emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору <<< Предыдущая часть этой темы Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   продолжение шапки.. Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору davinchi9 Цитата: я попробовал в правиле сделать не все юзвери а юзвери прошедшие проверку, так иса вообще всех перестала пускать, я что-то не доделал?   все верно, authenticated users в правилах исключают анонимов. тока надо учесть что далеко не весь трафик можно аутенфицировать. в случае web proxy клиентов работать будет только если приложение умеет работать через web proxy и умеет тот метод аутенфикации который выставлен в настройках. в случае fwc клиентов работать будет тока с теми приложениями которые умеют работать через winsocks, это большинство windows приложений работающих по tcp или udp, но например icmp или gre ты уже через fwc не сможешь аутенфицировать. Цитата: и как при этом быть с FWC, т.е. он нужен или нет? веб-проксирование при этом варианте так и остается?   как следует из написаного выше он нужен тем приложениям которые не умею работать через web proxy а их трафик ты хочешь аутенфицировать. на web proxy это никак не влияет, то что было настроено на прокси fwc уже не тронет. Цитата: 1. есть ли способ Internet Explorer 7 заставить отображать страницу по мере ее загру как это делали придыдущие версии, а не сразу целиком и полностью после того как она полность прогрузится   я думал движок IE вообще на это никогда не был способен, он всегда грузил целиком, вообще вопрос не этого форума, хотя такой эффект (ожидание полной прогрузки) часто бывает пр ииспользовании левых фильтров на исе, например антивирей Цитата: 2. подскажите какая ширина канала нужна для активного одновременного серфинга и инете 7-10 пользователей?   это уже вопрос запросов юзерей, кому то и 256К на одного хорошо а кому то и 5М мало Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 20:26 09-07-2008

davinchi9 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted у моих юзверей кроме IE в инет больше ничего не лезит, следовательно аутентифицировать во внешнюю сеть мне больше нечего, а IE может без проблем походить NTLM аутентификацию как веб-прокси клиет - более и не требуется, следовательно если я решил идти по пути разгрузки конфигурации и избавления от глюков с автообнаружением FWC мне тут совсем не нужен, т.к. ему нечего будет аутентифицировать - правильно я мыслю?   ... и еще столкнулся с такой проблемой: раньше где стояла ISA 2006 EE небыло служб IIS, сейчас перенес ису на другой сервер с IIS и изменил редакцию на SE, дык вот она теперь при старте создает такое оповещение: Цитата: Описание: Фильтр веб-прокси не смог связать свой сокет с <IP_ISA_SERVER_ON_INT_NIC> порт 80. Это может быть вызвано другой службой, которая уже использует тот же порт, или сетевой платой, которая не работает. Для устранения неполадки перезапустите службу межсетевого экрана Microsoft. Код ошибки, указанный в области данных свойств события, обозначает причину ошибки. Сбой произошел из-за ошибки: Сделана попытка доступа к сокету методом, запрещенным правами доступа. как теперь подружить IIS и ISA или дело вовсе не в IIS?   ... и еще вот такое странное уведомление стало появлятся: Цитата: Описание: ISA Server обнаружил петлю при последовательном соединении прокси. Возможно, это обусловлено ошибкой конфигурации политики веб-цепочки сервера ISA Server. В выпуске Enterprise Edition, если включен протокол CARP и имеют место перемежающиеся прерывания подключений внутри массива, член массива A может передать запрос члену массива B согласно алгоритму CARP, а член массива B может передать запрос члену массива A по бесконечному циклу. сомое страшное что иса после этого перестает видеть внешнюю сеть, подскажите с чем это может быть связано? Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 01:10 11-07-2008 | Исправлено: davinchi9, 01:11 11-07-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору davinchi9 Цитата: правильно я мыслю?   ну если такой функционал нужен то правильно, у самого на прошлой работе fwc нигде не стояло кроме узкого круга лиц Цитата: как теперь подружить IIS и ISA или дело вовсе не в IIS?   правильно ругается, iis слушает 80 порт, и иса может пытаться слушать это тпорт например для публикации, автообнаружения или для размещения скрипта автонастройки браузера Цитата: и еще вот такое странное уведомление стало появлятся если оно появилось и перестало то ничего страшного, а если появляется постоянно то что мешает посмотреть ошибку на офсайте, мы ж не телепаты, не знаем что у тебя там еще стоит и как настроено Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 10:28 11-07-2008

davinchi9 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Цитата: fwc нигде не стояло кроме узкого круга лиц   ну я тоже так думаю, например, себе оставлю для определенных целей... Цитата: правильно ругается, iis слушает 80 порт, и иса может пытаться слушать это тпорт например для публикации, автообнаружения или для размещения скрипта автонастройки браузера оно так и есть, но т.к. я отказался от автообнаружения иса перестала слушать 80 порт и алерты прикратились - эта проблема вроде решена... Цитата: если оно появилось и перестало то ничего страшного, оно появлялось постоянно примерно каждый час и при этом иса местическим образом ничего не могла отправить/принять по внешнему интерфейсу, решилось прописанием на внетреннем интервейсе статических IP, по зашпарке при подъеме нового сервака не обратил внимание на то, что он IP получает от DHCP, соответственно и IP шлюза, т.е. иса шлюзовалась сама на себя - этот трабл вроде решен, будем смотреть что дально, но подобный алерт пока не появлялся!!! Дошел до настройки аутентификации - планировал сделать не анонимные правила - сделал, результат: клиентский браузер ломится на ису, в нем открывается диалог ввода лигина и пароля для доступа к иса серверу, ввожу - болт,  ввожу - болт,  ввожу - болт, далее страница не доступна, в логах исы естественно пользователь не авторизовался и иса его любезно отклонила. Вернул анонимное правило и попробовал поставить флаг на "Требовать аутентификации всех пользователей" в свойствах внетренней сети на вкладке Веб-прокси - та же самая картина, три раза просит ввести логин/пароль и откланяет, далее решил проверить домен для аутентификации (там где флаг "Требовать аутентификацию..." ниже есть кнопка выбора домена), дык вот она не доступа - предполагаю что иса до домена достучаться не может, прошу помощи в решении этой "финальной" проблемы... Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 11:16 11-07-2008

Tornado777 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Для того чтобы не было никаких проблем с внтуренней сеткой ставлю самым первым правилом ставл. Action -Alow Protocols - All Outbond traffic From - Internal,Local host To - Internal,Local host Condition - All Users   Это открывает полностью компьютер на котором стоит ISA для внутренней сетки, что также является местом уязвимости в безопасноти, для маленьких компаний подойдёт в полне. ДЛя больших,не рекомендовал бы использовать это правило.( надо настраивать порты для обмена с AD) Всего записей: 20 | Зарегистр. 05-03-2007 | Отправлено: 14:23 11-07-2008

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору davinchi9 проверяй ходит ли трафик между исой и контроллерами   Tornado777 у меня такого тупого правила никогда не было и проблем тоже не было для обмена с ad есть системные правила там все настроено Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:40 11-07-2008

davinchi9 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted с недоступностью кнопки кнопки разобрался - она доступна только когда выбрана обычная (base) аутентификация, но обзором можно воспользоваться только на локальном компе, на удаленной консоли обзор серверов недосупен, при этом никаких отклоненых запросов в журнале не фиксируется... LDAP запросы ходят без проблем... Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 17:33 11-07-2008

davinchi9 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору apnss можно, у меня стояла, перенес на другой в целях обеспечения большей отказоустойчивости и большей свободы действий, например когда отрубаешь ису для каких либо целей контроллер домена остается доступным и наоборот...   а почему решил с керио на ису соскачить? Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 19:31 11-07-2008

davinchi9 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted в результате плясок с бубном выяснилось что клиенты с ХР без проблем проходят аутентификацию... аутентификация непроходит только на висте и серваках 2008 - жесть, ну что еще может быть? Цитата: проверяй ходит ли трафик между исой и контроллерами   даже попробовал открыть все на DC и с него во внутреннюю сеть - ничего не изменилось...   Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 21:59 11-07-2008

apnss Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору davinchi9 Цитата: а почему решил с керио на ису соскачить?   на 40 машинах  керио под 50% грузит  2х процессорный  сервак  (HP пролиант) и суммарно канал  8мбит не используется   ...      + когда-то полгода назад написал телегу шефу что "использование нелицензионного ПО повышает риск административной отвественности ... "    ...  вобщем покупаем все лицензионное, как сказали  "все  что нужно - заказывай" ...вот и думаю Всего записей: 708 | Зарегистр. 26-02-2002 | Отправлено: 23:21 11-07-2008

emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Следующая часть: Microsoft ISA Server 2006/2004/2000 (Часть 4) ---------- In medio stat virtus. ТА! Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование