emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору <<< Предыдущая часть этой темы Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   продолжение шапки.. Всего записей: 11866 | Зарегистр. 05-06-2002 | Отправлено: 16:31 28-02-2006 | Исправлено: emx, 21:45 10-03-2007

IceFusion Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Народ такая ерунда происходит не понятная ((( Никак не пойму куда копать с этим ((( дело в том что не открываются страницы SLL вообще никакие, сразу выкидывает типа сервер не найден! Что делать и куда копать не знаю ( HTTP страницы нормально открываются, а SSL нет!   Вот что пишет на попытку соеденится с gmail.com там как известно ssl       Destination IP    Source Port    Protocol    Action    Rule    Client IP    Authenticated Client       66.249.85.99    5241    HTTPS    Initiated Connection  Allow HTTP/HTTPS requests from ISA Server to specified sites    xxx.xxx.xxx.xxx           66.249.85.99    0        Failed Connection Attempt        xxx.xxx.xxx.xxx    No       66.249.85.99    5241    HTTPS    Closed Connection    Allow HTTP/HTTPS requests from ISA Server to specified sites    xxx.xxx.xxx.xxx               Вот такие три записи появляются.... что это такое.... Зачем он по Системному правилу это событие обрабатывает? Всего записей: 588 | Зарегистр. 29-10-2005 | Отправлено: 17:25 23-11-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PIL123 я что справочная чтоли, такого списка не существует это миф знаю что bsplitter для isa 2004/2006 есть   Добавлено: IceFusion а зачем это 3 раза подряд писать? раз обрабатывает значит этот коннект под это правило подходит Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:35 23-11-2006

IceFusion Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору hardhearted Этот коннект не подходит под это правило уже потому что он не идет на какой либо сайт Майкрософт! Он должен обрабатывать это событие по правилу которое создал я , и раньше он его так и обрабатывал, а теперь на попытку соединения SSL он выдает три записи в лог... сначала пишет что Opened Connection потом Failed а потом Close - это какой-то глюк, а как его лечить я не знаю! Да кстати даже когда это правило отключено он все равно ведет себя так же! Всего записей: 588 | Зарегистр. 29-10-2005 | Отправлено: 11:00 24-11-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору paranoya prod можешь еще попробовать на исе   route add -p 192.168.1.4 mask 255.255.255.255 192.168.1.5 metric 1 if номер_интерфейса сам не пробовал но по логике должно сработать IceFusion рестарт сервиса пробовал? Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:45 24-11-2006

IceFusion Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Нет не пробовал, но думаю не поможет, хотя не уверен! Всего записей: 588 | Зарегистр. 29-10-2005 | Отправлено: 12:34 24-11-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору IceFusion не зарекайся, у меня у самого в удаленном офисе паблишинг перестал вдруг работать, тамошние админы тока через неделю заметили и мне сообщили, я проверял проверял, по логам бред полнейший, нажал рестарт сервиса и все поехало само собой Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:05 24-11-2006

IceFusion Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору неа пока не помогло но щас косячок нашел может из-за этого? Да!!! Все заработало, у меня галочка стояла на протоколе HTTPS использовать WebProxy фильтр, но дело в том что я её не ставил и вообще там не лазил, сервак уже несколько месяцев стабильно работает откудва там появилась галка я так и не понял! Всего записей: 588 | Зарегистр. 29-10-2005 | Отправлено: 14:15 24-11-2006 | Исправлено: IceFusion, 14:18 24-11-2006

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору paranoya prod а смысл то через другой интерфейс пускать? пусть идет через тот же что и юзера Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:16 24-11-2006

Li_Support_Ltd Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Коллеги, подскажите плз. как разрешить синхронизацию времени с внешним источником в ISA 2004 ? настраивал по её же собственному шаблону, разрешил наружу просто все - для PDC этого мало - блокирует NTP хоть тресни. куда копать ? Всего записей: 300 | Зарегистр. 03-03-2005 | Отправлено: 22:30 24-11-2006

Dead_Moroz Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Li_Support_Ltd Гм, у меня просто прописано правило - пускать протокол NTP (UDP) из internal в external. Правда, одна мелочь - домена у меня нет. Всего записей: 2265 | Зарегистр. 16-10-2002 | Отправлено: 22:40 24-11-2006

sVx Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору вот статья (источник к сожелению не помню) Cинхронизация времени контроллеров д0мена с внешними источниками только 1 пункт етой статьи можно реализовать по другому (и так правильние imho) 1. system policy - network services - ntp - отметить Enable и на закладке To добавить  time.nist.gov 2. firewall polisy - new rule - allow - protocol ntp & microsoft CIFS (tcp) - from dc - to Local Host (насчет протокола microsoft CIFS (tcp) не уверен, но у меня без него не работает) Всего записей: 157 | Зарегистр. 17-06-2004 | Отправлено: 11:31 25-11-2006 | Исправлено: sVx, 11:35 25-11-2006

Li_Support_Ltd Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Dead_Moroz Если не сложно - поделись экспортированным средствами ISA правилом доступа   sVx Источник - OSzone.Net Признаться, я в некоторой растерянности - исчерпывающей информации по данному вопросу не нашел, хотя задача, скажем, достаточно тривиальная. Опишу топологию более подробно.   1. Домен Windows 2003 2. ISA Standard 2004, входит в состав домена. Поднят DNS и зона-заглушка, форвардинг на DNS провайдера 3. 2 контроллера домена, одновременно являются серверами DNS, зоны интегрированы в AD. Форвардинг на DNS ISAS. Данная конфигурация рекомендована Шиндером (isaserver.org) как наиболее безопасная. Действительно, внутренние DNS за периметр сети запросы не посылают. 4. На рабочие станции средствами GPO установлен firewal клиент. Настроено автоматическое определение ISAS при помощи DHCP (параметр WPAD) и DNS (cname - ISAS). 5. DHCP сообщает клиентам IP, Mask и 2 DNS сервера. Шлюз НЕ назначается. 6. Используя вышеуказанную sVx статью (хоть и под ISAS 2000, принцип тот же) пробовал настроить ISAS в качестве источника времени. Интересно, что у того же Шиндера таких рекомендаций нет, что несколько странно - DNS запросы небезопасно наружу отправлять, а время оказывается безопасно. Ну да ладно.   Системную политику редактировал. Создал группу компьютеров, куда вошли: - pool.ntp.org - time.nist.gov - time.windows.com   Разрешил доступ от ISAS к этой группе. На PDC - ISAS как источник. Не работает.   Пробовал разрешить ВЕСЬ траффик от вышеуказанной группы компьютеров к PDC по протоколу NTP. Не работает.   В logging пишет, что блокирует доступ по правилу Default accsess rule - то правило запрета всего траффика, которое есть сразу после установки ISAS.   Есть мысли, куда копать !? Всего записей: 300 | Зарегистр. 03-03-2005 | Отправлено: 20:28 26-11-2006

Dead_Moroz Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Li_Support_Ltd Цитата: Если не сложно - поделись экспортированным средствами ISA правилом доступа     Нет проблем. Куда слать?   Цитата: пробовал настроить ISAS в качестве источника времени. Гм. То есть, ты хочешь, чтобы ISA работал в качестве NTP-сервера? Я особо не заморачивался. Все клиенты ходят за временем на time.windows.com и все тут.   Добавлено: http://www.networkdoc.ru/files/insop/win2003/read.html?816042.html http://www.networkdoc.ru/files/insop/win2003/read.html?win32tm.html Тут смотрел? Всего записей: 2265 | Зарегистр. 16-10-2002 | Отправлено: 20:57 26-11-2006

Li_Support_Ltd Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Dead_Moroz Да, смотрел - перепечатка оригинала с MS. Действительно, хотелось настроить сам ISAS в качестве NTP-сервера. Как временную меру - указал на PDC адрес шлюза - синхронизация времени прошла успешно =) Буду копать дальше.   P.S. Результатом обширного изучения документации оказался reg-файл следующего (всем рекомендую) содержания:   Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time] "Description"="Maintains date and time synchronization on all clients and servers in the network. If this service is stopped, date and time synchronization will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.   " "DisplayName"="Windows Time" "ErrorControl"=dword:00000001 "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,02,00,00,00,64,00,20,\   00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Group"="" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\   74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\   00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\   6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\   00,65,00,00,00 "Objectname"="NT AUTHORITY\\LocalService" "Start"=dword:00000002 "Type"=dword:00000020   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config] "LastClockRate"=dword:0002625a "MinClockRate"=dword:000260d4 "MaxClockRate"=dword:000263e0 "FrequencyCorrectRate"=dword:00000004 "PollAdjustFactor"=dword:00000005 "LargePhaseOffset"=dword:02faf080 "SpikeWatchPeriod"=dword:00000384 "HoldPeriod"=dword:00000005 "LocalClockDispersion"=dword:0000000a "EventLogFlags"=dword:00000002 "PhaseCorrectRate"=dword:00000007 "MinPollInterval"=dword:00000006 "MaxPollInterval"=dword:0000000a "UpdateInterval"=dword:00000064 "MaxNegPhaseCorrection"=dword:00000708 "MaxPosPhaseCorrection"=dword:00000708 "AnnounceFlags"=dword:00000005 "MaxAllowedPhaseOffset"=dword:0000012c   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] "ServiceMain"="SvchostEntry_W32Time" "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\   00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,33,00,\   32,00,74,00,69,00,6d,00,65,00,2e,00,64,00,6c,00,6c,00,00,00 "NtpServer"="pool.ntp.org" "Type"="NTP"   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\   00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\   00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\   05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\   20,02,00,00,00,00,14,00,9d,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\   00,18,00,9d,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,21,02,00,00,01,01,\   00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders]   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient] "Enabled"=dword:00000001 "InputProvider"=dword:00000001 "AllowNonstandardModeCombinations"=dword:00000001 "CrossSiteSyncFlags"=dword:00000002 "ResolvePeerBackoffMinutes"=dword:0000000f "ResolvePeerBackoffMaxTimes"=dword:00000007 "CompatibilityFlags"=dword:80000000 "EventLogFlags"=dword:00000001 "LargeSampleSkew"=dword:00000003 "DllName"="C:\\WINDOWS\\system32\\w32time.dll" "SpecialPollTimeRemaining"=hex(7):00,00 "SpecialPollInterval"=dword:00000384   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer] "InputProvider"=dword:00000000 "AllowNonstandardModeCombinations"=dword:00000001 "DllName"="C:\\WINDOWS\\system32\\w32time.dll" "Enabled"=dword:00000001   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Enum] "0"="Root\\LEGACY_W32TIME\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001   Всего записей: 300 | Зарегистр. 03-03-2005 | Отправлено: 10:22 27-11-2006

Asker80 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Li_Support_Ltd Ну и что тут нового? Чтобы сервер времени работал, ясен пень, надо его включить. Из всей ветки, то ты привел, тебе нужны только 3 параметра: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]   "NtpServer"="pool.ntp.org"   "Type"="NTP"   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer] "Enabled"=dword:00000001 Ну и порт 123-й открыть куда надо.Все.   К слову, у меня именно так и работает - шлюз (ISA2006 Std) работает сервером времени, а также кэширующим сервером DNS.   Добавлено: Кстати, зону-заглушку не вижу смысла делать. Тебе ж просто надо запросы централизованно резолвить, так что достаточно просто сервака с корневыми DNS, без зон вообше.   Добавлено: Не поленился и нашел в книжке по экзамену MS70-291: Stub - Contains only the resource records needed to identify the authoritative DNS servers for the zone.   Ты ж снаружи никого обслуживать не собираешься, верно?   Добавлено: PS: Прошу не воспринимать мои слова как наезд. Я лишь хочу прояснить данный момент. Всего записей: 482 | Зарегистр. 29-08-2005 | Отправлено: 11:09 27-11-2006

Armarn winextreme team Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Имееться ...в массиве 2 сервера ISA Server 2006, пользователи лезут в инет как WEB Proxy Client, все пользователи используют IE6   проблемка такая: на некоторых форумах, сайтах знакомств и т.д, при субмите (отправить, send, ответить)   отправляется по 3 поста (месиджа)   Пробывал вырубать 2 ису, проблема таже.   Ктонить сталкивался с таким?   p.s даже при посте на руборде у меня вывалевается: (нажал 1 раз, но cабмититсь несколько раз)   Флуд контроль запущен в конференции, Вам нужно подождать 10 секунд, что бы добавить сообщение. Намите на линк ниже, чтобы вернуться и не потерять Ваше сообщение. Приносим свои извинения, но это вынужденная временная мера, нам нужно как то защищать конференцию от флуда некоторых Гостей   Всего записей: 434 | Зарегистр. 23-08-2003 | Отправлено: 10:34 29-11-2006 | Исправлено: Armarn, 13:03 29-11-2006

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть II)

emx (10-03-2007 19:04): Следующая часть этой темы - http://forum.ru-board.com/topic.cgi?forum=8&topic=20506#1

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование