emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору <<< Предыдущая часть этой темы Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   продолжение шапки.. Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 19:03 10-03-2007 | Исправлено: Out, 23:44 03-05-2007

PIL123 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору У меня вопрос по VPN доступу по L2TP/IPSec.   Для соединения с сервером по этому протоколу необходим установленный сертификат компьютера на стороне VPN клиента. При этом, проблем с коннектом компов из домена нет, т.к. этот самый сертификат раздаётся автоматически через GPO. А вот как быть, если машина не в домене и никакого сертификата на ней нет - как нужно его установить? Как правильно настроить доступ к сети по VPN только через L2TP/IPSec? Всего записей: 819 | Зарегистр. 25-06-2003 | Отправлено: 22:50 10-03-2007

Dmakc Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Имеется W2K3 Server c  установленным на него ISA Server Standard 2006. Кроме того, на этой машине по воле случая пришлось поставить сервер терминалов, необходимый для доступа пользователей в интернет через маршрутизатор во в другом сегменте сети организации. При этом в этом сегменте люди пользуются NetBios с разрешенным гостевым доступом.   В связи с этим появился вопрос - можно-ли для определенных локальных пользователей (пользователей терминальных сеансов) с помощью ISA запретить доступ через NetBios к хостам из определенной подсети?   Я пробовал создать группу пользователей и правило, которое бы запрещало доступ для этой группы пользователей от Localhost в заданный сегмент. Но, что странно, при этом пропадает доступ не только для заданной группы пользователей, но и для всех остальных, включая администраторов. Т.е. создается впечатление, что ISA не может идентифицировать локальных пользователей, работающих с сетевыми ресурсами через NetBIOS. Или я что-то не так делаю?   PS: Или возможны другие способы запрещения доступа к NetBIOS для определенных пользователей? Ищу уже третий день, но ничего стоящего не нашел. Всего записей: 14 | Зарегистр. 28-11-2004 | Отправлено: 00:00 11-03-2007

PIL123 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Наличие бесперебойного Интернета бизнес критично для компании - для этих целей компания пользуется усоугами нескольких провайдеров. Гейтом в компании служит Microsoft ISA Server 2006 Enterprise Edition, и, честно говоря, на мой взгляд, является слабым звеном между локальной сетью компани и Интернетом. Подскажите, пожалуйста, как можно резервировать это слабое звено? Вроде краем глаза где в ИСЕ видел возможности кластеризации её. Всего записей: 819 | Зарегистр. 25-06-2003 | Отправлено: 02:41 11-03-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vicwanderer а как у тебя исы видят друг друга?     Добавлено: PIL123 через веб интерфейс, описано в любой книге или статье про l2tp   Добавлено: Dmakc интересно а как по твоему юзера аутенфикацию проходить будут? почитай какие типы клиентов поддерживают аутенфикацию пользователей, а потом этот бред пиши   Добавлено: PIL123 две исы в array   Добавлено: simapupkin создай правило разрешающее этот протокол. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:50 12-03-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору simapupkin Цитата: Еще вопросик - где отключить клиентов SNAT, а оставить доcтуп в инет только клиентам WEBproxy?   нигде, можешь запретить nat как таковой но клиенты всегда будут Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 14:44 12-03-2007

NikolaPitersky Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ помогите пожалуйста! Не работает активация windows xp oem через isa 2004 комп подключается по dhcp не в домене, при этом инет работает отлично Всего записей: 39 | Зарегистр. 09-09-2005 | Отправлено: 14:48 12-03-2007

simapupkin Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: simapupkin     Цитата:Еще вопросик - где отключить клиентов SNAT, а оставить доcтуп в инет только клиентам WEBproxy?       нигде, можешь запретить nat как таковой но клиенты всегда будут     Тоесть клиенты SNAT всегда смогут ехать в инет без настроек прокси в броузере? прикол!   Значится все решаем через аудентификацию? Всего записей: 41 | Зарегистр. 28-04-2005 | Отправлено: 14:58 12-03-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору simapupkin ты сначала напиши что ты конкретно хочешь, а потом глупости пиши само выражение отключить snat клиентов означает вытащить у них провод из сетевухи если ты хочешь именно веб трафик пустить только через прокси (чтобы без настроек про) то запрети "transparent http", как это сделать есть на офсайте. но в monitoring->sessions snat rlbtyns будут всегда, это так должно быть и это вовсе не означает что кто то лезет в инет мимо прокси Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 15:07 12-03-2007

simapupkin Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: simapupkin   ты сначала напиши что ты конкретно хочешь, а потом глупости пиши   само выражение отключить snat клиентов означает вытащить у них провод из сетевухи     Есть локальная сеть с локальным веб сервером.   Задача (так оно было до переезад на с 2000 на ISA 2006) - рабочим станциям у которых в броузере не прописан прокси сервер, не дать выхода в интернет, но дать доступ к локальному сайту.   Локальный сайт опубликован на внешнем интерфейсе ISA. Значится сделав правило запрещающее порт 80 для всего исходящего трафика из интранет в интернет, мы закроем достут к сайту.     Всего записей: 41 | Зарегистр. 28-04-2005 | Отправлено: 18:04 12-03-2007

vlazari Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вопрос для спецов, любителей ISA 2004, ISA 2006 & RRAS VPN. Не люблю я настройки VPN в ISA 2004-2006. Пользуюсь средствами Routing and Remote Access в Windows Server 2003. На ISA 2000 у меня всё прекрасно работало. С переходом на ISA 2004 очень удивился, что RRAS VPN нельзя использовать, только встроенные в ISA. Недавно перешёл на ISA 2006 и обнаружил что там RRAS работает независимо от ISA (помню в ISA 2004 при отключении встроенного VPN  - сразу отрубался RRAS). Так ли это, действительно ли Microsoft решили что многим этот способ больше подходит... Можно ли этим пользоваться? Жду ваших комментариев. Также прошу написать кто чем пользуется для VPN. Всего записей: 244 | Зарегистр. 20-09-2005 | Отправлено: 18:50 12-03-2007

Dmakc Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hardhearted Цитата: интересно а как по твоему юзера аутенфикацию проходить будут?   С моей точки зрения, пользователи аутентифицировавшиеся при входе в систему (при локальном входе на сервер с ISA) прошли аутентификацию и обладают идентификаторами пользователя/группы - т.е. их трафик можно идентифицировать и должна существовать возможность управлять этим трафиком. Но опыт показывает, что хотя для трафика от обычных приложений это так, но для трафика от системных служб (в т.ч. и сетевых) это не так. Или я что-то не правильно понимаю?   Цитата: почитай какие типы клиентов поддерживают аутенфикацию пользователей, а потом этот бред пиши   Прошу прощения, но я ничего не утверждал, а лишь задал вопрос. Если я не правильно его задал - поправьте и я буду благодарен. В противном случае любое высказывание можно с известной долей уверенности называть бредом и стоять на своем. Вот только толку в этом мало... Всего записей: 14 | Зарегистр. 28-11-2004 | Отправлено: 20:27 12-03-2007

Asker80 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: С моей точки зрения, пользователи аутентифицировавшиеся при входе в систему (при локальном входе на сервер с ISA) прошли аутентификацию и обладают идентификаторами пользователя/группы - т.е. их трафик можно идентифицировать и должна существовать возможность управлять этим трафиком. Но опыт показывает, что хотя для трафика от обычных приложений это так, но для трафика от системных служб (в т.ч. и сетевых) это не так.   Бред. Обычные приложения, это что, браузер? Аутентификация возможна либо для WebProxy клиентов, либо для FWC клиентов. Все. В первом случае это только Web трафик, во втором требуется установить FWC на клиентских машинах. За подробностями отсылаю к мануалам, а то слишком много придется объяснять.   Аутентификация возможна в рамках какого-то протокола, определяющего/поддерживающего данный тип аутентификации. Протокол - это часть трафика вообще. Так сказать, одно заключено в другое, а другое в третье. Принцип матрешки (очень грубо и приближенно, но идея, надеюсь, ясна?). А в твоем представлении все наоборот Всего записей: 482 | Зарегистр. 29-08-2005 | Отправлено: 07:42 13-03-2007 | Исправлено: Asker80, 07:49 13-03-2007

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору simapupkin давай не будем путать исходящий и входящий трафик, опубликованный сайт это уже входящий трафик, и запретив "прозрачный" http ты не испортишь свою публикацию. заставить юзать только прокси для веб трафика можно требя способами 1. пропускать веб только для аутенфицированных пользователей и при этом не ставить fwc на компы 2. вообщек отключить nat между сетями (если есть службы которые должны идти в инет то не катит) 3. запретить "transparent" http   Dmakc написал полнейший бред, с чего ты взял что авторизация и аутенфикация в домене позволит тебе аутенфицировать весь трафик? это соверншенно разные и независимые вещи то что ты в домене получаешь тикет это не значит что он для всего подходит, этот тикет нужен только для работы в домене по некоторым протоколам. Аутенфикация юзера в случае исы совсем другое и поддерживается только тремя видами клиентов 1 proxy (требуется настройка в приложении) , как частный случай веб прокси которым является иса, хотя можно поставить и левые socks5 прокси. работает конечно же только для програм которые умеют ходить через прокси. 2. firewall client, в принципе его работа  основана на winsocks, то есть действует почти как прокси, его задача перехватывать трафик от приложений и кидать на ису вместе информацией об аутенфикации(это его главная и наверное единственная польза). работает только для трафика tcp/udp 3. vpn client, с ним все понятно, весь трафик идущий по vpn каналу считается трафиком идущим от юзера который этот канал установил. таким образом аутенфицируется любой тип трафика способный работать через впн. в случае когда юзера сидят на исе тебе ни один из типов клиентов не годиться для netbios трафика и это вполне очевидно (fwc на ису ставить нельзя).   Добавлено: vicwanderer а ты маршруты написал на исе что в другой офис надо через другой интерфейс ходить? все куда через третий интерфейс идет трафик надо включить в отдельный, третий, network. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:39 13-03-2007

dandy2000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не бейте сразу...   Как заставить ИСУ 2004 пускать Counter Strike в нет?   Пытался порты открывать - ничего не изменилось ((( Всего записей: 1443 | Зарегистр. 15-01-2003 | Отправлено: 15:29 13-03-2007

simapupkin Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: simapupkin   давай не будем путать исходящий и входящий трафик, опубликованный сайт это уже входящий трафик, и запретив "прозрачный" http ты не испортишь свою публикацию.   Публикацию не испорчу. Только клиенты SNAT не будут иметь к нему доступ. Так как линк и IP у него одинаковый, что снаружи то и изнутри. Проверял!       Цитата: заставить юзать только прокси для веб трафика можно требя способами     Неvножrо не на то ответ. У меня в инет ехали все клиенты webproxy, а к локальному сайту доступ для snat и webproxy.     Цитата: 1. пропускать веб только для аутенфицированных пользователей и при этом не ставить fwc на компы   Дык я выше и писал - что все решаем аудентификацией.   А fwc у меня и не получится - Linux однако.     Цитата: 2. вообщек отключить nat между сетями (если есть службы которые должны идти в инет то не катит)     Полность согласен. Не катит.     Цитата: 3. запретить "transparent" http   Я так понял, ты про это   http://support.microsoft.com/?kbid=884505   У меня есть пару ресурсов которые не допускают использование прокси.     По мне так выпускать всех через аудентификацию и не парить себе и окружающим мозги. Всего записей: 41 | Зарегистр. 28-04-2005 | Отправлено: 16:16 13-03-2007

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 (Часть III)

emx (13-07-2008 10:54): Microsoft ISA Server 2006/2004/2000 (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование