emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору <<< Предыдущая часть этой темы Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   продолжение шапки.. Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007

bahtey Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gespenstern достань Proxy Inspector for ISA и так же сможешь логи смотреть(можно не через sql) Всего записей: 794 | Зарегистр. 14-12-2006 | Отправлено: 11:45 17-01-2008

Vxd2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: вообще то сказанного вами недостаточно - браузинг сети определяется наличием в сети соот-го "мастера" (мастер браузер и соот-я служба "обозревателя сети").   Про это, в курсе. Внешняя сеть, в данном случае "провайдерская" , то есть сеть, в которой находятся компьютеры подключенные к провайдеру (читай домовая или мульти домовая сеть) , есть же еще внутренняя сеть (моя сеть) .   Исходя из вышесказанного, для компьютеров из внешней сети мой сервер не должен быть masterbrowser' ом, он должен быть им только для компьютеров внутренней сети. Что стоит в настройках компьютеров внешней сети, мне пофиг.   У меня в настройках DC стояло IsDomainMaster=False, поставил True (для эксперимента) , и MaintainServerList=Yes, на клентах все стоит по умолчанию (что и стояло с установки ОС на них) .   В сетевых поключениях первым естественно (в данном случае) стоит Local соединение, вторым Internet соединение.   Знаю, что ни DCS (domain controller server), ни DNS, ни Wins, не желательно, чтобы они были multhihomed, только держать в сети 3 сервера (DCS, DNS и шлюз с Isa) , сеть ни того размера и бюджет для этого раздувать нет смысла. И Wins не стоит вообще.   Добился того (пока экспериментировал в локальной сети только) , что сервер виден в сетевом окружении (и серевера и клиентов) , но клиенты доступа к нему не имеют и сделал наоборот, не виден сервер, клиенты доступ к нему имеют (по \\имя_сервера) , но есть 2 "но" , как бы их еще "побороть" : 1. Сервер не виден как в сетевом окружении клиентов, так и в собственном сетевом окружении, нужно, чтобы в собственном был виден; 2. Клиенты не имееют доступа в группу (и соответственно не видят ни список компьютеров группы, ни себя в сетевом окружении) , то например, зашли на сервер по \\имя_сервера, потом при попытке подняться на "уровень выше" облом или при "отображить все компьютеры рабочей группы" , "нет доступа" .   При этом вижу в окружении компьютеры внешней группы (пока только на сервере) , могу на них зайти, но пока не знаю, видят ли они меня или нет (не было возможности проверить) .   И еще один момент (не связанный с вышеобсуждаемым) : та же конфигурация с 2 сетевыми картами, одна Lan, другая Wan, стоит Isa2004, включен Nat, клиенты поключены как SecureNat (выключен и Proxy и FireWall клиенты) .   Для доступа клиентов в Internet прописано правило Internal <-> External.   Может ли провайдерский шлюз определить, что к нему пришел пакет не с LocalHost, а именно от одного из клиентов (внутренней сети) , тот есть что в Internet, грубо говоря, выходят не с LocalHost, а с какого - то компьютера во внутренней сети ? Всего записей: 1134 | Зарегистр. 14-11-2002 | Отправлено: 13:19 17-01-2008 | Исправлено: Vxd2000, 13:32 17-01-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Vxd2000 Цитата: Знаю, что ни DCS (domain controller server), ни DNS, ни Wins, не желательно, чтобы они были multhihomed, только держать в сети 3 сервера (DCS, DNS и шлюз с Isa) , сеть ни того размера и бюджет для этого раздувать нет смысла. И Wins не стоит вообще. сколько машин в сети локальной? И почему 3? Логичным было бы поставить ИСУ отдельно (если она вообще нужна - от размеров зависит и юзаете ли вы АД), а на втором сервере всё остальное - DC и DNS вообще по факту вместе работают всегда (станд конфигурация), wins, dhcp вешается туда же - станд конф. И того 2 компа. Внутри все всё видят т.к. мастер-браузер делаем только DC (груп политиками или ещё чем) Цитата: Добился того (пока экспериментировал в локальной сети только) , что сервер виден в сетевом окружении (и серевера и клиентов) , но клиенты доступа к нему не имеют и сделал наоборот, не виден сервер, клиенты доступ к нему имеют (по \\имя_сервера) , но есть 2 "но" , как бы их еще "побороть" : 1. Сервер не виден как в сетевом окружении клиентов, так и в собственном сетевом окружении, нужно, чтобы в собственном был виден; 2. Клиенты не имееют доступа в группу (и соответственно не видят ни список компьютеров группы, ни себя в сетевом окружении) , то например, зашли на сервер по \\имя_сервера, потом при попытке подняться на "уровень выше" облом или при "отображить все компьютеры рабочей группы" , "нет доступа" .   При этом вижу в окружении компьютеры внешней группы (пока только на сервере) , могу на них зайти, но пока не знаю, видят ли они меня или нет (не было возможности проверить) . вы тут что-то намутили - то что вы видете комп внешней группы означает что шлюз ваш (если видете с него) зарегестрировался и юзает мастер-браузер с внешней сети. Отключите "use netbios over tcp\ip" в настройках внешнего соединения (т.е. это отключит вообще возможность вас видеть по netbios снаружи - нах=ся в св-вах tcp\ip). Соот-но на внутрен интерфейсе это должно быть включено Далее смотрите что вы там поразрешали на исе - явно открыли доступ не с интернал а с экстернал и т.д. Видемость определяется систем-м правилом (хотя можно и отдельно его забацать) Цитата: Может ли провайдерский шлюз определить, что к нему пришел пакет не с LocalHost, а именно от одного из клиентов (внутренней сети) , тот есть что в Internet, грубо говоря, выходят не с LocalHost, а с какого - то компьютера во внутренней сети ? впринципе да - простейший вариант по полю TTL, есть и ещё другие возможности :Я) На форуме есть соот-я ветка     Добавлено: IeugeniyI стандарт на выход 25 порт. Приём 110.. программа дипост? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:12 17-01-2008

Vxd2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: сколько машин в сети локальной?   И почему 3? Логичным было бы поставить ИСУ отдельно (если она вообще нужна - от размеров зависит и юзаете ли вы АД), а на втором сервере всё остальное - DC и DNS вообще по факту вместе работают всегда (станд конфигурация), wins, dhcp вешается туда же - станд конф. И того 2 компа. Внутри все всё видят т.к. мастер-браузер делаем только DC (груп политиками или ещё чем)   Где - то читал, что лучше DNS тоже отдельно держать (от DC) , но в принципе, стандартная конфигурация.   В локальной пока 5 (без сервера), планируется еще парочка.     Цитата: Отключите "use netbios over tcp\ip" в настройках внешнего соединения (т.е. это отключит вообще возможность вас видеть по netbios снаружи - нах=ся в св-вах tcp\ip).     Это разве не отключит "видимость"  внешних компьютеров в сетевом окружении ?   И что тогда поставить True или False в IsDomainMaster ?   Цитата: впринципе да - простейший вариант по полю TTL, есть и ещё другие возможности :Я) На форуме есть соот-я ветка     Под каким именем или по какому адресу ?   Средствами Isa можно замаскировать пакеты, чтобы они были 100 % от LocalHost' a ?     Добавлено: Возможна "полная маскировка" при Proxy, но не охота его включать в Isa.   Цитата: вы тут что-то намутили - то что вы видете комп внешней группы означает что шлюз ваш (если видете с него) зарегестрировался и юзает мастер-браузер с внешней сети. Отключите "use netbios over tcp\ip" в настройках внешнего соединения (т.е. это отключит вообще возможность вас видеть по netbios снаружи - нах=ся в св-вах tcp\ip). Соот-но на внутрен интерфейсе это должно быть включено   Далее смотрите что вы там поразрешали на исе - явно открыли доступ не с интернал а с экстернал и т.д. Видемость определяется систем-м правилом (хотя можно и отдельно его забацать)   Да, у меня сейчас явным образом открыты 3 NetBios протокола LocalHost -> Internal, LocalHost -> External, и 2 из 3 NetBios протоколов Internal -> LocalHost и External -> LocalHost.   Есть еще 3 NetBios протокола Internal -> External и 2 из 3 External -> Internal, но на компьютерах внутренней сети рабочие группы/компьютеры внешней сети пока не отображаются (что - то похоже с маршрутизацией) . Всего записей: 1134 | Зарегистр. 14-11-2002 | Отправлено: 15:44 17-01-2008 | Исправлено: Vxd2000, 16:09 17-01-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Vxd2000 Цитата: Где - то читал, что лучше DNS тоже отдельно держать (от DC) lol Этот мегамануал в сттудию Контроллер домена прекрано работает на одной тачке с ДНС. И это именно штатная конфигурация, а уж при 5 компах то тем более. Цитата: В локальной пока 5 (без сервера), планируется еще парочка и зачем вам иса при таком кол-ве машин? И домен с контроллером вообще зачем? Имхо всё лишнее - простейший делинковский роутер с хабом и будем вам счастье. Стоит это куда дешевле 2-х серверов (но тема конечно для отдельной ветки) Цитата: Это разве не отключит "видимость"  внешних компьютеров в сетевом окружении ? а вам их надо видеть? Тогда отпадёт внутренняя сеть - она не будет видеть ваш сервак. Я вроде приводил линк где чётко сказано что мастер-браузер не должен быть мультихомед. В противном случае будут как у вас - нормально будет видеться только одна сетка... afaik И дело не в открытых\закрытых портах - а именно в службе браузинга. И это тема отдельной ветки - там можете задать соот-й вопрос. Цитата: Средствами Isa можно замаскировать пакеты, чтобы они были 100 % от LocalHost' a ? думаю что нет - это умеет *nix у которых в ядре можно задать любые параметры и соот-но скомпилить их потом как надо. В винде такого нельзя. Правда есть параметры где выстанавливаются (в реестре) нач-е значения TTL и их можно предварительно увеличить до 129 скажем и т.д. Ищите тему на форуме что-то вроде "домашняя сеть, провайдер и т.д." Цитата: Возможна "полная маскировка" при Proxy прокси из другой оперы Проксик работает на http уровне, а вам надо маскировать ttl (на ip уровне)... примерно так. RTFM вобщем тут Цитата: Да, у меня сейчас явным образом открыты 3 NetBios протокола LocalHost -> Internal, LocalHost -> External, и 2 из 3 NetBios протоколов Internal -> LocalHost и External -> LocalHost. Есть еще 3 NetBios протокола Internal -> External и 2 из 3 External -> Internal, но на компьютерах внутренней сети рабочие группы/компьютеры внешней сети пока не отображаются (что - то похоже с маршрутизацией) . в вашем конфиге так и будет - будет или отображаться внутрянняя сеть (браузинг) или вы будете со шлюза видеть внешнюю. Но imho не обе сразу. И это не трабл исы. Соот-но вопросы в другом топе по "как мультихом машину настроить на браузинг 2-х сетей"   IeugeniyI Цитата: Программа ИСА 2006....   что то я не понял что за дипост...   "забей Сеня"(G) Цитата: дык кто то подскажет как открыть эти порты.. ребята плиз.... а то сроки поджимают !!! создаёшь аксес рул (правило доступа) и пихаешь туда протокол smtp или какой другой... Это основы - встроенная справка тут рулит ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:12 17-01-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору IeugeniyI Цитата: к сотлу рабочу Не знаю такой магии... Но если мелся ввиду RDP, то для его активации надо хостануть заклинание "сизам откройся" - предположу что в область систем.полиси (это там где Terminal Server опцию активровать и соотно занести себя - т.е. свой ip божестенный в remote managmet comp) Так же можно наколдовать примерно тоже и в стандартных правилах разрешив\опубликовав соот-й протокол. ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:44 17-01-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору IeugeniyI надо наколдовать правило доступа - это если "только" конкретнее   если юзать белую магию, то те надо активировать систем полиси (см.выше) и вставить в соот-ю группу "компьютеры удалённого управления" все свои ip адресса (или подсеть) можно и чёрную магию заюзать - хостовать руками прямиком в твои правила новую строчку - аля правило доступа из интернал на локалхост по протоколу rdp для всех пользователей. Но чёрная магия плохо дя кармы. ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 19:17 17-01-2008

Vxd2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Контроллер домена прекрано работает на одной тачке с ДНС. И это именно штатная конфигурация, а уж при 5 компах то тем более.   Да в курсе, что работает. И для такого количества компьютеров хватит.   Цитата: Этот мегамануал в сттудию   Если найду, пришлю ссылку.   Цитата: и зачем вам иса при таком кол-ве машин? Но есть надобность в такой конфигурации. Есть определенные задачи.   Цитата: а вам их надо видеть? Тогда отпадёт внутренняя сеть - она не будет видеть ваш сервак.   Надо. Да видятся сейчас обе сети (правжда только с сервера) , и из локальных компьютеров можно сделать, что виделись все компьютеры внешней сети, но на сервер фиг зайдешь (как сейчас и сделано) .   Цитата: мастер-браузер не должен   Насколько помню, "... не желательно ..." , такая формулировка была.   Цитата: в вашем конфиге так и будет - будет или отображаться внутрянняя сеть (браузинг) или вы будете со шлюза видеть внешнюю. Но imho не обе сразу. И это не трабл исы. Соот-но вопросы в другом топе по "как мультихом машину настроить на браузинг 2-х сетей"     Самое интересное, что во время моего "шаманства" на локальных компьютерах увиделись компьютеры внешней сети, но не запомнил эту конфигурацию (потом менял необнократно) . Сейчас с сервера видятся обе сети.   На мой взгляд частично здесь дело в Isa, частично вообще в маршрутизации.   Посмотри PM.   Добавлено: Более того, у меня сейчас на компьютерах локальной сети отображаются группы компьютеров провайдерской сети. Но в сами группы пока не попасть. Но отображаются не все группы, которые виды в сетевом окружении сервера.   У меня есть одно подозрение, смотри PM. Всего записей: 1134 | Зарегистр. 14-11-2002 | Отправлено: 19:18 17-01-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Vxd2000 Цитата: Где - то читал, что лучше DNS тоже отдельно держать (от DC) за такое микрософт любого порвет доказывая что в домене dns нужно держать только на dc как ad integrated а то что ты читал наверное было все таки про dhcp, его действительно не рекомендуют в целях безопасности держать на dns а в случае домена это тот dc. держать вполне законно можно но только если он как сервис будет стартовать с другой учеткой, это связано с безопасным динамическим обновлением записей. поэтому не особо критично Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 22:45 17-01-2008

bahtey Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору IeugeniyI налогоплательщик? правило - доступ с этого компа(пользователя) на smtp/pop3 allow   Добавлено: IeugeniyI но тока смотреть надо ЛОГ. есть банк-клиенты которые и другие порты шарят... Всего записей: 794 | Зарегистр. 14-12-2006 | Отправлено: 06:24 18-01-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ailya1960 а почему нет? Определяешь протокол соот-й в дефенитионсах, используешь мастер "опубликоваь не web сервер" и пихаешь туда нужный ip и свой протокол... потом смотришь лог если что не работает ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 12:36 18-01-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ailya1960 лог то что пишет? нифига не понятно как у вас "из вне по внутренним ip"??? Из вне вы стучитесь так же по внешним ip - для этого публикация и нужна - она пробросит коннект на ваш внешний ip по tcp порту 5000 на внутренний ip соот-но (т.е. это фактически порт-форвардинг\проброс порта в юних натации) Цитата: Кстати - правило нат или маршрутизация определяется сначала или после всех правил и политик? оно определяется вне этих политик Т.к. соот-сится с топологией сети ... ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 14:42 18-01-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование