![]() |
Цитата:
но висит в трэе с желтым воскл.знаком ...... а вот служба в автомате не стартует ((( |
Benson
Что в Event Log? |
KomatoZo
к сож. комп сейчас недоступен (( как смогу - посмотрю логи ..... |
Цитата:
ну и eventlog тож надо глянуть. |
Помогите ПЛЗ настроить qip работающий через ISA Server 2004
желательно поподробнее расписать, так как дуб я в этом деле! И почему ICQ работает без всяких проблем, а qip ни в какую? |
Подскажите, пожалуйста, как решить следующую проблему:
ISA 2006 EE под W2003EE SP1, опубликован сайт пользователи до ISA идут по SSL, аутентификация имя/пароль (не сертификаты) от ISA до web-сервера по HTTP, аутентификация интегрированная Windows Как настроить ISA, чтобы одному пользователю можно было создать только одну SSL-сессию? (в приципе, легко настраивается "одна SSL-сессия с каждого IP-адреса", поэтому равносильная задача, как, по SSL, запретить одновременно одному пользователю работать с разных IP-адресов) |
Как настроить ISA 2006 на работу через нее программ -менеджеров закачек FlashGet 1.6 и DownloadMaster. Сейчас ISA отклоняет обращения этих программ, в их логах одно и тоже сообщение : "HTTP/1.1 502 Proxy Error ( The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. )"
На клиентских машинах стоит fw-client так что я думаю дело не в аутентификации, которую эти программы делают по basic методу. |
аунтефикация в ISA без домена
День добрый.
Проблема: есть небольшая сеть 15-20 машин и один сервак Win2003 + ISA2004 и адсл подключение к провайдеру хочу сделать так, чтобы пользователи сети подключались к МОЕМУ ISA Server через VPN, а затем так чтобы ISA сервер позволял им входить в интернет через соединение с adsl . Так вот как это сделать без домен контроллера. Создать учетные записи на сервере с ИСОй, а потом? Для RADIUS нужен DC по моему. Настроить на этом серваке DHCP и по IP впускать, а авторизация. Мне нужно чтобы usera подключались по логину и паролю, как это сделать? Может кто напишет пошаговую инструкцию? Типа сначала создай пользователей, затем DHCP, затем подымай VPN итп.? |
lewa, про поиск не забываем.
Очень подробная инструкция по поднятию VPN на ISA находится здесь http://networkdoc.ru/files/insop/isa...l?vpn2004.html |
Уважаемые Спецы, будте так добры подскажи пожалуйста дураку как в ISA 2006 enterprise (стоит на win2003 он же и AD) настроить доступ для пользователей в нет.
Ваще её в смысле ису первый раз вижу, сёдня еле поставил ито не знаю правильно или нет. на cамом сервере доступ к нету есть (ну по крайней мере на Update) а на пользователях нет, как быть. Да и как её воабще на работу настраивать воабще не понятно очень нужен ваш ХЕЛП |
КАкую литературу посоветуете по ISA Server 2006 ?
Что то воабще ни каких книг по 2006 я так и не нашёл. Объясните, что нужно сделать чтобы мои пользователи увидели локальную сеть и интернет, а дальше я сам разберусь. |
to FantomIL,
Именно этот документ я и читал. И именно после него возникли вопросы. Ведь я спрашиваю как настроить VPN без ActiveDirectory а в этой статье пишут: < Рабочая группа должна быть прописана в Active Directory. // а его у меня нет и не будет, далее: <Преимущество использования аутентификации RADIUS заключается в том, что вы <можете управлять списками пользователей Active Directory (или других) для <аутентификации пользователей без присоединения к Active Directory domain; // а вот здесь не понятно, так нужен для RADIUS Active Directory или нет? // если можно использовать без Active Directory то в этой статье как это сделать не написано. Вот отсюда и начинаются проблемы - как подключить клиентов по VPN без Active Directory? Прописать учетные записи на компе с ИСОЙ? А клиент ИСЫ ставить надо на юзерские машины? Нужно чтоб и файервол тоже работал. Единственная проблема как их (пользовательские машины) обнаружить на ИСЕ? По IP? По MAC? Или как? Если они не в домене. |
Цитата:
Цитата:
Цитата:
|
lewa, ты действительно определись и подробно расскажи чего ты хочешь сделать в итоге.
Чтобы соединиться по VPN с ISA, клиентская машина не обязана быть в домене. Авторизация проходит по username/password. Если ты хочешь организовать ограничение прав на доступ к И-нету из внутренней сети, то зачем городить огород с VPN? Достаточно раздать на DHCP постоянные адреса и применять правила доступа к этим адресам. Цитата:
RaulDuk, при установке по умолчанию ISA запрещает все и всем, кроме апдейтов от Microsoft. Теперь тебе надо создавать правила доступа. Например, для того, чтобы пользователи могли серфить в И-нете тебе надо в политиках файрволла создать новое правило доступа, которое разрешает доступ из внутренней сети в наружную сеть по протоколу http, https для всех (определенных) пользователей. Аналогично действуешь для других протоколов. Самым последним правилом должно стоять правило, запрещающее все и всем. |
Я правильно понял ? захожу в Firewall Policy далее Create Access Rule далее ввожу имя правила, далее устанавливаю разрешить (Allow) или запретить (Deny) далее выбираю протоколы с каторыми это правило работает, далее выбираю сеть источник (подключение к интернету, в данном случае "External") далее сеть назначения (подключение к локальной сети "internal") далее пользователь или группа пользователей к которым относится данное правило и наконец щёлкаем на готово.
или надо что то ещё настраивать ? А ещё такой вопрос стандар и энтерпрайс сильно отличаются в плане разграничения прав дотупа к инету тамуже или нет, просто итерпрайэ чтоб поставить надо какойто сервер настроик делать и ещё всякую хрень, а стандарт нажал установить и но проблема. |
RaulDuk, если ты хочешь разрешить пользователям локалки доступ в И-нет, то сеть источник это "internal" (локальная сеть), а сеть назначения это "External". :)
Но, в общем, мыслишь правильно. Различия между стандартной и интерпрайз версиями хорошо отражены во в этой таблице: http://www.itpro.kiev.ua/licensing/view/?id=69 Но если ты задаешь такой вопрос, то тебе больше подойдет стандарт :) |
FantomIL а для установки интерпрайс нужно сначало настроить стораж сервер (сервер хранения настроек) далее создать саму ИСУ, так или нет ? и паходу всё на разных компах ставить нада ?
А чтобы локальную сетку пользователям открыть, надо такоеже правило, только и сеть источник и сеть назначения будет INTERNAL? а протоколы какие для локалки разрешать надо? И надо ли что разрешать DHCP серверу в сети (в ISE) если он работает на отдельном компе а не на администраторе домена, что бы он (DHCP) выполнял свои функции ? А самое главное, как мне настроить VPN соединение, например что бы из дома можно было соединяться с сетью с работы и там работать :) ну а воабще я хотел поставить сервак для фтп и удалённого доступа к сети, как мне настроить ису что бы она впускала определённых пользователей к их рабочим местам ? а другую часть пускала к ФТП серверу и чёто я не пойму, надо будет на домашний комп исовского клиента ставить ? а дальше что у меня дома динамический IP как она ISA меня узнавать будет при смене IP адреса ? чё то полный затык у меня с пониманием этого и ещё вопрос, если мне нужны серверы как я уже писал ФТП и VPN, а ISA у меня стандарт, то мне на кждый из данных серверов надо ставить ису ? и как тогда их (ИСЫ) настраивать для совместной работы? |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
Сообщение от РаулДук и ещё вопрос, если мне нужны серверы как я уже писал ФТП и ВПН, а ИСА у меня стандарт, то мне на кждый из данных серверов надо ставить ису ? и как тогда их (ИСЫ) настраивать для совместной работы? Не нужно на каждый сервер ставить отдельную ИСУ. Достаточно установить один ИСА-сервер и опубликовать в нем твои внутренние сервера. сервера не внутренние, то есть они одной сетевухой будут в инет смотреть, а другой в локалку, но в инет пользователи из локалки будут выходить с другово сервера, то есть к ФТП серверу подход будет с другово ай пи адреса нежели интернет в локалку берётся. по этому и спрашиваю на него ису ставить или нет? если нет то подскажи пожалуйста как его (ФТП) опубликовать в ИСЕ. Про ДХЦП то ни кто меня не спрашивал кто будет ДХЦП (Не понял вопроса. Обычно на ИСА указывается кто в сети выполняет функции ДХЦП-сервера.) где это указывать я не знаю, объясни пожалуйста. и про локалку не очень понял как правило создать, целый день просидел, так и не получилось, хотя с нетом теперь всё ХОРОШО!! вобщем есть нет а локалку не знаю как уговорить работать, и ещё почему то теперь когда к компу подцепляешся то он какойто логин и пароль гостя спрашивает, хотя раньше такого не было. |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Сформулируй проблему, я не телепат. Цитата:
|
Что значит локалка не работает? Не пингуется? Нет возможности обращаться к расшареным ресурсам? Не видны рабочие станции в сетевом окружении?....?
Именно, нет возможности общаться к расшареным ресурсам, не видны рабочие станции в сетевом окружении. воабще мне надо сделать так, определённым пользователям локальной сети дать доступ на определённый фаил-сервер допустим, я настраиваю правило: разрешить весь трафик из локальной сети (INTERNAL) на север такой то (сервер предварително добавлен в ИСЕ в папку компьютеры) и далее указываю ползователей с каторыми это правило работать должно, но оно не работает почему то. ------------------------------- Ты говорил, что локалка не работает. Или работает? Кто пароль спрашивает? ну с сервака забиваю \\192.168.*.*- а он предлагает мне ввести пароль причём в строке пользователь уже вбито гость и изменить эту строку нельзя --------------------------------- Еще раз повторюсь. Достаточно создать ВПН-соединение, а дальше авторизовывать пользователей на доступ к ФТП средствами самого ФТП-сервера. пользователи на этом фтп будут не люди из канторы нашей, а постороннии, я думал просто пароли им дать и всё пусть на фтп лазяют сколько хотят. ----------------------------------- DHCP тебе требуется только для присвоения адресов клиентам ВПН. я знаю зачем мне ДХЦП нужен, мне нужно както его настроить чтобы ИСА его не блокировала, что бы он в свою очередь раздавал АЙПИШНИКИ пользователям моей сети локальной, просто компов в ней не мало поэтому не хочу руками их вбивать. Фантомил, объясни пожалуйста дураку, как правильно создавать правила. Например мне надо создать доступ к фаил серверу внутри локальной сети ну чтобы пользователи локальной сети могли подключить локальные диски и работать с ними. Как правильно создать правило для этих целей ? -------------------------------------------------- и какая разница между Firewall Policy Tasks и System Policy Tasks ? надо ли что то менять в System Polisy Tasks ? и такой вопрос с помощью ИСЫ можноли определённым пользователям снизить скорость доступа в интернет ? |
Цитата:
правила для и-нета у тебя же работают следующим образом: From: internal To: external К самому компу с ИСА из локалки, по хорошему, доступ должен быть только по 8080(по-умолчанию) и RDP с компа Админа. Цитата:
к внешним ресурсам правило должно идти из локалки к определенным ресурсам и там задаем пользователей. Цитата:
Цитата:
Цитата:
1. From: internal To:localhost Protocols: DHCP(request) 2.From: localhost To:Internal Protocols: DHCP(reply) по идее должно быть достаточно для DHCP. Цитата:
Цитата:
Цитата:
|
ты имеешь в виду у тебя нет доступа к локалке с сервера с иСА? ну так по умолчанию его и не должно быть. вообще считается что нельзя открывать доступ к локалхост ИСА из локалки и от локалхост ИСА в локалку.
так уж получилось, что на сервере с ИСой расположен фаилсервер поэтому мне пришлось открыть к нему доступ определённым группам пользователей. Чем это плохо? ----------------------------------------------------------------------- как уже говорил тов. FantomIL, публикуешь ФТП и дальше мучаешь настройки уже ФТП сервера. не я ФТП вынес на другой комп, и посадил ево н отдельный айпишник, потаму как перед сервером через который все выходят в нет на айпи висит фаирвол ну и другие есть причины. -------------------------------------------------------------------------- средствами самой ИСА нет. Можно поставить дополнительные плагины. Но они отдельно стоят денег. а можно по подробнее про эти плагины, уж очень интересно ------------------------------------------------------------------------- отключи учетную запись Гость гость и в AD и на пользователях отключён |
Цитата:
Цитата:
плагинов достаточно много для разный случаев жизни, едиственный минус- платные. Цитата:
Цитата:
офф.топ: пользуйся плз кнопкой цитата выделенного если хочешь процитировать что-либо, а то читать твои посты неудобно. |
Цитата:
Цитата:
я вот думаю чем прикрыть локалку на этом компе, так как он одной стороной в нете а другой в локалке, кагбы так сделать чтобы с нета через него в локалку не кто не вломился без разрешения моего Цитата:
а штука такая что на учётке гость воабще пароля ни какого нет, а без пароля не пукает сцуко, а под администратором не даёт возможности войти так как пользователя вписать другово нельзя. Цитата:
-------------------------------------------------------------- а посоветуй пожалуйста какойнить нормальный антивирус,чтобы с ИСОй дружил без проблем |
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
а пендали волшебные что мне получать что ли, я лицо не ответственное, мне сказали я поставил Цитата:
|
Цитата:
Цитата:
|
А то что после утановки ИСЫ интернет стал долго загружаться, это почему?
как с этим бароться? |
Цитата:
2. антивирус: в серверном антивире надо обязательно отрубить проверку файла с кешем ИСЫ, иначе возможны падения кэша и вообще ухудшение работы сервера. 3. конфликт плагинов: например, СурфКонтрол будучи установленным вместе с GFI увеличивают нагрузку на сервер, что опять же приводит к ухудшению производительности 4. Системные требования плагинов: опять же тому же СурфКонтролу требуется для нормальной работы не меньше гига оперы, а если включать все его примочки, то лучше 2. 5. слишком большой кэш: из-за установки слишком большого кэша происходит регулярное повреждение файла кэша потому что ИСА просто не успевает периодами корректно завершить с ним работу. В результате ИСА начинает восстанавливать файл с кэшем, что приводит к сжиранию всех ресурсов сервака под это дело пока она его не восстановит. Так что не рекомендуется устанавливать слишком большой файл кэша. |
почему то, такая штука получается, создаю в AD группы пользователей, добавляю эти группы в ИСУ при создании в ней новой группы пользователей, создаю правило доступа в нет, а ИСА не пускает пользователей этих ADэшных групп в интернет, но если из AD берутся пользователи а не группы пользователей, и добавляются в ИСУ то тоже самое правило начинает работать, то есть даёт данным пользователям выход в интернет. что делать не знаю, потаму как без груп ADэшных не жизнь.
|
RaulDuk, в каком режиме у тебя клиенты с ИСА работают?
Если это SecureNAT, то так и должно быть. Аутентификация по группам работает только в режимах WPC (WebProxy Client) и FWC (FireWall Client). То бишь установка FWC спасет отца руской демократии :) Кроме того, надо включить системное правило, разрешающее доступ к службам каталогов для проверки подлинности. |
спасибо агромное за уделённое мне внимание :)
когда все севера устанавливал на одном компе, и поверх ставил ИСУ, всё нормально работало, теперь разнёс сервера на разные компы, и поевилась такая штука, когда на VPN (преобразование в нат) сервер устанавливаю ИСУ, то он перестаёт видить домен, то есть пользователей домена я не могу протащить через ИСУ, могу только создавать правила для "всех пользователей". происходит данное не обезательно сразу после установки ИСЫ, какоето время сервер может поработать, ро исход всегда один, шлюз падает, ИСУ снимаеш, комп начинает видить домен, но интернет появляется не на всех компах в домене, винды перекидывал не одинажды, после переустановки интернет появляется на всех компах в домене,но как только ставиш ИСУ результат один и тотже, комп перестаёт видить домен. подскажите в чём сдесь может быть дело, уже всю голову себе сломал, но толку нет, всё повторяется из раза в раз, единственное что я не обновлял ВИНДЫ после установки, перед тем как ИСУ ставить, но мне кажется что причина не в этом |
Цитата:
2. запусти лог и посмотри нет ли Denied на траффик от контролера домена и к нему. 3. вариант: добавляешь в группу локальных пользователей юзеров домена, а потом правила пишешь уже используя эту локальную группу. 4. Вызови System Policy Editor(правой кнопкой мыши по FireWall Policy, а там System Policy Editor) и проверь ключено ли правило для Active Directory. 5. Когда комп ещё не выпал из домена или после сноса ИСА - что есть в логах винды? |
Цитата:
|
кто нибудь, выручите, не знаю что делать, ставлю ИСУ 2006 стандарт, на VPN сервер, VPN выподает из домена, прописываю правила, что можно локалхосту смотреть все протаколы в локалке, и на обарот, получается такая штука, комп вроде как начинает видить домне, но както странно, то есть добавляеш пользователей допустим, и в графе поиск в, там где стоит название доменам можно выбрать только локальный комп, весь каталог или имя домена, но поиск там не производиться, но на компе который видит домен можно искать в любом подразделе домена, а этот комп с ИСОЙ перестаёт видить подразделы домена, тоесть он вроде знает, что домен есть, но не может к нему обратится, все SystemPolice разрешающие доступ к Active Directory созданы и работают,что может быть не так ? когда ису ставиш на комп с AD и из него делаеш VPN сервер, то все работает прекрасно, как VPN с AD разносиш и ставиш ИСУ на VPN сервер, сразу начинается данный трабл, что комп с ИСОЙ из домена выподает
что воабще может так влиять на комп с ИСОЙ может ли данный трабл появиться, если у меня запрещенно динамическое обновление DNS?если да, то как и где это исправить, если можно то поподробнее? вот как ругается комп с ИСОЙ: Не удалось зарегистрировать записи ресурсов (RR) узлов (A) для сетевого адаптера с параметрами: Имя адаптера: {31A84973-2215-43EB-8CD9-8F4B5C3F9319} Имя узла: admin-7 Суффикс основного домена: enterprise.ad Список DNS-серверов: Отправка обновления на сервер: <?> IP-адрес (адреса): Не удалось выполнить регистрацию этих RR в DNS из-за того, что DNS-сервер отверг запрос обновления. Это могло произойти по одной из следующих причин: (а) текущая политика обновления DNS не разрешает этому компьютеру обновить указанное DNS-имя домена, (б) полномочный DNS-сервер для этого DNS-имени не поддерживает протокол динамического обновления DNS. Чтобы зарегистрировать DNS записи ресурсов узла (А), использующих указанный суффикс домена и IP-адреса этого адаптера, обратитесь к системному администратору DNS-сервера или системному администратору вашей сети. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". вот ещё: Основной обозреватель сети получил с сервера извещение, что компьютер ADMIN-2 объявил себя основным обозревателем домена на транспорте NetBT_Tcpip_{4D56F7E9-98B0-4982-B. Основной обозреватель останавливается или объявляются выборы. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". помагите советом дельным очень, очень надо чтоб ИСА заработала правильно |
Цитата:
Цитата:
Цитата:
Код:
1. В меню Пуск выберите пункт Выполнить, введите команду Regedt32 и нажмите |
Цитата:
|
2RaulDuk
отключай RSS и на сетевых интерфейсах и в реестре HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS 0 (DWORD Value) подробнее тут http://support.microsoft.com/kb/927695 этой проблеме уже более полугода, после выхода SP2 для Win2k3 :) |
Цитата:
дело в том, что яставил ИСУ на 2003 без СП2, а сейчас поставил in2003 + R2 а на это всё сверху ИСУ, отключил "Обозреватель компьютеров", в правилах разрешил доступ от АД к ИСЕ и обратно по протоколам ЛДАП, компы обозначил по IP (всмысле компы с исой и АД) и вроде всё работает, ИСА видит домен, перезагружал комп и всё такое, после загрузки всё равно видит:p вроде всё ОК, но ошибки всё равно есть, вот такие: Не удалось зарегистрировать записи ресурсов (RR) узлов (A) для сетевого адаптера с параметрами: Имя адаптера: {0C87D5CF-2C34-425A-A641-F322A034D2A6} Имя узла: Суффикс основного домена: Список DNS-серверов: Отправка обновления на сервер: <?> IP-адрес (адреса): Не удалось выполнить регистрацию этих RR в DNS из-за того, что DNS-сервер отверг запрос обновления. Это могло произойти по одной из следующих причин: (а) текущая политика обновления DNS не разрешает этому компьютеру обновить указанное DNS-имя домена, (б) полномочный DNS-сервер для этого DNS-имени не поддерживает протокол динамического обновления DNS. Чтобы зарегистрировать DNS записи ресурсов узла (А), использующих указанный суффикс домена и IP-адреса этого адаптера, обратитесь к системному администратору DNS-сервера или системному администратору вашей сети. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". и вот ещё: Установка сеанса к контроллеру домена Windows NT или Windows 2000 \\admin-2.enterprise.ad для домена ENTERPRISE не отвечает. Текущий вызов RPC от Netlogon на \\ADMIN-10 к \\admin-2.enterprise.ad отменен. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". а вчера появилась такая штука на администраторе домена: DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке. и если про: "Не удалось зарегистрировать записи ресурсов (RR) узлов (A) для сетевого адаптера с параметрами:" более менее понятно, что надо включить динамическое обновление DNS зон на администраторе домена, он же DNS, непонятно только как этосделать, (в строке выполнить gpedit.msc -> конфигурация компьютера -> сеть ->DNS клиент -> обновлять зоны доменов верхнего уровня) по моему так, но я не уверен, потаму как если всё данное проделываеш и комп не перезагружаеш, то изменений не каких, а перезагружать боезно, так как дополнительного домена у меня пока нет а ещё не понятно, почему в логах указан DNS сервер с IP 192.168.2.12 у меня на сколько я знаю DNS 192.168.2.1 и почему в списке DNS-серверов, сервера провайдера Суффикс основного домена: enterprise.ad Список DNS-серверов: Отправка обновления на сервер: <?> IP-адрес (адреса): а как быть с остальным "добром" я не знаю если есть идеи, поделитесь ЛЮДИ ДОБРЫЕ, ГОСПОДА АДМИНЫ |
Часовой пояс GMT +4, время: 23:46. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.