Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     

    Назначение и применение сабжа..
    Продолжение шапки..

    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.

    // текущий бэкап шапки..

  • Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    BujhmV



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день,
     
    Есть MS ISA(192.168.5.0) с двумя IPSec тоннелями. Один упирается в PIX(192.168.1.0), второй в ISA 2004(192.168.3.0).
    Обе сети вижу, из подсетки 5.0, но с самой ISA получаю при пинге отлуп
    Negotiating Ip Security.
    Endpoint на каждом конце туннелей - отдельный интерфейс с реальным IP.
     
    Нагуглил вот такой ман http://www.isaserver.org/tutorials/Troubleshooting-IPSec-Tunnel-Mode-Scenarios.html , но он не помог.
     
    При телнете на удаленный Exchange за PIXом получаю бред вида:

    Цитата:
    220 **********************************************************0****0***************************200**0******0 *
    0*00

    За Исой(другой Exch) с телнетом все нормально.  
    Но при этом - при сбое связи Пиксовый тоннель поднимается, а ISA-вый лежит несколько часов.
     
     
    P.S. Настраивал по Шиндлеру если что

    Всего записей: 5 | Зарегистр. 09-12-2009 | Отправлено: 15:20 09-12-2009 | Исправлено: BujhmV, 15:30 09-12-2009
    XANTAN

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ребята, подскажите пожалуйста, мне нужно чтобы ИСА перекидывала юзера, подключающегося по терминалке в локальную сеть на сервер 1с-ки. Как реализовать, или где смотреть. Спасибо.

    Всего записей: 47 | Зарегистр. 05-10-2009 | Отправлено: 23:54 09-12-2009
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    XANTAN
     
    Опубликуй сервер по RDP и всё. Смотреть Шиндлера.

    Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 10:01 10-12-2009
    systech78



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет всем. Может кто подскажет как запретить для клиента ISA все приложения кроме определенных? В настройках Define Firewall Client Settings можно запретить конкретное приложение, а мне надо наооборот запретить все и указать какие разрешить.

    Всего записей: 8 | Зарегистр. 20-11-2006 | Отправлено: 11:23 10-12-2009
    XANTAN

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    anton04 должел ли при этом сервак 1с-ки быть в домене ?

    Всего записей: 47 | Зарегистр. 05-10-2009 | Отправлено: 13:14 10-12-2009
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    XANTAN
     

    Цитата:
    должен ли при этом сервак 1с-ки быть в домене?

     
    Нет не должен.
     
    systech78
     
    Нет, такого сделать нельзя. Т.к. нету смысла, если хочешь чтоб приложения не разрешённые вообще не запускались используй GPO домена (политика ограничения используемых программ).

    Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 13:20 10-12-2009
    XANTAN

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Добавлено:
    anton04 спасибо большое, сделал.
    Теперь следующий вопрос - не получается опубликовать веб-экченж, можно в двух словах как это сделать, дальше думаю сам разберусь.

    Всего записей: 47 | Зарегистр. 05-10-2009 | Отправлено: 17:28 10-12-2009 | Исправлено: XANTAN, 17:59 10-12-2009
    BujhmV



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ксантан, я прошу прощения. вы не могли бы в личку такое спрашивать?  
    Я понимаю что не сколько грубо. Но я подписался на тему из-за важного для меня вопроса, и каждый раз дергаюсь из-за ответа в нее.  
    Постучитесь в личку, я помогу с Exch.

    Всего записей: 5 | Зарегистр. 09-12-2009 | Отправлено: 18:26 10-12-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BujhmV
    шиндер пишет что внешние ипшники тоже надо вписывать в тунелируемые сетки, причем с обоих сторон, правда я не знаю как пикс на такое среагирует. у самого 25 тунелей с пиксами, но моей исе незачем лазить в удаленки, как и пиксам, что вполне правильно, поэтому я и не пытался это реализовать
     
    systech78
    нет, иса, как и любой другой межсетевой фаер, в общем случае по определению не может знать какое приложение ломится, то что пишется в fwc это не запрет приложения как такового, это запрет для самого fwc, чтобы он трафик этого приложения не перехватывал. для управления самими приложениями надо ставить по на самого клиента, что то типа персональных фаеров
     
    XANTAN
    жмешь в тасках кнопу опубликовать exchange... а дальше и мартышка с этим визардом сделает. а если уж нужна совсем пошаговая инструкция для ламера, то на офсайте ищется за 2 сек
    http://technet.microsoft.com/en-us/library/bb794751.aspx
     
    BujhmV
    и кому по твоему он личку должен заспамить ламерскими вопросами? он же не знает что ты проводишь личные консультации, объявление что ли повесь "даю бесплатные консультации новичкам, обращатся в личку" )
    и это как бы не твоя личная жежешечка, сюда пишут не личные вопросы, а по работе с продуктом, пусть и совсем ламерские, обращаясь ко всем кто может помочь, а то что ты дергаешься это твои проблемы и твоих нервных клеток

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 21:36 10-12-2009 | Исправлено: hardhearted, 21:39 10-12-2009
    XANTAN

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    BujhmV прошу прощения, если вопрос не уместен или не то чтото спросил. Спасибо за предложенную помощь.
    hardhearted спасибо, немножко не то что мне нужно, но всё равно, спасибо, уже сделал всё сам. Только вот проблема была какая, промучался целый день, думаю что столкнуться ещё с ней не раз. Описываю.
    Стоит экченж с АД, поверх ИСА, почему так и что желательно чтобы ИСА не стояла вместе с Экченжем это уже вопрос реторический, и к теме не относится.
    Опубликовал Экченж с его 25-тым портом, РОР3 не публиковал ибо нету смысла, т.к. в экченже настроен только смтп конектор, который и принемает почту. Нужно было как то в 2006-й исе, сделать, чтобы была возможность зайти на веб-экченж, по сути всё должно было и так работать, без публикации, т.к. без исы всё работало, начел я публиковать веб-экченж, что только не делал, после того как посыпались ошибки плана.
     
    Фильтр веб-прокси не смог связать свой сокет с хх.хх.хх.хх порт 80. Это может быть вызвано другой службой, которая уже использует тот же порт, или сетевой платой, которая не работает. Для устранения неполадки перезапустите службу межсетевого экрана Microsoft. Код ошибки, указанный в области данных свойств события, обозначает причину ошибки.
     
    Начел анализировать, гугл ничего практически не дал, только навёл на мысль что IIS-служба ложит 80-й порт, и получается что когда я пытаюсь опубликовать вэб-экченж иса слушает 80-й порт, который занет службой IIS, взять и выключить её я не могу, т.к. эта служба зависима с Экченжем. Вот и начел копать сначала в IIS, потом в исе, в итоге манипуляции с исой привели к тому что есть доступ на веб-экченж, сервак с мира не пингуется вообще. Почта ходит.
     
     

    Всего записей: 47 | Зарегистр. 05-10-2009 | Отправлено: 00:40 11-12-2009 | Исправлено: XANTAN, 00:53 11-12-2009
    systech78



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04 смысл есть, т.к. нужные приложения лезут за ненадобностью в инет и вносить каждое для всей конторы не совсем гибкое решение
    hardhearted меня вполне удовлетворил бы запрет клиента.  
     
    Применение GPO и персональных файерволов конечно решает проблему, вопрос в трудоемкости, ведь настраивать нужно для каждого. Запретить все приложения с исключениями гораздо проще. Не понимаю почему так не реализовано, ведь в файерволе правила сделано по тому же принципу : запрещено всё и разрешаешь то что нужно.

    Всего записей: 8 | Зарегистр. 20-11-2006 | Отправлено: 12:21 11-12-2009
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    systech78
     
    Не путай корпоративный фаервол с локальным, блокировать выход в интернет конкретным приложениям ISA не может да и не должна уметь!
    Единственное, что можно (в этом случае) сделать, это запретить конкретному приложению использовать FWC для связи с проксёй и всё.
     
    На исе можно блокировать по портам, URL Set, DNS Set и IP (по содержимому веб страницы я в расчёт не беру) и всё баста, используй что-то из вышеперечисленного, другого решения нет.  
     
    Ещё раз повторю, вопросы таго рода решаются грамотной и тонкой настройкой самих прог через GPO.

    Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 12:44 11-12-2009
    systech78



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04  я не путаю, не сравниться конечно с персональными, но как раз с помощью FWC иса и контролирует выход приложений в инет, если конечно при этом не используются соединения SecureNat и WebProxy. Как я писал выше мне и нужно запретить FWC для всех приложений кроме некоторых, а не перечислять все запрещенные. Но если нет такой возможности, буду реализовывать другими путями (политиками, персональными файерволами)

    Всего записей: 8 | Зарегистр. 20-11-2006 | Отправлено: 14:12 11-12-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    XANTAN
    когда ж вы научитесь вопросы задавать....
     

    Цитата:
    Стоит экченж с АД, поверх ИСА

    вот с этого и стоило начинать, мы гадать что ли должны где у тебя и что стоит.
    все верно, iis занимает 80 порт
    варианта два и вполне очевидных:
    1. сказать iis чтобы слушал только внутренний интефейс (читай доку по iis) и настроить публикацию по инструкции выше
    2. не юзать публикацию, тупо разрешить 80 и 443 порты снаружи на localhost для all users. в этом случае другие сайты на 80 порту ты не сможешь опубликовать - iis занял.
     
    ps и выучи русский, вроде технарь, а пишешь хуже студента журфака, читать невозможно
     
    systech78

    Цитата:
    но как раз с помощью FWC иса и контролирует выход приложений в инет

    ты путаешь теплое с мягким, с помощью FWC иса ничего не контролирует, fwc нужен только для аутенфицации - его задача перехватывать трафик приложения и с аутенфикацией отправлять на ису, и disable в нем сделали чтобы исключать приложения которые с fwc некорректно работают. а то что ты пытаешься это использовать для контроля  - мелкомягких мало волнует
    корпоративные персональные фаеры настраиваются централизовано, к тому же в компаниях количество ПО ограниченно и регламентировано, его легко все перечислить

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:08 11-12-2009
    tysovwik

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    доброго времени суток.
     
    Встал вопрос обновления ISA 2006 на forefront TMG.. Есть некоторые вопросы..
     
    Конфиг хоста:  
     
    Процессор - q6600 4 ядра 2.4 ггц.
    Оперативка - 8 гигов
    мама - asus p5q pro
    2 сетевухи (не интел )
     
    Конфиг паравиртуализатора под ISA2006:
    vmware server 2.0.2
    512 мб оперативки.
    1 ядро.
     
    Вопрос:
     
    Сразу скажу, это не для Production! но для сервака, который должен работать 24 на 7 и выполнять роль веб сервера, помойки, фтп сервера и тд.  
     
    Долгое время свои серваки стояли на схеме 2008 сервер - vmware server - 2003 - ISA.
     
    Пока не пришло время поставить 2008R2, vmware server работает не очень стабильно на win7 ядре. Хотя внешне все вроде бы нормально. Пробовал ставить hyper-v, но там упирался в проблему широкоформатного 24" монитора и видео в хосте от радеона, дефолтные драва 2008r2 сервера не позволяют нормально использовать монитор, а драва от ATI вместе с hyper-v тормозят (сам майкрософт просто не рекомендует использовать никакие ускорители, кроме дефолтных, на сервере с hyper-v)/
     
    поэтому оставался вариант только Vmware server.  
     
    Совсем недавно вышел RTM версия forefront TMG 2010. Уже даже переведена на русский и остальные языки. Поставил на хост, вместо шлюза на vmware server, отключил все фишки фильтрации трафика (на вирусы htts и прочую хрень.. оставил только маршрутизацию и защиту сети от различных атак). Единственный момент который не очень нравится в новом forefront tmg это его ресурсоемкость (заслуга конечно не самого firewall он жрет не больше 200-300мб, а mssql который отжирает в режиме простоя до 2 гигов оперативки.. Непонятно как сделать так, чтобы он не хавал ее понапрасно..)
     
    Очень многие фишки да практически все от forefront TMG мне просто не требуються.. всегда хватило защиты сети и маршрутизации от ISA 2006 Stnd edition.. Но!.. хост то на 2008r2 сервере и шлюз можно организовать только через vmware server (который официально не поддерживается на win7 и могут быть косяки)..
     
    Что порекомендуете? решать проблему ресурсоемкости TMG (в основном решить надо только с mssql) или же использовать на vmware server ISA 2006 как основной шлюз?

    Всего записей: 105 | Зарегистр. 22-02-2009 | Отправлено: 18:13 11-12-2009
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    systech78
     

    Цитата:
    помощью FWC иса и контролирует выход приложений в инет

     
    FWC ничего не контролирует и не должен, он обеспечивает прозрачную и безопасную аутентификацию на иса сервере! Запомните это все раз и навсегда.
     
    tysovwik
     
    Во первых Isa server 2000/2004/2006 не занимается маршрутизацией! это дело винды на которой она стоит.
    Во вторых не использовать SQL ты можешь, для этого достаточно писать логи исы и текстовые файлы и всё
    В третьих устанавливать ису на виртуалку это не совсем правильно/безопасно и смысла в этом я не очень-то вижу...

    Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 13:44 13-12-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    tysovwik
    у mssql нет проблем с ресурсоемкостью, sql всегда старается занять всю свободную память, даже если ему столько не требуется, на это можно не обращать внимания - если другим прогам понадобится память sql ее отдаст.
    так что если это не продакш сервер то можешь оставить tmg на хосте и не париться, или поставить tmg в hyper-v предварительно решив проблемы с дровами. собственно как серверу ему физический моник и не нужен, можешь через rdp или mmc рулить.
    а вообще странный выбор сервака на десктопных компонентах.
     
    anton04

    Цитата:
    Во вторых не использовать SQL ты можешь, для этого достаточно писать логи исы и текстовые файлы и всё  

    не факт что в tmg ты сможешь сделать такое, там при установке не предлагают убирать sql

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:13 13-12-2009
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
     

    Цитата:
    не факт что в tmg ты сможешь сделать такое

     
    Могу и ничто мне в этом не помещает (говорю, т.к. пробовал сам).
     

    Цитата:
    там при установке не предлагают убирать sql

     
    А кто тебе говорит про установку... ставишь TMG выбираешь куда сохранять логи и удаляешь SQL.

    Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 15:32 13-12-2009
    WingDog

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    кто нибудь нашёл вариант установки TMG STD без SQL Express?

    Всего записей: 305 | Зарегистр. 24-05-2004 | Отправлено: 18:07 14-12-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    WingDog
    тебе выше же написали, ставь с sql express, логи переключай в текстовики, sql можно загасит или удалить.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 18:10 14-12-2009
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru