» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Andryuha
если нужна будет помощь пишите в ПМ

Поставил в виртуальной среде ISA 2006, в целях тестирования. Собственно проблема: правила, задаваемые в "Политиках межсетевого экрана", применяются для клиента ну о-очень долго, например правило блокировки трафика http, для клиентской машины, может сработать спустя 5-10 минут. HTTP взял для примера, такая ситуация с любыми правилами. Собственно иногда парадоксальная ситуация - трафик для ПК явно заблокирован правилом на ISA, а пинг через ISA во внешнюю сеть идет и странички браузера открываются. Это нормальная ситуация для ISA? Кто использует данный продукт на практике, прошу прокомментировать.

War Child

Цитата:

Собственно иногда парадоксальная ситуация

Все зависит от последовательности применения правил, есть такая колонка Order, самая первая. Так вот если у вас сначала идет блокировка например, определенных ресурсов, а потом разрешение всех и вся, то естественно будет применено последнее правило.
Всегда надо разрешать минимум, и даже нормой считается, считать небезопасной внутреннюю (локальную) сеть, и не разрешать весь трафик между компьютерами лвс и к ИСАе серверу.

Цитата:

ну о-очень долго

1. проверить кеширование
2. есть в настройках тайм-аут применения политик. если не знаете где смотреть, чуток позже скажу
Добавлено:
Andryuha, War Child
тут почитайте http://itdoc.com.ua/2009/02/ponimanie-obrabotki-prava-dostupa-isa-2004/
Добавлено:
War Child
если установлен FWC клиент, можно сразу применить политику на клиентском компе.
открыть из трея FWC, нажать Test либо Detect, а потом Apply
http://img410.imageshack.us/img410/7118/fwclnt.jpg

Цитата:

есть в настройках тайм-аут применения политик

Предполагаю что опция "Проверять наличие обновлений на сервере хранилища настроек"?
Поставил там 15 сек.


Цитата:

не разрешать весь трафик между компьютерами лвс и к ИСАе серверу

Как раз ситуация обратная - трафик явно запрещен правилом, а связь с хостами за пределами ISA все равно есть (пинг идет, web страницы открываются). Спустя 5-10 минут правило все-таки срабатывает и связь прерывается. Если снова сделать разрешающее правило, то с точностью наоборjт - связи нет 5-10 минут, потом правило срабатывает и связь появляется. Предполагаю что дело в виртуализации сервера и подсети, в которую смотрит сервер и клиентский ПК (сделано все в целях тестирования не на реальном железе, а средствами VMWare). Собственно вопрос, такое "неторопливое" реагирование на обработку политик это глюк конкретно моей ISA, или в реальной сети вновь созданные правила для ISA так же применяются спустя несколько минут? Поясню - до этого сталкивался в основном с аппаратными файерволлами и kerio, там правила отрабатываются моментально, к примеру, запретил ICMP протокол для клиента, и ping с него тут же прервался.

War Child

Цитата:

Проверять наличие обновлений на сервере хранилища настроек

http://www.isaserver.org/tutorials/ISA-Server-2006-Installing-Enterprise-Edition-beta-Unihomed-Workgroup-Configuration-Post-Installation.html
да имеено она. Но так часто стоит ставить только, на начальном этапе, тестировании.
в дальнейшем, поставить на макс. значение.


Добавлено:

Цитата:

аппаратными файерволлами

для них естественно моментально, с керио не знаю. не работал.

Цитата:

виртуализации сервера и подсети

не обязательно. главное настроить на клиенте ИП шлюза, ДНС и настройки в обозревателях прописать правильные. и результат будет срабатывать практически моментально.

Цитата:

Главное настроить на клиенте ИП шлюза, ДНС и настройки в обозревателях прописать правильные. и результат будет срабатывать практически моментально.

С сетевыми настройками все в порядке, подозреваю что дело все таки в виртуализации. Попробую поставить ISA на реальное железо. Изменилась ситуация с применением политик или нет - отпишусь. igrmik спасибо за советы!

Коллеги, доброго дня. Уже не знаю куда копать.
Может кто сталкивался с такой проблемой.

Есть у нас Citrix, стоит он за ISA 2006. Была авторизация по eToken ключам. Временно убрали, для пролонгации ключей. Включи авторизацию по доменным аккаунтам. И вот с windows 7 (и то не со всех) и windows 8 не проходит авторизация на ISA,появляется окно для авторизации, но логин и пароль не воспринимается. Появляется ошибка 401, якобы не прошел авторизацию. С клиентский машин на Win XP таких проблем нет.

venom177

Цитата:

Может кто сталкивался с такой проблемой.

Сталкивался. К ISA Server это отношения не имеет. Дело в том, что Citrix и служба SCardSVR, которая нужна eToken, не совместимы. Пришлось создать два батника, один останавливает эту службу, для работы с Citrix, а другой запускает, для работы с eToken. Вывел на рабочий стол ярлычки и назвал их соответсвенно.

SergeyMark

Попробовал остановить на клиентской машине с windows 7 сервис SCardSVR. Не помогло, так же ISA запрашивает пароль, но авторизацию пройти не получается. Тоже склоняюсь, что дело не в ISA server, а в клиентской машине.

Вы когда делали веб публикацию на ISA, с доменной авторизацией, у Вас все клиенты нормально авторизовывались ?

venom177
У меня иначе построена сеть, хотя все три компанента присутствуют (ISA + Citrix + eToken). eToken ключи появились не сразу и нужны не всем компьютерам.

Народ, тут еще такая штука вылезла. Человек заходит на некий сайт, все путем, потом на одной из страниц сайта ему надо скачать файл doc. При попытке скачивания - Network Access Message: The page cannot be displayed. Просил товарищей (сидят в других сетках) скачать эти доки - все скачивается. В наличии у меня isa server standart edition 2004 SP2. Стоит isa на win 2000 server sp4
Были у меня похожие проблемы, не открывались некоторые сайты, приходилось через тор на них лазить. Но это как то неправильно, надо полечить проблему.

ph5
какая конкретно страница с ошибкой, выложите, скрин.
Там уже и ошибку расшифруем..

Вот этот мерзкий ресурс. http://www.fabrikant.ru/market/view.html?action=download_auction_documentation&id=1117424&file_id=2738898&type=370

ph5
Через мониторинг ISA смотрел ?
Там можно будет увидеть какое правило блокирует контент.

Цитата:

venom177

Мониторинг у меня как то криво работает или я его криво настраиваю... Когда запускаю start query, он вроде стартует, но логов нет. Может я не там смотрю или не так лог-фильтр настраиваю?

ph5
Чтобы лог отображался во вкладке Logging должен быть такой минимум
, где Client-IP - IP компьютера, которого проверяете.
также посмотрите что пишется во вкладке Alerts
Так же, чтобы велись логи их надо включать в правилах.
Firewall Policy - выбираете политику, свойства, вкладка Action галочка Log request....чего-то там
Добавлено:
а касаемо ошибки http://support.microsoft.com/kb/894483/en-us

Цитата:

igrmik

Оказывается, на isa 2004 se есть сервис пак 3. Есть ли необходимость его поставить? А то народ в интеренетах о нем не очень хорошо отзывается

ph5
Вообще все обновления для всех продуктов Микрософта, желательно устанавливать.
Дабы избавляться от всяких недоделок и дыр. У меня на ИСЕ стояли все обновы
Вот еще инфа по вашей проблеме http://support.microsoft.com/kb/892634
А вообще вот тут смотрите - Яндекс
или попробовать сделать так - http://support.microsoft.com/kb/927263

Цитата:

igrmik

Премного благодарен Вам за помощь, буду пробовать предложенные варианты. И ,ежели можно, еще вопрос: при установке на isa 2004 третьего сервис пака правила не слетят? А то народ жаловался, что послетало после обновы половина правил.
зы. После обновы сервис паком, можно будет сделать откат? Или обратной дороги нет?

ph5
Перед любым обновлением, следует делать бекапы. Экспортируйте настройки и все.

Товарищи, у кого-нибудь есть архив scripts.zip с сайта isascripts.org?

Marku5
держи - http://sinhro.net/szffen6nikpr/isascripts.rar.html

igrmik
Спасибо, а то isascripts.org походу загнулся.

Добрый день!

Помогите пожалуйста, как перенести все с isa 2006 на TMG?

Можно это сделать в ручную или для этого нужна программа или плагины и где можно скачать!

Заранее спасибо!

artclub


Цитата:

как перенести все с isa 2006 на TMG?

ручками, ну на "крайней" случай правой кнопкой мыши и экспорт


Цитата:

Можно это сделать в ручную

можно.

artclub а еще лучше если правил немного, создать заново

Правил очень много!

Подключено более 100 пользователей и почти каждому управлению отдельное правило!


есть подробная статья кто и как это делал и какие проблемы могут быть и как их устранить если будут?

artclub, все есть yandex.ua/yandsearch?text=isa 2006 переход на tmg

error Iport failed

Eror: 0xc004048b

The configuration could not be upgraded. Upgrading an isa Server Enterprise configration is only supported on a Forefront TMG Enterprise Management Server

что не так сделал?

http://isaserver.ru/wikis/isaserver_2010/microsoft-isa-server-2006-microsoft-forefront-tmg.aspx

Добавлено:
Error: Import failed!


error: The configuration could not be upgraded. Upgrading an isa server enterprise configation is only supported on a Forefront TMG Enterprise Management Server

что не так, кто знает?




Добавлено:
eror import failed!

error: The configuration could not be upgraded. Upgrading an isa server enterprise configation is only supported on a Forefront TMG Enterprise Management Server


http://isaserver.ru/wikis/isaserver_2010/microsoft-isa-server-2006-microsoft-forefront-tmg.aspx


что не так, кто знает?

Добавлено:
error: The configuration could not be upgraded. Upgrading an isa server enterprise configation is only supported on a Forefront TMG Enterprise Management Server

artclub, а что вы пытаетесь сделать? Если поставить ТМГ на ИСУ, то у вас ничего не получиться, потому что не предусмотрено. Надо ставить ТМГ на новый сервер...