ISA Server - настройка и решение проблем.

[maxximik]

Кто нибудь знает как в ISA-server открыть TCP порты???

[Benson]

Цитата:

Arise:
просто добавь ее в автозагрузку
т.е. %Program Files%Microsoft Firewall Client 2004\FwcMgmt.exe - в автозагрузку. именно туда енот клиент и прописывается.
видать кто-то удалил его ярлык с автозагрузки.
успехов!

клиент в автозагрузке есть .... и запускается,
но висит в трэе с желтым воскл.знаком ......
а вот служба в автомате не стартует (((

[KomatoZo]

Benson
Что в Event Log?

[Benson]

KomatoZo
к сож. комп сейчас недоступен ((
как смогу - посмотрю логи .....

[Arise]

Цитата:

Сообщение от Benson

клиент в автозагрузке есть .... и запускается,
но висит в трэе с желтым воскл.знаком ......
а вот служба в автомате не стартует (((

удаление/перестановка на поможет? версия ISA server и клиента какая?
ну и eventlog тож надо глянуть.

Помогите ПЛЗ настроить qip работающий через ISA Server 2004
желательно поподробнее расписать, так как дуб я в этом деле!
И почему ICQ работает без всяких проблем, а qip ни в какую?

[vladislav75]

Подскажите, пожалуйста, как решить следующую проблему:
ISA 2006 EE под W2003EE SP1, опубликован сайт
пользователи до ISA идут по SSL, аутентификация имя/пароль (не сертификаты)
от ISA до web-сервера по HTTP, аутентификация интегрированная Windows
Как настроить ISA, чтобы одному пользователю можно было создать только одну SSL-сессию?
(в приципе, легко настраивается "одна SSL-сессия с каждого IP-адреса", поэтому равносильная задача, как, по SSL, запретить одновременно одному пользователю работать с разных IP-адресов)

[dim99]

Как настроить ISA 2006 на работу через нее программ -менеджеров закачек FlashGet 1.6 и DownloadMaster. Сейчас ISA отклоняет обращения этих программ, в их логах одно и тоже сообщение : "HTTP/1.1 502 Proxy Error ( The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. )"
На клиентских машинах стоит fw-client так что я думаю дело не в аутентификации, которую эти программы делают по basic методу.

[lewa]

День добрый.
Проблема:
есть небольшая сеть 15-20 машин и один сервак Win2003 + ISA2004
и адсл подключение к провайдеру
хочу сделать так, чтобы пользователи сети подключались к МОЕМУ ISA Server через VPN, а затем так чтобы ISA сервер позволял им входить в интернет через соединение с adsl .
Так вот как это сделать без домен контроллера.
Создать учетные записи на сервере с ИСОй, а потом? Для RADIUS нужен DC по моему. Настроить на этом серваке DHCP и по IP впускать, а авторизация.
Мне нужно чтобы usera подключались по логину и паролю, как это сделать?

Может кто напишет пошаговую инструкцию?
Типа сначала создай пользователей, затем DHCP, затем подымай VPN итп.?

[FantomIL]

lewa, про поиск не забываем.

Очень подробная инструкция по поднятию VPN на ISA находится здесь http://networkdoc.ru/files/insop/isa...l?vpn2004.html

[RaulDuk]

Уважаемые Спецы, будте так добры подскажи пожалуйста дураку как в ISA 2006 enterprise (стоит на win2003 он же и AD) настроить доступ для пользователей в нет.
Ваще её в смысле ису первый раз вижу, сёдня еле поставил ито не знаю правильно или нет. на cамом сервере доступ к нету есть (ну по крайней мере на Update) а на пользователях нет, как быть.
Да и как её воабще на работу настраивать воабще не понятно

очень нужен ваш ХЕЛП

[RaulDuk]

КАкую литературу посоветуете по ISA Server 2006 ?
Что то воабще ни каких книг по 2006 я так и не нашёл.

Объясните, что нужно сделать чтобы мои пользователи увидели локальную сеть и интернет, а дальше я сам разберусь.

[lewa]

to FantomIL,
Именно этот документ я и читал. И именно после него возникли вопросы.
Ведь я спрашиваю как настроить VPN без ActiveDirectory а в этой статье пишут:
< Рабочая группа должна быть прописана в Active Directory.
// а его у меня нет и не будет, далее:
<Преимущество использования аутентификации RADIUS заключается в том, что вы <можете управлять списками пользователей Active Directory (или других) для <аутентификации пользователей без присоединения к Active Directory domain;
// а вот здесь не понятно, так нужен для RADIUS Active Directory или нет?
// если можно использовать без Active Directory то в этой статье как это сделать не написано.
Вот отсюда и начинаются проблемы - как подключить клиентов по VPN без Active Directory?
Прописать учетные записи на компе с ИСОЙ? А клиент ИСЫ ставить надо на юзерские машины? Нужно чтоб и файервол тоже работал. Единственная проблема как их (пользовательские машины) обнаружить на ИСЕ? По IP? По MAC? Или как? Если они не в домене.

[dim99]

Цитата:

Сообщение от lewa

чтобы пользователи сети подключались к МОЕМУ ISA Server через VPN, а затем так чтобы ISA сервер позволял им входить в интернет через соединение с adsl .

Не понял...? Если через VPN, то это уже через Internet, VPN организуется через Internet, а ты хочешь подключить пользователей через VPN, чтобы потом через ISA пускать в Internet? Или я не понял?

Цитата:

Сообщение от lewa

Единственная проблема как их (пользовательские машины) обнаружить на ИСЕ? По IP? По MAC? Или как? Если они не в домене.

Опять не понял...?

Цитата:

Сообщение от lewa

Мне нужно чтобы usera подключались по логину и паролю, как это сделать?

Так по логину или по IP адресу? Ты определись.

[FantomIL]

lewa, ты действительно определись и подробно расскажи чего ты хочешь сделать в итоге.
Чтобы соединиться по VPN с ISA, клиентская машина не обязана быть в домене. Авторизация проходит по username/password.

Если ты хочешь организовать ограничение прав на доступ к И-нету из внутренней сети, то зачем городить огород с VPN? Достаточно раздать на DHCP постоянные адреса и применять правила доступа к этим адресам.

Цитата:

Сообщение от lewa

А клиент ИСЫ ставить надо на юзерские машины?

Не обязательно. Надо просто правила нормально прописать на ISA.


RaulDuk, при установке по умолчанию ISA запрещает все и всем, кроме апдейтов от Microsoft. Теперь тебе надо создавать правила доступа.
Например, для того, чтобы пользователи могли серфить в И-нете тебе надо в политиках файрволла создать новое правило доступа, которое разрешает доступ из внутренней сети в наружную сеть по протоколу http, https для всех (определенных) пользователей.
Аналогично действуешь для других протоколов.
Самым последним правилом должно стоять правило, запрещающее все и всем.

[RaulDuk]

Я правильно понял ? захожу в Firewall Policy далее Create Access Rule далее ввожу имя правила, далее устанавливаю разрешить (Allow) или запретить (Deny) далее выбираю протоколы с каторыми это правило работает, далее выбираю сеть источник (подключение к интернету, в данном случае "External") далее сеть назначения (подключение к локальной сети "internal") далее пользователь или группа пользователей к которым относится данное правило и наконец щёлкаем на готово.

или надо что то ещё настраивать ?

А ещё такой вопрос стандар и энтерпрайс сильно отличаются в плане разграничения прав дотупа к инету тамуже или нет, просто итерпрайэ чтоб поставить надо какойто сервер настроик делать и ещё всякую хрень, а стандарт нажал установить и но проблема.

[FantomIL]

RaulDuk, если ты хочешь разрешить пользователям локалки доступ в И-нет, то сеть источник это "internal" (локальная сеть), а сеть назначения это "External".
Но, в общем, мыслишь правильно.

Различия между стандартной и интерпрайз версиями хорошо отражены во в этой таблице: http://www.itpro.kiev.ua/licensing/view/?id=69
Но если ты задаешь такой вопрос, то тебе больше подойдет стандарт

[RaulDuk]

FantomIL а для установки интерпрайс нужно сначало настроить стораж сервер (сервер хранения настроек) далее создать саму ИСУ, так или нет ? и паходу всё на разных компах ставить нада ?

А чтобы локальную сетку пользователям открыть, надо такоеже правило, только и сеть источник и сеть назначения будет INTERNAL? а протоколы какие для локалки разрешать надо?

И надо ли что разрешать DHCP серверу в сети (в ISE) если он работает на отдельном компе а не на администраторе домена, что бы он (DHCP) выполнял свои функции ?

А самое главное, как мне настроить VPN соединение, например что бы из дома можно было соединяться с сетью с работы и там работать ну а воабще я хотел поставить сервак для фтп и удалённого доступа к сети, как мне настроить ису что бы она впускала определённых пользователей к их рабочим местам ? а другую часть пускала к ФТП серверу и чёто я не пойму, надо будет на домашний комп исовского клиента ставить ? а дальше что у меня дома динамический IP как она ISA меня узнавать будет при смене IP адреса ? чё то полный затык у меня с пониманием этого

и ещё вопрос, если мне нужны серверы как я уже писал ФТП и VPN, а ISA у меня стандарт, то мне на кждый из данных серверов надо ставить ису ? и как тогда их (ИСЫ) настраивать для совместной работы?

[FantomIL]

Цитата:

Сообщение от RaulDuk

для установки интерпрайс нужно сначало настроить стораж сервер (сервер хранения настроек) далее создать саму ИСУ, так или нет ? и паходу всё на разных компах ставить нада ?

В процессе установки мастер тебя спросит. Хранить на разных компах не обязательно.

Цитата:

Сообщение от RaulDuk

А чтобы локальную сетку пользователям открыть, надо такоеже правило, только и сеть источник и сеть назначения будет INTERNAL? а протоколы какие для локалки разрешать надо?

Да, для локалки тоже правило надо. А какие протоколы разрешать - решать тебе, ты же админ.

Цитата:

Сообщение от RaulDuk

И надо ли что разрешать DHCP серверу в сети (в ISE) если он работает на отдельном компе а не на администраторе домена, что бы он (DHCP) выполнял свои функции ?

Не понял вопроса. Обычно на ИСА указывается кто в сети выполняет функции DHCP-сервера.

Цитата:

Сообщение от RaulDuk

А самое главное, как мне настроить VPN соединение, например что бы из дома можно было соединяться с сетью с работы и там работать

Я уже приводил ссылку на подробное руководство в посте №90

Цитата:

Сообщение от RaulDuk

ну а воабще я хотел поставить сервак для фтп и удалённого доступа к сети, как мне настроить ису что бы она впускала определённых пользователей к их рабочим местам ? а другую часть пускала к ФТП серверу

Опять не понял вопроса. Настраиваешь VPN, пользователи коннектятся через VPN, а потом авторизуются средствами сервиса который им нужен (FTP, RDP, AD, ...). Если хочешь, чтобы они вообще до авторизации на сервисах не добрались, то придется создавать отдельные правила для каждого пользователя VPN.

Цитата:

Сообщение от RaulDuk

чёто я не пойму, надо будет на домашний комп исовского клиента ставить

Не нужно.

Цитата:

Сообщение от RaulDuk

и ещё вопрос, если мне нужны серверы как я уже писал ФТП и VPN, а ISA у меня стандарт, то мне на кждый из данных серверов надо ставить ису ? и как тогда их (ИСЫ) настраивать для совместной работы?

Не нужно на каждый сервер ставить отдельную ИСУ. Достаточно установить один ИСА-сервер и опубликовать в нем твои внутренние сервера.

[RaulDuk]

Цитата:
Сообщение от РаулДук
и ещё вопрос, если мне нужны серверы как я уже писал ФТП и ВПН, а ИСА у меня стандарт, то мне на кждый из данных серверов надо ставить ису ? и как тогда их (ИСЫ) настраивать для совместной работы?

Не нужно на каждый сервер ставить отдельную ИСУ. Достаточно установить один ИСА-сервер и опубликовать в нем твои внутренние сервера.

сервера не внутренние, то есть они одной сетевухой будут в инет смотреть, а другой в локалку, но в инет пользователи из локалки будут выходить с другово сервера, то есть к ФТП серверу подход будет с другово ай пи адреса нежели интернет в локалку берётся. по этому и спрашиваю на него ису ставить или нет? если нет то подскажи пожалуйста как его (ФТП) опубликовать в ИСЕ.

Про ДХЦП то ни кто меня не спрашивал кто будет ДХЦП (Не понял вопроса. Обычно на ИСА указывается кто в сети выполняет функции ДХЦП-сервера.) где это указывать я не знаю, объясни пожалуйста.

и про локалку не очень понял как правило создать, целый день просидел, так и не получилось, хотя с нетом теперь всё ХОРОШО!! вобщем есть нет а локалку не знаю как уговорить работать, и ещё почему то теперь когда к компу подцепляешся то он какойто логин и пароль гостя спрашивает, хотя раньше такого не было.

[FantomIL]

Цитата:

Сообщение от RaulDuk

сервера не внутренние, то есть они одной сетевухой будут в инет смотреть, а другой в локалку

В чем смысл такого подхода? Но если уж так сильно необходима данная топология, то ИСА придется ставить на каждый сервер.

Цитата:

Сообщение от RaulDuk

то есть к ФТП серверу подход будет с другово ай пи адреса нежели интернет в локалку берётся

Еще раз повторюсь. Достаточно создать ВПН-соединение, а дальше авторизовывать пользователей на доступ к ФТП средствами самого ФТП-сервера. Или создать правила для каждого пользователя ВПН, кому разрешен доступ к ФТП, а кому нет. А если ФТП находтся в публичном использовании, то незачем огород с ВПН городить. Достаточно опубликовать его на ИСА и авторизовывать пользователей средствами самого ФТП.

Цитата:

Сообщение от RaulDuk

то подскажи пожалуйста как его (ФТП) опубликовать в ИСЕ

Политики файрволла -> Создать новое правило публикации сервера. Затем выбираешь протокол ФТП.

Цитата:

Сообщение от RaulDuk

Про ДХЦП то ни кто меня не спрашивал кто будет ДХЦП (Не понял вопроса. где это указывать я не знаю, объясни пожалуйста.

DHCP тебе требуется только для присвоения адресов клиентам ВПН. Соответственно в разделе свойств клиентов ВПН, на закладке "Присвоение адресов". Там ты можешь выделить клиентам ВПН либо статичный пул адресов, либо указать сеть в которой находится сервер DHCP, чтобы он присваивал адреса.

Цитата:

Сообщение от RaulDuk

вобщем есть нет а локалку не знаю как уговорить работать

Что значит локалка не работает? Не пингуется? Нет возможности обращаться к расшареным ресурсам? Не видны рабочие станции в сетевом окружении?....?
Сформулируй проблему, я не телепат.

Цитата:

Сообщение от RaulDuk

ещё почему то теперь когда к компу подцепляешся то он какойто логин и пароль гостя спрашивает, хотя раньше такого не было.

Ты говорил, что локалка не работает. Или работает? Кто пароль спрашивает? По какому протоколу ты "к компу подцепляешься"?