Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     

    Назначение и применение сабжа..
    Продолжение шапки..

    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.

    // текущий бэкап шапки..

  • Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    drocher
    офтопом это ты занимаешься с такими задачами иди в другой раздел форума - иса создавалась не для этого, и это не философия, это так и есть на самом деле.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:47 25-09-2009
    kuah



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть офис №1
    ISA 2006 с поднятым RRAS для VPN подключений (из дома соедниение проходит)
     
    Есть офис №2
    ISA 2006, но при подключении из этой сетки пишет ошибку 619, в логах ISA ошибка FWX_E_CONNECTION_KILLED
    причем если подключаться из этого же офиса, но напрямую без ISA через тот же модем, то соединение проходит
     
    Вопрос: неужели если с 2х сторон установлены ISA 2006, то простое подключение через VPN не возможно?
     
    PS: Site-to-Site не допустим, т.к. офисе №2 динамический IP
    PS2: все рекомендации по отключению RSS выполнил

    Всего записей: 260 | Зарегистр. 16-05-2005 | Отправлено: 09:12 29-09-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kuah
    а на второй исе ты разрешил коннектиться по впн?

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:00 29-09-2009
    kuah



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    на второй исе из вне все порты закрыты
    пользователю, делающего соедниение по vpn, разрешено всё
     
    ps: при нажатии "подключиться" мельком выскакивает окно с надписью "проверка пользователя и пароля" и сразу же ошибка 619

    Всего записей: 260 | Зарегистр. 16-05-2005 | Отправлено: 12:06 29-09-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kuah
    из вне порты никого не волнуют
    как конкретно ты пользователю разрешил? опиши правило

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 12:48 29-09-2009
    kuah



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    стандартное правило
     
    From: 192.168.0.5
    To: External
    Protocols: All Outbound Traffic
     
    Добавлено:
    перерыл всю сеть, попробовал 100 вариантов - ничего
     
    есть у кого 2 сервера с ISA 2006?
    попробуйте подключить один к другому через VPN (не Site-to-Site)

    Всего записей: 260 | Зарегистр. 16-05-2005 | Отправлено: 14:07 29-09-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kuah
    а правило для кого? на вкладке users что указано?
    че там пробовать, абсолютно точно можно подключиться (сам так постоянно подключаюсь с одной работы на другие), у исы и винды с этим проблем нет, в отличие от некоторых поделок типа домашних роутеров.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:58 29-09-2009
    kuah



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    правило для конкретного IP-адреса
    в Users указано All Users
    модем тут не причем, т.к. напрямую без исы коннект есть
     
    какие ещё могут быть соображения?
     
    Добавлено:
    причем из обеих сеток есть коннект к любому корбиновскому серверу
    _http://homenet.corbina.net/index.php?showtopic=167241

    Всего записей: 260 | Зарегистр. 16-05-2005 | Отправлено: 16:17 29-09-2009 | Исправлено: kuah, 16:29 29-09-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    а выше неанонимных правил для этого ип или всей сетки нет?
    конечно можно предположить что ты в реестре nat-t у винды выключил, но случайно такого не сделаешь.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:59 29-09-2009
    kuah



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    винду переустанавливали, нат не трогали
     
    даже с такими правилами не хочет коннектится
     

    Всего записей: 260 | Зарегистр. 16-05-2005 | Отправлено: 08:52 30-09-2009 | Исправлено: kuah, 08:56 30-09-2009
    geminisf

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток!  
     
    Вводная:  
    Свежепоставленный Isa Server 2006 на win2003. Работают клиенты WEBProxy, FWC. SecureNAT ни в какую.  
     
    Задача: пустить в инет некоторых пользователей как SecureNat (нужны ping, tracert и т.д.).  
     
    Отсюда вопрос: какие настройки или правила надо прописать. Пробовал весь исходящий из локалки во внешнюю для всех пользователей. Не работает. Шлюз по умолчанию прописан, внутренний интерфейс "исы". Возникает мысль, что дело в настройках "исы" или windows, а не в правилах. В журнале "исы" никаких записей, касающихся клиента нет.
     

    Цитата:
    Это клиент:  
     
    Настройка протокола IP для Windows  
     
     
     
       Имя компьютера  . . . . . . . . . : BACKUP  
     
       Основной DNS-суффикс  . . . . . . : domain.ru  
     
       Тип узла. . . . . . . . . . . . . : неизвестный  
     
       IP-маршрутизация включена . . . . : нет  
     
       WINS-прокси включен . . . . . . . : да  
     
       Порядок просмотра суффиксов DNS . : domain.ru  
     
     
     
    Подключение по локальной сети - Ethernet адаптер:  
     
       DNS-суффикс этого подключения . . :  
     
       Описание  . . . . . . . . . . . . : NVIDIA nForce Networking Controller  
     
       Физический адрес. . . . . . . . . : 00-0F-EA-50-96-4A  
     
       DHCP включен. . . . . . . . . . . : нет  
     
       IP-адрес  . . . . . . . . . . . . : 192.168.11.222  
     
       Маска подсети . . . . . . . . . . : 255.255.255.0  
     
       Основной шлюз . . . . . . . . . . : 192.168.11.215  
     
       DNS-серверы . . . . . . . . . . . : 192.168.11.14  
     
     
     
    Это сервер:  
     
    Настройка протокола IP для Windows  
     
     
     
       Имя компьютера  . . . . . . . . . : mail2  
     
       Основной DNS-суффикс  . . . . . . : domain.ru  
     
       Тип узла. . . . . . . . . . . . . : неизвестный  
     
       IP-маршрутизация включена . . . . : да  
     
       WINS-прокси включен . . . . . . . : нет  
     
       Порядок просмотра суффиксов DNS . : domain.ru  
     
     
     
    Локалка - Ethernet адаптер:  
     
     
     
       DNS-суффикс этого подключения . . :  
     
       Описание  . . . . . . . . . . . . : NVIDIA nForce Networking Controller  
     
       Физический адрес. . . . . . . . . : 00-15-F2-05-1F-02  
     
       DHCP включен. . . . . . . . . . . : нет  
     
       IP-адрес  . . . . . . . . . . . . : 192.168.11.215  
     
       Маска подсети . . . . . . . . . . : 255.255.255.0  
     
       Основной шлюз . . . . . . . . . . :  
     
       DNS-серверы . . . . . . . . . . . : 192.168.11.14  
     
     
     
    Интернет - Ethernet адаптер:  
     
     
     
       DNS-суффикс этого подключения . . :  
     
       Описание  . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC  
     
       Физический адрес. . . . . . . . . : 00-E0-4D-05-04-C0  
     
       DHCP включен. . . . . . . . . . . : нет  
     
       IP-адрес  . . . . . . . . . . . . : 212.*.*.*  
     
       Маска подсети . . . . . . . . . . : 255.255.255.192  
     
       Основной шлюз . . . . . . . . . . : 212.*.*.*  
     
       NetBIOS через TCP/IP. . . . . . . : отключен

    Всего записей: 102 | Зарегистр. 04-10-2006 | Отправлено: 18:57 03-10-2009
    DalayLamer



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    geminisf
    такие портянки прячь за тег more.
    если не ковырять системные правила, то создай такое правило:
    name           action protocol from                      to            condition
    "Allow ping"  Allow   Ping     AllowPingCompSet  External    All Users
    где AllowPingCompSet - сет с машинами, которым нужно пинговать хосты снаружи.
     
    и еще, на внешнем интерфейсе dns пропиши свой внутренний (192.168.11.14)

    Всего записей: 367 | Зарегистр. 19-10-2005 | Отправлено: 20:19 03-10-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DalayLamer

    Цитата:
    и еще, на внешнем интерфейсе dns пропиши свой внутренний (192.168.11.14)

    зачем это еще? ересь какая. если иса в домене то у нее должны быть прописаны внутренние доменные dns, и обычно на внутреннем интерфейсе, дублировать на внешнем нет смысла, собственно винде в принципе по барабану на каком интерфейсе вписан днс
     
    geminisf
    если логирование включено то в логах у исы по любому что то должно быть, если клиент конечно шлет пакеты на ису. анонимные (а для securenat могут быть только такие) правила желательно ставить выше неанонимных

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 00:02 04-10-2009
    geminisf

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
     
    Согласен с утверждением насчет dns. Правило создано как написал DalayLamer. Пугает то, что в логах ничего нет. Т.е. до isa видимо ничего не доходит. Значит ли это, что неверные настройки windows на клиенте. Проверяю.

    Всего записей: 102 | Зарегистр. 04-10-2006 | Отправлено: 07:21 04-10-2009
    DalayLamer



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    geminisf
    вот фрагмент лога, где показано прохождение ping:
    http://img193.imageshack.us/img193/3421/sshot4j.png

    Всего записей: 367 | Зарегистр. 19-10-2005 | Отправлено: 08:45 04-10-2009
    geminisf

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DalayLamer
     
    Да я знаю как он должен выглядеть . Дело в том, что лог совсем пустой если на клиенте запускаешь ping. Вообще ничего. Вот что странно. Значит чего то в винде на клиенте видимо.

    Всего записей: 102 | Зарегистр. 04-10-2006 | Отправлено: 08:55 04-10-2009
    DalayLamer



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    поставь wireshark или MS network monitor. тогда видно будет, что там проходит.
    если пакеты идут, а в ISA Loggin' их нет - то, думаю, надо валить именно на логгирование, а не на клиента.
     
    оффтоп:2hardhearted. обратился к первоисточнику, к Шиндеру.  
    действительно, он пишет, что при наличии во внутренней сети DNS сервера, который обрабатывает и внутренние и внешние имена не нужно на внешнем интерфейсе указывать какой-либо DNS.
    тут рассмотрены 4 сценария настройки DNS:
    http://articles.techrepublic.com.com/5100-10878_11-5837067.html

    Всего записей: 367 | Зарегистр. 19-10-2005 | Отправлено: 10:31 04-10-2009 | Исправлено: DalayLamer, 10:41 04-10-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DalayLamer
    да вопрос был даже не в том что не указывают на внешней сетевухе, а в том что ты предлагал прописать там точно такой же внутренний днс который был уже вписан во внутреннюю сетевуху - это попахивало каламбуром каким то

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 02:04 05-10-2009
    beketacademkz

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день.  
     
    Подскажите пожалуйста, на форуме вроде бы не нашел.
     
    У нас есть база данных пользователей и способ шифрования на MS SQL +АСУ Университет,
     
    Поставили много точек вай-фай ( для доступа студентов) в интернет, нужно нам связать ISA что бы он авторизировал наших студентов.
    1. Через Веб-интерфейс ( студент открывает допустим www.lenta.ru) если он не авторизирован, то ИСА требует авторизацию через веб-форму ( как в интернет кафе или гостиницах).
     
    2. Мы можем с эмулировать radius сервер. Но не желательно.
     
    Нам очень нравится решение 1.
    Какие существуют решения?

    Всего записей: 3 | Зарегистр. 16-10-2008 | Отправлено: 09:38 05-10-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    beketacademkz
    у исы каких, только если эмулировать поддерживаемые методы аутенфикации или как нормальные люди использовать AD
    еще как вариант вбить эту т.н. "базу" в локальных юзеров исы.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 20:29 05-10-2009 | Исправлено: hardhearted, 20:31 05-10-2009
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru