Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     

    Назначение и применение сабжа..
    Продолжение шапки..

    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.

    // текущий бэкап шапки..

  • Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    Keprocs

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    странно, и так не хочет, и эдак....

    Всего записей: 57 | Зарегистр. 13-12-2005 | Отправлено: 13:11 13-10-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fl1pp3r
    если опубликовано на 3389 порту значит иса его не слушает (отключен), такое редко используют. чаще всего на исе 3389 занят и используют другой порт.
    Keprocs
    значит где то накосячил или чего то не договорил

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:21 13-10-2008
    Keprocs

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BULLDOG
    если не сложно, можешь расписать как это сделать в моем случае? просто практически первый раз ИСА сервер настраиваю )

    Всего записей: 57 | Зарегистр. 13-12-2005 | Отправлено: 13:21 13-10-2008
    Tim2000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    http://www.redline-software.com/rus/support/docs/isaserver/FW_H_CreateDialOut.php

    Цитата:
    Замечания
    Если вы выбираете dial-up соединение, которое является VPN соединением, вы можете испытать проблемы со связью, потому что протоколы PPTP и L2TP/IPSec, используемые для организации VPN, блокируются по умолчанию ISA сервером. Для правильной работы создайте правило, которое разрешает трафик PPTP и L2TP/IPSec.  

     
    создал правило разришающее PPTP и L2TP/IPSec от интёрнал и локал хост к экстёрнал для олл юзерс - в логах:
     
    Initiated Connection SRV4  
    Log type: Firewall service  
    Status: Операция успешно завершена.  
    Rule: vpn/pptp/ipsec/l2tp  
    Source: Local Host ( 192.168.1.31:33840)  
    Destination: External ( 192.168.1.1:1723)  
    Protocol: PPTP  
     
    и затем через минуту
     
    Closed Connection SRV4  
    Log type: Firewall service  
    Status: A connection was terminated because it was idle for more than the timeout period, or the timeout on an uncompleted action expired.  
    Rule: vpn/pptp/ipsec/l2tp  
    Source: Local Host ( 192.168.1.31:33840)  
    Destination: External ( 192.168.1.1:1723)  
    Protocol: PPTP  
     
    и вндовских логах
     
    Тип события:    Предупреждение
    Источник события:    Microsoft Firewall
    Категория события:    Отсутствует
    Код события:    14142
    Описание:
    The dial-up network connection inet failed. The error description is: Не удалось создать VPN-подключение.   VPN-сервер недоступен или параметры безопасности для данного подключения настроены неверно.. The error code shown in the data area of the event properties is specific to the Routing and Remote Access service.
     
    есть какие догадки?

    Всего записей: 860 | Зарегистр. 07-11-2006 | Отправлено: 13:30 13-10-2008
    Keprocs

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    хмм странно, а в ИСА кроме правил больше ничего нигде не надо?

    Всего записей: 57 | Зарегистр. 13-12-2005 | Отправлено: 13:38 13-10-2008
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Добрый день.  
     
    Поставил ISA 2004 на новый сервер, импортировал Firewall policy со старого, правила принялись, но при входе в любом из правил на Protocols выходит ошибка The operation failed и все подвисает, помогает только завершение задачи. Repair через диск не помогло.  
     
    Подскажите пожалуйста.  
     
    Спасибо.  

     
    Так кто мне может помочь?

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 14:12 13-10-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Keprocs
    только firewall rules и network rules
    ну собственно сами networks надо тоже определить с самого начала, иначе иса работать не будет. найти книгу шиндера (в гугле ищеться очень легко) там все написано.
    а вообще по любой проблеме надо смотреть логи, там все видно.

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:38 13-10-2008
    Keprocs

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    хмм ну в networks понятное дело настроено все... проблемм не возникало, пока вот не возникла необходимость публикации.... а логи смотреть самого ISA сервера где-то? Просто думал может проблемы из-за двойного NAT на модеме и у самой ИСы......  
     
    Добавлено:
    ладно, спасибо.... уже качаю Шиндлера... прийдется ковырять книжку в темпе вальса )))

    Всего записей: 57 | Зарегистр. 13-12-2005 | Отправлено: 16:20 13-10-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Keprocs
    ни двойной ни тройной нат не имеют значения, если порты проброшены верно (на исе эт опубликация)
    логи смотреть в исе - файрвол без логов не имеет право на существование

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:37 13-10-2008
    Keprocs

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    логично.. но что-то не могу их найти )))) частично есть логи в евентах.. но там мало и не то.....))

    Всего записей: 57 | Зарегистр. 13-12-2005 | Отправлено: 17:46 13-10-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Keprocs
    monitoring - logging, неужто не видно глазами?

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:49 13-10-2008
    Keprocs

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    тьфу блин слепой )) понедельник надо выходным объявлять ))))

    Всего записей: 57 | Зарегистр. 13-12-2005 | Отправлено: 18:07 13-10-2008
    eap

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Понадобилось настроить бухгалтеру новый банк-клиент Промсвязьбанка. Для него нужно открыть 80, 9080 и 9443 порты.  

    Спасибо за помощь! Но без шаманства не обошлось. Сначала нужно было в настройках сети Java настроить подключение к Прокси, зайти в банк-клиент - он не запустится, но подгрузит Java. Потом перенастроить на ДиректКоннекшн. И только так работает.
     
    На компе в результате 4 банк-клиента - Новиком-банк и РосЕвроБанк работают через BS-Defender и IE, Интернет не работает, пока один из этих банков не стартуешь. МКБ - тоже можно зайти вторым, после одного из них.  
    И ПромСвязьБанк - специально для него поставил Мозилу и страница по умолчанию - страница банк-клиента.
     
    Вроде пятого банка не ожидается...

    Всего записей: 2837 | Зарегистр. 23-11-2006 | Отправлено: 20:28 13-10-2008 | Исправлено: eap, 10:41 14-10-2008
    Keprocs

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    поковырялся с логами нашел, что  правило публикации порта не применяется при попытке вызвать Radmin... применяется общее правило... вот только почему?

    Всего записей: 57 | Зарегистр. 13-12-2005 | Отправлено: 11:23 14-10-2008
    BULLDOG



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Keprocs
    Порядок правил нужно поменять. Те правила, которые расположены выше заменяют разрешения более низших правил на те объекты, на которые они распростроняются.

    Всего записей: 387 | Зарегистр. 29-08-2003 | Отправлено: 12:53 14-10-2008
    LYNX



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    здравствуйте.
    подскажите кто как блокировал чат программы
     
     
    msn-messenger  
    заблокировал по content type application/x-msn-messenger
     
    qip
    заблокировал добавив в block list все его прокси
     
    нужно заблокировать ещё skype, mail.ru agent и т.п.

    Всего записей: 126 | Зарегистр. 01-10-2003 | Отправлено: 13:18 14-10-2008
    Keprocs

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Keprocs
    Порядок правил нужно поменять. Те правила, которые расположены выше заменяют разрешения более низших правил на те объекты, на которые они распростроняются.

    это я понимаю... и правило стоит самым первым в очереди... с терминалом аналогичная история.. применяется общее правило, эти он как пропускает....

    Всего записей: 57 | Зарегистр. 13-12-2005 | Отправлено: 13:46 14-10-2008
    LYNX



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    skype не блокируется по content type application/x-skype
    а я надеялся что всё так просто

    Всего записей: 126 | Зарегистр. 01-10-2003 | Отправлено: 15:36 14-10-2008
    lypky



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    LYNX
    С пару лет назад бился над этой ситуацией. В итоге 100% рабочего решения так и не придумал. В итоге помогли административные меры.
    У пользователей ограниченная учетная запись. Ума не хватит установить лишнее ПО. А если кто шибко умный - на тех есть служба безопасности.  
    Которая запретила.  
    А служба безопасности у нас очень суровая. И проблема исчезла.
    Хотя чисто теоретически это интересно - расскажешь потом чем дело кончилось.

    Всего записей: 699 | Зарегистр. 19-10-2006 | Отправлено: 02:34 15-10-2008
    LYNX



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть решение на основе групповых политик (поделились советом ребята со смежной организации)
    по хэшам програм блокировать в Software Restriction Policies
    метод плох тем что нужно постоянно пополнять список, по мере выхода новых версий программ.

    Код:
    Software Restriction Policies/Additional Rules
    Hash Rules
  • Skype.exe (3.8.0.115); Skype.exe; Skype; Skype; Skype Technologies S.A.  
    File hash  4BBE956B0711A2F4AA6706FFE871289E:22058792:32771  
      Security level  Disallowed  
      Description  Restriction for Skype.  
      Date last modified  05.08.2008 15:29:48
     
     
  • Skype.exe (3.8.0.115); Skype.exe; Skype; Skype; Skype Technologies S.A.  
    File hash  DA9D4B71AE491FCDDEF12D0A38408D935D14B75D:22058792:32772  
      Security level  Disallowed  
      Description  Restriction for Skype.  
      Date last modified  05.08.2008 15:29:48
     
     
  • Skype.exe (3.8.0.139); Skype.exe; Skype; Skype; Skype Technologies S.A.  
    File hash  EDBDF840B8D770F4B7D57270DE5AABBD:21718312:32771  
      Security level  Disallowed  
      Description  Restriction for Skype.  
      Date last modified  05.08.2008 16:05:35
     
     
  • Skype.exe (3.8.0.139); Skype.exe; Skype; Skype; Skype Technologies S.A.  
    File hash  38D201086A7769383C2CACAF3A189F9675726335:21718312:32772  
      Security level  Disallowed  
      Description  Restriction for Skype.  
      Date last modified  05.08.2008 16:05:36
     
     
  • Skype.exe (3.8.0.144); Skype.exe; Skype; Skype; Skype Technologies S.A.  
    File hash  E820F091D5E8CDFAA80A2EEE5EB67873:21738792:32771  
      Security level  Disallowed  
      Description  Restriction for Skype.  
      Date last modified  05.08.2008 16:02:54
     
     
  • Skype.exe (3.8.0.144); Skype.exe; Skype; Skype; Skype Technologies S.A.  
    File hash  49399D24498607855FFC053835BDBF896347F5D4:21738792:32772  
      Security level  Disallowed  
      Description  Restriction for Skype.  
      Date last modified  05.08.2008 16:02:54
     


  • Всего записей: 126 | Зарегистр. 01-10-2003 | Отправлено: 08:34 15-10-2008 | Исправлено: LYNX, 09:55 15-10-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru