» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Предыдущие части этой темы: 1 + 2 + 3

---

Microsoft Internet Security & Acceleration Server - сайт производителя

- необходимо посетить, начиная работу с ISA Server

IsaDocs.Ru - переведенные статьи с

IsaServer.Ru - форумы, статьи, решения

ISA на iXBT - Хобот, наш конкурент

Коллекция ссылок на статьи

Варез Miсrosoft Forefront TMG (ISA)

---

Назначение и применение сабжа..
Продолжение шапки..

---

ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.

---

// текущий бэкап шапки..

2 davinchi9
висту не смотрел, может там в браузере по умолчанию тупо не стоит галка про интегратед аутенфикацию?

Нужно создать правило для FTP-сервера в ISA. Как это сделать?

ты имеешь ввиду публикацию своего внутреннего FTP?

Цитата:

публикацию своего внутреннего FTP

Да.

hardhearted

Цитата:

не стоит галка про интегратед аутенфикацию

что за галка такая, можно подробнее?

davinchi9
ну дожили, уже юзерскую галку в IE найти не могут. есть там в свойствах IE такая галка, типа использовать виндовую аутенфикацию, обычно по умолчанию включена

Ivan_Taiga на вкладке Tasks делаешь create new server publishing rule

hardhearted

Цитата:

не стоит галка про интегратед аутенфикацию

Цитата:

типа использовать виндовую аутенфикацию

Есть такой флаг, это в свойствах IE на вкладке "Дополнительно" флаг и в разных системах называется по разному:
win Vista: Разрешить встроенную проверку подлинности Windows
win XP: Включить интегрированную проверку подлинности Windows
я так понимаю это разрешение использовать NTLM аутентификацию?
на висте в IE 7 флаг был установлен и аутентификация с ним не проходила, снял флаг, перезапустил IE и вуаля - все заработало, в логах исы пользователь авторизован, BSpliter показывает соединения как NTLM - тут я ничего не понял, т.к. вроде NTLM я получается отключил...
пропробовал тоже самое сделать на ХР - в любом результате работает, аутентифицируется через NTLM... не совсем понятен смысл этого флага...
Огромное спасибо за помощь!!!

davinchi9
а fwc не стоит? то что показывает левый фильтр не совсем заслуживает доверия

Всем привет!
Ситуация следующая WIN2003Serv SP2 + ISA2006ST все работало ОК. Придя из отпуска обнаружил, что умник из филиала (замещал на время отпуска) снес с сервера SP2. ISA вроде работает смотрел по логам, НО перестала открываться консоль. Можно ли это вылечить без переустановки ISA server?

Antdik что по логам? на что ругается MMC? снесли SP2 с винды? поставить его заново?

Пишет что не может открыть файл. Причины: файл не записан, это не консоль, создан в более поздней версии MMC или не хватает прав на файл. Работаю под админом. SP2 снесли с винды. Поставить заново, не знаю, может вообще все раком встанет. Поэтому хотелось просто запустить консоль
PS можно ли накатить ISA поверх ?

hardhearted
fwc пока стоит но его служба отключена и менеджер управления выгружен...
Цитата:

то что показывает левый фильтр не совсем заслуживает доверия

с чего такое недоверие к BSpliter'у?

по поводу этой галки попробовал поискать в инете - нашел вот это (не знаю насколько то применимо к ISA сервер):

Цитата:

Встроенная проверка подлинности Windows: При использовании этого способа, ранее имевшего название NTLM или Проверка подлинности с запросом и подтверждением Windows NT, информация о проверке подлинности отправляется по сети в виде билета Kerberos, что обеспечивает высокий уровень безопасности. Встроенная проверка подлинности Windows использует проверку подлинности Kerberos, версия 5 и NTLM. Для использования этого способа клиенты должны иметь Microsoft Internet Explorer 2.0 или более поздние версии. Кроме того, встроенная проверка подлинности Windows не поддерживается прокси-подключениями HTTP. Эту возможность лучше всего использовать в интрасети, где компьютер пользователя и веб-сервер входят в состав одного и того же домена и администраторы могут проверить, все ли пользователи используют Internet Explorer 2.0 или более поздние версии.

источник
эта формулировка сделал в голове полную кашу - получается NTLM древний метод аутентификации, который поддерживался до Internet Explorer 2.0 и не работает через прокси?

хоть с аутентификацией вроде разобрался но замечена еще обдна трабла: ИСА режет SSL трафик - Outlook обращаясь к Exchange делает запросы на 443 порт сервера с ИСА а не Exchange (что и смущает, должно вроде на сервер Exchange) и приэтом они от anonymous, в результате имеем такие строки в логах:

Цитата:

Имя пользователя клиента    anonymous
URL-адрес    exchange.domain.ru:443
Агент клиента    "Microsoft Office/12.0 (Windows NT 6.0; Microsoft Office Outlook 12.0.6213; Pro)"
IP-адрес клиента    192.168.0.x
IP-адрес назначения    192.168.0.x
Используемый протокол    SSL-tunnel
Правило    Правило по умолчанию
Действие    Отклоненное соединение
Код состояния HTTP    12202

вот не пойму от outlook должен идти аутентифицированный запрос?
учитывая то что у Exchange сервера сменился МАС и IP адрес, фнужно ли почтовому серверу выдавать новый сертификат?

и попутно: почему все веб-запросы сначала идут от anonymous потом от аутентифицированного пользователя?

Добавлено:
Antdik

Цитата:

Пишет что не может открыть файл.

Файл консоли? попробуй поставить удаленную средсва управления на другой комп и открыть оттуда, потом файл консоли перекинь на сервер...

Цитата:

не хватает прав на файл. Работаю под админом

проверь права, у админа тоже может не быть прав если целенаправленно так нарулить...

Цитата:

Поставить заново, не знаю, может вообще все раком встанет.

сделай образ акронисом и эксперементируй... если консоль ИСЫ не открывается это уже из ряда вставания раком, т.е. что-то еще может глючить но нетак явно...

Цитата:

PS можно ли накатить ISA поверх

можно попробовать запустить воостановление установки, но опять же после создания образа...

Доброго времени суток.
Такая ерунда творится - через некоторое время клиенты по очереди отваливаются. Ребутишь сервак - все нормально работает. Через некоторое время опять та же проблема. Устанавливали WinServer 2003 SP2 (был SR1), sql virtual machine 2005. До этих перемен всё работало, как часы. Что первое надо проверить?

davinchi9
Спасибо! сработало установка удаленного управления и перекидка файла консоли.

pavel1978

Цитата:

клиенты по очереди отваливаются

что именно отваливаются? доступ в инет или файловые шары или что еще?

davinchi9

Цитата:

эта формулировка сделал в голове полную кашу

читай оригиналы на английском, некоторые переводы могут привести к зависанию любой мозг

Цитата:

с чего такое недоверие к BSpliter'у?

не тока к сплиттеру, если что то показывает не так как ожидалось значит надо проверять напрямую.

Цитата:

и попутно: почему все веб-запросы сначала идут от anonymous потом от аутентифицированного пользователя?

такое спрашивать вообще стыдно, во первых так работают абсолютно все прокси, собственно сами прокси не виноваты, это вина клиентов, а во вторых тут это почти на каждой странице спрашивали последние несколько лет.

Цитата:

Outlook обращаясь к Exchange делает запросы на 443 порт сервера с ИСА а не Exchange (что и смущает, должно вроде на сервер Exchange)

если у тебя клиент и exchange стоят в одной сетке то все соединения между ними должны ходить напрямую мимо исы.

hardhearted

Цитата:

значит надо проверять напрямую

напрямую это смотреть логи? столбец в логах "прошедший проверку клиент" свидетельствует о NTLM аутентификации?

Цитата:

такое спрашивать вообще стыдно...

мне как начинающему админу должно быть простительно

Цитата:

во первых так работают абсолютно все прокси...

я и сам не первый раз задаю этот вопрос но нормального ответа так и не услышал... если не трудно дай ссылку гне на форуме об этом говорится - хочу разобраться рас уж конкретно занялся исой...


Цитата:

если у тебя клиент и exchange стоят в одной сетке то все соединения между ними должны ходить напрямую мимо исы

ИСА, клиент и exchange в одной сетке, но в URL запрашивается по <FQDN>:443 сам exchange сервер, а IP-адрес назначения ISA сервера и запрос анонимный, но я так понимаю что клиент получив ответ от exchange должен потом подать аутентифицированный запрос?
уточню как оно в логе выглядит:

Цитата:

Имя пользователя клиента anonymous
URL-адрес exchange.domain.ru:443
Агент клиента "Microsoft Office/12.0 (Windows NT 6.0; Microsoft Office Outlook 12.0.6213; Pro)"
IP-адрес клиента 192.168.0.x
IP-адрес назначения 192.168.0.x - IP адрес ISA Server'a
Используемый протокол SSL-tunnel
Правило Правило по умолчанию
Действие Отклоненное соединение
Код состояния HTTP 12202

Если клиент обращается напрямую к Exchange серверу, который не стоит там же где ISA сервер, то в логох исы вообще ничего не должно быть без специального правиля контролирующего обращения сеть-сервер Exchange - правильно я понимаю?

Почему то иса судя по журналу отклоняет от компов локальной сети бродкастовые запросы (192.168.0.255) к службе имен netbios на 137 порт и датаграмму netbios на 138 порт. При том что из сети локальная в сеть локальная и сам компьютер с исой "Весь исходящий трафик" разрешен.
Почему он это делает?

davinchi9

Цитата:

я и сам не первый раз задаю этот вопрос но нормального ответа так и не услышал... если не трудно дай ссылку гне на форуме об этом говорится - хочу разобраться рас уж конкретно занялся исой...

лень искать, я сам тут не первый раз отвечаю, да и отвечать там нечего, просто запомни что так и должно быть, просто потому что тупые браузеры всегда лезут без аутенфикации, а потом, когда иса их пошлет и потребует аутенфикацию, они повоторяют запрос но уже с аутенфикацией, осбстна это и правильно, откуда им убогим знать что на проксе требуется аутенфикация


Цитата:

столбец в логах "прошедший проверку клиент" свидетельствует о NTLM аутентификации?

не знаю где такой столбец, у меня все столбцы на нормальном английском языке, а где ты эту убогость откопал не знаю в любом случае он означает что аутенфикацию прошел, неважно каким методом

Цитата:

ISA сервер, то в логох исы вообще ничего не должно быть без специального правиля контролирующего обращения сеть-сервер Exchange - правильно я понимаю?

не совсем правильно, читай книги "основы сетей", разделы про устройство локальных сеток и роутинг, чтобы не спрашивать больше таких глупостей.
не может иса контролировать трафик идущий внутри одного сегмента, она межсетевой файрволл и ее дело фильтровать трафик между сетями и к себе/от себя, а внутри сегментный трафик на нее даже не должен попадать. то что у тебя аутглюк шлет запрос к исе вместо ексченджа это также нормальное поведение, которое знает любой школьник: браузер не считает локальными адреса которые заданы как fqdn и шлет это дело на прокси. тупо впиши всю локалку в исключения на браузерах.

2 davinchi9

отваливается интернет, почта. Ч/з примерно 3 часа после ребута сервера. У всех и по очереди. Но ICQ при этом у всех работает. ИСА клиент сервер видит. Что за чудеса? Можно ли как-то рестартовать ИСА сервер без ребута (а то надоело уже)? Как это сделать?

Вопрос по миграции на ISA 2006

Сейчас стоит ISA 2004 SE Eng SP3 + Bandwidth Splitter + SurfControl

Скачал ISA 2006 SE ENG. Как обновляться далее?

1. Делаю BackUp в 2004, делаю BackUp в Bandwidth Splitter
2. Сношу 2004-ю, или пока не сносить
3. Ставлю 2006
4. Импортирую BackUp
5. Ставлю заново Bandwidth Splitter, импортирую его настройки

Всё ли?

Братья!
Имеются вопросы по ISAServer....
Раньше я юзал прогу lan2net, очень удобную и достаточно функциональную..... но жизнь не стоит на месте и пришлось поставить 64-х битную ось... в результате чего lan2net неимеющий драйвера под 64-х....
Поставил ТИ, что-то он мне не очень нравится (хотя и фишек в нём нужных много) и он похоже не очень отвечает моим требованиям... Присматриваюсь к ISAServer 2006, но чтоб долго не мучится, хотел бы задать такие вопросы:
1) возможна ли авторизация по IP/MAC ?
2) VPN это обязательно?
3) Возможно ли дать к примеру дневное ограничение пользователю/группе?
4) Возможно ли перенаправлять пакеты на другой IP/Порт?
5) Возможна ли работа без клиента (связано с п. 1)
6) Возможно ли работа с несколькими провайдерами?
7) Возможно ли быстро переключать маршрут прохождения трафика? (В случае если один из провайдеров неработает).
Заранее спасибо!

markers
а почитать возможности на сайте не судьба?
1) ip - да, mac - нет, ибо это ненужная ересь
2) нет
3) да, левыми плагинами
4) что имелось ввиду?
5) да
6) полнофункционально нет, иса не роутер
7) скриптами, маршрутизацией ведает винда, исе пофигу, поэтому если в винде умеешь менять маршрут то все ок.

Добавлено:
Pashkaa
по апгрейду есть дока на сайте, там для младенцев все разжевано

hardhearted
1) а возможна ли авторизация по надёжней чем по IP ?
2) ОК
3) А изначально что умеет в этом плане?
4) Видимо нет в исе полноценного ната, вообщем имелось ввиду чтоб можно было переадресовать к примеру запрос по 80-ке к серверу на внутрениий сервер с портом 99..
5,6,7) ок

markers
1) по юзеру, для этого ису многие и ставят
3) ничего, изначально исе это не нужно
4) в исе это называется server publishing, в плане web он более продвинутый чем простой port forwarding. а полноцееный нат умеют только хорошие роутеры, остальные в большинстве своем реализуют лишь малую его часть, как я уже писал выше и неоднократно, иса не роутер и роутингом не занимается вообще.

Описал проблему при установке вот здесь, но разделом, видимо, ошибся:
http://forum.ru-board.com/topic.cgi?forum=5&topic=27691#1
Может кто поможет?

hardhearted

Спасибо, прочитал инструкцию. Начал ставить по ней.

ISA выдала сообщение
"Upgrading when Message Screener or Firewall Client Share is installed is not supported/ Uninstall these Components before upgrading"

Это что ISA 2006 нашла ISA 2004 и увидела что кней подключены Firewall Client-ы старой версии и теперь предлагает мне их снести?

Может мне проще выдернуть шнурок из сетевой сервака и повторить инсталяцию, при удачной установке обновить клиентов и всё?

Pashkaa
с английским видимо туговато, причем тут клиенты
имелось ввиду что в 2006 исе нет такого понятия как message screener и шары для fwc, а в 2004 исе это было.