» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Прошу объяснить, как прописать нового пользователя в ISA Servere 2006 если сеть настроена на работу с рабочими группами а не с доменной регистрацией. Раньше прокси не занимался

Добавлено:
Прошу объяснить, как прописать нового пользователя в ISA Servere 2006 если сеть настроена на работу с рабочими группами а не с доменной регистрацией. Раньше прокси не занимался

spesivtsev
Зачем два раза вопрос задавать. Прописать можно только если на компе с ISA сервер добавить нужных пользователей в систему.

Добрый день форумчане, дома стоит ИСА 2006, раздаю инет на 15 человек, последнее время не знаю, толи инет глючит (наврятли) толи сама иса в логах постоянно ошибки что превышено кол-во соед-ий с разных айпишников.
Включен VPN юзеры конетятся по PPTP, вот, и с каждого юзера в Monitoringe от Bandwidth Splittera около 100-150 соединений. Вопрос в том, как ограничить, урезать это кол-во соед-ий, нажимаю на юзера, соедения в основном по протоколу DNS.
Если в разрешающем правиле, выбрать необходимые протоколы (а не "Весь исходящий трафик") и не выбирать DNS протокол, то у юзеров мало соединений и инет стабильно работает (некоторые сайты типа Контакта) остальные не пашут, стоит мне добавить еще протокол DNS у всех снова по 150 соединений, ошибки в журналах и т.д.
Подскажите у кого как настроен ВПН через ИСУ.
Так же интересует Кэширование (канал у меня не большой 4мбита), оно нужно вообще или нет? По умолчанию оно отключено.

Может кто сталкивался, TMG блокирует файл установки flash player а, с таким сообщением,

Доступ к файлу install_flashplayer11x32ax_gtbd_chrd_dn_aih.exe заблокирован из-за параметров политики безопасности: Зашифрованные файлы недопустимы.

Прочитал в инете что нужно добавить в исключения в Malware inspection - Destination Exceptions сайт *.adobe.com. Все добавил однако результат такой же, как блокировал так и блокирует.

Кто что посоветует?

Проблема такая:
Отваливаются правила в TMG через 2 минуты после их применения!
Создаю правило допустим на открытия порта 4899 на ружу, всё хорошо, порт открывается, трафик идёт по этому правилу, но, через 2 минуты этот трафик с наименование Unidentified IP Traffic (TCP:4899)
начинает ходить по default rule(


Поможет кто??((

Народ, не подскажете ли ссылку на инструкции по виртуализации ISA 2006
установленной на W3KSP2R2 - крутящемся в качестве ВМ под Hyper-V 3.0,
ну или 2.0 хотя бы...
Нашел только одну ссылку -
http://www.subodh.com/Blog/PostID/28/Running-ISA-Server-2006-under-Hyper-V
Есть ли еще?

Предваряя комменты, микрософт таки да, поддерживает такую конфигурацию.

локально установку Microsoft Forefront TMG 2010 не произвести чтоль? ставил роли и компоненты вручную, но вечно что-то не нравилось, как подключил к интернету сразу прошел подготовительный процесс..

Еще интересно глянуть ссылки на рекомендуемые настройки обоих сетевых интерфейсов.

Вот в этой вкладке -
http://i44.fastpic.ru/big/2012/1025/a1/2310e7956f591909cc4b50022707d1a1.png

Что в точности надо убрать и почему именно.
В книжках пишут обычно только про TCP/IP свойства и еще про порядок сетей в адвансед разделе,
а вот про то, как именно галочки в службах интерфейса расставить не так часто.

Поделитесь пруфом, пжалста?!

Да уж нереально

ghogho


Цитата:

Что в точности надо убрать и почему именно.

Нужно убрать всё окромя IP v.4 А потому как лишнее это дыра в безопасности.

P.S. А антивирус на исе это вообще зло, т.к. как он повлияет на её функционирование никому не известно.

Система win 2008 r2 последние обновления, на vmware 4.1.0, 2х2.4 процессора, память 2 Гб, жесткий диск 42 Гб, установлен Forefront TMG
До сегодня работало нормально, сегодня проверяю смотрю spwspsrv.exe 100% процессоров занимает, инет виснет, ошибок нету, сижу голову ломаю из-за чего может быть? Подскажите куда копать!
Искал в гугле определенного ничего нету. Прошу помощи срочно.

Заранее спасибо!!!

Leon1978


Цитата:

До сегодня работало нормально, сегодня проверяю смотрю spwspsrv.exe 100% процессоров занимает, инет виснет, ошибок нету, сижу голову ломаю из-за чего может быть?

1. Вирус.
2. Ошибка программного обеспечения (любого).

раньше стоял 2006 доходило где то до 50% максимум и все, а здесь постоянно 100 % это же не нормально. На вирусы проверил нету вирусов.

Leon1978

Смотрите какой процесс жрёт, возможно Вам нужно будет отключить в TMG проверку на вирусы или что-то подобное.
В общем статьи Марка Руссоновича Вам в помощь.

Уважаемые, прошу помощи
Есть контора, в качестве фраера используют isa 2000, и переехали они с одного провайдера на другого. Новый выдал им логин пароль VPN подключения и все.. Т.е. делайте сами решайте сами Пытается там один более менее грамотный чел создать подключение (на сервере с исой) и оно у него не устанавливает связь с сервером, ошибка 678 (сервер 2003). Думается мне что это изза того что иса блокирует весь впн трафик нового подключения. И Вот собственно вопрос, как бы вкратце в картинках объяснить ему как настроить в исе подключение чтобы оно взлетело? К сожалению под рукой не имею исы, чтобы поковыряться и понять что и как там делать, а ехать через весь город и копаться там в старом железе тоже мало желания. Потому уповаю на тех кто ВДРУГ все еще использует эту древнюю версию и знает как организовать всё, спасибо

Serg0FFan

Из Вашего вопроса ничего не ясно, ни где он пытается создать VPN подключение, ни что делает, ни устройство сети, поэтому телепаты все в отпуске.


Цитата:

К сожалению под рукой не имею исы, чтобы поковыряться и понять что и как там делать, а ехать через весь город и копаться там в старом железе тоже мало желания.

Ничто Вам не мешает поставить вирталку, скачать ису в варезятнике и копятся столько сколько заблагорассудиться...

anton04
1) создаёт подключение он средствами винды, его и запускает пытаясь установить соединение
2) сеть устроена просто, есть локальная сетевуха, есть сетевуха что смотрит в провайдера
3) провайдер выдал параметры соединения: логин, пароль, адрес впн сервера, которые вбиваются в 1)

Может кто сравнивал, чем отличается ISA 2006 от TMG?
По вашему что лучше ISA 2006 от TMG?

Leon1978
Новые возможности окончательной первоначальной версии Forefront TMG 2010
http://technet.microsoft.com/ru-ru/library/ee207139.aspx

Kerio Control 7 как альтернативой кто-нибудь пользуется?

Leon1978

Kerio Control (ex Kerio WinRoute Firewall)

Добавлено:
Serg0FFan

Если так всё просто смотрите правила, чё разрешает, чё запрещает, см. логи на исе. Уже много не помню по 2000 исе, хотя очень долго на ней сидел. Главное там другой принцип прохождения правил, точнее его там вообще нет, т.е. если есть правило разрешающее то ходить будет, если нету, то ходить не будет.

Если ничего не получится рекомендую мигрировать на isa 2006, там всё как-то нагляднее получатся.

anton04
Понял, спасибо
P.S. Сам то уже лет 12 сижу на керио, начинал еще с версий 4.х она тогда по другому называлась даже.

Доброго времени суток. Кто то знает решение, как заблокировать соц сети?.
Тоесть в чем вопрос. скажем если создать правило доступа с запретом, за хождение по адресу http://vk.com то все нормально... но как только вбить https://vk.com сразу же пускает.
Включал Проверка HTTPS трафика... да переставали ходить по запрещеннм https сайтам... НО отваливалась почта на mail.ru. Постоянно просит принят сертификат, и до конца страницу не отображает.
Есть какие то решения под TMG 2010&&&Доброго времени суток. Кто то знает решение, как заблокировать соц сети?.
Тоесть в чем вопрос. скажем если создать правило доступа с запретом, за хождение по адресу http://vk.com то все нормально... но как только вбить https://vk.com сразу же пускает.
Включал Проверка HTTPS трафика... да переставали ходить по запрещеннм https сайтам... НО отваливалась почта на mail.ru. Постоянно просит принят сертификат, и до конца страницу не отображает.
Есть какие то решения под TMG 2010&&&

Atroum_fox

Запретите не URL, DNS имя и будет Вам счастье, но учтите что зеркал vk и иже с ними просто море и постоянно обновляются, так что метод борьбы только один: административный. Зато самый действенный...

Atroum_fox

Цитата:

Есть какие то решения под TMG 2010&&&Доброго времени суток. Кто то знает решение, как заблокировать соц сети?.
Тоесть в чем вопрос. скажем если создать правило доступа с запретом, за хождение по адресу http://vk.com то все нормально... но как только вбить https://vk.com сразу же пускает.

В правило можно вбить сразу несколько адресов. Добавте так:
http://vk.com/*
*://vk.com
*//vk.com
www.vk.com
*vk.com
*.vk.com

dianaa76

Я уже писал выше, что нужно писать не URL, а DNS имя. И URL тут вообще не приделах, т.к. требуется заблокировать домен целиком, а не конкретную страницу в домене!

Правило с масками на место протоколов не катит пробывал сегодня.
А при вбивании dns имени, протокол так же указывать https и http? если да, то тоже не катит... по https все равно ходит. Пробывал сегодня.

Ну что сегодня вот еще раз попробывал, создал правило доступа
Протоколы: Весь исходящий трафик
Откуда: Внутренняя
Куда: Набор доменных имен(создал с именем vk туда добавил vk.com и vk.*)
Пользователи: Для всх пользователей.

Ну и в итоге, опять по http все блокируеться, но стоит написать https и все... снова ходит в контакт.

Есть какие то мысли? или решение данной проблемы? Ни на оодин сайт не пускал.
Если в протоколах явно указывал http и https то картина та же, по http не ходит... по https все равно ходит.

Atroum_fox


Цитата:

Куда: Набор доменных имен(создал с именем vk туда добавил vk.com и vk.*)

добавьте: *.vk.com

И вообще почитайте встроенную справку там много чего разъяснено и приведены примеры.

Цитата:

добавьте: *.vk.com

И вообще почитайте встроенную справку там много чего разъяснено и приведены примеры.

Так говорю же... если создать правило и в нем поставить что блокировать весь исходящий трафик, и туда вписать набор доменных имен, типа vk.com то блокируеться все и народ в инет не ходит.

Если же создать правило, в котром указать протоколы http и https и тот же набор доменных имен... в котром хоть *.vk.com хоть просто vk.com по http блокируеться и а по https продолжает ходить... Только сейчас пробывал добавить *.vk.com пофигу. Все тоже самое.