Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     

    Назначение и применение сабжа..
    Продолжение шапки..

    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.

    // текущий бэкап шапки..

  • Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Antdik

    Цитата:
    Вообще то знаю.

    что то не похоже что знаешь )
    я же написал - route add нужная_сетка маска билайновский_шлюз
    ты в курсе что маршруты на сети можно писать отдельно, а шлюз по умолчанию один именно потому что он шлюз по умолчанию, туда посылается все для чего не нашлось нормальных маршрутов
    и кстати маршрутизации в исе нет, и шлюзов в исе нет.
    ps когда же люди будут учить матчасть хотя бы по винде

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 17:00 14-03-2009
    iknow



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не понял как работает кэширование Windows Update  ...сеть из 10 машин на всех ХР SP3, начал обновлять ...понятно - кэш на исе включен, все правила кеша по умолчанию (вернее там два правила - одно для Windows Update другое дефолтное нижнее) ...первая машина засосала все упдейты необходимые, ну я обрадовался - думал теперь дело пойдёт быстрее, т.к. интернет чуть ли не модемный ...нифига - следующие машины похоже забили на исовый кэш и вытягивали апдейты по новой - где косяк?  Спасибо.

    Всего записей: 673 | Зарегистр. 21-09-2005 | Отправлено: 19:40 18-03-2009
    ShriEkeR



    Moderator
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iknow
    Installing and Configuring Microsoft ISA Server 2004 SP2
    Как клиент Windows Update определяет, какой прокси-сервер использовать для подключения к веб-узлу Windows Update
    из шапки Разрешение ISA 2004 Server использовать Windows Update Services (Службы Обновления Windows)
    Проблемы с подключением к веб-узлу Windows Update версии 5 через сервер с ISA Server

    ----------
    Absit invidia verbo

    Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 20:29 18-03-2009
    iknow



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ShriEkeR
     
    нет у меня никаких проблем с подключением к Windows Update, и ISA у меня 2006 SP1 ... и Кэш я настроил как пишут в мануалах и в интернетах на всяких форумах - и вопрос вообще в том почему оно не кэшировало? почему остальные машины сосали упдейты по новой? ...

    Всего записей: 673 | Зарегистр. 21-09-2005 | Отправлено: 23:04 18-03-2009
    lamobot1

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ, такая проблема:
    Есть домен, вертится на вин 2000, ввел в домен вин 2к3, поставил на этот вин2к3 ИСА серв 2006 стандарт. Настроил порт подключения для проксирования.
    (авторизация встроеная и даджест, порт и всё остальное не трога, добавил тока галку дайджест и больше ничего не трогал)
    Создал группу в АД, создал юнита в исе присвоил группу из АД в юнит.
    Создал правило из внутренней сети выпускать во внешнюю через протокол HTTP-прокси, (также порт по умолчанию 8080) включен вэб фильтр, для этого юнита из исы.
     
    Пытаюсь идти с машины в инет через IE (предварительно естественно настроив прокси), срабатывает почему-то правило по-умолчанию, т.е. блок.
    У меня мозг взрывается уже, бьюсь 3ий день.
     
    Если создать правило из внутренней во внешнюю выпускать всех через хттп(просто как шлюз) - пропускает и всё работает, но так не правильно.
     
    З.Ы. Есть мнение что контроллер домена работает не корректно и иса не может взять учётку из домена. Но кроме исы всё остальное хозяйство работает более менее стабильно.

    Всего записей: 64 | Зарегистр. 24-08-2007 | Отправлено: 08:45 24-03-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lamobot1

    Цитата:
    Создал группу в АД, создал юнита в исе присвоил группу из АД в юнит.

    ты писать по русски можешь? где ты там юнит нашел? и присваивают не в что-то а чему-то
    если у тебя в этом случае отрабатывает дефолтное то причем тут контроллер? ты в логи то смотрел?
    напиши подробнее какое ты правило создал и какие протоколы разрешил?

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 10:29 24-03-2009
    lamobot1

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    В АД в OU "Groups", создана группа "Интырнет", добавлена моя учётка.
    В исе, в закладке Пользователи создан юнит "Интырнет", туда назначена группа из АД "Интырнет".
     
    В правилах создано:
    Действие - Разрешать
    Откуда - Внутренняя
    Куда - Внешняя
    По протоколу -  
    1) HTTP-прокси (встроенный протокол) порт 8080, со включеным фильтром ВЭБ-прокси
    2) ДНС.
    Пользователи - "Интырнет".
     
    Всё, вроде должно работать, но не работает.
     
    В логах пишет что идёт запрос с моей учётки по протоколу HTTP-прокси и срабатывает дефолтное запрещающее всё правило.

    Всего записей: 64 | Зарегистр. 24-08-2007 | Отправлено: 10:52 24-03-2009 | Исправлено: lamobot1, 10:55 24-03-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lamobot1
    мда...
    очень советую почитать какие нить общие книги по работе сетей и в частности прокси. особенно о том как работают последние
    когда юзер идет через прокси он идет на саму ису, и это разрешать не надо отдельным правилом (тока галкой в свойствах network). а чтобы разные протоколы могли работать через проrси их надо как раз разрешить наружу, в частности http (нормалный обычный http) и остальные какие нужны (ftp например или https)
    и кстати на http proxy насколько я помню не стоит web filter
     
    ps
    Цитата:
    В исе, в закладке Пользователи создан юнит "Интырнет",  
    у нормальных людей это называет User set (набор пользователей или группа), а юниты остались в игрушках

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:00 24-03-2009
    lamobot1

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Хорошо, убрал протокол HTTP-прокси, оставил HTTP, HTTPS, DNS, откуда - поставил локальный компьютер (иса русская поэтому написал не локалхост) , куда - также Внешняя.
     
    Лог пишет Соединение начато, следующая строчка - Соединение закончено.
     
    Если не сложно, кинь в ПМ мне свою аську или скайп чтоб оперативнее разговаривать.

    Всего записей: 64 | Зарегистр. 24-08-2007 | Отправлено: 11:15 24-03-2009
    Baraber

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А с какого фига тебя должно пускать по порту 8080 на сайты? HTTP и HTTPS открой для юзеров наружу, и будет тебе счастие. А ДНС форвардь.
     
    Добавлено:
    2lamobot1
    _http://isaserver.ru/forums/thread/14710.aspx - беги туда, качай книжку, читай раздел по быстрой настройке ИСА сервера - настраивай в соответсвии с ним, получиш рабочую ИСУ. Потом перечитай на досуге всю внимательно.

    Всего записей: 2 | Зарегистр. 20-10-2005 | Отправлено: 11:25 24-03-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lamobot1
    dns через прокси работать не будет, проверяй как у тебя вообще dns настроен (настройка dns к исе отношения мало имеет, главное разрешитить этот протокол для твоих внутренних доменных dns)
    говноскайпом не пользуюсь, асек я никому не даю, был печальный опыт, потом не отобьешься от лавины тупых вопрос гуманитериев

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:44 24-03-2009
    lamobot1

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Фух, всем спасибо! Разобралсо!

    Всего записей: 64 | Зарегистр. 24-08-2007 | Отправлено: 12:20 24-03-2009
    IeugeniyI

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ребета привет...
    Есть вопрос...
    Есть АД + ДНС + ИСА...
    Хотел бы сделать так, что бы когда Юзер превышает лимит закачки ( например > 100 мегабайт) мне на почту приходило письмо, что юзер такой-то качает то то...  
    Но что бы после 100 метров... до 10 метров пусть качает ...
    Знаю что можно, но зыбыл как и не помню...
    Кто поможет ))) ?

    Всего записей: 262 | Зарегистр. 08-03-2006 | Отправлено: 16:20 24-03-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IeugeniyI
    у исы нет лимитов, во всяком случае у 2004|2006|tmg

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:03 25-03-2009
    IeugeniyI

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted нет не лимиты...
    Есть такая фича... не помню де....  
    Делаешь свое правило... например -     отповещать меня если пользователь пошел на такой то сайт, или пользователь начал закачку файла болшего чем 100 мегабайт..
    Есть 100%........  
     

    Всего записей: 262 | Зарегистр. 08-03-2006 | Отправлено: 14:11 25-03-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IeugeniyI
    это тебе 100% приснилось
    иса не может отслеживать какие файлы кто качает, тем более в начале закачки - в лог иса  пишет обьем при завершении соединения, и она пишет только обьем за соединение и не пишет файлы и остальную ерунду (этим могут заниматься только левые фильтры и плагины и то далеко не все они могут предусмотреть)
    все алерты и оповещения можно настраивать только в monitoring->alerts->configure alert definitions, но там ты ничего не найдешь про закачки, фалы и их размер

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:27 25-03-2009
    papanin



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Сильно ногами не бейте, задайте только направление где копать
     
    Есть Win2003SP2 сервер, на нем подключение в Инет через сеть провайдера по PPTP. В данный момент зашарено это подключение стандартными средствами винды. Попробовал поднять ISA2006 на сервере, сделал одно правило с локалхоста наружу разрешить все. После этого при попытке PPTP соединения зависает не проходит проверку логин/пароля.

    Всего записей: 37 | Зарегистр. 31-08-2004 | Отправлено: 16:17 25-03-2009
    IeugeniyI

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted нет, мы друг-друга не понимаем )))
    Можно... я Вам докажу )))
    На на сатдии закачки, а в проуесе закачуи определить......
    Юзер начал закачку 600 метров.... с качал уже 100, и ОПА... мне на почту месадж - юзер такойто привысил 100 мегабайт...
    МОЖНО ...
    не могу вспомнить  

    Всего записей: 262 | Зарегистр. 08-03-2006 | Отправлено: 11:31 26-03-2009
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IeugeniyI
    а доказательство где?
    во первых определись с термином - что ты называешь закачкой? для любого фаера, и исы, закачка это любой трафик, будь это просто html страничка с кучей картинок, потоковое видео или радиотрансляция, или просто файл - для нее это все просто веб трафик
    во вторых в ИСЕ ТАКОГО НЕТ  И ТОЧКА
    левые эддоны вполне способны лимиты отслеживать, а иса нет. но лимиты опять же надо определить - для отдельно взятого закачанного файла лимитов нет, потому как однозначно определить где один файл а где несколько очень тяжело, левые квотеры могут определять лимиты за какой либо ранее указанный период (например 100 мб за день) - это всегда пожалуйста.
    можешь напрягать свою память сколько хочешь, но гораздо проще посмотреть глазами и убедится что там такого нет - в исе настройки все на поверхности и их очень мало

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:23 26-03-2009
    demondeimos

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вобщем полная картина следующая:  
    стоит small business 2003 server, на нем AD и ISA 2004.  
    PPPoE поднимает ISA  
    когда рвется связь, например из-за косяка на линии и происходит разрыв РРРоЕ, то ИСА блокирует доступ к компу по сети целиком и полностью, т.е. авторизация вся у юзерей отваливается полностью.  
    второй косяг: ИСА, когда линия восстанавливается и модем показывает что коннект есть РРРоЕ соединение поднять уже не может, точнее пробует, а в лог сыпятся сообщения, что ИСА не может поднять соединение из-за того, что удаленный компьютер не отвечает или неправильные юзер и пароль. Хотя, если рестартануть сервак полностью, то ИСА прекрасно поднимает РРРоЕ и все крутиться на автомате.  
    -  
     Плюс, когда падает РРРоЕ у ИСА в логах появляется ещё и следующая ошибка:  
    " ISA Server detected routes through the network adapter Сетевое подключение that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 0.0.0.1-10.0.0.0;10.0.0.121-126.255.255.255;128.0.0.0-192.167.255.255;192.168.2.0-223.255.255.255;240.0.0.0-255.255.255.254;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.  
    <br>ISA Server detected routes through the network adapter Loopback that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: ххх.ххх.ххх.ххх-ххх.ххх.ххх.ххх;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur."  
    (примечание: ххх.ххх.ххх.ххх во второй части ошибки - айпи получаемое после РРРоЕ соединения)  
    Вопрос:  
    1. как сделать чтобы ИСа не блокила сервак, т.к. АД в ближайшей перспективе перенести некуда.  
    2. куда копать по поводу невозможности ИСА поднять соединение после обрыва?  
    Помогите пожалуйста.

    Всего записей: 268 | Зарегистр. 17-06-2006 | Отправлено: 05:13 27-03-2009
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru