Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     

    Назначение и применение сабжа..
    Продолжение шапки..

    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.

    // текущий бэкап шапки..

  • Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    EgOus



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04
    Не отрабатывают это значит:
    В онлайн мониторинге (Monitoring - Logging) через ису 2004 и исе 2006 лезу на одни и те же сайты, проверяю например, блокировку по URL. На исе 2004, при натыкании на блокирующее правило по определенному урлу, дальше не пускает. В исе 2006 точно такое же правило, по тому же урлу, проскакивет и я спокойно попадаю на этот урл через дальше стоящее разрешающее правило. То же самое происходит и по типам контента. Допустим, блокирую видео и аудио, на исе 2004 утыкаюсь в блокирущее правило, а в 2006 опять спокойно выхожу через разрешающее.
    Имитатор трафика зачем? Я его и так живьем руками толкаю.
     
    ИСА стандарт в обоих случаях. К сожалению, миграцию производил не я лично.

    Всего записей: 413 | Зарегистр. 09-08-2002 | Отправлено: 17:47 26-07-2012
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    EgOus
     

    Цитата:
    На исе 2004, при натыкании на блокирующее правило по определенному урлу, дальше не пускает. В исе 2006 точно такое же правило, по тому же урлу, проскакивет и я спокойно попадаю на этот урл через дальше стоящее разрешающее правило.

     
    Содержимое (скриншоты всех закладок) этих (двух) правил в студию, притом и обоих ис. ipconfig /all с клиента и с обоих ис в студию.
     

    Цитата:
    Имитатор трафика зачем? Я его и так живьем руками толкаю.

     
    Имитатор трафика для того и сделан чтобы проверять не только живьём.
     
    P.S. Попробуйте по простому сделать экспорт/импорт этого блокирующего правила (из isa 2004 в isa 2006). О результатах сообщите.

    Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 14:00 27-07-2012 | Исправлено: anton04, 14:02 27-07-2012
    EgOus



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04
    Да зачем скриншоты то, они одинаковые абсолютно. Разница тут в том, что сети физически разные, но с абсолютно одинаковой конфигурацией - все тупо идут в инет через нат на исе, в одной сети 2006, в другой 2004. Дык и на месте, где сейчас 2006, была 2004, и все работало, так что ипконфиг тут совершенно непричем. Походу надо пробовать бэкапить ису 2006 и по чистой поднимать, где то лагает что то тупо, вопрос что.

    Всего записей: 413 | Зарегистр. 09-08-2002 | Отправлено: 16:12 27-07-2012 | Исправлено: EgOus, 16:14 27-07-2012
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    EgOus
     

    Цитата:
    Да зачем скриншоты то, они одинаковые абсолютно.

     
    Ну не хотите помощи и не надо, я не напрашиваюсь...

    Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 00:13 29-07-2012
    Darktime



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Valery12 большое спасибо! Сделал по вашему методу и все заработало.
    Итак,что получилось:
     
    Есть сеть без маршрутизатора, шлюзом в ней является обычный сервер win2003 с настроенным DHCP и ISA server.
    В сети есть 2 машины (один обычный компьютер с WinXP, и сервер терминалов win2008) работающие с VipNet.
     
    На ISA были созданы правила:
     
    2 машины с випнетом -> Внешняя -> протокол vipnet out (UDP от 55777 до 55778 Отправить Получить)
    Внешняя -> 2 машины с випнетом -> протокол vipnet in (UDP от 55777 до 55778  Получить Отправить)
     
    На машинах с випнетом был изменен только порт:
    Сервис -> Настройка -> Защищенная сеть -> Порт инкапсуляции в UDP пакеты: 55777(на первой машине) и 55778(на второй)
     
    В итоге мы получили 2 работающие в сети машины с VipNet и рабочей почте. Надеюсь кому нибудь пригодится эта информация.

    Всего записей: 87 | Зарегистр. 02-06-2010 | Отправлено: 06:29 31-07-2012
    DKORVIN



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    и у меня работает!

    Всего записей: 35 | Зарегистр. 20-03-2008 | Отправлено: 11:12 31-07-2012
    Darktime



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день всем.
     
    Такой вопрос:
     
    Есть сервер ISA2006St, на нем все настроено и работает. Но понадобилось,чтобы на 1 внешний сервер получили доступ все из внутренней сети.
     
    Если просто выдаю фул доступ из внутренней к внешней,то тот сервер пингуется.
    Если выдаю фул доступ из внутренней к специально созданной "внешней сети" айпишник х.х.х.х для этого сервера, то он не пингуется.
     
    В чем может быть проблема?

    Всего записей: 87 | Зарегистр. 02-06-2010 | Отправлено: 07:27 10-08-2012
    evype90

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уважаемые форумчане, подскажите пожалуйста куда копнуть можно, шеф радио любит слушать на работе. Включает, все нормально, минут через 15 - 20 оно вырубается и включатся несколько часов не хочет. В качестве прокси стоит ТМГ стандарт едишн. Пытался мониторить, в журнале ничего не заметил на url и ip радиостанции. Заранее спасибо!

    Всего записей: 18 | Зарегистр. 18-07-2012 | Отправлено: 09:20 10-08-2012
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Darktime
     

    Цитата:
     понадобилось,чтобы на 1 внешний сервер получили доступ все из внутренней сети.

     
    Данный процесс называется публикацией, копайте в эту сторону сами (т.к. у Вас в задании не сказано чего вы хотите опубликовать).
     
    evype90
     

    Цитата:
    Пытался мониторить, в журнале ничего не заметил на url и ip радиостанции. Заранее спасибо!

     
    Тут можно только смотреть логи, больше ничего сделать нельзя.
     
    Хотя по хорошему надо проверить стоит ли антивирь на TMG, если ли какой шейпер на нём. Да и порядок правил и что в них нужно тоже разбирать, в общем без логов никуда...

    Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 10:24 11-08-2012
    AkeHayc

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Возможно ли сделать на ИСЕ тотальный учет трафика?
     
    То есть чтобы у каждого компьютера (IP адрес) была квота.

    Всего записей: 520 | Зарегистр. 24-02-2009 | Отправлено: 14:55 11-08-2012
    VokiToki



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Учет он и так есть. А вот квотирование.. тобиш ограничение.. это за пределами функцмй ISA. анализатор логов в интернете много для ISA Server.

    Всего записей: 44 | Зарегистр. 31-07-2009 | Отправлено: 21:38 11-08-2012
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AkeHayc
     

    Цитата:
    Возможно ли сделать на ИСЕ тотальный учет трафика?

     
    Да, но только сторонними дополнениями, т.к. в самой исе шейпера нет.

    Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 12:14 13-08-2012
    evype90

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уважаемые форумчане подскажите куда копать. В домене одна клиентская станция не может соединиться с TMG сервером. В логах TMG нашел событие с кодом 21284
    "Количество отклоненных подключений с исходного IP-адреса 192.168.17.71 превысило установленный лимит. Это может означать, что исходный узел инфицирован или пытается атаковать компьютер Forefront TMG."
     
    Проверил станцию антивирем, все чисто, на TMG в настройках Flood Mitigations поставил для этой станции лимиты подключений повыше. Все равно нет связи с TMG. Куда ещё копнуть можно?

    Всего записей: 18 | Зарегистр. 18-07-2012 | Отправлено: 16:12 14-08-2012
    evype90

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вопрос решил, недавно расширял DHCP зону, а на TMG во внутренней сети не расширил, вот и не давал конектится

    Всего записей: 18 | Зарегистр. 18-07-2012 | Отправлено: 19:02 15-08-2012
    Leon1978

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вопрос  
    1) как запретить просмотр и закачку видео и музыки на TMG?
    2) как правильно использовать url categories для доступа только почте?
    Заранее спасибо!

    Всего записей: 342 | Зарегистр. 03-09-2005 | Отправлено: 15:31 31-08-2012 | Исправлено: Leon1978, 15:41 31-08-2012
    wwladimir



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Leon1978
    А вкладка "типы содержимого" Вам не видна (впрочем у меня ISA, может у Вас иное) ?

    Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 15:44 31-08-2012 | Исправлено: wwladimir, 15:45 31-08-2012
    Leon1978

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    я думаю мы говорим про вкладку Content types, там галочка стоит на all conttent types, когда я выбираю selected и отмечаю application, audio, video. То после этого у меня ни один сайт не открывается. Понять не могу почему. Это так должно быть? Сделал наоборот и вроде как все заработало, только не заработал Скайп и майл агент. А мне нужно чтобы они работали, можно ли сделать через url category запрет на музыку и видео? Но чтобы при этом работал Скайп и майл агент?

    Всего записей: 342 | Зарегистр. 03-09-2005 | Отправлено: 16:52 31-08-2012 | Исправлено: Leon1978, 17:21 31-08-2012
    wwladimir



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Leon1978
    application по русски будет "приложения" видимо...
    Что по кнопке "сведения" дает следующее описание:
    "Предопределенный тип содержимого, используемый для контроля доступа к содержимому, включающему программный код (EXE-файлы, библиотеки DLL, файлы OLE и VBS)."
     
    А вроде Вы хотели блокировать audio...
    Если существующих "типов содержимого" Вам не достаточно, есть пимпа "создать"- определитесь с расширениями файлов и типами MIME ( http://www.iana.org/assignments/media-types/index.html ) которые хотите блокировать и создайте свой набор....  
     
    А по категориям блокировать-легко. Создайте новый полный набор URL-ов содержащих музыку и видео. Укажите его в правиле с действием - запретить.  Voila !

    Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 20:47 31-08-2012 | Исправлено: wwladimir, 20:55 31-08-2012
    Leon1978

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    wwladimir
    Чем дальше тем больше вопросов получается,  
    1) Поставил запрет на URL однако как оказалось что mail.ru это не web-mail а search-engines. Можно ли свой набор сделать скажем из трех сайтов  
    *.mail.ru
    yahoo.com
    gmail.com
    и назвать этот сет Почта?
    2) Как работает HTTPs Inspection, когда включаю ее, отключаются майл-агенты, скайпы. Что не так настроено? Искал в гугле про HTTPs Inspection, там написано чтобы блокировать агенты нужно его включить но так же поставить на запрет сет Chat, у меня он в запрете не стоит, но агенты отключаются все равно.
    3) Для запрета видео и музыки нужно создать правило на запрет и выбрать в content type только video и music? Пробовал по разному что-то не отрабатывает, как качалось видео так и качается. Должен ли при этом HTTPs Inspection быть включен?

    Всего записей: 342 | Зарегистр. 03-09-2005 | Отправлено: 10:17 03-09-2012
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Leon1978
     

    Цитата:
    Можно ли свой набор сделать скажем из трех сайтов  
     *.mail.ru  
     yahoo.com  
     gmail.com  
     и назвать этот сет Почта?

     
    Да можно, но это уже будет domain name set, а не URL
     

    Цитата:
    3) Для запрета видео и музыки нужно создать правило на запрет и выбрать в content type только video и music?

     
    Да.
     

    Цитата:
    Пробовал по разному что-то не отрабатывает, как качалось видео так и качается.

     
    Редактируйте и добавляйте свои content type и учитывайте это будет работать только в том случае если сайт с которого пытаются закачать видео правильно отдаёт MIME типы этого видео.
    Если хотите запретить совсем то Вам нужно ставить продвинутый шейпер для TMG.

    Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 11:12 03-09-2012
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru