» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Цитата:

Так есть какое-нибудь решение? Для использования пользователей AD в TMG?

Есть. Простое. Загнать TMG в домен.

Добавлено:
MrRussel

Цитата:

Подскажите хотяб, в каком направлении копать?

Поставить на компьютеры ISA-клиент, можно вручную, можно через политики домена.

[q][/q]
Решено. Путем снятия галочки "авторизация на самом isa сервере". чем это черевато- не знаю. но пока работает. оказалось, что isa 2004 не запилена под все версии винды, начиная с xp sp3.
SergeyMark вы меня видимо неверно поняли. FWC на юзерских компах уже стоит.

SergeyMark
Вопрос что будет если настроенный TMG загнать в домен, настройки останутся? Или нужно выгрузить настройки а потом их загрузить?

Leon1978

Цитата:

Вопрос что будет если настроенный TMG загнать в домен, настройки останутся? Или нужно выгрузить настройки а потом их загрузить?

Вы же все равно собирались настраивить доступ для доменных пользователей? Настройки придется исправлять или создавать новые. Пару раз пытался разруливать со старыми настройками, тратил кучу времени. Со временем перестал пытаться использовать старые настройки. Проще и быстрее создать новые. А вот backup сервера, перед началом всех манипуляций, сделать нужно обязательно. "Откатитесь" назад, если что-то пойдет не так.

MrRussel
http://technet.microsoft.com/en-us/library/cc302643.aspx
http://technet.microsoft.com/en-us/library/cc713344.aspx

Доброго времени суток.
TMG в домене.
Нужно чтобы у определенных доменных пользователей работало icq.
Создана глобальная группа, в которую добавлены пользователи, эта группа добавлена в группы TMG (icqUsers).

Создаю правило доступа:протокол - icq 2000, откуда - внутренняя сетка, куда внешняя сетка, условие - указываю группу IcqUsers. В итоге icq не пашет, меняю группу на все пользователи и icq начинает работать.
В какую сторону смотреть?

kURONO
Думаю, в сторону способа авторизации доменных пользователей-у них ISA-клиент установлен?
(хотя, может в TMG что по другому... у меня isa2006)
Сначала почитать- чем отличаются типы клиентов ISA:
-SecureNAT
-Firewall
-Web Proxy

В консоли в "наблюдение"-"ведение журнала" выбирайте свое правило и смотрите.

kURONO

Цитата:

Создана глобальная группа, в которую добавлены пользователи, эта группа добавлена в группы TMG (icqUsers).

В группе icqUsers на TMG, долны быть выбраны пользователи домена, а не доменная группа.
Разрешить нужно два протокола: icq 2000 и icq.

[more] Подскажите ошибка при открытии UDP порта 4433.
На Isa сервере в разделе Enterprises Policies-> Rich Browsing создал протокол с параметрами
Имя SUFD_4433, Port Range 4433, Protocol UDP, Direction Send Receive.(Снимок в архиве).
Далее в этом разделе Enterprises Policies-> Rich Browsing создал правило
Имя SUFD, добавил протоколы HTTP, HTTPS, SUFD_4433,
From All protected Networks to External, в пользователях добавил себя. Применил, сохранил, в итоге при проверке связи пишет ошибку(Снимок в архиве). Помогите решить проблему. ISA английская версия.
На ПК поставил средство управления клиента межсетевого экрана ISA.
Cегодня создал правило All Outbond traffic from Babikov (мой ПК) то External в разделах Rich browsing и Firewall Policy (Server), поидее как я понял должен пропускать весь трафик, но при проверке связи в логах пишет:
Client IP 192.168.29.49 Destination IP 109.124.95.66 Port 4433 Protocol SUFD_4433(Создан мной) Denied Connection SUFD 0x800733f5 WSA_RWS_ERROR_ACCESS_DENIED.
Не могу понять в чем дело.
Необходимо для подключение к серверу Казначейства через Континент для работы в СЭД. [/more]

Nikitos29

а если так?

Народ, туплю. Есть в наличии ISA Server 2004 Standard Edition с SP2. Периодически у пользователей не открываются некоторые сайты с ошибкой:
Error Code: 502 Proxy Error. The parameter is incorrect. (87)
IP Address: 141.113.97.32
Date: 27.06.2013 12:32:09
Server: proxy
Source: web filter
Чтобы решить эту проблему нужно поставить SP3 для Isa. Но вот проблема, этот SP3 не ставица - ошибка.

Добрый день! Столкнулся с такой проблемой!

Есть HP ProLiant DL580G7 64 GB ram , установил windows 2008 R2 Enterprise на него TMG 2010!

Выдает ошибку!

event id 47

a corrected hardware errore has occurred.

Component: Memory Error Source: Corrected Machine Check


Не знаю где копать!

Ответе пожалуйста кто встречался с такой проблемой!

grmik
Спасибо большое! Получилось вылечить вот по этой рекомендации - http://support.microsoft.com/kb/927263

Здравствуйте, сообщество.
Вопрос по ISA2000 на Win2003R2.
Установлен вдовесок bsplitter, работает всё замечательно в связке с доменом...
Появилась необходимость блокировать соц.сети, думаю делать это правилами "Site and Contents Rules", в принципе получается - добавил "Destination Set", завёл его в новое правило, перенаправляю на локальный web server с заглушкой о блокировке сайта.
Но не получается заблокировать www.facebook.com - почему то всё равно сайт отвечает и перекидывает на https://www.facebook.com
Как заставить блокировать именно любое упоминание со.сети, а не только http??
Непродолжительное гугление этого вопроса пока ответов не даёт...
Заранее благодарю за ответ.
p.s. BSplitter фильтрует эту фигню, и может резать скорость (используется тот же Destination Set)... следовательно, ISA2000 умеет распознавать целевой домен...

p.p.s. Решено - всё нормально работает, я сам дурак - проверял от имени администратора, а в исключениях из правил стояла группа администраторов

А чё а где варезник по теме?

maxxx_12345
Тоже однажды попался на этом))

Добавлено:
Приветствую сообщество!
Пара вопросов по настройке клиента MFC для ISA2006.
При включенном клиенте ISA не пускает по RDP на корпоративную сеть. Корп. сетка поднята на роутере сразу за ISA.
Схема такая: PC->ISA->Router-lannet2. С отключенным клиентом вызов RDP проблем не вызывает и все коннектится, с включенным клиентом выдает, что хост Выключен/отключен от сети/не включен удаленный доступ.

Что делал: протоколы RDP на правилах доступа добавлял. Индивидуальные правила на истребуемые сети делал. Приложение mstsc в настройках клиента со стороны ISы делал. никаких изменений.
Полагаю, что проблема уже всплывала, но ответа пока не нашел.

Как можно настроить vpn подключение чтобы при подключении использовала интернет не через vpn, а локальный? Ответ нашел. Спасибо.

Цитата:

Приветствую сообщество! Пара вопросов по настройке клиента MFC для ISA2006. При включенном клиенте ISA не пускает по RDP на корпоративную сеть. Корп. сетка поднята на роутере сразу за ISA. Схема такая: PC->ISA->Router-lannet2. С отключенным клиентом вызов RDP проблем не вызывает и все коннектится, с включенным клиентом выдает, что хост Выключен/отключен от сети/не включен удаленный доступ. Что делал: протоколы RDP на правилах доступа добавлял. Индивидуальные правила на истребуемые сети делал. Приложение mstsc в настройках клиента со стороны ISы делал. никаких изменений. Полагаю, что проблема уже всплывала, но ответа пока не нашел.

Нашел решение: Добавлял правила доступа для внутренней сети а также для конкретных ПК а для завершения нужно было еще добавить в список "откуда" сам ISA сервер. Добавил его и все RDP теперь разрешаются.

Добавлено:

Цитата:

Как можно настроить vpn подключение чтобы при подключении использовала интернет не через vpn, а локальный? Ответ нашел. Спасибо.

маршрут добавить

Цитата:

маршрут добавить

Нет. Надо на ВПН-клиенте в свойствах убрать галочку "Использовать шлюз по-умолчанию".

Сообщение об ошибке 12206

1) удалите внешний адрес DNS-сервера .удалил далее пишут

Нажмите кнопку подключения к сети и удаленного доступа.
В меню Дополнительно выберите пункт Дополнительные параметры , чтобы отобразить порядок привязки.
Выберите внутренний сетевой адаптер и нажмите Переместить вверх. Внутренние DNS используется для разрешения имени сервера, чтобы перенаправление работает правильно.
2)
можно указать IP-адрес сервера, опубликованного в Web публикации свойства правила на вкладке « Кому ». Указав этот IP-адрес сервера ISA Server Это позволит избежать обращения ошибка цепочки прокси.
пишут на сайте.


но где находится кнопка ------Нажмите кнопку подключения к сети и удаленного доступа. в иса 2006 и тд.?

как избежать ошибку эту?

mnbvcxz111

Цитата:

но где находится кнопка ------Нажмите кнопку подключения к сети и удаленного доступа. в иса 2006 и тд.?

Это не в ISA, это в виндовс - "настройка" > "сетевые подключения" > "Дополнительные параметры".

ISA 2006, есть веб-сервер в локальной сети (опубликован). Снаружи все работает. Внешнее имя ******.ru, из внутренней сети доступа к этому сайту по внешнему имени *******.ru нет. ISA пишет ошибку "10061: В подключении отказано".
Конфигурация следующая - ISA стоит за циской на которой IP от провайдера, на ISA внешний интерфейс и шлюз из 10.0.15.х, внутренний интерфейс - 192.168.0.х. Когда внешний IP был на ISA - все работало, теперь нет ...
Веб сайт опубликован (прокидывает на сервер 192.168.0.х порт 644х), прослушиватель слушает из всех сетей. Правила доступа из локальной сети есть - все сайты кроме опубликованного внутри работают !!! Да кстати - еще раньше на *******.ru:3000 сидел веб клиент почты - он тоже снаружи открывается, изнутри нет.... По IP(локальным) естественно все работает ...

Подскажите где собака зарыта ?

Заранее большое спасибо!

Все... всем спасибо !!! Сам решил !!!

Суть проблемы в следующем:
Публикую RDS 2012 через TMG с авторизацией через Kerberos
На сайт пускает, не спрашивает пароль, при запуске RemoteAPP пароль спрашивает, хотя должно было запуститься без пароля!
Может кто смог настроить?

Настроил через замену TMG для публикации приложений, та же фигня...

добрый...
господа, прошу помощи с Forefront TMG 2010 SE, т.к. раньше доводилось общаться вплотную только с Kerio и лишь частично с ISA 2004...
есть установленный и настроенный (не я етим занимался) Forefront TMG 2010 Standart на Win2008 x64
(железо - Xeon 3050 2/13Ghz + 4Gb Ram)
+ MS SQL Express, что ставится вместе с ТМГ и база ведется в нем...
Настройки журналов и отчетов в ТМГ следующие:
1. ведение журнала межсетевого екрана - параметры - ограничить общий размер файлов журнала 20Гб, удалять старше 31дня
2. ведение журнала веб-прокси - 20Гб, удалять старше 14 дней

верны ли такие настройки, либо лучше снизить до дефолтных 8Гб?
и самое главное:

1. после включения сервера, процесс sqlservr.exe потихоньку начинает отъедать память с 300Мб и доходит до 1,5Гб - нормально ли ето и если нет, как поправить?
2. через какое-то время процесс lsass.exe начинает грузить проц на 100% (какой-либо системы не заметил. прогонял сервер AVZ, думал, что поселился трой типа кидо, но ничего найдено не было)
на TMG попытался вчера поставить сервис пак2 апдейт 4 - сказало, что не требуется. версия ТМГ - 7.0.9193.540

прошу подсказать куда копать и чем, чтоб решить проблему 100% загрузки процессора...
(гугление выдает 2варианта - либо кидо, либо установить все апдейты ТМГ. как бы оба варианта проделывал, но еффекта не дало)
спс...

Dasky

Вообще если столько отжирает ОЗУ значит надо ему из-за размера баз,
[more=Вот так решается]

Настройка сервиса
Касается сервисов MSDE/SQL Express, актуально для сервисов ISA 2006/TMG 2010 или любых других сервисов, которые используют в качестве базы данных MSDE/SQL Express

Количество выделяемой памяти сервису

На машине с SQL Express запускаем в консоли osql -E -S servername\MSFW (для ISA 2006/TMG 2010). Вставляем следующий SQL-скрипт:


Код: USE master
EXEC sp_configure 'show advanced options', 1
RECONFIGURE WITH OVERRIDE

USE master
EXEC sp_configure 'min server memory (MB)', '4'
EXEC sp_configure 'max server memory (MB)', '512'
RECONFIGURE WITH OVERRIDE

USE master
EXEC sp_configure 'show advanced options', 0
RECONFIGURE WITH OVERRIDE
GO

Публикация внутреннего веб-сайта через TMG, собственно, ничего сложного, все делается через мастера, в результате изнутри сайт вполне себе работает, правило даже успешно проходит встроенный тест, снаружи-нет, получаю следующую ошибку:

<<Сообщение о доступе к сети: не удается отобразить страницу
Объяснение: при попытке обращения к этой странице произошла ошибка; страницу отобразить невозможно.

Рекомендуемые действия
Обновление страницы: выполните повторный поиск страницы, нажав кнопку "Обновить". Возможно, истекло время ожидания из-за перегрузки Интернета.
Проверка написания: убедитесь в том, что адрес веб-страницы введен правильно. Возможно, адрес введен с ошибками.
Доступ по ссылке: если имеется ссылка на искомую страницу, попробуйте получить доступ к странице с помощью этой ссылки.
Технические сведения (для сотрудников службы поддержки)
Код ошибки: 403 Запрет доступа. Сервер отклонил указанный URL-адрес. Обратитесь к администратору сервера. (12202)>>

Всю голову сломал, что только ни пробовал, кукел тоже ни на каие вразумительные мысли не навел, прошу помощи у сообщества экспертов.

concorde

Судя по коду ошибки


Цитата:

The ISA Server denies the specified Uniform Resource Locator (URL).
(ISA-сервер отвергает указанный URL-адрес.)

А более конкретного ничего сказать нельзя, т.к. недостаточно инфы.
По какому протоколу делаете публикацию (HTTP или HTTPS).
Подробный скриншот правила и структура соединения шлюза и веб сервера то же не помешает.

P.S. В общем нужно максимально развернуть свой вопрос с предоставлением всей информации.

anton04
отписал ПМ

Немножко отстал от жизни... Что там слышно с наследником TMG? Будет, нет? Или они вообще ушли от этой темы?