Версия для печати темы

Автор: bug Понедельник, 19 Июля 2004, 8:30

Скачать http://download.microsoft.com/download/8/1/6/816e880a-5e9f-4985-bcbd-c43c39108842/ISA2K4EVLS_EN.exe
В связи с выходом очередной версии MS ISA Server...версию 2004 обсуждаем здесь, а версию 2000 в старом топике http://forum.wincity.ru/index.php?act=ST&f=21&t=8057

Автор: lingod Четверг, 29 Июля 2004, 11:37

Честно говоря первое впечатление не очень. На первый взгляд очень сильно отличается от 2000-й, поcле того как покопаешся начинаеш понимать что сильно изменился (и на мой взгляд далеко не лучшую сторону) только интерфейс, все остальное в общем то идентично, кроме работы с VPN, возможности для работы с которыми расширены достаточно сильно + присутсвуют мастера создания уже готовых конфигураций VPN. Исчезли фильтры пакетов и Site and Content Rules, это все теперь (включая и Protocol Rules и Server Publishing ) теперь собрано в узле Firewall Policy. На смену Packet Filters пришла System Policy причем упралять теперь можно как доступом к внешнему интерфейсу так и к внутреннему. В целом можно сделать такие выводы:
1.Узлов в остнастке стало меньше, но они содержат большее количество управляющих элементов, что создает некоторую путаницу.
2.Интерфейс неудобный и запутанный.
3.Больше возможностей для работы с VPN и управления доступом VPN клиентов, как в интернет, так и в интрасеть.
4. Логи теперь ведутся в формате SQL что без сомнения есть правильно.

Автор: Levon Четверг, 29 Июля 2004, 12:54

A по моему изменилось больше в лучшую сторону чем обратно .......
К примеру возможность работать с несколькими сетевыми картами
То что вместо всех политик осталась только Packet Filter, это по моему даже лучше, смотреть надо будет в одном месте, ну и пакет стал гибче .....

Привыкли просто мы к 2000 версии, вот и с непривычки хочеться прикрепить имя ........ но на самом деле очень даже ничего ..... Мелкософт работает ......

ИНтересно когда будет Ентерпрайс версия ........

Автор: Jeremiah Понедельник, 16 Августа 2004, 16:36

Интерфейс убогий, без поллитра не разберешь, но на это можно закрыть глаза привыкнешь.
Лично для меня большой плюс это логи в SQL (я правда Sybase для этой цели юзаю). Более качественно ведение логов сделано.
Оценил возможность прикрывать FireWall-ом все сетевые интерфейсы (FireWall стал похож на FireWall, до этого ИМХО был куцый какой-то).
Из того что ожидал и не дождался (а может просто не нашел ), лимит пользователям на объем прокачаной инфы. Я понимаю что есть третьи фирмы, которые поставляют подобные продукты, но лучше когда это уже заложенно производителем ПО.
VPN пока не пользую, оценить не могу, но судя по всему именно на него упор и делался.
В общем получше чем ISA 2000, хоть и менее привычный.

Автор: Boris_Eagle Вторник, 07 Сентября 2004, 16:07

А кто знает что будет когда этот самый 120-day trial закончится? А дистрибутив купить я еще не успею?

Автор: Барэль Вторник, 07 Сентября 2004, 16:28

Цитата

А кто знает что будет когда этот самый 120-day trial закончится

Отгадай с 3 раз Перестанет работать есна

Автор: Boris_Eagle Среда, 08 Сентября 2004, 8:52

А как себя поведет если нормальным дистрибутивом поверх накрыть? Всё подхватит? Не хотелось бы сервак ронять

Автор: bug Среда, 08 Сентября 2004, 9:14

Boris_Eagle, я думаю здесь никто такой вариант не испытывал

Автор: Барэль Среда, 08 Сентября 2004, 10:03

Boris_Eagle, я думаю, в это случае тебе неплохо обратиться в поддержку Microsoft (и потом поделиться с нами )

Автор: malder Суббота, 09 Октября 2004, 4:58

А можно ли в ISE ограничить скорость скачивания с FTP-сервера? (Win2003, IIS, ISA2004)

Автор: malder Суббота, 09 Октября 2004, 5:03

Был не прав. Вопрос не в эту тему. Прошу удалить.

Автор: Ekho Понедельник, 21 Февраля 2005, 4:24

А видел ли кто шайпер под ISA2004 ? Везде рекомендуют использовать Bandwidth Controller, но не хочется по причине его триальности и некой убогости.

P.S. Шайпер - резалка ширины канала на нескольких юзверей в соответствии с заданными квотами.

Автор: Boris_Eagle Четверг, 24 Февраля 2005, 14:03

Триал закончился. ISA перестал работать примерно на третий день после окончания триала. Накрытый поверх дистрибутивом - продолжил работать без проблем. Что и требовалось доказать.

Автор: Alex_Kursant Пятница, 25 Февраля 2005, 11:57

Вводная: есть FreeBSD на которой поднят FTP-сервер и клиент который лезет на него через ISA 2004
Проблема: клиент зайдя на FTP не может удалять и копировать файлы, т.е. только просматривать содержимое каталогов. Если он идет в обход ISA 2004 все нормально (может копировать и удалять файлы)...

есть идеи?

Автор: Ekho Пятница, 25 Февраля 2005, 20:13

Alex_Kursant, на исе есть правило, открывающее доступ к фтп, если на него кликнуть правой кнопкой, то в менюшке будет что-то вроде Опции FTP, там кажется всего одна одно поле для галки которое как раз и разрешает аплоад.

Автор: Alex_Kursant Понедельник, 28 Февраля 2005, 11:35

Спасибо большое, работает

Автор: Alex_Kursant Понедельник, 28 Февраля 2005, 17:22

Такой еще вопрос, в ISA 2004 (не знаю как в 2000) можно импортировать список заблокированных доменов из XML-ного файлика, нет ли где-нить уже готовых?

Автор: kuzz Понедельник, 14 Марта 2005, 14:51

не коннектится файрвольный клиент. сервер указан вручную, тест сервера проходит успешно. визуально на значке клиента в трее отсутствует зеленая стрелочка, при наведении курсора подсвечивается

комп с W2000SP4+все апдейты, сервер c ISA2004Trial+SP1 на 2000 Server + все паки и апдейты. машина моя, права домен админа, на исе тоже я главный. с остальных компутеров все пучком.
сначала подумал на файрволл, но снос файра и переустановка клиента ниче не дала. это известный глюк или что это?

Автор: Egor Понедельник, 14 Марта 2005, 15:31

Только на твоей машине такое или она одна и сравнит не с чем?

Автор: kuzz Понедельник, 14 Марта 2005, 15:59

ё-мое, похоже на всех 2000-х прошках такая ерунда.

тут я ошибся, работают ХР, а тукей оказался на поверку сервером. т.е. получается клиент работает на ХР и 2000 сервере. на 2000 прошках - нет. ну ниче себе...

Автор: Egor Понедельник, 14 Марта 2005, 16:37

Да ну ерунда это. Сейчас специально еще раз почитал мануал по ISA 2004

Operating system support:
SecureNAT client - Any operating system that supports TCP/IP
Firewall client - Only Windows platforms
Web Proxy client - All platforms, but by way of a Web application

Смотри, что у тебя не так на самих Pro.

Автор: kuzz Понедельник, 14 Марта 2005, 19:45

все перекопал, ниче не нашел. снес 2004, поставил ISA 2000 ради интереса. с 2000 проф абсолютно та же петрушка, но при нажатии в клиенте на кнопку Update Now под именем сервера выдает вот чего:

это чего ей не хватат ?

Автор: Egor Вторник, 15 Марта 2005, 12:23

IMHO не может найти, кто является фаерволом. Через прокси, я так пологаю, браузер бегает?
У тебя сертифицирование поднято? WPAD пробовал указывать? Смотрел, что в скрипте автоконфигурации прописано?

Автор: kuzz Вторник, 15 Марта 2005, 14:05

вернул на место 2004.
файрволл он видит и успешно тестирует. через веб прокси и snat все замечательно работает, когда разрешаю доступ all users. но этого-то мне и не надо..
сертифицирование нет.
в скрипте не смотрел.
fwc прописывает адрес скрипта автоконфигурации при любом раскладе и ослик работает.
сейчас сделаю dns и dhcp для wpad. не хотел, чтобы на время настройки иса на всех светилась..

зы. че ж этой 2000-й надо-то.. на всем мелкософте ни слова..

Автор: kuzz Вторник, 15 Марта 2005, 14:55

разрешил автодетект исы с fwc. находит. теперь такой статус:

млин.. detected - пжлста, configured - пжлста. а самого главного - connected - шиш. а истина где-то рядом.
пойду самоубьюсь, крыша уже едет..

Автор: Egor Вторник, 15 Марта 2005, 15:41

Авторизация?
Попробуй посмотреть вот этим
http://www.microsoft.com/downloads/details.aspx?FamilyId=F20F6267-273D-4870-B1E8-799B261B4786&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyID=f3306399-d4f9-4989-865e-c61f8293c330&DisplayLang=en
... вот-же, забыл, откель скачал мануал по 2004 (доковский файл на 10 метров). Если есть желание, кинь в меня мылом, сброшу.

ЗЫ А чего триалом пользуешься?

Автор: kuzz Вторник, 15 Марта 2005, 16:11

integrated.
мыло в пм послал.

уже нет

Автор: kuzz Вторник, 15 Марта 2005, 17:48

млин, ниче не понимаю. все само собой заработало. пошел еще на пару машин fwc поставить-проверить. смотрю - арбайтен. вернулся к себе, в очередной раз переставил - работает. напьюсь сегодня от собссного бессилия.. мелкософт форева

Автор: kuzz Понедельник, 18 Апреля 2005, 12:42

не могу изнутри сетки достучаться до внешнего терминального сервера W2000AS. на исе создано правило для протокола RDP (Terminal Servises) изнутри наружу для нужной группы юзеров. везде работает файрвольный клиент. чего упустил ?

Автор: Levon Понедельник, 18 Апреля 2005, 14:45

kuzz, А может надо было добавить строчку для mstsc.exe Client Configurations -> Firewall Clients -> Application Settings (Так было в 2000 версии, но наверняка чтото такое есть и в 2004)

Автор: kuzz Понедельник, 18 Апреля 2005, 17:12

это, похоже ?
http://support.microsoft.com/?scid=kb;en-us;888642&spid=2108&sid=global

Автор: Levon Вторник, 19 Апреля 2005, 7:53

Ну вроде бы ... там надо создать новую запись mstsc.exe 3389, но не помню какие ключи надо было создавать ....

Но у меня один вопрос ....... файрвольные клиенты у вас для чего там сидят ...... ??
Ведь для подключения к терминальному серверу достаточно будет создать правило разрешающее подключения к удаленному 3389 порту ...... (как у меня, к примеру) ......
Файрвольный клиент я устанавливал только один раз, это когда клиентам надо было подключится к Bloomberg сети .... много портов надо было открывать, как входящих, так и удаленных, а если ты создаешь только удаленные подключения сделай как я указал выше .....

Автор: kuzz Вторник, 19 Апреля 2005, 15:52

файрвольные клиенты изначально сидят. пущай сидят, нужны. а внешний терминальник ток позавчера сделал, вчера (пон) соответственно он изнутри и понадобился. через недельку вот цитрус на него накачу, чтоб все по-уму. посмотрю заодно как еще иса умеет..

Автор: kuzz Среда, 20 Апреля 2005, 10:58

хм.. добавил вчера строку mstsc, ключ DisableEx, значение 0. с утра пришел, ниче не изменилось, не работает терминальный клиент. пробовал запускать файрвольный сервис от своего имени, пробовал строки mstsc.exe, mstsc.exe 3389 и mstsc 3389 с перезапуском сервиса fwc. результат ноль. без fwc соединяется пулей..

Автор: Alex_Kursant Четверг, 28 Апреля 2005, 19:46

Подскажите пожалуйста, клиент файрвола не может "Automatically detect ISA Server", а когда ручками указываешь, все в порядке.
Куда копать?

Автор: kuzz Пятница, 29 Апреля 2005, 11:46

http://support.microsoft.com/default.aspx?scid=kb;en-us;816320

Автор: Ekho Пятница, 29 Апреля 2005, 20:09

Alex_Kursant, честно говоря в хелпе к ISA все достаточно подробно разжевано что и где покрутить чтобы все это заработало

Автор: Jeremiah Среда, 13 Июля 2005, 16:56

Что-то я запутался в правилах Firewall Rules в ISA2004.
Хэлп не очень прояснил для меня ситуацию.
Загадка в следующем, работоспособность правила зависит от его местоположения в списке. Причем проблема не в том что его перекрывает вышестоящее правило, а в том, что оно как будто игнорируется и применяется Enterprize default (т.е. Deny всего чего только можно).

Приведу выдержку из списока правил в порядке их следования:
1. Разрешить - весь трафик От: Internal к: LocalHost AllUsers

2. Разрешить - DNS запросы От: DNS-сервер к: External AllUsers

3. Разрешить - весь трафик От: Internal к: Address range(адреса банков),Domain Name Set(домены банков),URL Set (URL банков) AllUsers

4. Разрешить - FTP,HTTP,SMTP,POP От: LocalHost к: External AllUsers

Дык вот ежели правило N 3 поменять местами с правилом N 2, то весь трафик, который по логике должен под это правило (правило для банков) попасть пролетает мимо него до самого последнего т.е. Deny All.

В чем проблема не пойму.

Тоже самое касалось Server Publishing rule, перемещение на одну позицию приводило к тому что правило игнорировалось.

Вопросов по сути два:
1. Почему так ?
2. Domain Name Set, URL set, NetWork Set, Address Range и т.п. в одно правило можно совмещать?

Автор: kuzz Воскресенье, 14 Августа 2005, 21:32

ну встречаем ISA 2004 Enterprise Edition:
http://www.microsoft.com/isaserver/evaluation/se_ee_comp/default.mspx
http://www.microsoft.com/isaserver/evaluation/overview/screenshots/default.mspx

беглый просмотр радикально полезных нововведений, навроде того же шейпера, не выявил. завтра поставлю, посмотрю че это такое поближе..

Автор: Gluzer Понедельник, 15 Августа 2005, 3:24

kuzz, чето больно поздно ты радоватся начал, ибо Microsoft ISA Server 2004 Enterprise Edition (English)
опубликован аж 23.02.2005 3:12:00 PM...

Автор: kuzz Вторник, 16 Августа 2005, 14:00

офигеть, как это так прощелкал.. и чего это ее не найти тогда было нигде.. нормально..

Автор: Egor Вторник, 16 Августа 2005, 14:36

Как это нигде? Почти пол-года у меня стоит

Автор: Gluzer Вторник, 16 Августа 2005, 23:10

Wzor выложил его 5 марта 2005 г., я сразу и слил

Автор: SergeyN Пятница, 17 Марта 2006, 8:38

Кто-нибудь сталкивался с проблемой работы icq через ISA Server 2004? аська просто отказывается работать! если установить клиент firewall, то работает все нормально.

обычным пользователям устанавливать клиента firewall никак нельзя. Как можно заставть аську работать ?
(способ авторизации на isa : integrated и basic)

Автор: Egor Пятница, 17 Марта 2006, 11:58

Естественно, посредством клиента ты авторизуешь юзверей. Анонимусов ISA не выпустит. Либо в аське указывай прокси по НТТР, либо открывай порты на выход для всех.

ЗЫ А вообще, рекомендую, чтобы не возникало таких вопросов, купи Томас В. Шиндер Дебра Л. Шиндер "ISA Server 2004 наиболее полное руководство".
Она сейчас практически во всех магазинах есть ~ 600 рублей. Либо isaserver.org & isaserver.ru

Автор: SergeyN Пятница, 24 Марта 2006, 13:59

Добрый день, Коллеги!

такой вопрос:

есть ISA 2004, есть правило разрешающее ftp из зоны internal в external для группы пользователей group1.
В группу group1 включены пользователи из Active Directory.
Методы авторизации для зоны internal используются integrated и basic.

Доступ по FTP осуществляется посредством Internet Explorer через WebProxy (ISA).

К сожалению ISA определяет и блокирует любое соединение по ftp как анонимное соединенние (anonymous) даже если пользователь включен в группу group1, на которое распространяется разрешающее ftp правило.

Если правило распространять на всех пользователей (AllUsers), то соединение успешно устанавливается.

Как можно заставить ISA корректно авторизовать пользователей и пускать ftp трафик через WebProxy?

Автор: Egor Понедельник, 27 Марта 2006, 14:43

Послушайте... уважаемый... Задолбало объяснять хреньте знает в какой раз:
ISA, на данный момент, до сих пор не умеет работать с AD!!!
Чтобы "включить доменных пользователей" необходимо на машине с ISA создать локальную группу, в которую включить доменных юзверей и оперировать уже с этой локальной группой.

А вот с этим подробнее. FTP через IE идет поверх HTTP, т.е. через 80 порт.