emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору <<< Предыдущая часть этой темы Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   продолжение шапки.. Всего записей: 11866 | Зарегистр. 05-06-2002 | Отправлено: 16:31 28-02-2006 | Исправлено: emx, 21:45 10-03-2007

pridecom Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Добрый день. Буду очень признателен в помощи следующей проблемки!   Каким образом в ISA Server 2006 Rus настроить разрешения в пользовании Интернетом только пользователям из ActiveDirectory?   И совсем уж дилетантский вопрос Какие правила надо настраивать, чтобы был у всех авторизованных пользователей Интернет (на основе НАТ)?   Я настроил правила в межсетевом экране 1. Внутренняя сеть + Внешняя = Внутренняя + Внешняя 2. Внутренняя сеть + Локальный компьютер = Внутренняя сеть + Локальный компьютер   Вроде работает, правильно или нет?   Политики предприятия и массивы вообще не настраивал, и вообще с трудом представляю для чего они...   Заранее благодарен за ответы (кроме RTFM)!   Всего записей: 613 | Зарегистр. 22-11-2004 | Отправлено: 06:12 16-10-2006 | Исправлено: pridecom, 06:19 16-10-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору pridecom первое что пришло в голову именно RTFM интересно почему люди предпочитают задать тупой вопрос а не прочитать книгу или хотя бы хелп ? network rules у тебя неправильные, если делаешь nat то хватит одного internal - NAT-external.(ну правило route между localhost и all networks должно быть по умолчанию) если хочешь раздавать инет по юзерам то создай группу в исе, в нее впиши нужные доменные группы или юзеров, в правило вместо all users впиши это группу. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 12:01 16-10-2006

pridecom Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted Нет книги а организация денег не выделяет. Не ругайся Вот ты говоришь создать группу в ИСЕ, а что за группу? Группу в чем, в политике предприятия, в Конфигурировании сети, где, на какой вкладке? Всего записей: 613 | Зарегистр. 22-11-2004 | Отправлено: 13:23 16-10-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору pridecom это не лечится, пиши заяву по ПСЖ вот хорошая ссылка, там все отлично написано и по русски http://isaserver.ru/forums/thread/14710.aspx   группы в исе, как и большинство других обьектов создаются и хранятся в одном месте, все остальные способы просто облегчают создание обьектов, но они все равно появляются в одном месте. в случае групп это firewall policy, справа вкладка toobox, а на ней users. три группы там уже есть, например all authenticated users позволяет пропускать только аутенфицированных юзеров (не обязательно доменных, это могут быть например локальные юзера исы, короче вообще все юзера имя которых определилось) Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:57 16-10-2006

pridecom Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted Ну и что Инет работает если в пользователях прописаны все пользователи. . Завел новую группу пользователей в AD? назвал ее "Пользователь_с_инетом" . Дал некоторым юзверям эту Роль . В пользователях ИСА на правило   Внешняя + Внутренняя = Внешняя + Внутренняя   Изменил   все пользователии на вновь соззданную группу Windows "Пользователь_с_инетом" . ... Вуаля - инет пропал у всех! Что я делаю не так? Всего записей: 613 | Зарегистр. 22-11-2004 | Отправлено: 14:03 16-10-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору pridecom книгу скачал? прочитал? тут форум где люди пытаются решить какие то проблемы с продуктом, а не с нуля настроить ису с нулевыми знаниями и не читая никакой документации, которой просто тонны, в том числе на офсайте смотри логи если там не пишется имя юзера а пишут anonymous значит юзера у тебя аутенфицироваться не могут.   Добавлено: pridecom сразу могу сказать, юзера могут аутенфицироваться в двух случаях web proxy клиенты, те у кого в браузере иса прописана проксей, поумолчанию на исе стоит только integrated authentication, ее умеют не все браузеры, родной ie (+ все надстойки над ним) мозила и новые оперы умеют, из мессенджеров миранда умеет, msn messenger (он же windows он же live). web proxy работает только для веб трафика (+ для того трафика что умеет проксироваться через http прокси, например аська). Если надо пустить в инет с аутенфикацией по юзеру не веб трафик то на клиентов надо ставить firewall client. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:32 16-10-2006

pridecom Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Все заработало, спасибо! Вот то что сделал!   Цитата: Настройка серверной части 1.    Ставим Сразу три компоненты, со всем соглашаясь! 2.    На одном из шагов выбираем Внутреннюю сетевуху (это та которая идет в Хаб и дальше по компам), при этом автоматом должны проставиться адреса   a.    192.168.0.0-192.168.0.255 Или b.    192.168.1.0-192.168.1.255 3.    Заходим в правила межсетевого экрана и создаем 2 правила a.    Локальный + Внутренняя = Локальный + Внутренняя = Все пользователи b.    Внешняя + Внутренняя = Внешняя + Внутренняя = Все пользователи   4.    Проверяем инет должен быть на всех машинках Настройка в AD 1.    Создаем новую группу пользователей «Присутствует_Интрнет» 2.    Закидываем эту группу только в тех пользователей, которым Интернет нужен!   Вносим изменения в ISA Server 2006 RU 1.    В нашем любимом межсетевом экране на правиле «Инет В Сеть» (второе правило) меняем список пользователей a.    Удаляем «Всем Пользователям» b.    Создаем новое «Доменные» c.    Закидываем в него группу «Присутствует_Интрнет»   2.    Сохраняем, Интернет у всех должен пропасть. Кстати: Если все изменения вступают в силу только после нажатия на кнопку применить вверху окна ISA Server и после выжидания 2 минут времени. Открытые сессии не обрываются, поэтому на пингах и аське нельзя проверять работоспособность.   Заключительная часть, установка FireWall Clienta 1.    Ставим на все компики 2.    В момент установки явно указываем ISA server, автоматом он не находится! 3.    Кстати, галку «Включить автоматическую настройку браузера» в FWC надо снимать!     Всего записей: 613 | Зарегистр. 22-11-2004 | Отправлено: 15:03 16-10-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору мда "инструкция для тупых" что то типа как электрочайник включить ) иса то явно посложнее и пофункциональнее. к тому же неправильная 1. не написано как настраивать network rules 2. правило 3.а нафиг не нужно если руки на месте 3. правило 3.б тоже неправильное  с точки зрения безопасности, если между сетями NAT то снаружи внутрь по этому правилу все равно не попадут, а если route то вообще безобразие, потому как все кому не лень полезут внутрь. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:03 16-10-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору eXcite а просто назначить вторую ису шлюзом по умолчанию в настройках внешней сетевухи первой? Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:18 16-10-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору eXcite ну тогда сначала. у тебя есть локалка, есть сетка между двумя исами (без потери общности назовем ее дмз), есть инет. какой network rule (route или nat) между локалкой и дмз? если nat для для второй исы весь трафик из локалки выглядить как просто трафик от первой исы, и поэтому просто пускаешь первую ису через вторую анонимно и все (тоже самое если у тебя все клиенты из локалки ходят только web proxy). если route то вторая иса будет видеть от какого клиента идет коннект. ps: есть мнение что http в обе стороны глупо, обычно нужен http наружу, и редко (когда у тебя внутренняя сеть имеет реальные адреса и там находятся веб сервера) внутрь ) Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:49 16-10-2006

Leonid_Z Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору помогите плиз разобраться не открывается через ису сайтец http://www.ripn.net:8080/ он определённо загадочный - не пингуется, не трэйсрутится .. и порт подставляет нестандартный   причём если в isa включить правило разрешать все протоколы, то открывается без проблем. начинаю "закручивать гайки" - снова не открывается блин... добавляю протокол HTTP с портом 8080, исключаю из кеширования.. никакого пока эффекта Всего записей: 917 | Зарегистр. 26-01-2002 | Отправлено: 18:20 16-10-2006 | Исправлено: Leonid_Z, 18:23 16-10-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serra это только для web работает Leonid_Z если через прокси то должно открываться, но правда http:// писать надо, иначе не откроется браузер не шарит что 8080 порт это тоже http и не посылает запрос через прокси Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:31 16-10-2006

AlexRNeos Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору У меня с 2006 вообще бардак какой то..... Ситуация такая: Есть КД с ИСА2006. Есть на этом серваке модем. В РАС настроено принимать входящие звонки. В правилах сделаны правила web,ftp,icq -> разрешить -> HTTP,FTP,ICQ2000 -> ВПН клиенты и внутренняя -> Внешняя -> Все прошедшие проверку Пробовал и из другого офиса и из дома - ничего не получается, точнее FTP и HTTP работают без проблем, а вот АСЯ не хочет ни в какую - выручайте. Не хочется сносить ИСУ и ставить 2004, т.к. на 2004 пробовал и все работало. Тут решил испытать 2006 - и на тебе - косяк. В правиле пробовал ставить "Все пользователи" - не помогает. Скажите хоть в какую сторону копать? Причем интересный ньюанс: Если поверх Диал-ап делаю еще и ВПН к этому же серваку - то аська работает, но зато сайты и ФТП перестают. Вот ipconfig /all с клиента с которого звоню: C:\Documents and Settings\AlexR>ipconfig /all   Настройка протокола IP для Windows           Имя компьютера  . . . . . . . . . : na-home         Основной DNS-суффикс  . . . . . . :         Тип узла. . . . . . . . . . . . . : неизвестный         IP-маршрутизация включена . . . . : нет         WINS-прокси включен . . . . . . . : нет   Подключение по локальной сети - Ethernet адаптер:           DNS-суффикс этого подключения . . :         Описание  . . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45         Физический адрес. . . . . . . . . : 00-0F-EA-3B-B4-24         Dhcp включен. . . . . . . . . . . : нет         IP-адрес  . . . . . . . . . . . . : 192.168.0.1         Маска подсети . . . . . . . . . . : 255.255.255.0         Основной шлюз . . . . . . . . . . :         DNS-серверы . . . . . . . . . . . : 192.168.0.1   Интернет - PPP адаптер:           DNS-суффикс этого подключения . . :         Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface         Физический адрес. . . . . . . . . : 00-53-45-00-00-00         Dhcp включен. . . . . . . . . . . : нет         IP-адрес  . . . . . . . . . . . . : 192.168.5.105         Маска подсети . . . . . . . . . . : 255.255.255.255         Основной шлюз . . . . . . . . . . : 192.168.5.105         DNS-серверы . . . . . . . . . . . : 192.168.5.10         NetBIOS через TCP/IP. . . . . . . : отключен   VPN - PPP адаптер:           DNS-суффикс этого подключения . . :         Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface         Физический адрес. . . . . . . . . : 00-53-45-00-00-00         Dhcp включен. . . . . . . . . . . : нет         IP-адрес  . . . . . . . . . . . . : 192.168.5.102         Маска подсети . . . . . . . . . . : 255.255.255.255         Основной шлюз . . . . . . . . . . : 192.168.5.102         DNS-серверы . . . . . . . . . . . : 192.168.5.10 Всего записей: 207 | Зарегистр. 08-02-2006 | Отправлено: 20:01 16-10-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AlexRNeos логи смотри кстати у тебя че то два ppp интерфейса из одной сетки andrewpr2414 между интернал и удаленной сеткой на каждой исе должно быть route и трафик надо разрешить между этими сетками на каждой исе ps system policy влияет только на трафик от/до localhost ---------- Правильно заданный вопрос уже половина ответа. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:12 17-10-2006

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть II)

emx (10-03-2007 19:04): Следующая часть этой темы - http://forum.ru-board.com/topic.cgi?forum=8&topic=20506#1

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование