ISA Server - настройка и решение проблем.
 

Кто нибудь знает как в ISA-server открыть TCP порты???

Перенёс.

Voobshem tak.Slozhno kratko ob'yasnit', no risknu.
VSe postroeno na pravilah.To est' dlya kazhdogo porta nado sozdat' pravilo.
Naprimer v IP Filter :

Protocol: TCP
Direction: Outbound
Local Port: All
Remote Port: All

Libo Servers and Arrays ->TVOJ SERVER->Policy Elements ->Protocol Definations
Sozdaesh pravilo.


http://www.tacteam.net/isaserverorg/kaaza/Image1455.gif

Спасибо, я впринципе понял сам....
Спасибо всё равно :))

maxximik
Не за что. :yees:

ISA proxy. Помогите!
 

Есть небольшая фирма компов на 50. Стоит ISA прокся. Как настроить запрет на скачку фильмов, mp3 и т.д.


В этом топе обсуждаем все вопросы, касающиеся установки, развертывания и настройки MS ISA Server.
Огромное количество материалов на английском можно найти здесь
Неплохая подборка материалов на русском здесь

Все вопросы из серии: "Где скачать?", "Как вылечить?" задаем в соответствующем разделе форума.

С уважением, FantomIL

Создай SCR-правило, в котором указываешь "Deny" и в закладке HTTP Content указываешь, что именно будет отрезаться. Не забудь указать юзеров/IP, к которым это правило будет применяться.

Не я ставил ISA. Я в ней только сейчас пытаюсь разобраться. Можно более конкретнее. Куда залазить, что нажимать. Хотя бы схематично.

Start -> Programs -> Microsoft ISA Server -> ISA Management
Там слева ищешь раздел Access Policy и в нем щелкаешь на Site and Content Rules (SCR)
Теперь в правой части убеждаешься, что у тебя есть правило Allow All и щелкни на иконке Create Site and Content Rule
Выскочит окошко, где ты введешь название этого правила (что тебе больше нравится), затем на закладке Rule Action поставь галку на Deny, затем на закладке Destination Set выбираешь All destinations (или что там тебе надо), затем на закладке Shedule выбираешь в какое время будет действовать это правило, затем на закладке Client type выбираешь к каким машинам/юзерам будет применяться данное правило. Теперь у тебя появится новое правило. Двойной клик на нем и переходи в закладку HTTP Content и отметь галками какой контент ты хочешь запретить.

Спасибо! Получилось!
Остался невыясненным еще такой вопрос - как добавить расширение файлов, если оно у меня отсутствует в списке.
Например, хочется поставить запрет на скачку флеш-роликов с расширением swf и видеофайлов wma. В списке расширений их нет. Как их добавить?

Start -> Programs -> Microsoft ISA Server -> ISA Management
Cлева ищешь раздел Policy Elements и в нем щелкаешь на Content Groups
В правой части можешь добавлять все, что считаешь нужным.

Раз пошла такая пьянка - то можно еще пару вопросиков?
1.Как поставить фильтр на показ эротики
2. Можно ли показывать jpeg и jpg только определенного размера. Ну чтобы страница с превью грузилась, а развернуть картинку - нельзя.
3. В ISA есть учет траффика по каждому IP? И можно ли поставить лимит на скачивание на каждый IP?

Start -> Programs -> Microsoft ISA Server -> ISA Management
Cлева ищешь раздел Policy Elements и в нем щелкаешь на Destination Sets, теперь в правой части можешь определить запрещенные эро-, порно-, игро-, развлекательные сайты (можно использовать знак *, но не более одного раза на один урл)
Затем создаешь SCR-правило, в котором указываешь redirect на свой корпоративный сайт (а нечего в рабочее время по порносайтам и развлекательным порталам шляться :biggrin: ) для определенного тобой Destination Set и указываешь указать юзеров/IP, к которым это правило будет применяться. Нет, к сожалению встроенными средствами ИСЫ так сделать нельзя. Но, опять же, можно создать Destination Set адресов банеров и создать SCR-правило с переадресацией на гиф-файл размером 1х1 для данного Destination Set. Нет. Встроенные средства ИСЫ этого не реализуют. Надо ставить дополнительный софт, например TrafficQuota, TrafficFilter, Proxy Inspector for ISA.

Огромное человеческое спасибо!!!

А вот еще вопросик по теме - когда ставишь опцию делать отчет за месяц изи за неделю. Можно ли сделать так чтоб в отчет попадали не все IP шники, а только определенные. Или здесь как с траффиком -или все в одном отчете или ищи дополнительную программу?

очень хорошё справляется ProxyInspector для isa
попробуй его

Нет такой опции в ISA. Так что ты сам ответил на свой вопрос. И вообще, ИМХО, отчеты в ISA глюкавые, так что лучше пользоваться сторонним ПО.

А можно создать правила , где прописать список урл, ну чтобы не создавать правило для каждолго сайта, а задать их списком. Если да, то как их отделять друг от друга?

Не понял твой вопрос. Я уже сказал, что надо создать Destination Sets, где и прописываешь группу урл-ов. А потом, при создании правил указываешь этот Destination Sets. Что непонятно?

Непонятно как отделять урл друг от друга - пробел , точка с запятой или неважно?

ИСА их сама отделит. Тебе надо нажать на кнопку Create a Destination Set, появится окошко, где ты в поле Name вводишь название для этой группы, а потом нажми кнопку Add и в поле Destination введи url, который ты хочешь запретить. Повторяй последнюю процедуру (там где Add) для каждого url-а. Таким образом получим список url-ов в одном наборе.

А можно ли сделать backup всех настроек прокси? Так чтобы перенести всю инфу на другой комп, а не настраивать там все заново.
И второе - у меня комп на котором стоит ISA сам в Инет не выходит - подскажите как и где настроить выход его в Инет.

Для бекапа:
Заходишь в ISA Management, правый клик на имени сервера и там выбираешь "BackUp", дальше все интуитивно понятно.

Для выхода в сеть с машины ИСА:
В свойствах ИнтернетЕксплорера надо добавить, что соединение через прокси-сервер и указать имя ИСА-сервера и порт на который он настроен. :p

А надо ли на сервере где ISA стоит ставить антивирус? И если да - то какой лучше?

Антивирус ставить надо обязательно. Какой - дело личных предпочтений и привычек, тут сложно говорить объективно :), важно только, чтобы это была именно версия для ИСА.
Например, у меня стоит Семантик Корпорейт для ИСА. Есть еще Каспеский для ИСА, есть eTrust Antivirus v7.1 for the Gateway, ну и так далее...

Сделал - не помогло.
У меня на серваке две сетевые карты. Одна для внутренней сетки - другая для внешней. В Этом может быть дело? И как побороть?

FantomIL
Тоже вот поставил и настроил ISA 2004 EE под W2k3SP1 EE на Celeron 1.7 GHz, 512 MB RAM. Там же крутится почтовик MDaemon Pro 8.02. Пока ни на ISA, ни на MDaemon антивирусов нет.

Вопросы:

1) Необходимо проверять на вирусы как http/ftp трафик, так и почту. Каким решением (лучше одним) закрыть эти нужды? В наличии имеется дистрибутив обычного Symantec AV Corporate 10 - подойдет ли, или надо искать специально для ISA? Тогда для MDaemon надо будет искать что-то свое?

2) Если на такой конфигурации машины всё-таки поставить преславутый Symantec AV Corporate 10, то там вообще что-нибудь шевелиться будет?

VavNat
Тебе надо соответствующим образом настроить IP packet filter. Но, вообще, Микрософт не рекомендуют давать доступ в Сеть с машины с ИСА.

ЕЖ
Обычный Семантек траф не проверяет. Надо специальную редакцию для ИСА. Как шевелиться будет? Трудно сказать. У меня ИСА+Семантек стоят на двухпроцевом PIII-500 + 1 гиг оперативки. Работает нормально.

З.Ы. Там CP-Recruiting правильно меня поправляет. Семантекоский сканирующий модуль для ИСЫ с ИСА2004 несовместим. Но, в любом случае, на ИСУ надо ставить антивирус в редакции специально для ИСА. Таким образом он лучше всего будет сканировать траф.

Есть антивирусный модуль у Симантек, но он только для ISA 2000
Лицензию они присылают по почте после регистрации на их сайте

Можешь поставить модули для ISA другие, такие как- GFI, McAfee, Panda Software, SOFTWIN и Касперски

FantomIL
CP-Recruiting
Спасибо за советы, но похоже как я и думал, придется к ИСЕ и к почтовику прикручивать отдельные разные антивирусы, чего я и боялся - геморой с обновлениями, да и машина не зверь :(

Настроил ИСА так, чтобы работать в Инете можно было только с 7 до 23.00. Так теперь каждое утро прихожу - Инета нет. Перегружаю комп - все работает. Не подскажите где посмотреть или как правильно настроить?
И может кто помжет ссылочкой в приват по поводу

Читай ниже. FantomIL :mad:

Какой комп ты перезагружаешь - локальный или ИСА-сервер?
Все вопросы подобного рода задаются в соответствующем разделе форума! :mad:

ИСА перегружаю (WIN 2000).

Помогите настроить проги под ISA 2004(sp1)
 

на серваке стоит ISA2004+sp1
Проблема :confused: как настроить через него доступ к инету для аси или мирки, а также для почтовиков (the bat, Microsoft Office Outlook 2003)
При этом не понятно: :idontnow: так, обычный доступ через IE имеется и вполне даже без тормозов, под теми только пользователями которых я настроил.
что делать, сил боле нет рыскать по вкладкам в поисках

В ISA есть такая функция как "опубликовать сервер" это и есть тот самый порт-маппинг который тебе понадобится для того чтобы настроить the bat, outlook

CP-Recruiting
При чем здесь опция "опубликовать сервер"? Ему же не Иксчейндж настраивать надо.
Ему не сервер надо публиковать, а настроить правила.
Для этого надо в разделе Site and Content Rules настроить пакетные фильтры. Потом надо установить на клиентских машинах встроенный файрволл из ИСА. А затем, на ИСА в опциях файрволла дать разрешение даноому софту работать через ИСА.

З.Ы. Mothman, пользуйся поиском! Тема про настройку ИСА уже существует.

HTTP 502 Proxy Error - The ISA Server
 

Может кто подскажет в чем дело?
HTTP 502 Proxy Error - The ISA Server denies the specified Uniform Resource Locator (URL)....
вот такое сообщение выдается при попытке соединится с любым сайтом.

Удивительно то что пингуются все сайты отлично, и даже по http можно выйти на www.microsoft.com но на все остальное никак.
Подскажите что делать. Настроил прокси в IE так : 192. 168.0.1:8080
Сам ISA сервер настраивал по первому шаблону который позволяет соединить локалную сеть с external. Версия ISA 2004 Standart. Два интерфейса один 192.168.ххххх и второй смотрит в инет. Есть мнение что нужен сервис пак для Исы. А скорей всего дело в неправильной настройке. Подскажите пожалуйста в чем дело?

lewa
На будущее: если данная программа и ее проблемы уже обсуждаются, то новую тему создавать не нужно. Темы объединил.

По сути вопроса:
Я надеюсь ты не с самой ИСА пытаешься браузером в Сеть выходить.
На какую систему ты ИСУ ставил?
Необходимые разрешающие правила созданы? По умолчанию ИСА2004 ЗАПРЕЩАЕТ ВСЕ!
Как настроены ДНС? В ИСА2004 необходимо настроить форвардинг ДНС.
Клиенты на клиентских машинах установлены?
Где логи?
Многие проблемы можно решить здесь http://www.isaserver.org/ - очень хороший ресурс. Если с английским напряг - то здесь и здесь есть приличный набор очень хороших статей по установке, конфигурированию и принципам работы ИСА.

FantomIL
ИСА поставлен на 2003 сервер.
>Я надеюсь ты не с самой ИСА пытаешься браузером в Сеть выходить.
Если имеется ввиду пытаюсь ли я выйти в инет браузером с той машины на которую установлен иса сервер то именно это я и пытаюсь сделать. Хотя с клиентских машин тоже не выходит.
Клиенты на клиентских машинах не установлены. (А можно ли без них?)
Ну и спасибо за классные ссылки. Наверное мне нужно сначала там полазить а потом, если не выйдет здесть вопросы задавать.

По умолчанию это запрещено, поскольку серьезно нарушает политики безопасности. И к посещению разрешены именно сайты Микрософта (видимо, чтобы апдейты можно было на машину скачивать и устанавливать). По ссылкам, которые я дал есть детальное описание как настроить ИСУ, чтобы с этой же машины можно было браузером ходить в И-нет на все ресурсы. Но помни, что это серьезное нарушение безопасности.
Очень рекомендуется установить.
Это действительно так. ИСА это достаточно сложный продукт корпоративного уровня и объяснить в двух словах что-либо вряд ли получится. Поизучай материалы, пойми основы, а потом, если будут конкретные вопросы или затруднения - всегда буду рад помочь :)

1. Для установки и корректной работы ISA2004 необходима Windows 2000 Server SP4 (некоторые функции ISA работать не будут) или Windows 2003 Server.

2. На клиентские машины нужно ставить клиентскую часть ISA.