Скачать http://download.microsoft.com/download/8/1/6/816e880a-5e9f-4985-bcbd-c43c39108842/ISA2K4EVLS_EN.exe
В связи с выходом очередной версии MS ISA Server...версию 2004 обсуждаем здесь, а версию 2000 в старом топике http://forum.wincity.ru/index.php?act=ST&f=21&t=8057
Честно говоря первое впечатление не очень. На первый взгляд очень сильно отличается от 2000-й, поcле того как покопаешся начинаеш понимать что сильно изменился (и на мой взгляд далеко не лучшую сторону) только интерфейс, все остальное в общем то идентично, кроме работы с VPN, возможности для работы с которыми расширены достаточно сильно + присутсвуют мастера создания уже готовых конфигураций VPN. Исчезли фильтры пакетов и Site and Content Rules, это все теперь (включая и Protocol Rules и Server Publishing ) теперь собрано в узле Firewall Policy. На смену Packet Filters пришла System Policy причем упралять теперь можно как доступом к внешнему интерфейсу так и к внутреннему. В целом можно сделать такие выводы:
1.Узлов в остнастке стало меньше, но они содержат большее количество управляющих элементов, что создает некоторую путаницу.
2.Интерфейс неудобный и запутанный.
3.Больше возможностей для работы с VPN и управления доступом VPN клиентов, как в интернет, так и в интрасеть.
4. Логи теперь ведутся в формате SQL что без сомнения есть правильно.
A по моему изменилось больше в лучшую сторону чем обратно .......
К примеру возможность работать с несколькими сетевыми картами
То что вместо всех политик осталась только Packet Filter, это по моему даже лучше, смотреть надо будет в одном месте, ну и пакет стал гибче .....
Привыкли просто мы к 2000 версии, вот и с непривычки хочеться прикрепить имя ........ но на самом деле очень даже ничего ..... Мелкософт работает ......
ИНтересно когда будет Ентерпрайс версия ........
Интерфейс убогий, без поллитра не разберешь, но на это можно закрыть глаза привыкнешь.
Лично для меня большой плюс это логи в SQL (я правда Sybase для этой цели юзаю). Более качественно ведение логов сделано.
Оценил возможность прикрывать FireWall-ом все сетевые интерфейсы (FireWall стал похож на FireWall, до этого ИМХО был куцый какой-то).
Из того что ожидал и не дождался (а может просто не нашел ), лимит пользователям на объем прокачаной инфы. Я понимаю что есть третьи фирмы, которые поставляют подобные продукты, но лучше когда это уже заложенно производителем ПО.
VPN пока не пользую, оценить не могу, но судя по всему именно на него упор и делался.
В общем получше чем ISA 2000, хоть и менее привычный.
А кто знает что будет когда этот самый 120-day trial закончится? А дистрибутив купить я еще не успею?
Цитата |
А кто знает что будет когда этот самый 120-day trial закончится |
А как себя поведет если нормальным дистрибутивом поверх накрыть? Всё подхватит? Не хотелось бы сервак ронять
Boris_Eagle, я думаю здесь никто такой вариант не испытывал
Boris_Eagle, я думаю, в это случае тебе неплохо обратиться в поддержку Microsoft (и потом поделиться с нами )
А можно ли в ISE ограничить скорость скачивания с FTP-сервера? (Win2003, IIS, ISA2004)
Был не прав. Вопрос не в эту тему. Прошу удалить.
А видел ли кто шайпер под ISA2004 ? Везде рекомендуют использовать Bandwidth Controller, но не хочется по причине его триальности и некой убогости.
P.S. Шайпер - резалка ширины канала на нескольких юзверей в соответствии с заданными квотами.
Вводная: есть FreeBSD на которой поднят FTP-сервер и клиент который лезет на него через ISA 2004
Проблема: клиент зайдя на FTP не может удалять и копировать файлы, т.е. только просматривать содержимое каталогов. Если он идет в обход ISA 2004 все нормально (может копировать и удалять файлы)...
есть идеи?
Alex_Kursant, на исе есть правило, открывающее доступ к фтп, если на него кликнуть правой кнопкой, то в менюшке будет что-то вроде Опции FTP, там кажется всего одна одно поле для галки которое как раз и разрешает аплоад.
Такой еще вопрос, в ISA 2004 (не знаю как в 2000) можно импортировать список заблокированных доменов из XML-ного файлика, нет ли где-нить уже готовых?
не коннектится файрвольный клиент. сервер указан вручную, тест сервера проходит успешно. визуально на значке клиента в трее отсутствует зеленая стрелочка, при наведении курсора подсвечивается
Только на твоей машине такое или она одна и сравнит не с чем?
ё-мое, похоже на всех 2000-х прошках такая ерунда.
Да ну ерунда это. Сейчас специально еще раз почитал мануал по ISA 2004
Operating system support:
SecureNAT client - Any operating system that supports TCP/IP
Firewall client - Only Windows platforms
Web Proxy client - All platforms, but by way of a Web application
Смотри, что у тебя не так на самих Pro.
все перекопал, ниче не нашел. снес 2004, поставил ISA 2000 ради интереса. с 2000 проф абсолютно та же петрушка, но при нажатии в клиенте на кнопку Update Now под именем сервера выдает вот чего:
IMHO не может найти, кто является фаерволом. Через прокси, я так пологаю, браузер бегает?
У тебя сертифицирование поднято? WPAD пробовал указывать? Смотрел, что в скрипте автоконфигурации прописано?
вернул на место 2004.
файрволл он видит и успешно тестирует. через веб прокси и snat все замечательно работает, когда разрешаю доступ all users. но этого-то мне и не надо..
сертифицирование нет.
в скрипте не смотрел.
fwc прописывает адрес скрипта автоконфигурации при любом раскладе и ослик работает.
сейчас сделаю dns и dhcp для wpad. не хотел, чтобы на время настройки иса на всех светилась..
зы. че ж этой 2000-й надо-то.. на всем мелкософте ни слова..
разрешил автодетект исы с fwc. находит. теперь такой статус:
Авторизация?
Попробуй посмотреть вот этим
http://www.microsoft.com/downloads/details.aspx?FamilyId=F20F6267-273D-4870-B1E8-799B261B4786&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyID=f3306399-d4f9-4989-865e-c61f8293c330&DisplayLang=en
... вот-же, забыл, откель скачал мануал по 2004 (доковский файл на 10 метров). Если есть желание, кинь в меня мылом, сброшу.
ЗЫ А чего триалом пользуешься?
integrated.
мыло в пм послал.
млин, ниче не понимаю. все само собой заработало. пошел еще на пару машин fwc поставить-проверить. смотрю - арбайтен. вернулся к себе, в очередной раз переставил - работает. напьюсь сегодня от собссного бессилия.. мелкософт форева
не могу изнутри сетки достучаться до внешнего терминального сервера W2000AS. на исе создано правило для протокола RDP (Terminal Servises) изнутри наружу для нужной группы юзеров. везде работает файрвольный клиент. чего упустил ?
kuzz, А может надо было добавить строчку для mstsc.exe Client Configurations -> Firewall Clients -> Application Settings (Так было в 2000 версии, но наверняка чтото такое есть и в 2004)
это, похоже ?
http://support.microsoft.com/?scid=kb;en-us;888642&spid=2108&sid=global
Ну вроде бы ... там надо создать новую запись mstsc.exe 3389, но не помню какие ключи надо было создавать ....
Но у меня один вопрос ....... файрвольные клиенты у вас для чего там сидят ...... ??
Ведь для подключения к терминальному серверу достаточно будет создать правило разрешающее подключения к удаленному 3389 порту ...... (как у меня, к примеру) ......
Файрвольный клиент я устанавливал только один раз, это когда клиентам надо было подключится к Bloomberg сети .... много портов надо было открывать, как входящих, так и удаленных, а если ты создаешь только удаленные подключения сделай как я указал выше .....
файрвольные клиенты изначально сидят. пущай сидят, нужны. а внешний терминальник ток позавчера сделал, вчера (пон) соответственно он изнутри и понадобился. через недельку вот цитрус на него накачу, чтоб все по-уму. посмотрю заодно как еще иса умеет..
хм.. добавил вчера строку mstsc, ключ DisableEx, значение 0. с утра пришел, ниче не изменилось, не работает терминальный клиент. пробовал запускать файрвольный сервис от своего имени, пробовал строки mstsc.exe, mstsc.exe 3389 и mstsc 3389 с перезапуском сервиса fwc. результат ноль. без fwc соединяется пулей..
Подскажите пожалуйста, клиент файрвола не может "Automatically detect ISA Server", а когда ручками указываешь, все в порядке.
Куда копать?
http://support.microsoft.com/default.aspx?scid=kb;en-us;816320
Alex_Kursant, честно говоря в хелпе к ISA все достаточно подробно разжевано что и где покрутить чтобы все это заработало
Что-то я запутался в правилах Firewall Rules в ISA2004.
Хэлп не очень прояснил для меня ситуацию.
Загадка в следующем, работоспособность правила зависит от его местоположения в списке. Причем проблема не в том что его перекрывает вышестоящее правило, а в том, что оно как будто игнорируется и применяется Enterprize default (т.е. Deny всего чего только можно).
Приведу выдержку из списока правил в порядке их следования:
1. Разрешить - весь трафик От: Internal к: LocalHost AllUsers
2. Разрешить - DNS запросы От: DNS-сервер к: External AllUsers
3. Разрешить - весь трафик От: Internal к: Address range(адреса банков),Domain Name Set(домены банков),URL Set (URL банков) AllUsers
4. Разрешить - FTP,HTTP,SMTP,POP От: LocalHost к: External AllUsers
Дык вот ежели правило N 3 поменять местами с правилом N 2, то весь трафик, который по логике должен под это правило (правило для банков) попасть пролетает мимо него до самого последнего т.е. Deny All.
В чем проблема не пойму.
Тоже самое касалось Server Publishing rule, перемещение на одну позицию приводило к тому что правило игнорировалось.
Вопросов по сути два:
1. Почему так ?
2. Domain Name Set, URL set, NetWork Set, Address Range и т.п. в одно правило можно совмещать?
ну встречаем ISA 2004 Enterprise Edition:
http://www.microsoft.com/isaserver/evaluation/se_ee_comp/default.mspx
http://www.microsoft.com/isaserver/evaluation/overview/screenshots/default.mspx
беглый просмотр радикально полезных нововведений, навроде того же шейпера, не выявил. завтра поставлю, посмотрю че это такое поближе..
kuzz, чето больно поздно ты радоватся начал, ибо Microsoft ISA Server 2004 Enterprise Edition (English)
опубликован аж 23.02.2005 3:12:00 PM...
офигеть, как это так прощелкал.. и чего это ее не найти тогда было нигде.. нормально..
Как это нигде? Почти пол-года у меня стоит
Wzor выложил его 5 марта 2005 г., я сразу и слил
Кто-нибудь сталкивался с проблемой работы icq через ISA Server 2004? аська просто отказывается работать! если установить клиент firewall, то работает все нормально.
обычным пользователям устанавливать клиента firewall никак нельзя. Как можно заставть аську работать ?
(способ авторизации на isa : integrated и basic)
Добрый день, Коллеги!
такой вопрос:
есть ISA 2004, есть правило разрешающее ftp из зоны internal в external для группы пользователей group1.
В группу group1 включены пользователи из Active Directory.
Методы авторизации для зоны internal используются integrated и basic.
Доступ по FTP осуществляется посредством Internet Explorer через WebProxy (ISA).
К сожалению ISA определяет и блокирует любое соединение по ftp как анонимное соединенние (anonymous) даже если пользователь включен в группу group1, на которое распространяется разрешающее ftp правило.
Если правило распространять на всех пользователей (AllUsers), то соединение успешно устанавливается.
Как можно заставить ISA корректно авторизовать пользователей и пускать ftp трафик через WebProxy?
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)