» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

не могу запустить пользователя из АктивДиректори в интернет. Правила настроил. Группу пользунов из актив директори добавил в иса... и пользователь не может зайти в интернет... А вот когда в иса добавляю "разрешить всем пользователям" тогда инетрнет работает. Что может быть? где смотреть?

F_L LiaNet

Создаётся правило доступа куда помещаются соответствующие компы и в поле куда добавляется "Набор доменных имён обновления Microsoft", а в закладке кто прописываются "Все пользователи". Данное правило помещается сразу за правилом разрешения внешний DNS имён.

ytkaaa


Цитата:

Что может быть? где смотреть?

смотреть надо в логи исы, а так можно только гадать что это за правило как оно составлено, что ещё за правила весят перед ним...

anton04
Ничего не понял, где создается правило и что куда помещается...Можно подробней пожалуйста.

Вот скрин исы http://webfile.ru/5840548

А вообще, если логически мыслить, то откуда стек tcp/ip знает, что и кому разрешать, а что запрещать. Возможно нужен isa-клиент на пользовательских машинах?

Тогда возникает другой вопрос почему иса разрешает интернет ВСЕМ ПОЛЬЗОВАТЕЛЯМ? Вот когда ставишь "все пользователи" вместо группы internet users, тогда интернет работает.

Мб просто разрешить всем пользунам, а потом просто создать правила, которые запрещают сайты нескольким машинам?


Добавлено:
в логах ничего нет

ytkaaa


Цитата:

Ничего не понял, где создается правило и что куда помещается...

Почитайте хелп от исы (клавиша F1), там узнаете как создавать правила доступа и что правило доступа не создаётся само. Потом почитайте спец. литературу и статьи, есть даже на русском, а учить Вас азам мне не с руки (простите но банально не интересно).


Цитата:

Возможно нужен isa-клиент на пользовательских машинах?

Опять же, то что вы говорите относится к типам клиентов isa servera (SecureNAT , Webproxy и Firewall), что это такое и с чем его едят, вы найдёте в интернете за пару секунд.


Цитата:

Тогда возникает другой вопрос почему иса разрешает интернет ВСЕМ ПОЛЬЗОВАТЕЛЯМ?

По умолчанию, сразу после установки исы, у Вас есть только одно (не системное) правило, оно всегда стоит самым последним Посмотрите что оно разрешает? Правильно ничего и ни кому!


Цитата:

Мб просто разрешить всем пользунам, а потом просто создать правила, которые запрещают сайты нескольким машинам?

Порядок прохождения запроса через ису и как располагать правила вы можете уяснить из этой статьи (если поищите, то найдёте её перевод в интернете).

P.S. Общие рекомендации, внимательно почитать шапку и посетить рекомендуемые сайты с соответствующими статьями, обдумать всё и сформулировать вопрос корректно.

P.P.S. Второе правило у Вас всяко лишнее.

anton04
Смотри, вот мои правила:

А вот что я получаю на компах:

Где я что мог забыть? Почему постоянный 0x80072EFE ERROR_INTERNET_CONNECTION_ABORTED

F_L LiaNet

Ни в одном из правил не вижу разрешение имён DNS! По идее вторым правилом должно стоять:

1. Разрешить-протоколы DNS, NTP (UDP)-откуда (комп. являющийся внутренним DNS сервером)-куда Внешняя-пользователи Все пользователи-расписание Всегда-типы содержимого Все типы содержимого.

2. Из 6 правила исключить "Локальный компьютер"
2-а. Далее системное правило "Разные: разрешить отправлять HTTP/HTTPS-запросы с сервера ISA Server к указанным узлам" включить и проверить в поле куда должно стоять "Узлы, разрешенные системной политикой".

3. Далее учитывая что у Вас стоит Enterprise, сначала проверяйте политику массива, т.к. она имеет приоритет перед политиков конкретного узла, может у Вас и там косяки.

P.S. Восьмое правило я бы подредактировал, убрал бы из откуда и куда "Локальный компьютер", не представляю зачем исе нужен доступ к внешней почте...

anton04

Цитата:

P.S. Восьмое правило я бы подредактировал, убрал бы из откуда и куда "Локальный компьютер", не представляю зачем исе нужен доступ к внешней почте...

Логично! Поправил.

Цитата:

3. Далее учитывая что у Вас стоит Enterprise, сначала проверяйте политику массива, т.к. она имеет приоритет перед политиков конкретного узла, может у Вас и там косяки.

Где это глянуть или как посмотреть, подскажи пожалуйста или ссылку кинь на чтиво по этому вопросу, если не трудно.

Цитата:

Далее системное правило "Разные: разрешить отправлять HTTP/HTTPS-запросы с сервера ISA Server к указанным узлам" включить и проверить в поле куда должно стоять "Узлы, разрешенные системной политикой".

Тут, или что-то пропустил? Сама ИСА через винапдейт обновляется без вопросов кстати.

Цитата:

1. Разрешить-протоколы DNS, NTP (UDP)-откуда (комп. являющийся внутренним DNS сервером)-куда Внешняя-пользователи Все пользователи-расписание Всегда-типы содержимого Все типы содержимого.

Сделал кстати! А комп являющийся внутренним ДНС сервером - он и есть ("Локальный компьютер").

F_L LiaNet


Цитата:

Где это глянуть или как посмотреть, подскажи пожалуйста или ссылку кинь на чтиво по этому вопросу, если не трудно.

Цитата:

Тут, или что-то пропустил?

Попробуйте понажимать эти две кнопки



После нажатия первой, перейти в закладку поиск и ввести название "системная политика" далее по тексту

А нажатие второй кнопки приведёт Вас к правилам системной политики (аналогично нажатию правой кнопки мыши на "Политики межсетевого экрана"), вот только мне (например) так наглядней, таблицей получается, как и все остальные правила.


Цитата:

А комп являющийся внутренним ДНС сервером - он и есть ("Локальный компьютер").

Что не есть хорошо... Тем более если у Вас есть AD, а он есть (я надеюсь, иначе зачем ставить Enterprise!?) там и должен быть DNS который и отвечает за все запросы как внутрении так и внешнии.

что может быть? не устанавливается tmg 2010.
скрин тут http://zalil.ru/32827863

ytkaaa

Не установлена нужная роль, подробнее смотрите требования TMG.

коллеги... чем посоветуете почитать icq трафик на маршрутизаторе TMG 2010?

life_so_good


Цитата:

чем посоветуете почитать icq трафик на маршрутизаторе TMG 2010

Ничем, т.к. TMG не обладает функцией снифера.

Цитата:

Ничем,

ну почему же ничем? А Microsoft Network Monitor чем плох ?
http://www.microsoft.com/ru/ru/softmicrosoft/netmonitor.aspx

wwladimir


Цитата:

ну почему же ничем? А Microsoft Network Monitor чем плох ?

Тем, что TMG к нему не имеет никакого отношения!

Гуру, такой вопрос.
Есть сеть под доменом, убили DHCP сервер, теперь все получают стат. IP от 192.168.0.1-255, до этого подключались удаленно по PPTP получали IP из вышеназванного диапазона автоматом, ISA пускал везде, работал RDP и т.п. теперь подключение есть, но получает автоматом IP вообще хз из какого диапазона (что клиент, что сервер), даже не рядом. В ручную IP не прописать, сразу ошибка при подключении. RDP не работает, ни одну машину не видит и при этом в интернет пускает.
Где копать, товарищи?

Kiter70
Я не гуру, н могу ответственно заявить, что включить роль DHCP сервера с примитивными настройками-дело не более 3 минут.
А не работает потому что у Вас, мне кажется, нет минимальных знаний о сетях...
О адресах которые они получают сейчас можно почитайте здесь - http://support.microsoft.com/kb/220874
А для того,что бы из одной сети куда-то ходить, компам кто-то (и это или руками надо сделать или через DHCP) должен сообщить где выход в другие сети (и/или интернет).
И этот "выход" называется в сетевых настройках - "шлюз по умолчанию" или "default gateway".
Уж погуглите сами по этим словам.

У меня ответный вопрос-Вы действительно системный администратор и ИСА в Вашем ведении???

wwladimir
ответил Вам ЛС

Такой казалось бы несложный вопрос. Надо разрешить всем пользователям ходить на определенный сайт наружу.
На всех машинах стоит Isa Firewall Client. Если ручками/через GPO добавляю этот сайт в исключения браузера, то все работает. Но ведь клиент постоянно обновляет конфигурацию браузера, затирая собой эти параметры. Идем дальше. На TMG включено автоопределение параметров и использования сценария автоматической настройки.
Нужный сайт указываю во вкладке "Домены", в списке исключений "Веб-обозревателей"...
Не помогает!
Скачиваю этот сценарий из браузера - там в списке исключения явно мой сайт прописан

CARPExceptions=new MakeCARPExceptions();
cCARPExceptions=10;
function MakeNames(){
this[0]="*.mysite.com";
this[1]="mysite.com";";
...
Но все равно не пускает туда.
То есть или надо отключить в FC автоматическую настройку браузера или понять почему оно не работает несмотря на явное прописывание на TMG
Help! Куда копать...

Возникла такая проблема:
Есть хранилище настроек – один сервер и есть 2 прокси сервера ISA 2006.
Непосредсвенно на этих компьютерах оснастки работают нормально - все отображают, мониторят все в реальном времени
И у них на вкладке наблюдения есть веб-прокси
http://linkme.ufanet.ru/images/adce9129a199aaa0c0d74fa5661bc74d.jpg
Устанавливая оснастку на других компьютерах (предварительно дав права администратора на сервере хранилища настроек) и подключаясь к нему почему-то не видны эти веб прокси
http://linkme.ufanet.ru/images/04cb87aee91d52e645028d8e32ff35de.jpg
И при запуске монитора в реальном времени просто пишется что идет запрос и данные никакие не появляются.
У меня очень сильные подозрения что надо где-то добавить разрешение на ip адреса тех компьютеров которые хотят произвести чтение данных с этих двух прокси серверов, вот только где это прописать я вот не знаю.
Может кто-нибудь подсказать ?

erve
Почему вы разрешаете хождение наружу с помощью GPO а не с помощью самого TMG?
Эти исключения нужны для работы внутренних сайтов а не внешних.

anton04
Глянь, может пропустил я чего, а твой взгляд разглядит?

F_L LiaNet

В политиках массива ничего криминального не увидел.

Политики межсетевого экрана:

1. 2 правило, опять же возвращаемся к баранам, контроллер домена (если у него есть роль DNS) должен иметь выход в интернет по этим же протоколам!
2. 5 правило или администраторы или все пользователи, зачем и то и другое не понятно!?
3. 6 правило, зачем там стоит внутренняя сеть и локальный компьютер не понятно, т.к. первым правилом ты это перекрываешь. Если вы хотели создать чтобы ping ходит ото всех внутренних пользователей в интернет ну так и сделайте именно это, хотя я не понимаю зачем всем пользователям нужен ping!? По моему он нужен только администратору.
4. 7 правило, достаточно только "Набор доменных имен обновления Microsoft" и "Узлы, разрешенные системной политикой", это перекрывает всё что нужно.
5. 8 правило, если куда это внешние IP, то оставить, если нет убрать локальный компьютер.
6. 9 правило, не понимаю зачем Вам анонимное правило почты?

Я так понимаю, что у Вас не используется аутентификация? Коли большинство правил нацелены на конкретные ПК... Тогда стоит пересмотреть всю структуру правил, а то у Вас получается небольшой сумбур. Опять же, посмотрите в интернете в каком порядке идёт обработка правил в исе и уже в соответствии с этим правильно перегруппируйте все Ваши фаервольные правила.

Имею Windows 2003 Server Standart + ISA 2004.
Давненько сделал публикацию сервера на порт 2230 - принимал данные из интернета, все было хорошо.
Тут случился сбой питания (хотя это может и не связано), и правило перестало отрабатывать - т.е. порт 2230 не открыт и данные не идут.
Если создаю правило разрешить весь трафик, то данные на порт 2230 прекрасно поступают.

Где копать?

Добавлено:
Накопал немного...
Запросы почему-то идут по Default rule , а не по созданному правилу.

Angel_19
проверьте их порядок (выше-ниже).
Правила применяются по порядку от первого к последнему.
И если встретилось одно правило соответствующее сетевому пакету, то следующие (нижестоящие) уже не проверяются и не обрабатываются.

Порядок проверил первым делом.
Default rule как раз последнее правило (которое предустановлено и которое не изменить), оно выполняется, когда остальные не подошли, хотя еще недавно они срабатывали нормально.

Когда создаю правило разрешить всем все, то данные на порт 2230 начинают поступать, а когда в этом же правиле ограничиваю порты - правило перестает работать.
ISA 2004 вроде как перестала управлять портами...

Помощь все еще требуется....

Цитата:

1. 2 правило, опять же возвращаемся к баранам, контроллер домена (если у него есть роль DNS) должен иметь выход в интернет по этим же протоколам!

Контроллер домена ходит в и-нет через другой шлюз, этот никак не затрагивая. По сути он в и-нете напрямую, через обычный роутер.
Ну а дальше последовал всем твоим советам, посчитал их правильными и логичными. Прокомментирую:
2) Убрал админов, оставил всех пользователей.
3) Удалил правило вообще. Считаю верным такое решение. Всем пинг совершенно не нужен во внешку.
4) Попровил.
5) Твоё предположение было верным, оставил всё как есть.
6) У меня в офисе достаточно часто приходят партнёры и коллеги с других мест, с Ай-Подами Ай-Падами и прочей мутатнёй похожей. Чтоб Клиенты их нормально работали.
Схожу проверю как работает что-ли. И работает-ли вообще.

Angel_19
Ну так значит существующее правило не встречает подходящих пакетов.
По источнику.
По сетям-"куда".
По протоколам (UDP например)и направлениям передачи портов.
По "условиям"-пользователям например.
При публикации сервера существует еще так называемый "прослушиватель" и там- какие сети слушает, по каким портам и т.д. О нем http://www.redline-software.com/rus/support/articles/isaserver/config/web-listeners-publishing-rules.php

Правила вдруг перестали работать после сбоя питания, их не меняли! Почему вдруг они перестали работать? Настройки также не меняли. И правила работали до сбоя питания...

Angel_19
Идем в наблюдение-ведение журнала- порт=
Смотрим, делаем выводы.
Или выводим результаты сюда...

По поводу причин при сбое питания - к Кашпировскому