Версия для печати темы

Автор: bug Среда, 04 Июня 2003, 20:12

В связи с тем что в форуме топиков по ISA развелось просто немеряно и вопросы по сути дублируются, создается данный топик. Вопросы по ISA Server вне этого топика будут считаться нарушением правил и будут удаляться (обсуждение ранее заданных вопросов по ISA производится в соответствующих топиках)... Софт под ISA обсуждается только http://forum.wincity.ru/index.php?act=ST&f=21&t=8068.
Рекомендуемые ссылки:
1. http://www.isaserver.org
2. http://www.microsoft.com/isaserver/default.asp
3. http://www.winfaq.com.ru/ubb/Forum9/HTML/000001.html
4. http://forum.ixbt.com/?id=7&forumpage_days=2&name=isa
5. http://winfaq.com.ru/docs/Exams/isa/ISAServer2000.pdf
6. http://leser.narod.ru/stat/isa.html. Мини-руководство по ISA, зато на русском.
Для ищущих русское описание на ISA сразу сообщаю, что такого в природе пока не существует.

Автор: Knight Четверг, 05 Июня 2003, 11:37

На сайе Toolzz.com скачал несколько примочек, файлы в формате XML. Подскажите как их прикрутить к ИСЕ
to Злобный БАНщик Неполучится ли каши если все вопросы в куче на одном топике?

Автор: bug Четверг, 05 Июня 2003, 11:44

Knight

Цитата

Неполучится ли каши если все вопросы в куче на одном топике?

Не получится, 50 % вопросов дублируют друг друга...да и для поиска это удобней когда все в одном месте. Если топик будет резко разрастаться, то тогда разобьем на несколько тем. А все полезные вещи которые тут будут пробегать я в свой первый пост буду добавлять (с указанием авторских прав естественно )

Автор: Egor Четверг, 05 Июня 2003, 12:44

bug, IMHO уже имеет смысл на две темы разбить:
1. Мануалы, советы, FAQ...
2. Примочки, надстройки, готовые скрипты...

Автор: bug Четверг, 05 Июня 2003, 12:54

Egor, ок попробуем

Автор: bug Четверг, 05 Июня 2003, 17:09

Вот добралась трабла и до меня, на свежеустановленной (я раньше ISA не юзал, поэтому не пинайте) в логи постоянно сыплется ошибка 14120, при этом вроде как все работает
Тип события: Ошибка
Источник события: Microsoft Web Proxy
Категория события: Отсутствует
Код события: 14120
Дата: 05.06.2003
Время: 17:30:30
Пользователь: Нет данных
Компьютер: SERVER
Описание:
The ISA Server services cannot create a packet filter 194.8.167.244. This event occurs when there is a conflict between the Local Address Table (LAT) configuration and the Windows 2000 routing table. Check the routing table and the LAT to find the source of the conflict.
Данные:
0000: 15 00 00 00 ....

По рекомендации Microsoft Knowledge Base Article - 288236 прописал в LAT оба сетевых интерфейса:
192.168.2.0 - 192.168.2.255 (внутренний)
212.55.29.88 - 212.55.29.95
212.55.29.255 - 212.55.29.255
...но все осталось на своих местах. Собственно вопрос откуда берется эта ошибка и как с ней бороться...Знаю что ошибка очень распространенная, но я из за слабого знания ISA совсем запутался...так что не оставьте в беде

Автор: Snake Пятница, 06 Июня 2003, 3:17

bug, А Виндовский роутинг включен или отключен?

Автор: Jeremiah Пятница, 06 Июня 2003, 9:57

Цитата

По рекомендации Microsoft Knowledge Base Article - 288236 прописал в LAT оба сетевых интерфейса

Чего-то я не нашел там таких рекомендаций .
В этой статье говориться что ISA сервер должно ставить на компьютер с двумя сетевыми интерфейсами. С одним сетевым интерфейсом установка ISA в Integrated или Firewall mode is not supported
Так что нужно смотреть почему он твой второй интефейс не увидал.

Если я правильно понимаю суть, то внешний интерфейс в LAT прописывать не надо (это же таблица локальных адресов ). У меня в LAT 192.168.0.0 - 192.168.0.255

Автор: bug Пятница, 06 Июня 2003, 13:11

Snake

Цитата

bug, А Виндовский роутинг включен или отключен?

отключен...
Jeremiah

Цитата

Если я правильно понимаю суть, то внешний интерфейс в LAT прописывать не надо

Дык я тоже так понимаю...но один черт ошибки сыплет...с какими то левыми IP, но инет работает...ISA установлена в интегрированном режиме...
Добавлено:

Цитата

Чего-то я не нашел там таких рекомендаций

Это я уже сам домыслил ...после битвы с ISA еще и не такое "вычитаешь"

Автор: Egor Пятница, 06 Июня 2003, 13:27

bug, действительно, категорически не рекомендуется добавлять внешний интерфейс в LAT .
У тебя эта ошибка, скорее всего, из-за того, что оба интерфейса включены на In & Out. Посмотри в менеджере ISA, правой клавишей на имени сервера - свойства, соответствующие закладки. Out - должны присутствовать оба, в In - только внешний.

Автор: bug Пятница, 06 Июня 2003, 13:46

Egor, сделал как ты сказал все пока работает (внешний интерфейс я из LAT убрал), только в "Outgoing..." я смог указать только внутренний интерфейс, остался еще 127.0.0.1 я его добавлять не стал...

Автор: Egor Пятница, 06 Июня 2003, 14:30

bug, я уже, честно говоря, не очень хорошо помню ISA. Отказался из-за громоздкости. Обхожусь пока циской . Хотя, последнее время все больше и больше начинает нравиться 5 винрут.

Автор: bug Пятница, 06 Июня 2003, 14:40

Egor, я никогда не пользовался ISA вот и мучаюсь помаленьку (пользовался Winproxy, очень нравится, но ее точно никто покупать не будет, а с варезными версиями мучение одно...)

Автор: Jeremiah Пятница, 06 Июня 2003, 15:02

Egor, дай бог каждому так не помнить

Автор: Egor Пятница, 06 Июня 2003, 15:45

Jeremiah, приветствую тебя, мой бледнолицый, одноглазый брат
Просто я самолично наступал на все грабли. Литературы не было, народ еще не горел желанием ее ставить подсказать было не кому, вот и приходилось самому ползти, а такие вещи с трудом забываются .

Автор: Jeremiah Пятница, 06 Июня 2003, 16:50

Ох, Egor ! Горазд ты на комплименты .

Автор: bug Вторник, 10 Июня 2003, 11:03

Все же ISA это круто гиморная вещь...не зря я ее раньше не использовал
Поигрался со вкладочкой протоколов "Applies To" (в частности с ICQ), поставил сначала User And Group... (есть у меня группа Proxy User), потом решил сделать Any Request, так все равно аутенфикация требуется... разрешил все всем та же трабла..., перезапустил ISA все осталось по прежнему. Вот скажите то ли я чего то не понимаю, то ли ISA тормозит со страшной силой... а может все так задумано и надо где то чего то поковырять, хочется получить нормально работающую ISA через Socks4
P.S. Слава богу поставил ISA для себя...с целью освоить этого зверя (а то убили бы меня давно)...вообще разочаровываюсь в исе...очень уж капризна и сложна в настройке...
P.P.S. Сейчас для работы ICQ использую файрвол клиент...но это мне не очень нравится.
Добавлено: Все решил я эти проблемы...просто забыл что в Site and content rules то же разрешение на доступ поставил для группы пользователей...эх склероз...а ух панику то поднял

Автор: Snake Среда, 11 Июня 2003, 13:23

bug,
А у меня на всех клиентских компах висит файрвол клиент.... Неужели без него можно все сделать?
Если да, подмоги....
Нужна Аська, инет и почта везде.... Почтовик свой стоит, MDaemon 5.0.4

Автор: Jeremiah Среда, 11 Июня 2003, 13:45

файрвол клиент нужен если хочешь забирать почту с другого компа (в смысле ISA не на нем установленна). Проблема с тем, что почтовики не умеют авторизоваться на ISA.
У меня почтовый и ISA сервер на одном компе, в этом случае файрвол клиент не нужен, все настраивается фильтрами пакетов.
Инет без проблем будет работать без клиента.

PS. Почта это частный пример, все остальные проги, которые не умеют авторизоваться на ISA тоже нуждаются в файрвол клиенте

Автор: Egor Среда, 11 Июня 2003, 14:15

Можно сказать немного по другому. Софту, работающему по протоколу HTTP, фаервол-клиент не требуется. По всем остальным протоколам - клиент нужен.

Автор: lingod Среда, 11 Июня 2003, 19:22

Цитата

Можно сказать немного по другому. Софту, работающему по протоколу HTTP, фаервол-клиент не требуется. По всем остальным протоколам - клиент нужен.

У меня нигде не стоят клиенты и все прекрасно работает, и Аська и почта и еще куча прог, единственное неудобство это то что траффик по IP считать приходится.

Автор: bug Пятница, 20 Июня 2003, 14:28

добрые люди подскажите как настроить https через ISA, что то нестабильно у меня все работает падает постоянно...а прога только через https работать умеет

Автор: lingod Пятница, 20 Июня 2003, 15:53

2 Buq
А точнее написать можеш, что значит не стабильно?
Для того чтобы работать с https достаточно в Protocol rules разрешить траффик через этот протокол, это еcли твоя прога внутри сети и ломится по нему наружу, если наоборот, то надо публиковать https server через server publishing rules.

Автор: bug Суббота, 21 Июня 2003, 8:23

lingod, подробнее... моя (в смысле работающая на моем компе) программа постоянно теряет связь с внешним сервером (общается она с ним только по https), иногда пишет что отсутствует доступ в интернет, иногда вываливается из сеанса обмена данными...короче связь по https то есть, то нет...вот я думаю может я чего недосмотрел (кстати через winproxy 5 все работает тока в путь, но иса мне нравится больше, поэтому хочу все настроить на ней, но знаний по ISA маловато...пока), кстати в протокол рулес https присутствует...есть ли еще места где упоминание о https обязательно?
p.s. проверил сейчас на асе, не работает она у меня по https
p.p.s как только снимаю аутенфикацию на протокол (т.е. разрешаю всем, то начинает работать), странно все это потому что при включенной аутенфикации у меня есть доступ этому протоколу и я ввожу свои данные (в формате домен\юзер и пароль), но меня не пускает...хотя http настроенный по такому же принципу великолепно работает...

Автор: Egor Суббота, 21 Июня 2003, 10:36

Что-то было такое, мучился народ по этому поводу. Попробуй посмотреть вот это:
http://winfaq.com.ru/ubb/Forum13/HTML/001390.html
http://winfaq.com.ru/ubb/Forum13/HTML/001600.html
http://winfaq.com.ru/ubb/Forum13/HTML/001266.html
http://winfaq.com.ru/ubb/Forum13/HTML/002078.html
http://winfaq.com.ru/ubb/Forum13/HTML/001154.html

Автор: bug Понедельник, 23 Июня 2003, 8:51

Egor, спасибо за ссылочки...сейчас проштудирую...

Автор: bug Вторник, 01 Июля 2003, 12:16

В связи с переходом с широкого канала на более узкий возникла необходимость использовать программы качалки, но мой любимый Getright отказывается качать по http (причем даже через клиента ISA) в связи с чем вопрос...какие качалки беспроблемно работают с ISA...кто чего использует? Или настройками можно все заставить работать?

Автор: lingod Вторник, 01 Июля 2003, 13:18

У меня FlashGet летает через ISA без клиента, да и Reget работал, правда есть одно, но, у меня на ISA не настроены никакие политики связанные с AD, авторизацией и т.п. все разруливается по IP адресам машин.

Автор: bug Вторник, 01 Июля 2003, 16:17

lingod, такс...ну главное что эти качалки работают...а авторизация на прокси наверняка в них присутствует.

Автор: albatros Среда, 02 Июля 2003, 12:32

Подскажите как настроить ISA чтобы работал через прокси на Lunixe.
В настоящее время есть прокси на Lunixe. Через него внутренние клиенты ломятся в инет.
Надо во внутренней сети установить ISA и половину клиентов пускать в инет через него.
На Lunix стоит DHCP. Ставлю win 2000,на карточке которая смотрит на Lunix получаю IP автоматически, на внутренней прописываю например 192.168.0.1 маска-255.255.255.0. Поднимаю домен, настраиваю IE на использование прокси и хожу в инет. Ставлю ISA - все инета нет.
Что надо настраивать?

Автор: lingod Среда, 02 Июля 2003, 15:00

albatros
Все...
По умолчанию на ISA закрыто все.

Автор: Egor Четверг, 03 Июля 2003, 10:58

bug
Недавно "присел" на Download Master. Аналог Reget, но бесплатный , а поскольку он интегрируется в браузеры (кстати, был приятно удивлен списком, куда он может интегрироваться), то особых проблем с прохождением через ISA не возникает. Посмотреть можно здесь: http://www.westbyte.com/dm/

albatros
Серверам и рутерам категорически не рекомендуется раздавать динамические адреса.

Автор: bug Пятница, 04 Июля 2003, 11:38

Egor, у меня Reget работает, аж не нарадуюсь, причем я не стал прописывать в нем настройки покси...он их сам определяет.

Автор: Egor Пятница, 04 Июля 2003, 13:14

Тогда я не понял твой предыдущий вопрос. Зачем ты его задал, если все у тебя работает?

Автор: az Понедельник, 07 Июля 2003, 13:45

Opera говорит, что прокси сервер запросил метод авторизации, который программой пока не поддерживается. Поставил Firewall Client, в настройке Client Configuration на вкладке Application Settings сказал "opera, Disable=0" ничего не изменилось. Я, очевидно, что то делаю не так, но не могу понять в каком месте.

Автор: albatros Понедельник, 07 Июля 2003, 14:09

Есть прокси сервер на Linux. Параметры внутренней карточки, например: IP-192.168.101.1, маска 255.255.255.0
В данной подсети необходимо создать домен Win, установить ISA, ограничить членам домена доступ в инет.
Беру машину с двумя карточками, ставлю Win 2000 Server SP2. Прописываю параметры внешней карточки (смотрит на Linux):
IP - 192.168.101.245,
маска 255.255.255.0,
шлюз 192.168.101.1,
предпочитаемый DNS - 192.168.101.1,
альтернативный - 192.168.101.245.
Параметры внутренней карточки:
IP - 192.168.0.1,
маска 255.255.255.0,
шлюз - ,
предпочитаемый DNS - 192.168.101.245,
альтернативный - .
Все пингуется и внешние адреса тоже (т.е. интернетовские)
Поднимаю домен.
В IE ничего не настраиваю и спокойно хожу в инет.
Ставлю ISA с LAT 192.168.0.0-192.168.0.255
Создаю правило протоколов - разрешаю всем внутренним клиентам доступ к любому IP-трафику.
Создаю новый Packet Filter для того чтобы работать в инете с компа на котором стоит ISA.
Ломлюсь в инет и нет соединения.
Мужики, подскажите что сделал не так, что надо сделать?

Автор: Jeremiah Понедельник, 07 Июля 2003, 16:02

az, у тебя в ISA в св-вах сервера, закладка Outgouing web requests, authentication method какой?

Автор: az Понедельник, 07 Июля 2003, 16:25

Integrated. один на всех

Автор: bug Понедельник, 07 Июля 2003, 16:50

Egor, это он у меня заработал...после всех мучений...

Автор: Jeremiah Понедельник, 07 Июля 2003, 16:51

az, поставь на интерфейс, который в локальную сеть смотрит, еще Basic в дополнение к Integrated, в этом случае можно будет выходить в инет введя
имя пользователя = Domain\User_Name и соответствующий пароль.

Автор: az Понедельник, 07 Июля 2003, 16:54

А нельзя так сделать, что бы ничего не надо было вводить, или зачем вообще нужен firewall client?

Автор: Jeremiah Понедельник, 07 Июля 2003, 17:11

В Extention -> Application Filters -> HTTP redirector filter, что у тебя установлено в закладке Options?
Попробуй этими переключателями поиграть, в частности в положении "Send to requested WEB server" должно заработать через файрвол клиента.
Но отдавай себе отчет, что этот трафик будет безконтрольный (на него не будут действовать правила Site&Contents, в частности).

Я своих любителей оперы сразу поставил в такие рамки, хотите пользуйтесь, но вводите пароль ручками.

Автор: az Вторник, 08 Июля 2003, 8:51

Спасибо, Jeremiah, с Basic проверю, а на счет безконтрольного трафика это уж кончно... крутовато. Может как-то можно это решить с помощью fw клиента... иначе его назначение представляется мне туманным.

Автор: bug Вторник, 08 Июля 2003, 9:20

az, вот что я понял почитав различные FAQ и мануалы, firewall client позволяет дать доступ в интернет приложениям, которые (по разным причинам, как правило из за авторизации) не могут работать через ISA напрямую... FW-клиент решает эту проблему перехватывая запросы от приложений и отправляя их на ISA

Автор: az Вторник, 08 Июля 2003, 15:47

Так это же просто здорово, bug, а там (в FQA'ах и мануалах) ничего не сказано про то, чем Опера отличается от

Цитата

приложений, которые (по разным причинам, как правило из за авторизации) не могут работать через ISA напрямую

, или хотя бы как FW-клиента правильно настраивать... а то мучаются же люди.

Ну, пусть есть приложение SuperX, написанное ребенком десяти лет. Приложение это ходит в и-нет (просто соединяясь с каким-то сервером) через порт №12345, про авторизацию, как и про ИСУ этот юный талант ещё не знает. Внимание вопрос: что и где требуется прописать, что и как нужно установить, где и какие галочки поставить, что бы это приложение, о котором мы ничего сказать не можем, ходило в и-нет, и бед не знало Computer1\LocalSystem.

PS Добавить метод авторизации Basic нельзя, т.к. приложение наше есть ничто иное как неинтерактивная служба. С сертификатами мы тоже работать не умеем.

Автор: az Вторник, 08 Июля 2003, 15:50

Странно вклинившаяся надпись "Computer1\LocalSystem" - учетная запись, то имени которой работает приложение. Её, разумеется, можно включить в группу, которой разрешен выход в и-нет.

Автор: lingod Вторник, 08 Июля 2003, 16:22

аz
Для того чтобы это замечательное приложение ходило в инет и бед не знало в узле Policy Elements ->Protocol Definition создаеш новое определение протокола которое открывает порт №12345 на прием и/или передачу, а потом в Protokol Rules разрешаеш траффик через этот протокол.

Автор: az Вторник, 08 Июля 2003, 16:37

Я собственно к чему вел:

Приложение "SuperX" - это Опера, порт 12345 - это порт 80 (http), в узле Policy Elements ->Protocol Definition создавать, очевидно, ничего не надо, ибо уже создано, в Protokol Rules давно разрешен трафик по-этому протоколу... А Опера все равно НЕ ХОДИТ.

Автор: bug Вторник, 08 Июля 2003, 16:39

az, о детальной настройке Firewall Client написано в хелпе ISA

Автор: bug Вторник, 08 Июля 2003, 16:44

az

Цитата

А Опера все равно НЕ ХОДИТ

ну она же не может авторизоваться на прокси (судя по твоим словам)...почему Basic аутенфикацию не хочешь включить? У меня на Inegrated практически ничего не работало через прокси ...

Автор: az Среда, 09 Июля 2003, 9:06

Вот такая вот ссылочка есть(http://www.opera.com/support/search/supsearch.dml?index=463), там кажися обещают что с fwclient'ом все будет рулить, но почему-то это не работает.

Автор: Jeremiah Среда, 09 Июля 2003, 14:05

Как я понимаю, все http запросы от firewall и secure Nat клиентов проходять первым делом через фильтр "HTTP redirector" в зависимости от настроек этого фильтра запросы, либо пересылаются локальному web proxy сервису, либо напрямую в интернет (эти запросы не кэшируются), либо не пропускаются никуда.
Firewall клиенты могут использовать:
1. Протоколы, которые перечисленны в Protocol Rules
2. на них не действуют ограничения Site&Content
3. настроены на использование вторичных соединений (тут могу наврать http://http://www.isaserver.org/tutorials/ISA_Clients__Part_3_The_Firewall_Client.html звучит как "Defined as having secondary connection"). Именно эта фишка присуща только FireWall клиенту.


В общем, в моем понимании, если идет http запрос от Firewall клиента и настройка "пересылать локальному web proxy сервису", то этот запрос поступает на Protocol rules уже обезличенным. Соответственно, если в Protocol rules ограничение на доступ по именам пользователей, то обломс.
Не HTTP запросы пересылают имя пользователя минуя фильтр и получают нормальненько доступ согласно Protocol rules.

PS. http://www.isaserver.org/tutorials/Configuring_the_HTTP_Redirector.html

Цитата

там кажися обещают что с fwclient'ом все будет рулить

Там как раз таки (если мой английский меня не подводит ) говорят, что это не рулить и рулить не будет никогда, потому как сам Мелкомягкий от этого скоро откажется.

Автор: az Среда, 09 Июля 2003, 14:58

На счет

Цитата

пересылать локальному web proxy сервису

понятно, а если HTTP-redirector настроен как "Send to requested WEB server", тогда в чем проблема? Или, если редиректор вообще погашен.

Автор: Jeremiah Среда, 09 Июля 2003, 15:49

Да в общем ни в чем. Если Send to requested WEB server, то Opera чудесно работает через FireWall клиента.

Цитата

если мой английский меня не подводит

Мой английский меня подвел, там написано, что они встраивать в оперу авторизацию не собираются.

Автор: Snake Четверг, 24 Июля 2003, 9:35

Появился еще один http://www.isaserver.ru, посвященный ISA Server.
Пока что информации не очень много, но надеюсь, скоро станет больше.
Возможно, кому-нибудь будет полезно.

Автор: Smouse Среда, 13 Августа 2003, 19:26

Привет,

Задача проста - из внутр. сети клиенты должны забирать почту по POP3 OE с внешних серверов. Но, только те, что авторизовались, т.е. не тупой SecureNat для IP, а с применением FWClient`a. В протокол рулезах есть правило, разрешаюшее outbound pop3 для групп и юзеров. В application setting FWClient`a для msimn сделаны 2 бинда ремоуттцп - 110, локалтцп 1024-65535. Так вот, в таком виде клиенты не получают доступ к нужным северам. В чем у меня кривые руки?
P.S. Юзера коннектятся на клиентские машины с доменными учзаписями.
Спасибо.

Автор: mokc0der Среда, 01 Октября 2003, 22:58

После более года висения на WinRoute решил перейти на ISA. Связи с этим есть несколько вопросов. Для начала условия функционирования ISA:
Win2kAS SP4 + AD,DNS,DHCP,WINS+SUS. 2 сетки 192.168.2.1- внутренняя, 192.168.1.7 - внешняя (головной офис + инет, шлюз 192.168.0.1)
Теперь вопросы:
1) Насколько корректно будет считатся траффик? Будет ли учитыватся траффик самого сервера (SUS любит периодически мегов x выкачать). Что надо для этого настроить ?
Вопрос связан с тем что траффик по данному интерфейсу на адреса 192.168.0.1-192.168.1.255 не должен считатся (внутрення почта + обмен музыкой ). TMeter я так и несмог настроить на подсчет траффика сервака. Хотя внутренний вроде нормально считает
2) Насколько схожи правила для файровала в ISA и WinRoute?
3) На что могу напоротся учитывая AD. Можно ли сделать аутинтификацию пользователей выходящих в инет?
4) Головной офис(192.168.0.1) использует ISA/ может ли мне дать какие-нибудь приемущества(там сервак без AD)?
5) Посоветуйте что почитать : ссылочки и книги(сегодня был в "Молодой Гвардии", на Арбате и на Мясницкой - про ISA ни одной книжки!!!)
Пока начинаю тестирование дома на VMWare. Но дней через 10 надо переползать

Автор: lingod Пятница, 03 Октября 2003, 11:24

1) насколько я помню ISA не умет считать свой траффик.

Цитата

раффик по данному интерфейсу на адреса 192.168.0.1-192.168.1.255 не должен считатся

С этим проще ISA раскладывает траффик по адресам назначения, таким образом весть траффик из лога на эти адреса, при подсчете можно просто отбрасывать.
2) не скажу ибо WinRoute не юзал
3) Можно
4)Наврядли
5) Есть у меня несколько книг по ISA, но на английском если хочеш могу прислать, (выложить мне их некуда).
С русскоязычными книгами по ISA тяжко я нашел только одну но хорошую (просто перевод курса 70-227)., но она у меня только в бумажном варианте:-((

Автор: veugen Воскресенье, 02 Ноября 2003, 11:28

Люди добрые, помогите глупому. Поставил ISA, поставил Exchange 2000. Как разрешить доступ в инет и ICQ, сообразил (пока просто разрешил весь IP-траффик). Но почта не ходит. Что надо делать?

Автор: veugen Понедельник, 03 Ноября 2003, 18:01

Все сам решил - книжки читать полезно, да еще провайдер мутил, как оказалось. :-)

Автор: Znake Понедельник, 10 Ноября 2003, 13:54

Приветствую всех.
У меня неболльшая проблемка. На клиентах не работают команды ping, tracert, pathping, в то время как на самом ИСА-сервере все пашет. Не подскажите в чем может быть загвоздка. Может чего не до открыл.

Автор: lingod Понедельник, 10 Ноября 2003, 15:54

IP Packet Filters - Properties - Enable IP routing поставить галку.

Автор: Znake Четверг, 13 Ноября 2003, 17:55

Спасибо огромное заработало.

Автор: Fоrever Пятница, 21 Ноября 2003, 7:38

Как избавится от назойливого окна авторизации при посещении сайтов содержащих заблокированные баннеры и в то же время не пускать анонимных пользователей? Клиенты работают через Web Proxy.
Firewall Client не используется. Outgoing Web Request - Use The same listener configuration.
Ask unauthenticated users- снято.
В Site & Contens активированы правила разрешающее пользователям домена посещать любые сайты и стоит блокировка сайтов баннерных сетей.
Из Protocol Rules разрешен HTTP, HTTPS, DNS Query & transfer и почтовые протоколы.

Автор: Znake Вторник, 25 Ноября 2003, 14:04

У меня помимо ISA есть еще и Linux'совая тачка-фаер+почта. (Внешний интерфейс\IP=194.226.218.xx; Внутренний 192.168.0.1) На иса соответственно Внешняя карта 192.168.0.3 и Внутренняя 192.168.137.ххх.
Так вот этот 192.168.0.3 у меня подставляется в почте.
В заголовках почты в поле Received. Можно ли это скрыть ??
--
И еще у меня снова перестали работать ping'и на клиентах, включая меня где разрешен весь трафик.
Галка IP Routing стоит.

Автор: bug Вторник, 25 Ноября 2003, 14:39

Fоrever
При использовании блэклиста, чтобы не появлялось окно с запросом пароля нужно сделать вот что:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3proxy\Parameters
On the Edit menu, click Add Value, and then add the following registry value:
Value Name: ReturnDeniedIfAuthenticated
Data Type: REG_DWORD
Radix: Hex
Value Data: 1

Автор: Snake Среда, 26 Ноября 2003, 7:30

Fоrever, или в ISA в Site and Contets в закладке Actions не просто поставить галочку Deny но и сделать redirect to http:// (Пустой). У меня так установлено и ни с кого не спрашивает логин пасс..

Автор: Fоrever Среда, 10 Декабря 2003, 9:21

Спасибо , вроде заработало..
Только я в сомнениях...
Смотрю GFI WebMonitor на текущие сеансы пользователей и недоумеваю..
Постоянно промелькивает строка unautorizated...как раз напротив баннерных и порнушных сайтов..
И в логе рябит от анонимусов.. Анонимные запросы обрабатываются со статусом 407. То есть требуют авторизации...Я так понял что ISA такие запросы не пущает. Тогда откуда мегабайты трафика полученные локальными IP? И еще пришлось стартануть файервол. Не скажу зачем. Нужен стал...Для банк - клиентского софта. Так воот обнаруживаю в списке сессий запись типа SYSTEM\userName. ОКазалось что в инет щемятся клиент Нортона Антивируса. А это не нужно. Потомучто локальный LiveUpdate организован и клиенты на него настроены..Поправил файлик mspclnt.ini дабы отвадить несанкционированные обновления. Да только не не переносится изменения в нем на клиентские компы. Как решить проблему?

Автор: Znake Пятница, 19 Декабря 2003, 4:01

А пинги все равно не работают.
А ведь работали...
Поставил ИСУ с нуля... вроде работали.. Потом перестали... НЕ ужели все с нуля ставить
--
Кто-нибуть сталкивался с проблемой Автоматического определения ISA Servera в Ф.Клиенте? Он у меня почему то не хочет работать.
В ДНС прописал WPAD=ISAserver, в DHCP тоже прописла параметр 252, хотя вроде и без него должно работать.. АвтоДискавери по 80 включил.(в свойствах ИСА). Подскажите плз.
ps: Веб заработал только по скрипту.

Автор: Fоrever Среда, 24 Декабря 2003, 1:28

У меня юзвери не могли попасть в инет потому что требовался пароль на узел wpad

Так и не заработало авто определение, поэтому забил на него, запретил редирект запросов с фаервол-клиента на вэб-прокси..
щас заходят..

Автор: Znake Среда, 14 Января 2004, 14:50

Отвечаю на свои собственные вопросы.
С пингами оказалось все проще. Помимо галочки нужно что бы на клиентах был прописан маршрут (route add 0.0.0.0 mask 0.0.0.0 "например 192.168.137.1=IP_ISA" metric 1)
По поводу Авто определения оказалось не все так просто. Оно работало только для клиетов домена. И не работает на Notebook'e шефа которые не входит в домен.

ps: Расскажите как настроить блок лист.
pps: Кто-нибуть юзал LANguadr for ISA ?

Автор: Snake Четверг, 15 Января 2004, 4:17

Znake,

Цитата

Расскажите как настроить блок лист

Заходишь в Policy Elements-Destination Set, создаешь новый, куда и прописываешь, чего закрывать.
Например *adriver*. Где то здесь на форуме по-моему bug выкладывал список баннерных сетей.
Потом идешь в Site and Content Rules, где создаешь правило, в котором и выбираешь, какое действие применить для этого Destination, по какому расписанию и для каких юзеров.
Удачи...

Автор: Fоrever Понедельник, 19 Января 2004, 9:32

Вот подскажите тупому как разрешить доступ юзеров только к сайтам непосредственно связанным с их трудовой деятельностью? Потому что я запарился запрещать всякие развлекательно-увеселительные сайты которые сжирают кучу траффика. Сделал правило All Block запрещающее All external destination для всех юзеров кроме админов. И еще парочку разрешающих destination set на рабочие сайты для юзеров. Понятное дело никуда зайти они не смогли, потому что согласно алгоритму запроса из локалки запрет имеет более высокий приоритет.
Пришлось поменять в All Block All external destination на All destinations except selected set, исключить из запрета рабочие сайты. Но этот вариант меня не устраивает потому что как ни крути а одним списком сайтов не обойтись, нужно учесть специфику юзера, его взаимоотношения с начальством , расписание и протоколы...
Пробовал сделать по другому.. Убрал всезапрещаещее правило на сайты. И добавил несколько разрешающих для юзеров. Плюс вырезание баннеров, порно, мультимедиа контента и флешей..
Все бы хорошо но.. Когда подопытный пользователь заходит допустим на всякие www.1c.ru и прочее выскакивают окна авторизации. Конечно можно пару раз нажать ESC , но юзер от этого в шоке. Ведь не могу я предусмотреть всех баннеров и счетчиков которые висят на сайтах.
Естественно что не найдя ни в запрещенных ни в разрешенных сайтах этих паразитирующих ссылок и поскольку правило allow rule, разрешающее все сайты админу существует, служба WebProxy требует авторизации. Как мне обойти эту проблему? Может я в чем то не прав? Понимаю что вопрос затрагивает темы моих предыдущих постов, но хотелось бы уточнить и так сказать угулубить вопрос.

Автор: Snake Понедельник, 19 Января 2004, 10:25

Fоrever, мы выше обсуждали, как избавиться от этого окошка авторизации.
Не помогает что ли???

Автор: Fоrever Понедельник, 19 Января 2004, 10:48

Так дело то в чем...
Если существует правило запрета на допустим баннерный сайт и стоит redirect to http:// то все работает:) А вот если такой сайт нигде не указан...То есть его нет не в списке запрещенных, не в списке разрешенных...Вот смотрю в логе ISA что при загрузке страницы подгружаются всякие spylog.ru, hotlog.ru и еще бог весть чего .ru..Оно конечно не трудно и добавить, но контенты сайтов меняются ... Я просто буду постоянно затыкать эти ссылки...А ведь хотелось всего лишь, согласно велениям руководства, перекрыть доступ на все сайты одним махом. И разрешать по мере необходимости. Может что то не понял я в принципе организации доступов посредством Site & Content Rules. Неужели никто не решал столь тривиальную задачу, или только у меня руководство трясется над каждым мегабайтом.

Автор: Balbess Понедельник, 19 Января 2004, 14:04

Прочитал в самом начале топика
Мини-руководство по ISA, зато на русском.
Для ищущих русское описание на ISA сразу сообщаю, что такого в природе пока не существует.
Пишите на мыло скину....

Автор: Fоrever Вторник, 20 Января 2004, 6:51

Цитата

Для ищущих русское описание на ISA сразу сообщаю, что такого в природе пока не существует.

Здесь куча статей на русском http://www.isaserver.ru/
http://www.insar.net/for_admin/isa/kurs.htm - перевод официального пособия по курсу MCSA/MCSE

Автор: diggerzz Четверг, 29 Января 2004, 14:41

Нароод!!! Спасайте.

Ситуация следующая. ISA в режиме firewall+proxy.
Внутренняя сетевуха 192.168.0.240
Внешняя 192.168.100.240 (втыкается в главный firewall на FreeBSD, который уже светит в инет).

Нужно чтобы с внешнего интерфейса были видны реальные IP внутренней подсети.

Если в LAT добавлен только внутренний интерфейс (диапазон 192.16.0.0-192.168.0.254), все нормально,но все пакеты на головной firewall идут с IP 192.168.0.240.

Если в LAT добавить внешний интерфейс (192.168.100.0-192.168.100.254), пакеты идут с реальным IP, но естественно не фаерволит firewall.

Как бы и рыбку съесть и .... ну вы поняли?

P.S. Надо именно так, поскольку головной firewall регулирует пропускную способность канала для конкретных товарищей и групп товарищей.

Автор: Levon Вторник, 24 Февраля 2004, 16:09

Наверное избитая тема .. но в поиске ничего не нашел ...................

Читал в нескольких местах ...... что ISA на контролере домена есть плохая идея .......... но в что тут плохого если ISA все прикрывает ... все порты закрывает ...... (на улице) ... то есть security остаеться на нормальном уровне ...... ??

Автор: pokhlebaev Вторник, 24 Февраля 2004, 17:58

Нагрузка большая в любом случае - а на контролер домена она и так может быть очень нехилой - в зависимости от размеров сети, конечно. Кроме того, проверено практикой - под каждый сервер лучше отдельную машину ставить - что не всегда доступно экономически (финансово), но 100% выгодно и удобно практически.

Автор: Levon Среда, 25 Февраля 2004, 9:00

Цитата

под каждый сервер лучше отдельную машину ставить - что не всегда доступно экономически (финансово), но 100% выгодно и удобно практически

Ну это все понятно .........
Ну к примеру сервер потянет (тут нет сомнений) .... а вот как дела с безопасностью .... ??
Если должным образом настроить и резервный доменный контроллер ..... ??

И кстати не нашел Системные требования к контролеру домена ....... кем он должен быть ?

Автор: Dimasik Пятница, 27 Февраля 2004, 15:49

Levon, честно говоря, IMHO лучше выносить такие вещи отдельно и разруливать аи пи адресами а не пользователями т.к машина смотрящая наружу имеющая списки пользователей и хеш пароли (пусть даже все будет закрыто ) не есть гуд. хотя , повторюсь, возможно я не прав

Автор: Levon Четверг, 10 Июня 2004, 9:03

Вчера заметил у Microsoft новый сервиспак для ISA сервера .......

http://download.microsoft.com/download/e/3/8/e387b8c2-b530-4cce-991a-cd8363908ebf/isasp2-ENU.exe

Так что качайте кто не в курсе .....
Кстати я у себя поставил ..... пока ниче ..... работает ......

Автор: veugen Среда, 30 Июня 2004, 8:36

Подскажите чайнику!
У меня стоит ISA на W2000 Server, клиенты - W2000 Prof, стоит свой почтовый сервак (Exchange 2000). И вдруг понадобилось получать почту с сервера провайдера. Компы во внутренней сети не могут пинговать сервак провайдера (как и все остальные компы снаружи), соответственно и почту забирать не получается.
В настройках ISA поставил галку IP Packet Filters - Properties - Enable IP routing. Но ping'и стали идти только со второго сервака, с клиентов так и не идут.
Что мне нужно сделать для того, чтобы клиенты могли забирать почту со внешнего сервера???

Автор: Levon Среда, 30 Июня 2004, 9:19

Дело тут не в пинге
Тебе надо разрешить на ISA сервере POP3 протокол (110 порт) на outgoing. и все ........

Автор: Jeremiah Среда, 30 Июня 2004, 9:31

Немного уточню, 110 и 25 порт нужно в Protoсol rules открыть (т.е. собсна открыть протокол POP3 и SMTP).
И поставить FireWall Client (не нужен в случае, если у тебя NAT клиенты).

Автор: Egor Пятница, 17 Декабря 2004, 4:00

http://www.internetaccessmonitor.ru/rus/products/articles/

Автор: Vadson Понедельник, 16 Января 2006, 12:37

Доброго времени суток! ISA-шные логи за пару лет на сервачке стали занимать неприлично много места. Вот думаю, как их сархивить, а с сервера удалить? Подскажите, плз...

Автор: Egor Четверг, 19 Января 2006, 12:31

А в чем проблема? RAR, и можешь удалять совершенно безболезненно до текущего дня.

Автор: Vadson Четверг, 19 Января 2006, 14:16

хех, да чего-то грит, что "заняты файлики приложением".... хотя все службы, связанные с ISA, останавливаю...

Автор: Levon Четверг, 19 Января 2006, 16:24

Напиши пожалуйста где у тебя находятся логфайлы и какие у них имена ....

Автор: Vadson Вторник, 24 Января 2006, 11:08

Лог-файлы вида FWSEXTD20060124.log лежат в \Microsoft ISA Server\ISAlogs

Автор: Levon Вторник, 24 Января 2006, 14:16

последние файлы используются системой ......
Отсортируй их по дате модификации ... оставь последние 1-2 дня ... а с остальными можешь делаь все что угодно ...

Автор: Vadson Суббота, 28 Января 2006, 14:20

да, все ок, эт я че-то тупнул

Автор: morozzz Среда, 14 Марта 2007, 14:17

Доброго времени суток!

Вот собсно присоветуйте как реализовать, чтоб при превышении выданной пользователю HTTP квоты был оповещен администратор.

Имеющиеся в наличии траффик квота и бандвиз сплитер такого вроде как немогут. Может где какой скриптик надо или алерт ковырнуть какой? или софтинку еще какую?

ISA 2004, Win Serv 2003, домен

Автор: ArTnI Пятница, 11 Января 2008, 16:23

Кто-нибудь настраивал SSL на нестандартный порт сервера?

Автор: Egor Понедельник, 14 Января 2008, 6:40

Да.

Автор: Laplans Понедельник, 06 Сентября 2010, 15:56

Пожалуста раскажите как установить GD Library... очень надо.
Пошагово если можно.
Заранее спасибо.

Автор: irekt Пятница, 30 Июня 2017, 15:00

А нельзя так сделать, что бы ничего не надо было вводить, или зачем вообще нужен firewall client?

Автор: Вормс Воскресенье, 14 Января 2018, 17:46

отличная идея как по мне