emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части этой темы: 1 + 2 + 3 Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   Варез Miсrosoft Forefront TMG (ISA)   Назначение и применение сабжа.. Продолжение шапки.. НАСТОЯТЕЛЬНАЯ ПРОСЬБА ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ. // текущий бэкап шапки.. Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bahtey кнопка F1 и в поиске automatic detection а вообще тебе это врядли поможет, у тебя же все ручками настроено, а значит чтобы автоматом перенастроить нужно все ручками выставить в автоматический поиск так что проще маленьким скриптиком всем сменить настроечку в файлике что я выше писал. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:57 15-09-2008

lypky Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору bahtey Вай, дорогой! Какой нафик скрипт? Если все компьютеры в домене - то, имхо, нет ничего проще. В Active Directory Users and Computers - создаешь (к примеру) группу - где все пользователи, которым нужен интернет через прокси (через IE разумеется). И на эту группу делаешь Group Policy (групповая политика): User configuration - windows settings - internet explorer maintenace - connection/proxy setting. Там задаешь IP адресс, порт шлюза.   И вуаля - всем юзерам (возможно после релога) в ИЕ будет прописан новый шлюз.   А что б через нат юзеры стали ломится через новый шлюз, то тут нужен DHCP - я надеюсь у тебя не статика на сетевых интерфейсах пользовательских компьютеров?   Кстатати BULLDOG Спасибо что обратил внимание на мой пост, на двух шлюзах WAN-External = 192.168.1.2 одинаков - потому что это ип адреса адсль модемов. В данный момент у меня уже так стоит, и вроде бы ничего не конфликтует. На Адсль модемах тупо стоит НАТ для шлюзов. В принципе конечно ничего не мешает поставить им другие ИПшники, но не вижу в этом смысла.   Во вторых галочка Do not use recursion for this domain в Forwarders - нужно ее ставить для того, что б если пользовательская машина запрашивает днс домена: - А какой ИП у машины Masha-buhgalter? (к примеру щас суббота и бухгалтера не работают) Домен смотрит у себя в DNS - не находит регистрации этой станции. - Я на знаю какой айпишник - комп по всей видимости выключен. - Спасибо. - Пожалуйста.   А если галочки стоять не будет, то DC пошлет запрос дальше ИСЕ, а потом иса пошлет запрос дальше провайдеру да? И в общем таким образом сеть будет тупить заметно сильнее?   Насчет форвардинга ДНС запросов на шлюзе. Раньше когда этой галочки не стояло, но пользователи не могли через нат разрешать имена интернетовские. Пришлось поставить. Ты точно уверен что без этой опции на шлюзах можно обойтись?   И насчет маски. Я в них плохо разбираюсь. В принципе да - в ближайший год, два вряд ли компов станет больше 255. Поэтому все ИП сейчас из диапазона. 172.23.5.Х.   В общем если в целом вариант нормальный, то в эту субботу буду ломать сеть к хренам. Всего записей: 699 | Зарегистр. 19-10-2006 | Отправлено: 01:36 16-09-2008

bahtey Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lypky в первой подсети - статика, в остальных - dhcp. Всего записей: 794 | Зарегистр. 14-12-2006 | Отправлено: 06:23 16-09-2008

BULLDOG Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lypky Цитата: на двух шлюзах WAN-External = 192.168.1.2 одинаков - потому что это ип адреса адсль модемов. Я же не знал как у вас сделано, если 2 модема, то все нормально. Цитата: А какой ИП у машины Masha-buhgalter? Masha-buhgalter.DNS-имя домена, а не проста Masha-buhgalter (DNS-имя домена дописывается автоматом) Цитата: Я на знаю какой айпишник - комп по всей видимости выключен Если он не знает адрес, значит комп не зарегистрирован на сервере, а включен он или выключен не важно. Цитата: А если галочки стоять не будет, то DC пошлет запрос дальше ИСЕ, а потом иса пошлет запрос дальше провайдеру да? И в общем таким образом сеть будет тупить заметно сильнее? Тупить она не будет, запросы к DNS-серверам провайдера или вообще к DNS-серверам в интернете все равно медленнее идут, чем внутри локальной сети. Цитата: Насчет форвардинга ДНС запросов на шлюзе. Раньше когда этой галочки не стояло, но пользователи не могли через нат разрешать имена интернетовские. Пришлось поставить. Значит форвардинг не работает и DNS'ы на DC сами лезут в интернет. Галочка ставится для того, чтобы для всех доменов в списке наверху (по умолчанию все домены, кроме локального) использовался форвардинг на DNS-серверы из списка. Если они не находят нужный комп, то этот DNS-сервер сам не лезет искать - это бесполезно (если, конечно, все правильно настроено). Если Вы на ИСА серверах галочки поставили, то их нужно снять (он же должен лезть в инет, если у него в кэше нет нужной записи), а на DC оставить. Или, если оставите, то нужно в форвардинге на маршрутизаторах прописывать DNS-серверы провайдера, но лучше не заморачиваться. Всего записей: 387 | Зарегистр. 29-08-2003 | Отправлено: 09:15 16-09-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lypky Цитата: В Active Directory Users and Computers - создаешь (к примеру) группу - где все пользователи, которым нужен интернет через прокси (через IE разумеется). И на эту группу делаешь Group Policy (групповая политика):   User configuration - windows settings - internet explorer maintenace - connection/proxy setting. Там задаешь IP адресс, порт шлюза.   И вуаля - всем юзерам (возможно после релога) в ИЕ будет прописан новый шлюз.   насмешил, такое даже моя мама настроить может, тока толку не будет там вопрос был про firewall client а не про прокси, браузеры то и сами настроятся через скрипт автонастройки.   по поводу твоих dns. до сих пор не пойму откуда у людей появляются такие идеи как взгромоздить dns сервер на ису, видимо болезнь всех новичков, сам такое хотел вначале сделать, но потом просто почитал немного, и сделал правильно. чем тебя контроллеры не устраивают как dns сервера? Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 10:13 16-09-2008

BULLDOG Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted У меня ИСА 2006 стд. Сначала, тоже только на контроллерах стояло. Потом поставил СП1 на ИСУ, и инет нормально стал работать только на МАЗИЛЕ, а ОПЕРА и ИЕ-подобные еле открывали страницы. Поскольку, установил я СП1 днем, когда временно пропал инет, то и его появлении я узнал от пользователей, мол у него есть, а у меня нет, а срочно нужно. У меня тоже на МОЗИЛЕ работало нормально, а ОПЕРА плохо работала, АСЬКА вообще нет. Попал в ступор, проверил правила, без изменений, да и непонятно, на одном браузере быстро открывает (2-5 сек), а на других долгл (40-60 сек).Причем, скорость открытия страниц была примерно одинаковой, долго обрабатывались ДНС запросы. Вспомнил, что в какой-то книжке по ИСЕ было написано про установку ДНС на ИСУ, помимо внутреннего ДНС (как один из вариантов). Решил попробовать поставить ДНС на ИСЕ, а на контроллерах настроил форварднг - все стало работать нормально. Дальше копать не стал - от добра добра не ищут.   По-моему, до установки ДНС на ИСУ в форвардинг прописывал ДНС провайдера, но не помогло. Всего записей: 387 | Зарегистр. 29-08-2003 | Отправлено: 10:55 16-09-2008 | Исправлено: BULLDOG, 10:57 16-09-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BULLDOG это называется костыли Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 12:00 16-09-2008

davinchi9 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всем привет!!! Помогите побороть такую проблему - при зпросе по любому адресу в логи исы пишестя куча таких отклоненных соединений: Цитата:   Неудачная попытка соединения Тип журнала: Веб-прокси (прямой)   Состояние: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.   Правило: Разрешить отправку HTTP/HTTPS-запросов на указанные узлы   Источник: Внутренняя (192.168.0.х)   Назначение: Внешняя (213.199.161.251:443)   Запрос: urs.microsoft.com:443   Информация фильтра: Req ID: хххххххх; Compression: client=No, server=No, compress rate=0% decompress rate=0%   Протокол: SSL-tunnel   Пользователь: anonymous   Дополнительные сведения:   Client agent: VCSoapClient Object source: Интернет (Источник - Интернет. Объект был добавлен в кэш.) Cache info: 0x0 Processing time: 0 ms MIME type:     в каком направлении смотреть? Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 14:36 18-09-2008

BULLDOG Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору davinchi9 По обычному HTTP тоже SSL-tunnel Всего записей: 387 | Зарегистр. 29-08-2003 | Отправлено: 15:15 18-09-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос вот возник: можно ли ИСой (2006) опубликовать один и тот же сайт с разными доступными путями внутренними и соот-но для разных пользователей? (т.е. что бы скажем user1 заходил по линку только на одни подсайты, а user2 видел весь сайт)   PS авторизация AD-шная ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:42 18-09-2008

davinchi9 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BULLDOG Цитата: По обычному HTTP тоже SSL-tunnel в смысле? такая ошибка появляется после каждого HTTP запроса - если я правильно понял вопрос... Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 15:53 18-09-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox думаю что нет, ибо сначала срабатывает публикайция, а потом уже проходит аутенфикация юзера Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:05 18-09-2008

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted ну вобщем то логично, у меня тоже кроме как дать разные внешние еимена одному и тому же сайту и работать по ним ничего в голову не приходит ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:51 18-09-2008

BULLDOG Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору davinchi9 Опишите подробнее, как ИСА подключена к интернету, как компьютеры выходят через ИСУ в интернет? Всего записей: 387 | Зарегистр. 29-08-2003 | Отправлено: 17:10 18-09-2008

lypky Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Кхм. Вот прошу дать ответ - можно ли так:   Есть сеть. AD + ISA (все в домене). Клиенты в офисе получают IP по DHCP.   Сеть 172.23.5.х   Подключается клиент к ISA по впн каналу (стандартный виндовой софтовый впн канал).   Пусть IP ему назначает по DHCP ISA. К примеру 172.23.6.х   Так вот можно ли что бы клиент мог резолвить имена локальной сети?? Чтото бьюсь - ничего не получается.   Причем что бы было относительно универсальное решение.   Даже если клиент сам будет в сети 172.23.5.х или 172.23.6.х   Т.е. что бы автоматом все маршруты впн-клиенту давала иса и т.д. (тип шифрования думаю не важет - пусть будет PPTP).   Заранее спасибо.   А пока буду дальше колупать. Всего записей: 699 | Зарегистр. 19-10-2006 | Отправлено: 06:05 19-09-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lypky в резолве имен иса не играет роли, если у клиента днс адреса прописаны (а в случае dhcp они прописаны) и он правильно запрашивает имя то оно отрезолвится. проблема в том что многие даже не знают как винда резолвит имена. если запросишь полное имя (fqdn) то все будет ок, а если краткое, то по умолчанию врядли, откуда  твоему домашнему компу знать в какой зоне его искать? для надо дописывать суффиксы поиска. маршруты клиенту иса не даст, иса вообще впном не занимается, это работа rras Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 10:25 19-09-2008

BULLDOG Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lypky Цитата: что бы автоматом все маршруты впн-клиенту давала иса Для VPN-клиентов ИСА сама все настроит Всего записей: 387 | Зарегистр. 29-08-2003 | Отправлено: 11:47 19-09-2008

davinchi9 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BULLDOG Цитата: Опишите подробнее, как ИСА подключена к интернету, как компьютеры выходят через ИСУ в интернет? классический вариант: два сетевых интервейса - во внешнюю и внутренюю сеть, клиенты прокси не используются, чтостый веб-прокси с доступом во внешнюю сеть по правилам для аутентифицированных пользователей, системы разные ХР, VISTA... Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 12:02 19-09-2008

BULLDOG Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору davinchi9 Я не знаю, как получается так, что все запросы идут через SSL. Попробуйте следующее, в "Конфигурация"->"Сети" выберите заново свой шаблон и с помощью мастера настройте заново. В меню "Выберите политику межсетевого экрана" выбрать "Разрешить неограниченный доступ". И посмотрите что получится, можно еще добавить "Локальный компьютер" в графу "Откуда", если пускать не будет. Всего записей: 387 | Зарегистр. 29-08-2003 | Отправлено: 16:14 19-09-2008

ZeBBit Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору lypky Чтобы были доступны внутренние ресурсы сети, помимо настройки ВПН, надо создать правило доступа из ВПН сети во внутреннюю с нужными протоколами. Примерно выглядит так: Разрешить из VPN Cliens to Internals for All Users Протоколы DNS, LDAP, MS CIFS (TCP and UDP), NB Datagram, NB Session, NB Name Service. Если нужен доступ к сервисам, соотв. добавляются нужные протоколы: HTTP, SQL, RDP и т.п. "Сетевое окружение" не работает, но если обратиться по имени компа, соединение устанавливается. Чтобы был доступен внешний комп из внутренней сети (бывает нужно и такое), делается обратное правило... Всего записей: 91 | Зарегистр. 19-07-2006 | Отправлено: 17:22 30-09-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование