network Rules написано правило маршрутизации из 192.168.0.0 в 10.0.2.0 и 10.0.3.0
Сама сеть со всеми необходимыми параметрами создана в Networking > Networks
В правилах весь исходящий разрешен между сетями...

Маршруты статические написаны откуда куда...

чо за хрень то такая? чего не так то?

Цитата:

с самого TMG всё ("всё" громко сказано, скажу - PING) летает без проблем в другую сеть (10.0.3.0/24) и в сторону шлюза 10.0.2.1. В то время как из локальной сети 192.168.0.1 в 10.0.3.1 и даже 10.0.2.1 ничего не попадает

а в сети 10.0.3.0/24 есть маршрут к 192.168.0.0/24?

Цитата:

Интерфейс смотрящий в сторону филиала (IPVPN на mpls сети, уровень сети Layer3 по OSI). Сама сеть 10.0.2.0/24, интерфейс имеет адрес 10.0.2.2, шлюзом является для него 10.0.2.1)

получается вы не поднимаете туннель между 10.0.2.2 и маршрутизатором в филиале, а полностью полагаетесь на провайдера? Я не большой знаток технологии mpls но возможно в этом случае провайдер должен знать не только сеть 10.0.2.0/24, которую вам выделил но и вашу локальную 192.168.0.0/24

Есть шлюз в одной сети на ISA St 2006+Win2003Srv Std R2. Сконфигурирован кэш DNS, VPN. В другой сети, есть Cisco роутер RVS4000. Есть желание использовать аппаратный тунель из циски по VPN к ISA. Само по себе соединение VPN из локальной сети 2 к сети 1 через роутер устанавливается, если использовать MS клиент. А соединение с циски сконфигурировать не получается. Решал кто-нть такую проблему? Ткните носом в доки.

Valery12

Цитата:

получается вы не поднимаете туннель между 10.0.2.2 и маршрутизатором в филиале, а полностью полагаетесь на провайдера?

хмм... а на кого же мне полагаться в части маршрутизации трафика между подсетями?

Ну и итог... парни, сегодня ночью пришло озарение... я просто жёстко и конкретно тупил (аж стыдно )... в моем случае в отношении сетки филиала должен быть поднят NAT... и всё летааааает

Цитата:

хмм... а на кого же мне полагаться в части маршрутизации трафика между подсетями?

Я например в аналогичной ситуации (правда филиалов побольше) использую именно GRE туннели через которые могу гонять любой трафик

Цитата:

в моем случае в отношении сетки филиала должен быть поднят NAT

это не решение, а временный выход из ситуации, что же это за связь между филиалами через NAT, корпоративная сеть предполагает полносвязную маршрутизацию или двусторонняя связь не нужна?

дык на 10.0.2.2 работает нат в обоих направлениях

поскольку у меня тоже
Цитата:

филиала (IPVPN на mpls сети, уровень сети Layer3 по OSI)

я и пытаюсь донести
например первая площадка
локальная сеть - 192.168.0.0/24
сеть IPVPN 10.0.2.0/24 где
провайдер 10.0.2.1

вторая площадка
локальная сеть - не знаю может вообще нет
сеть IPVPN 10.0.3.0/24 где
провайдер 10.0.3.1

так вот провайдер гарантирует вам маршрутизацию между 10.0.2.0/24 и 10.0.3.0/24 и все,
о наличии 192.168.0.0/24 маршрутизатор 10.0.2.1 ничего не знает

NAT в обе стороны ничего не решит, в смысле полноценной связи любого компьютера первой площадки с любым компьютером второй

нужно либо переводить всех из сети 192.168.0.0/24 в сеть 10.0.2.0/24 (благо маски одинаковые)
либо, что будет правильнее, на второй площадке сделать локалку 192.168.1.0/24 поднять ИСУ с интерфейсами локалки и 10.0.3.2 и создать между ними туннель.

Valery12

Цитата:

о наличии 192.168.0.0/24 маршрутизатор 10.0.2.1 ничего не знает

да всё он знает... написано там route

Стоит TMG 2010. Заметил. что на некоторый сайтах режется javascript. В частности на ebay.com - не работают и не применяются фильтры. Это куда копать?

erve
у меня всё норм открывается TMG2010

мб NIS портачит? попробуйте включить эти сайты в группу "Sites Exempt from Network Inspection System" (сетевые объекты - наборы доменных имён)...