» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

http://isaserver.ru/wikis/isaserver_2010/microsoft-isa-server-2006-microsoft-forefront-tmg.aspx


все по этой ссылки делал!

Новый сервер новый виндовс !

http://habrahabr.ru/post/135438/ нашел вроде в чем проблема, но не как не могу с конвертировать .xml файл!

кто пользовался EESingleServerConversion.exe?



Перед тем, как импортировать настройки ISA сервера (редакция Enterprise — массив из одного сервера или сервер в составе массива) в TMG Enterprise (в режиме изолированного сервера), требуется предварительно преобразовать экспортированный XML-файл в формат, с которым сможет работать вышеуказанная версия TMG. Это необходимо потому, что экспортированный файл ISA Enterprise содержит политики на уровне предприятия, которые не поддерживаются TMG версией в режиме изолированного сервера. Для конвертирования воспользуйтесь утилитой
EE Single Server Conversion Tool for Forefront TMG
После установки утилиты для преобразования файла, откройте командную строку, перейдите в папку C:\Program Files (x86)\Microsoft Forefront TMG Tools\EESingleServerConversion и дайте команду:

EESingleServerConversion.exe /s <исходный XML-файл> /t <конечный XML-файл>

Затем выполните действия так же, как это было описано выше для версии ISA Standard.

Добавлено:
EESingleServerConversion.exe /s <исходный XML-файл> /t <конечный XML-файл>

не получается не чего! Помогите!

Добавлено:
EESingleServerConversion.exe /s <исходный XML-файл> /t <конечный XML-файл>


кто знает что нужно вписать в кавычках после /s и после /t ?????

Добавлено:
все заработало!

После того как установили 2 сервис пак на Windows 2003 сервер перестала запускатся служба isastgctrl
Без нее вроде все работет интернет есть, но не запускается ISA Server Management консоль, Консоль пытается запуститься, но пишет что неможет подключится к storage. Сам ISA server 2004 сервис пак тоже второй. Как заставить работать лужбу isastgctrl? Может обновить до ISA server 2006?

dianaa76

Цитата:

isastgctrl

, что пишет служба когда пытаетесь ее запустить? что в логах?

Добрый день!

миграцию isa server 2006 na TMG прошла удачно! Но есть несколько не понятных моментов! После миграции не могу удалить из comyuter set каталоги те что были перенесены с isa server 2006! А свои родные нормально создаются и удаляются!

Кто не будь встречался с этой проблемой?

artclub

Цитата:

не могу удалить

скорее всего используются в каких-то правилах...

Добрый день!

Кто встречался с такой проблемой?!

Сделал импорт на TMG со старой isa server 2006 со всеми настройками!

Потом мне пришлось сделать несколько изменений на старой isa 2006, добавил несколько изменений компьютеров в computer sets!

Теперь хочу сделать новый импорт на TMG , все прошло хорошо но в computer sets появились дубликаты компьютеров!

кто знает как это исправить?

Добрый день!

Как правильно сделать миграцию домена с windows server 2003 R2 Enterprise Edition на windows server 2008 R2 Standart ?


Кто уже это делал, поделить плиззз!?

artclub
вы явно ошиблись темой.... вам в яндекс

igrmik

Цитата:

Цитата: isastgctrl  , что пишет служба когда пытаетесь ее запустить? что в логах?  

Пишет: "Служба "isastgctrl" неожиданно прервана."

Добавлено:
При попытке обновить до ISA 2006:
"14:56:47 ERROR:    Setup failed. Error returned: 0x643
14:56:47 ERROR:    Firewall installation failed, hr=80070643
14:56:47 ERROR:    Error in CSetupWrapper::Install(): 0x80070643
14:56:47 ERROR:    Upgrade failed: ISA 2004 was not removed, ISA 2006 failed to install
14:56:47 INFO:    Calling DeleteExportedFile"
То есть обновление поверх невозможно. Перед установкой ISA 2006 нужно выгрузить настройки ISA 2004 и деинсталировать ее. Как выгрузить настройки, если консоль не запускается?

dianaa76
Консоль ISA и на админской машине не стартует ? Фаервол "родной" сервера в каком состоянии ?
А если погуглить по "isa2004 2003 sp2" ?
например это сделали - http://blogs.technet.com/b/isablog/archive/2007/03/27/isa-server-and-windows-server-2003-service-pack-2.aspx ?
да и по этому топику поиск может помочь - http://forum.ru-board.com/topic.cgi?forum=8&topic=27989&start=1880#16

dianaa76
Деинсталируйте SP2, ставьте ADAM SP1,а потом ставьте SP2 опять

wwladimir

Цитата:

онсоль ISA и на админской машине не стартует ? Фаервол "родной" сервера в каком состоянии ?

Консоль стартует, но не может подключиться к серверу. Сервер сам по себе работает, интернет раздает. Ничего "инородного" не ставила. Проблема возникла после установки SP2.

Цитата:

А если погуглить по "isa2004 2003 sp2" ?

Там написано, что ADAM SP1 нужно было ставить до SP2.

igrmik

Цитата:

Деинсталируйте SP2, ставьте ADAM SP1,а потом ставьте SP2 опять

Попробую.

Цитата:

Деинсталируйте SP2, ставьте ADAM SP1,а потом ставьте SP2 опять

Сделала backup и попробовала. Стало еще хуже. Консоль совсем пропала. Окатила все назад. На следующей неделе поставлю все начисто и настрою.

Народ, а можно совсем глупый вопрос?
Поставил ису 2006, выбрал шаблон 1 сетевая плата. Прописал 2 правила, разрешить нттп с исы и к исе. Странички не открываются, пинг идет (но это с правил системной политики). Выключение службы сетевого экрана решает проблемы.

До этого имел дело с керио-винроут и вроде проблем написание с правилами не было.

ploom
Monitoring - Logging - Start Query -
и смотрите в чем дело

Там идет начало соединения по системным правилам, разрешенное соседние по моему правилу http и тут же закрытое соединение без указания правила.

ploom


Цитата:

До этого имел дело с керио-винроут и вроде проблем написание с правилами не было.

Керио это продукт soho рынка, а иса это продукт корпоративного уровня. Это как сравнивать копейку с болидом формулы 1. Сесть в болид то вы сможете но далеко не уедете.

Рекомендую всё же хотя бы почитать соответствующую литературу, чтобы не возникало у Вас "детских" вопросов.

anton04,
ага, ну понятное дело, правила то другое стали а не те что были прежде: источник, назначение, протокол.

Детские вопросы возникают, почему при правиле разрешить алл (для алл) (ту алл), страница не отображается в браузере, а по логам нет ни 1 запрета.

PS
в браузер вбил проксю - ип исы и всё заработало, что это за изврат то? =)
PSS
А проблема была не в исе и не в прокси, а в установленной IIS на компьютере с ISA. В общем все решилось.

ploom
Цитата:

в браузер вбил проксю - ип исы и всё заработало, что это за изврат то? =)

не изврат а нормальная работа ПО

Добавлено:
если б поставили шлюзом по умолчанию сервер с ИСой, то прокси в браузер можно было не добавлять

постоянно ошибка 101 вылазит, и 324 достало уже
что делать??? 2004я ИСА

Здравствуйте.
В одном из китайских офисов, стоит Forefront TMG.
Очень сильно тормозит доступ в интернет.
Судя по логам, почти все компьютеры в сети активно шлют пустые UDP пакеты в экстернал.
SendReceive UDP Traffic
Send only UDP Traffic
Кроме того, проскакивают, такие-же записи о UDP из внешней сети. Все внешние IP адреса принадлежат местному провайдеру.
В отчётах регулярно мигает имя хоста 163data.com.cn
В логах ошибки:
NON-TCP Sessions from one IP address limit exceeded
Concurrent TCP connections from one IP address limit exceeded
При этом все машины неоднократно проверялись на наличие вирусов. Всё чисто.

Что это может быть?

iliytch

Ну так увеличьте лимит TCP соединений с одно адреса, Вам же нормальным "русским" языком там написано!

Может быть кто-то в нутри сети балуется торрентами вот и происходит такое, к тому же в логах должно быть исходный IP (внутренний) у которого происходит данная байда. И ещё обычно и лимита подключений исключают сервера (правда это если совсем не хочется разбираться с этой превентивной системой защиты).

Я увеличил количество одновременных соединений, ошибка пропадает, но это не помогает.
Проблема не в том, что TMG ругается на большое количество соединений.
Проблема в том, что при этом наблюдаются жуткие тормоза.

iliytch


Цитата:

Проблема не в том, что TMG ругается на большое количество соединений.
Проблема в том, что при этом наблюдаются жуткие тормоза.

А это всё взаимосвязано, т.к. TMG не может открыть ещё одну сессию, она текущий запрос ставит в ожидание и когда другая сессия закрывается она берёт и начинает обрабатывать что у неё в ожидании и т.д. до бесконечности. Вот это и есть Ваши "тормоза"

Граждане, столкнулся с задачей построения отказоустойчивого tmg, ранее с tmg не работал.

Собрал для теста лабу из 3 виртуалкок под VMware ESX и поставил windows server 2008 r2 standart с одного образа, настраивал одинаково. Прописал свободные статические IP из диапазона 10.100.2.*. Ввел в домен. Установил все обновления на сервер, установил роли и отдельно сетевое балансирование для nlb. Поставил tmg 2010 enterprise без sp, пока что. На 2 узла - диспетчер+службы tmg, на 1 узел - emc (для управления массивами). Создал на узле с емс массив и перенес политику с сейчас работающего tmg. Присоединил к массиву 2 узла - все ок. Пинги между всеми узлами ходят, с сервера рулится все. Включаю балансирование сетевого трафика через tmg(указываю виртуальный IP из этого же диапазона - 10.100.2.135), очень долго применяется настройки на узлах, в итоге, в диспетчерах на узлах массива показывает что балансирование работает, а вот на сервере управления показывает, что невозможно подключиться к одному из узлов (около одного из узлов загорается восклицальный знак).

Причем, пинги с этого проблемного узла до другого узла ходят, а на сервер управления нет и с сервера емс до него пинги не ходят, а до другого узла нормально. И если я со своей машины пингую проблемный узел, то все ок!

Если же на сервере управления выключить балансировку, то через какое-то время пинги на проблемный узел начинают ходить с сервера емс (управления) и обратно.

Гуглил много, много чего перепробовал, уже не знаю что делать. Создал даже разрешающее правило, чтобы весь трафик от этих 3-х узлов ходил к этим 3-м узлам по всем протоколам. Не помогло. Не могу понять, почему отваливается связь лишь с одним из узлов, когда с другим все ок. Пробовал сносить ОС и настраивать все с 0. То же самое все...

Уже думаю попробовать поставить на все узлы сервис-паки на tmg? Прошу совета и помощи.

нужен совет по TMG, как добавить группы из домена для создания правил доступа в интернет. (TMG не в домене)
1) Настроил LDAP server по этому линку http://technet.microsoft.com/en-us/library/dd440987.aspx
2) Создаю пользователя Full_Int из ldap server sets выбираю свой сет который настроил в 1 шаге, прописываю группу которая в домене Full_Int, жму ок, просит аутентификацию ввел учетку админа домена(какие права для учетки нужны?), все ок.
3) Создаю правило Full_Int, разрешить, весь исходящий, инспекция да, из внутри во внешку, кому удаляю всем пользователям, добавляю Full_Int, жму далее и тут выходит окошко, the authentication method (LDAP), selected for user set Full_Int is not valid for an access rule. The rule cannot be saved until you change the authentication method or select different user set.

Вопрос
1) Нужно ли еще дополнительно что то настраивать?
2) Какие права нужно учетки для пункта 2?
3) Где ошибка у меня? Или подскажите куда дальше копать то?

Заранее спасибо!

Доброго времени суток!
В качестве шлюза установлен ISA Server 2004 (Small Business Server 2003 SP2). В один распрекрасный момент началось странное: когда пытаешься открыть сайт с https (почту mail.ru, gmail.com etc.) интернет начинает тормозить, долго-долго грузится, в итоге может страницу откроет, или же, внимание, интерфейс самого сайта, а не браузера, сообщит, что нет соединения с интернетом. Если одновременно пытаться открыть другие сайты, неважно какие, они тоже перестают открываться, на этапе соединения зависают, хотя до открытия какого-нибудь https сайта, все замечательно работало. В итоге приходится перезапускать браузер или ждать некоторое время, что опять-таки помогает до открытия какого-нибудь https сайта. Порой, очень редко, проблема пропадает ненадолго. Перепробованы многие браузеры, более-менее терпимо работает только IE8. Интересно, что на самом шлюзе, и за шлюзом все прекрасно функционирует. Пробовал поиграться правилами, убирал для определенного пользователя и компьютера в ISA и AD все ограничения, не помогает.
Иногда появляется еще одна проблема, может взаимосвязаны. С первого раза сайт не грузится. Любой. То есть сайт находится в интернете, заголовок страницы загружается и на этом все. Обновляешь страницу - загружается.
Хотя бы в какую сторону копать, подскажите, пожалуйста

прочитал здесь
http://www.forefront-tmg.ru/tmg/general_configuration/using-ldap-radius-authentication/
Не забудьте, что можно использовать наборы пользователей LDAP только в сценариях обратного прокси (reverse Proxy) в форме правил публикации веб-сервера.
То есть в правилах доступа нельзя их получается использовать?
Тогда как можно ограничить доступ пользователям, только по IP адресам?

Так есть какое-нибудь решение? Для использования пользователей AD в TMG?

Доброго времени суток, товарисчи! Суть: есть windows 2003 server sp2, решили с напарником поставить ISA firewall. столкнулись с проблемой - клиент не обнаруживает сервер в автоматическом режиме. Если все ручками настроить - работать будет. Но это не дело - к каждому компу подойди да настрой. а потом если упадет че - заново настраивать. Подскажите хотяб, в каком направлении копать?