» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

BULLDOG

Цитата:

По обычному HTTP тоже SSL-tunnel

в смысле?
такая ошибка появляется после каждого HTTP запроса - если я правильно понял вопрос...

greenfox
думаю что нет, ибо сначала срабатывает публикайция, а потом уже проходит аутенфикация юзера

hardhearted
ну вобщем то логично, у меня тоже кроме как дать разные внешние еимена одному и тому же сайту и работать по ним ничего в голову не приходит

davinchi9
Опишите подробнее, как ИСА подключена к интернету, как компьютеры выходят через ИСУ в интернет?

Кхм. Вот прошу дать ответ - можно ли так:

Есть сеть. AD + ISA (все в домене). Клиенты в офисе получают IP по DHCP.

Сеть 172.23.5.х

Подключается клиент к ISA по впн каналу (стандартный виндовой софтовый впн канал).

Пусть IP ему назначает по DHCP ISA. К примеру 172.23.6.х

Так вот можно ли что бы клиент мог резолвить имена локальной сети?? Чтото бьюсь - ничего не получается.

Причем что бы было относительно универсальное решение.

Даже если клиент сам будет в сети 172.23.5.х или 172.23.6.х

Т.е. что бы автоматом все маршруты впн-клиенту давала иса и т.д. (тип шифрования думаю не важет - пусть будет PPTP).

Заранее спасибо.

А пока буду дальше колупать.

lypky
в резолве имен иса не играет роли, если у клиента днс адреса прописаны (а в случае dhcp они прописаны) и он правильно запрашивает имя то оно отрезолвится. проблема в том что многие даже не знают как винда резолвит имена. если запросишь полное имя (fqdn) то все будет ок, а если краткое, то по умолчанию врядли, откуда твоему домашнему компу знать в какой зоне его искать? для надо дописывать суффиксы поиска.
маршруты клиенту иса не даст, иса вообще впном не занимается, это работа rras

lypky

Цитата:

что бы автоматом все маршруты впн-клиенту давала иса

Для VPN-клиентов ИСА сама все настроит

BULLDOG

Цитата:

Опишите подробнее, как ИСА подключена к интернету, как компьютеры выходят через ИСУ в интернет?

классический вариант: два сетевых интервейса - во внешнюю и внутренюю сеть, клиенты прокси не используются, чтостый веб-прокси с доступом во внешнюю сеть по правилам для аутентифицированных пользователей, системы разные ХР, VISTA...

davinchi9
Я не знаю, как получается так, что все запросы идут через SSL. Попробуйте следующее, в "Конфигурация"->"Сети" выберите заново свой шаблон и с помощью мастера настройте заново. В меню "Выберите политику межсетевого экрана" выбрать "Разрешить неограниченный доступ". И посмотрите что получится, можно еще добавить "Локальный компьютер" в графу "Откуда", если пускать не будет.

lypky
Чтобы были доступны внутренние ресурсы сети, помимо настройки ВПН, надо создать правило доступа из ВПН сети во внутреннюю с нужными протоколами. Примерно выглядит так:
Разрешить из VPN Cliens to Internals for All Users
Протоколы DNS, LDAP, MS CIFS (TCP and UDP), NB Datagram, NB Session, NB Name Service.
Если нужен доступ к сервисам, соотв. добавляются нужные протоколы: HTTP, SQL, RDP и т.п.
"Сетевое окружение" не работает, но если обратиться по имени компа, соединение устанавливается.
Чтобы был доступен внешний комп из внутренней сети (бывает нужно и такое), делается обратное правило...

Недавно случился с исой следующий глюк. Работа через нее при использовании IE7 и автонастройки через wpad.dat стала невозможна. Проверялось следующим способом. После ввода имени сайта в адресную строку и нажатие на Enter машина просто ничего не делала (в логах исы даже нет попытки коннекта). Проверил на IE6, IE8 - работает. Как только отключил галку автоматическое определение параметров в настройках эксплорера и руками прописал адрес и порт прокси - все заработало... может кто встречался с подобной проблемой

ITeXPert
было что-то подобное: автоопределение не всегда получало данные от сервера, причем никакой закономерности не было и что самое главное в этот момент ни какой сетевой активности, проверялось на IE 6, IE 7. Как решение проблемы задал параметры прокси в групповой политике и забыл о траблах с определением параметров.

ALL

Дано: ISA 2006 SP1 - член домена. Есть задача заблокировать Skype некоторым доменным юзерам. Можно ли это сделать настроив HTTP-фильтр для блокировки Skype?
Я знаю, что некоторые мессенджеры блокируются через вкладку Signatures. Что нужно написать в полях Search In, HTTP Header, Signature? А как вы блокируете Skype средствами исы?

alex779
по http сигнатурам ты сможешь заблокировать только тех кто в скайпе ходит через прокси, если же они ходят напрямую используя fwc то очевидно что http сигнатуры не полечат
вообще скайп закрыть очень тяжело, вернее закрыть то его можно: разрешить использование только прокси и прописать сигнатуры, тогда через прокси они не пройдут а мимо прокси все запрещено.

Привет всем. Крутиться ISA 2006 EE. Его логи настроены храниться в режиме десктопного SQL- сервера. Нужна прога , можно платная, для всесторонныего анализа этих логов. Перейти на логи в текстовом режиме не предлагать Подскажите названием проги или ссылкой, плиз! Спасибо!

HomoLogicus
смотри ссылки в шапке, например вторую

Есть ли плюсы\минусы размещения ИСЫ за аппаратным фаерволом и какие? В какой ситуации это правильное решение, а в какой лишнее звено в сети?
HomoLogicus
если что найдешь - поделись информацией!

davinchi9
а лишним звеном ты кого рассматриваешь - аппаратный фаер или ису?

блин, человеки помогите, сутра появились пятна, при том что давно уже ничего не делали с ИСой..

ISA Server detected routes through the network adapter In that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 0.0.0.1-10.10.9.255;10.10.11.0-10.255.255.254;11.0.0.0-126.255.255.255;128.0.0.0-192.168.0.255;192.168.2.0-212.220.68.30;212.220.68.32-212.220.68.254;212.220.69.0-223.255.255.255;240.0.0.0-255.255.255.254;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

ISA Server detected routes through the network adapter Out that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 0.0.0.1-10.10.9.255;10.10.11.0-10.255.255.254;11.0.0.0-126.255.255.255;128.0.0.0-192.168.0.255;192.168.2.0-223.255.255.255;240.0.0.0-255.255.255.254;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

куда мне эти сети запихать??

Tim2000
в LAT прописаны?

bahtey
это где?
я их вообще не прописывал нигде.. всё нормально уже полтора года, а тут вдруг здрасьте

davinchi9
Это самый оптимальный вариант.

Tim2000
а это один раз или повторяется? если не повторяется то забей
судя по сетям их никуда пихать не надо, это все external, так что у тебя просто должен быть нормальн осконфигурирован внешний интерфейс и правильно прописан шлюз.

hardhearted

Цитата:

а лишним звеном ты кого рассматриваешь - аппаратный фаер или ису?

ИСУ, т.к. на сколько я себе это представляю правила и настройки на ИСЕ должны дублировать правила и настройки аппаратного фаера, а аппаратный фаер по определению надежнее программного.
BULLDOG
Объясните на пальцах какая целесообразность в сочетании аппаратного и программного фаера или ссылочку на материал по этой теме...

hardhearted
пасиба за отклик - повторяется блин это((((
у меня в Интёрнал только сеть 10,10,10,0, больше нигде ничего нет..

davinchi9
Аппаратный очень быстро фильтрует пакеты и менее уязвим - это плюс, и больше он особо ничего не может делать - это минус. Программный может контролировать доступ различных приложений, есть возможность обновлять, привязать антивирус, правила доступа пользователей и много другого - это плюс, работает медленнее и более уязвим - это минус.

Tim2000
посмотрите route print там будет сказано что и чего

и что? там нет ниодного из:
0.0.0.1-10.10.9.255
10.10.11.0-10.255.255.254
11.0.0.0-126.255.255.255
128.0.0.0-192.168.0.255
192.168.2.0-212.220.68.30
212.220.68.32-212.220.68.254
212.220.69.0-223.255.255.255
240.0.0.0-255.255.255.254

..?...

hardhearted
Что-то там все для текстовых логов...импорт из SQL Server , кое где есть, но разово - первоначальная загрука... а потом нужно все равно переходить на текстовые логи. Блин, но при настройке ISA на логи в тект, теряется очень важная фишка - задание в консоли фильтра логов с ограничением по времени...
Засада какая-то .

davinchi9

Цитата:

а аппаратный фаер по определению надежнее программного

Цитата:

Аппаратный очень быстро фильтрует пакеты и менее уязвим

Цитата:

работает медленнее и более уязвим

это все относительно, чистых аппаратных фаеров не бывает, в любом случае на любой железке работает своя ОС и свой софт, просто более узконаправленные, и пишут его те же индусы. так что утверждать что любой аппаратный быстрее и надежнее исы не совсем корректно, особенно в скорости - для исы можно железо взять посильнее.