ISA Server - настройка и решение проблем.

[maxximik]

Кто нибудь знает как в ISA-server открыть TCP порты???

[ЕЖ]

Цитата:

FantomIL:
2. На клиентские машины нужно ставить клиентскую часть ISA.

Дополню что существует вариант работы и без клиента.

[FantomIL]

Цитата:

ЕЖ:
Дополню что существует вариант работы и без клиента.

Согласен, но в этом случае мы сильно теряем в функциональности данного продукта. Без клиента мы получим прокси, не получим авторизации и т.д.

1) Вы говорите что я потеряю в функциональности ISA сервера если поставлю его на WinXP Pro. Можете сказать какие функции будут не доступны.

2) Что такое клиентская часть ISA сервера? Я скачал с сайта MSoft версию ISA server 2004 beta, в ней имеется серверная и клиентская части?

3) После деинсталяции ISA сервера не возникнет проблем с доступом к Internet и обменом данных по сети?

[FantomIL]

Fridrih
1. Ты внимательно прочел мой пост №36? Сформулирую по другому: сам ISA нельзя поставить на ОС несерверной платформы. Можно лишь разместить средства управления ISA.

2. Клиентская часть ISA это Firewall Client и нужен он для того, чтобы обеспечить работоспособность некоторых протоколов и прикладных программ, которые не могут работать через SecureNAT. Кроме того клиент необходим, если тебе нужно ограничить доступ пользователям или группам с помощью SAM или AD. В этом случае на каждом клиентском компьютере установить Firewall Client, который входит в состав ISA Server. Насчет версий скаченных с сайта - затруднюсь сказать, но в версию ISA, распространяемую на диске, клиент входит. После установки ISA дистрибутив клиента должен быть на машине ISA Server в папке mspclnt.

3. После деинсталяции ISA никаких проблем возникнуть не должно. А будут они или нет, сам понимаешь, никто тебе точно не скажет

[ЕЖ]

Прошу помочь разобраться с веб-доступом извне к почтовому серверу по фиксированному IP (без всяких DNS-имен).

Есть сервер под W2k3 EE: сетевуха в локалку (192.168.0.x) и сетевуха в инет (фиксированный внешний IP).

На этом сервере (192.168.0.2): ISA 2004 EE и почтовый сервер MDaemon Pro 8.1.3, который имеет встроенный Web-сервер WorldClient для веб доступа к почте. Он слушает http-запросы по порту 3000 (настраивается).

Единственный вариант как работает этот веб-доступ - только на самом сервере по запросу http://localhost:3000. Но по http://192.168.0.2:3000 уже не работает ни с самого сервера, ни с машин в локалке. По внешнему IP (что в общем-то и нужно) тоже никак не работает.

В логах, при http://(внешний IP):3000 с сервера, ISA пишет:

Client IP: 192.168.0.2
Destination IP: 192.168.0.2
Destination Port: 8080
Protocol: http
Action: Denided Connection
Rule: [Enterprise] Default Rule
HTTP Status Code: 12202 The ISA Server denided the specified URL
Client User Name: anonymous
Source Network: Local Host
Destination Network: Local Host
URL: http://(внешний IP):3000
Log Record Type: Web Proxy Filter

Т.е. как обыно режется последним правилом по умолчанию. Пытался просто создавать правило пропускать из External в Localhost HTTP для All Users. Пробовал публиковать и как веб сервер, и как почтовый сервер с выбором Outlook Web Access (я так понял аналогичная штука для Exchange), но тщетно, видимо путаюсь в этих настройках.

Помогите пожалуйста разобраться

[FantomIL]

ЕЖ
Сразу тяжело сказать, но навскидку - создай Protocol Definition с портом 3000. Затем, в Protocol Rules делай правило, которое будет разрешать пользователям этот Definition.
Если не поможет, то ответь на следующие вопросы:
1. Ты работаешь как Firewall Client или как SecureNAT?
2. Если все сервисы ИСА убить, то веб-интерфейс почтовика отзывается?
3. Хотелось бы попристальнее взглянуть на Web Publishing Rule для WorldClient.

[ЕЖ]

FantomIL
1. Я работаю без клиентов, т.к. в этом нет необходимости. Но к задаче это ведь не имеет отношения, т.к. требуется доступ к серверу извне локальной сети, из инета.

2. Веб-интерфейс открывается, как я уже написал, только на самом серваке по http://localhost:3000. По локальному IP сервака не откывается ни на самом сервере, ни с локалки. Если вырубить Microsoft Firewall в Monitoring > Services то ничего не меняется (есть доступ только по localhost), но ещё вообще пропадает инет.

3. На данный момент грохнул все правила, которые пытался создавать. Пробема как раз в этом - не удается мне создать правило для пропуска запросов извне на WorldClient по 3000 порту. Не цеплет оно запросы, всё доходит до Default Rule и блокируется.

Вот сейчас пытаюсь создать просто Enterprise Acces Rule:

Name: WorldClient
Action: Allow
Protocol: ... вот тут добавляю свой (жму Add > New), обзываю WorldClient WebMail, пишу Inbound, TCP, Port Range ставлю 3000, Finish - и он куда-то исчезает, т.е. не получается добавить этот протокол в создаваемое правило

...Хм, протокол всё-таки появляется в Toolbox в User Defined, но его нельзя добавить в правило. Притом причина, я так понял, в том что у него стоит Inbound - если поменять на Outbound, то в правило его добавить можно. Но для доступа извне мне ведь нужно Inbound, или я не правильно понимаю?

[FantomIL]

Цитата:

ЕЖ:
пишу Inbound, TCP, Port Range ставлю 3000, Finish - и он куда-то исчезает

Странно это как-то... А если явно определить протокол в Protocol Definition? Я тебе говорил про это в предыдущем посте

Да, еще, у тебя ИИС установлен? Где то я читал, что подобную проблему решили следующим образом: устанавливаем ИИС и в WorldClient говорим, что работать будем через ИИС, а потом публикуем.

[LAV&Soft]

Добрый день
Пока точно не отследил, но...
через какое-то время (или какой-то объем траффика) вдруг становится
недоступным HTTP и FTP контент
Лечится все ЛЮБЫМ изменением в правилах FireWall Policy
Можно даже ничего не менять - перещелкнул что-нибудь в любом
правиле - главное, чтобы появилась кнопка "Apply"
После применения "таких" изменений все опять работает
Раньше, вроде, такого не было - перед этим был апдейт с Microsoft
Ни у кого не встречается еще такое?
ISA server 2004 ver. 4.0.2165.594

[lewa]

FantomIL
добрый день!
топик 39
lewa:
Наверное мне нужно сначала там полазить а потом, если не выйдет здесть вопросы задавать.

Это действительно так. ИСА это достаточно сложный продукт корпоративного уровня и объяснить в двух словах что-либо вряд ли получится. Поизучай материалы, пойми основы, а потом, если будут конкретные вопросы или затруднения - всегда буду рад помочь

наконец то получилось запустить ИСУ
и вот конкретные вопросы:
DHCP не работает. В system polycy и реквест и ответ разрешен. Лампочки "горят" для этих полисов но IP не обновляется ни в какую. Поставил все IP в ручную. Хочу понять как настроить DHCP. Долго ковырял но никак. В логах когда режет пишет что то типа Netbios name service - Deny и DHCP тоже Deny. Посоветуйте что делать.
Далее. Обясните что порусски значит TTL Boundaries минимум и максимум.
пока это

И еще чуть не забыл
Set TTL of object (% of content age) что это такое?
И что такое content и его age

[FantomIL]

lewa
Проблемы с DHCP и ИСА обычно начинается, когда неправильно настроены параметры DHCP. В частности, когда сервер DHCP пытается присвоить адрес внешнему интерфейсу, который смотрит к провайдеру. Пропиши на этом интерфейсе все руками и дай статический адрес. Тогда убедишься в этом ли проблема.

Далее, TTL time boundaries это время жизни объектов в кеше ИСЫ. Соответственно, минимум это минимальное время, которое объекты должны находится в кеше, а максимум - макимальное время, которое объекты могут там находится.

Set TTL of object - это опция, которая тоже позволяет задать время хранения объектов в кеше ИСА, только это время исчесляется не минимальной и максимальной границей, а процентами от времени существования содержимого. Соответственно content это содержимое, а age это время его существования.

[lewa]

FantomIL
Все дело в том что все интерфейсы имеют статический адрес. Но лучше один раз увидеть как говорится вот мои настройки исы (в файлах)

FantomIL
А вот как говорится и лог в студии:

[FantomIL]

lewa
Во-первых, в первом правиле для DHCP вместо Anywhere поставь Internal.
Во-вторых, выложи, пожалуйста, скрины ВСЕХ правил, которые у тебя на ИСЕ прописаны, поскольку у тебя запросы DHCP блокируются правилом по-умолчанию. А у всех грамотных файрволлов проверка идет до первого подходящего правила, все что дальше - не проверяется.

[lewa]

FantomIL
Sorry проблемы с инетом поэтому долго молчу. Насчет Anyware и Internal я уже пробовал - чето не получилось. Насчет правил, как только выйду опять в онлайн сразу вывешу.

[Geo55]

Всем доброго дня!
Вопрос такой. После того, как рухнул сервер более ранней версии там, где мы подключены, как клиенты, там поставили новую версию (см. заголовок). Сейчас человек, который администрирует этот сервер не может почему-то настроить его, чтобы мы могли пользоваться локальным почтовым клиентом (TheBat). Он предложил нам поставить Firewall Client for ISA Server 2003, - поставили, - пишет: "disable: ISA Server192.168.2.1 is not accassible". При этом броузер, настроенный в свойствах по подключению на прокси с таким адресом, работает и ICQ 2003b тоже работает. Прошу совета. Что надо сделать, чтобы все заработало?

[Geo55]

Похоже, что вопрос не там был задан или для понимания ответа у меня не хватит знаний, поэтому такой молчёк
Надо было его в руководстве для новичков, похоже, задать. Просьба к модераторам вообще его удалить, или переместить туда, т.к. эта тема, похоже, уже не посещается. Я просто думал, что если будет какой-то ответ, то показать его админу, может тогда он настроил бы нам машину.

[FantomIL]

Geo55
Надо на ИСА в политиках клиента внести Бат в список разрешенных программ и правильно настроить само подключение Firewall Client к ИСЕ.
А в данный момент клиент вам ясно говорит, что по адресу 192.168.2.1 он не наблюдает никакого ИСА-сервера.

Цитата:

Geo55:
При этом броузер, настроенный в свойствах по подключению на прокси с таким адресом, работает и ICQ 2003b тоже работает

Это не показатель. Браузер всегда через ИСА работать будет.
Кстати, можно вообще не ставить никакой Firewall Client, а просто открыть нужные порты и все.

[deimos]

win2003 EE RC2
ISA 2004 SP1

проблемка в следующем: не пускает на gmail почтовые клиенты.
в логах пишет что блокирует это дело ентерпрайз полиси.
что надо прописать чтобы пускало? потому что в ентерпрайз полиси одно правило: запретить все и добавить туда ничего не дает

[FantomIL]

deimos
В интерпрайз полиси ничего добавлять не нужно. Нужно создать разрешающее правило и поставить его ДО блокирующего.

Господа подскажите плиз в ISA server 2006 добавлено управление SecureNAT
(т.е разграничение прав на его использование)