» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Там в NON-TCP соединениях дело... Исключение компа не поможет Меняй настройки.

Хммм... а просто отключение flood защиты поможет?..

Добавлено:

Цитата:

Итак, что имеем.
TMG периодически валится так, что изнутри она недоступна.
Симпотомов никаких нет - может поработать до паления 10 минут, а может пару дней. Помогает только Hard Reset.
Проверку на флуд отключал - не помогает, ДНС УЖЕ настроил правильно (только на внутр. интерфейсе).
Явных предвестников падения в виде торрентов и прочего - нет

Утром поднимаю VPN и тут же TMG умирает - сессия висит, но пинги уже не пускает ниоткуда. Переподключение уже не удается. Что показали логи...

INET, 10/6/2011, 7:35:07, -, 10.16.1.34, 10.16.1.34, ::, VPN-клиенты, VPN-клиенты, Disconnection, 0x0, -, WAN Miniport (PPTP), -, 0, 0, 0, 0, 422531, 422531, -, user, VPN remote access, 8056, 0, -, -, -, -, -, -, ::, -, -, -, -, -, -, -, -, -, 1048575, -, -
INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:58858, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 34, 34, 50, 50, 312000, 312000, -, user, -, 8056, 45937, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:55033, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 30, 30, 158, 158, 360484, 360484, -, user, -, 8056, 45742, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:60130, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 42, 42, 202, 202, 360515, 360515, -, user, -, 8056, 45740, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:63327, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 29, 29, 45, 45, 363015, 363015, -, user, -, 8056, 45734, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:53266, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 47, 47, 63, 63, 367906, 367906, -, user, -, 8056, 45720, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:58966, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 51, 51, 116, 116, 368125, 368125, -, user, -, 8056, 45717, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
INET, 10/6/2011, 7:35:07, TCP, 10.16.1.34:51275, 10.16.1.50:3389, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x800700b7, Межсетевой трафик, RDP (служба терминалов), -, 701794, 701794, 26714641, 26714641, 417125, 417125, -, user, -, 8056, 45591, -, -, -, -, -, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -

и все... То есть имеем, что часто TMG падает из-за VPN. Но опять же - не всегда.

TrustyM
Флуд защиту выключил, по прежнему инет подтормаживает, картинки долго прогружаются.
Где еще можно посмотреть?

Student1
То, что инет подтормаживает - это одно, то что он теперь хотя бы есть - это другое
P.S. А картинки и инет подтормаживает когда качаешь торрентом?

Приветствую, гуру, может уже писали.
Такой вопрос неожиданно на утро перестала работать игра W.o.T. через 1 ИСа-сервер, всего у меня 4 ИСА-сервера в разных местах. Соответсвенно на 3х других все работает, специально проверял. Соответсвенно у меня все разрешено, ничего в настройках не менялось. Остается только переустановить ИСА-сервер, что не хочется конечно, может кто что посоветует?

Такой вопрос.
После установки TMG на машинку в домене с Windows Server 2008 R2
комп при загрузке очень долго висит на стадии "Применение параметров компьютера" еще до входа пользователя в систему.
Не подскажете с чем может быть связано и как исправить подобное безобразие ?
Спасибо!

Здравствуйте.
Установили у нас банковскую прогу, которая отсылает/принимает инфу по FTP. Настроили ftp-правило - там как обычно по 21 порту из внутренней во венешнюю, галочку в свойcтвах ftp"Только для чтения" снял.
Но задача все равно выдает "ошибка прокси 502" и рвет соединение.


Сначала ругался на 21-й порт, я его добавил в туннель, не помогло. вот лог
На 21-й порт ругается - назначение - комп банка
Неудачная попытка соединения EVELIN 19.10.2011 16:24:55
Тип журнала: Веб-прокси (прямой)
Состояние: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.
Правило: Web
Источник: Внутренняя (192.168.0.69)
Назначение: Внешняя (194.158.195.252:21)
Запрос: 194.158.195.252:21
Информация фильтра: Req ID: 12ed22fc
Протокол: SSL-tunnel
Пользователь: anonymous
Дополнительные сведения
Client agent:
Object source: Интернет (Источник - Интернет. Объект был добавлен в кэш.)
Cache info: 0x0
Processing time: 0 ms
MIME type:

На 4516 порт ругается - назначение - комп с исой
Неудачная попытка соединения EVELIN 19.10.2011 16:24:58
Тип журнала: Веб-прокси (прямой)
Состояние: 12204 Указанный SSL-порт не разрешен. ISA Server не настроен для разрешения SSL-запросов от данного порта. Большинство веб-обозревателей используют порт 443 для SSL-запросов.
Правило:
Источник: Внутренняя (192.168.0.69)
Назначение: (192.168.0.3:4516)
Запрос: 194.158.195.252:4516
Информация фильтра: Req ID: 12ed2396; Req ID: 12ed2396
Протокол: SSL-tunnel
Пользователь: anonymous
Дополнительные сведения
Client agent:
Object source: Интернет (Источник - Интернет. Объект был добавлен в кэш.)
Cache info: 0x0
Processing time: 0 ms
MIME type:

НО! порт 4516 - не постоянный , при разных соединениях вылазит разное число.
Правило ftp стоит после правила web? разрешающего весь и-нет., если это на что-то влияет.

Подскажите, куда думать и какие порты туннелировать? В банке сказали - "мы и исой не сталкивались."

Grover74


Цитата:

Состояние: 12204 Указанный SSL-порт не разрешен.

И чего тут не понятного, сказано же SSL-порт не разрешен!

Egenius

Мне помогло
sc config isactrl depend=RasMan/SSTPSVC/FwEng/ISASTG/bfe/mpssvc/HTTP/KeyIso

dlc22
Спасибо, попробую.
Только не разъясните что делает эта команда?

Egenius


Цитата:

Только не разъясните что делает эта команда?

TMG is taking more than 16 minutes to start on Windows 2008 R2

Есть ИСА2006 стд. Есть 2 правила публикации RDP с разпешением доступа с разных IP. Работает все на ура.
Вопрос - можно ли привязать к этим правилам ( или как-то иначе ) запрет на регистрацию под определенными логинами?

OneHunt
На терминале сделайте через реестр два rdp connection на разных портах, в permissions укажите нужные логины и опубликуйте вашими двумя правилами.

Refugee
Цитата:

На терминале сделайте через реестр два rdp connection на разных портах

Сорри, не понял. Публикация сделана на ИСЕ на нестандартных портах, два правила(А и Б) на которых висят разные IP адреса(поле FROM). Оба правила публикуют один и тот же сервер RDP(поле То). Правило А для группы А IP, а правило Б - для группы Б IP адресов. Нужно, чтобы логины RDP группы А нельзя было применить в группе Б и наоборот. Сервер ИСА и сервер RDP две разных железки.

OneHunt


Цитата:

Есть ИСА2006 стд. Есть 2 правила публикации RDP с разпешением доступа с разных IP. Работает все на ура.
Вопрос - можно ли привязать к этим правилам ( или как-то иначе ) запрет на регистрацию под определенными логинами?

Данные манипуляции не относятся к исе никоим боком, всё делается на RDP сервере...

anton04
Цитата:

Данные манипуляции не относятся к исе никоим боком

Допустим так и есть, я просто не догоняю. Каким обраом целевой RDP сервер внутри локальной сети догадается с каких внешних IP пришел юзер?

OneHunt
RDP сервер будет слушать на двух разных портах, для одного внешнего ip опубликуете один, для другого - другой.

Refugee
Я так и сделал. Но есть нюнс. Эти два правила нужно сделать неравноправными. Чтобы пользователи, передавая друг другу логины и пароли от RDP, не имели возможность подключиться с другими правами. Административными мерами пресечь не удается. Политикой домена на права пользователя я настроил разграничения все работает, но как зашититься от передачи логинов и паролей - вопрос. Различие только во внешних IP адресах пользователей.

OneHunt
Два RDP connections настраиваются на сервере терминалов, у каждого будет свой список доступа и tcp port.
На исе публикуете один порт терминала для одних IP пользователей, другой - для других.

Ребята, что нужно расшарить/открыть и где, чтоб Windows Update работал (тянул обновления с оф.сайта мелкомягких), ну и обновления для МСЕ тоже, но думаю они туда входят. Шара домена microsoft.com & *.microsoft.com не помогла.

F_L LiaNet

В системных политиках иса есть правило "Разрешить отправку HTTP/HTTPS-запросов с сервера ISA Server на указанные узлы"
Конфигурация-кэш есть правило "Правило кэширования обновлений Microsoft"

anton04
Refugee
Ступил, решил именно так, как вы подсказывали, переназначением портов в одном из правил публикации, а так же дополнительно создал порт на целевом RDP сервере.

Привет всем! Глючит сайт вконтакте... Когда заходишь на него в логах мониторинга ISA 2004 SE SP2 появляется запись: "Description: ISA Server was unable to process a response body from http://vkontakte.ru. The server supplied a compressed response although ISA Server did not request compression. The response was discarded."
Что это за ошибка?
ps Насколько я понял, нужно настроить HTTP компрессию, но как правильно это сделать? Вот по этой ссылке http://wiki.compowiki.info/ChtoTakoeGZIP показано как настроить эту саму компрессию... Настроил, как на картинке по ссылке и вконтакте нормуль заработал(в логах исы пропали записи "Description: ISA Server was unable to process")но через минут 30 повис инет в офисе... Не отвисал, пока не вернул настройки как были...
Еще прочитал что можно вообще отключить web proxy фильтр в ветке Add, но у меня не возможно это сделать - галка "enable" включена и залочена
PS Так, все, разобрался, вопрос закрыт!

День добрый.

По гуглил немного, по шапке прошелся, но с налету ответа на свой вопрос не нашел.

Сейчас в качестве роутера для локалки стоит D-link DIR-615 (wi-fi не используется, просто стоит роутером, потому что был в наличии, временно ...)
Куплен сервер (2 сетевых интерфейса) и софт Win2008R2 и TMG2010.

Дано: в локалке есть голосовой шлюз (понимаю, что по хорошему его надо выносить на второй белый IP, но второго белого IP нет). Если в ручную на него пробрасывать порты - можно устать (голос ходит по тысячам портов).
По этому на D-link DIR-615 голосовой шлюз прописан так:
Advanced - FIREWALL SETTINGS - DMZ Host - Enable DMZ Host - DMZ IP Address - адрес шлюза.
Причем на том-же DIR-615 прописаны отдельно Virtual Server (ну например проброс удаленного рабочего стола на одну из машин в локалке, проброс ssh порта на другую машину)

DMZ на D-link-е работает нормально.
т.е. если я стучусь на 22 порт - отдает кому надо, если на RDP - тоже попадаю на рабочий стол,
а все остальные левые порты сбрасывает на голосовой шлюз,
и все прекрасно работает.

ВОПРОС:
можно ли на TMG2010 реализовать такую-же картину (избранные порты - куда надо, персонально, все остальное без разбора - на голосовой шлюз)
и если да - то как.
Ссылки на мануалы - приветствуются.
Спасибо.

з.ы. Есть опыт работы с UNIX-фаерволами, но у MS как показывает практика - все наоборот.
Опыта с ISA и TGM практически нет ...
так что буду признателен ссылкам на похожие ситуации.
Спасибо.

anton04
В целом - "Не вышло"

Цитата:

В системных политиках иса есть правило "Разрешить отправку HTTP/HTTPS-запросов с сервера ISA Server на указанные узлы"

Добавил в список разрешённых: "Набор доменных имен обновления Microsoft". Нифига Или что ты имел ввиду, может я тебя недопонял просто?

Цитата:

Конфигурация-кэш есть правило "Правило кэширования обновлений Microsoft"

Включил, добавил.

F_L LiaNet


Цитата:

Добавил в список разрешённых: "Набор доменных имен обновления Microsoft".

Правильно.

Ну это Вы разрешили это только для сервера где стоит сама иса, а для других серверов и клиентов нужно отдельное анонимное правило которое создаётся руками и помещается сразу после разрешения протокола DNS.

Подскажите по 2010 исе
Перешел на 2010 с 2004 исы.
Начал тормозить инет.Долго открываются страницы, прогружаются картинки.
При использовании торрентов, в частости уторрента иса вообще падает, лечится только перезагрузкой.
Где копать? Флуд контроль отключен

Здравствуйте.
Стоит задача организации WiFi - интернета внутри сети организации. Интернет для пользователей раздаётся через TMG2010 по учёткам из AD. Пользователи должны подключаться к WiFi по паролю сети точки доступа, а точка доступа должна "авторизоваться" на TMG. Где будет считаться трафик раздаваемый по WiFi.
Пользователям WiFi нужен только интернет.
Подключаться точки доступа будут по протоколу RADIUS.
Вопрос в следующем: Если я настрою такую схему по этой инструкции , будет ли трафик WiFi отображаться в отчётах вместе с пользовательским трафиком? Или будет отображаться в отдельной табличке?

Господа, кто банил Агента ВКонтакте, что прописывали в правилах? Включил приложение в список клиента фаэрвола с "disable 0" и нарыл порт tcp 12080. Есть ощущения, что работет и по портам http-https. Есть у кого-то опыт? Поделитесь плз.

Доброго времени суток, подскажите пожалуйста в чом может быть проблемка
на воротах стоит isa во внутренний сетке стоит фтп серв (который якобы настроен и работает зашибись, хотя на него 1000 лет никто не заходил).Собсна сама проблемка состоит в том что с внутренний сети зайти на фтп мона а с внешней если мона то неотображает каталоги, но если заходить браузером то заходит норм. В правеле на исе все написано корректно проверял входящий трафик отовсюду на порт 21. галочка с правила read only снята.Подскажите плз в чом собсна косяк может быть.