ISA Server - настройка и решение проблем.

[maxximik]

Кто нибудь знает как в ISA-server открыть TCP порты???

[Nistelrooy]

появилась необходимость опубликовать 110 порт сервера exchnage в локальной сети на ружу... при момощи ISA server 2006. Создал правило Allow Pop3Server from external. internal to exchnage.server.local.
но не работает... в логах пишет что 110 порт блокируется Default rule.. хотя правио публикации стоит выше Default rule.
что делать?

[FantomIL]

Nistelrooy,
Тебе надо опубликовать порт или форвардить его?
Это, как говорят в Одессе, две большие разницы.

Подробнее, напиши.

[Nistelrooy]

FantomIL, ISA стоит в DMZ в сети 192.168.10.хх
сам exchnage server стоит в локале в сети 192.168.2.хх...
запрсы из вне принемает линукс сервак на котором поднят сквид, ip tables итп.. эта машина смотрит во внешний мир, в DMZ, и в локаль..
при запросе из внешнего мира на линукс, в Iptable прописано правило редиректить на DMZ.. а вот иса принемает запрос и редиректить на сервер.. как организовать? проблема имеено в исе... другие узлы этой схемы работают


Denied Connection ISA-SERVER 04.12.2008 15:29:02
Log type: Firewall service
Status:
Rule: Default rule
Source: External (195.189.xx.xxx:49276)
Destination: Local Host (192.168.10.2:110)
Protocol: POP3
User:

[alsergeich]

Как в ISA или любом другом инструменте ограничить доступ ТОЛЬКО к контроллеру домена причем по его ИМЕНИ

[alsergeich]

попробую пояснить

Есть тестовая сеть:Винда 2003+ДНС+ДХЦП+Активка
Винда 2003+ИСА
Виндва ХП - 5 штук

Нужно реализовать ограничение, позволяющее ограничить для ряда пользователей доступ ТОЛЬКО к контроллеру домена, причем только по его ИМЕНИ.

Никак не могу придумать как это сделать..

[FantomIL]

Средствами ИСЫ?
Никак.

Просто пропишите в файл hosts на требуемых машинах имя DC и "левый" IP.

P.S. Пользуйтесь поиском. Темы объединил.

Стоит ISA 2006 с одним сетевым интерфейсом. Доступ в интернет через интегрированную аунтификацию. Когда не было правил, добавил всех пользователей из AD. Теперь, когда добавил правила, репликация с AD не проходит. Т.е. , когда добавляю нового пользователя в AD в ISA его нет. Помогите настроить репликацию, какое правило надо создать?

[FantomIL]

Цитата:

Сообщение от LexandrIII

Помогите настроить репликацию, какое правило надо создать?

LDAP + RPC Server разрешите

все тоже самое , не помогло

[FantomIL]

LexandrIII, давайте по порядку...

ИСА в домене?
Файрволл-клиент на рабочих станциях установлен?
В свойствах внутренней сети ИСА включена поддержка файрволл-клиента?
Время в домене нормально?
В логах ИСА что написано?

FantomIL, вам памятник ставить надо!!! Я всё читал и искал, куда деньги выслать… Или цветы… Ну хоть что-нибудь сделать, вы же в этой теме 4 (!!!) года сидите!!! И помогаете, помогаете, помогаете…
Спасибо огромное!!!

Можно и я со своим барахлом?!

Что имеем: Сеть из двух компов, шлюз IP-телефонии (хитро настроенный провайдером) и роутер, который собственно и раздаёт интернет.

Добавляем в сеть комп с Win 2003 Server Enterprise SP2 X86 Russian и ISA 2006 Enterprise. На роутере вынимаем WAN кабель и убираем DHCP-сервер. На Win 2003 разворачиваем DHCP. Вставляем в комп с Win 2003 адаптер Yota (Не знаю, знаете ли вы что это, могу пояснить, если нужно или можно тут посмотреть). Yota делает новый сетевой интерфейс. Для точности скажу что есть ещё один виртуальный интерфейс, который тоже добавлен в ISA – это Hamachi (тоже могу пояснить, либо тут подробнее).
Далее, почему-то я не могу расшарить трафик из сетевого соединения Yota, приходится удалять ISA, расшаривать, ставить обратно.
В ISA, для простоты настройки делаем пока одно правило – Весь исходящий трафик, от всех сетей, во все сети, для всех пользователей - разрешить.
На DHCP есть поддержка WPAD, В ISA включено Авто-обнаружение.

И вот тут начинается затык. Локально, на сервере есть интернет. А вот у пользователей, после «исправления» в сетевых настройках интернета нет. Хотя шлюз прописан, DNS указывал и IP Win 2003, так и DNS самой Yota.
Зайти на Win 2003 по RDP я сейчас могу, т.е. правила ISA работают (через Hamachi, у Yota динамические IP, по этому и стоит Hamachi).
После установки DNS IP Win 2003, поднялся Skype, но больше ничего не работает.

Конечно, установка FWC помогает и появляется интернет для всего остального помимо Skype, и я бы так и оставил, но есть большая проблема – этот IP-шлюз. На него то не поставить FWC, настраивать его будут спецы провайдера и они просят от меня все сетевые IP, но я то знаю, что при моей конфигурации инета нет…

Вот и вопрос, чего я мог сделать не так?
Т.е. нужно в итоге что – что бы получая по DHCP все настройки комп свободно выходил в интернет.

[FantomIL]

KLIN,
А у Вас в каком режиме ИСА работает на данный момент?
Их три есть: Cache, Firewall и Integrated.
От этого зависит какое количество сетевых интерфейсов сможет обслуживать ИСА и каким образом клиенты смогут с ней взаимодействовать.
Режимов взаимодействия клиентов с ИСА тоже три: SecureNAT, Web Proxy и Firewall.

В кратце так:

Цитата:

Режимы работы ISA:

- Cache. Это режим с минимальными возможностями, поэтому только Web Proxy и, выборочно, службы кэширования могут быть установлены и запущены. А также, только в этом режиме ISA может работать с одной NIC ([network interface card] сетевой адаптер). В этом режиме поддерживаются только клиенты Web Proxy. Чтобы работать с клиентами SecureNAT и Firewall для ISA нужен LAT. Так же, это единственный режим, в котором не поддерживается служба H.323 Gatekeeper.


- Firewall. Это сочетание служб Firewall и Web Proxy, без службы Web Cache. Все основные функции ISA поддерживаются в этом режиме, а так же поддерживаются все типы клиентов. Но для работы в этом режиме необходимо как минимум две сетевых карты, одна внешняя, другая внутренняя (LAT).

- Integrated. Это самый полный, самый функциональный режим. Web Proxy, Firewall и Web Caching - все вместе они самым наилучшим способом "пережевывают" пакеты. Отличие режима Firewall от этого заключается только в службе Web Caching.


Клиенты ISA:

- SecureNAT. Это LAT-хост, который по умолчанию имеет роутинг на ISA через сеть, т.к. он является только средством связи с Интернет. В простой сети (без маршрутизаторов) у этого клиента шлюзом по умолчанию является первичный внутренний IP адрес ISA. В сложных (маршрутизированных) сетях это дело усложняется.

- Firewall. Это LAT-хост, у которого установлено программное обеспечение клиента ISA Firewall и приложение, использующее его.

- Web Proxy. Это простое обычное приложение (IE или другое Web-приложение) на LAT-хосте, которое использует прокси-запросы и порт для доступа в Интернет.

C Isa только знакомлюсь...

Где режим посмотрет\переключить? (Пока ищу сам, но не могу найти...)

Поправка:
С удивлением для себя сейчас понял, что у меня стоит ISA Standart edition.

Сейчас переставлю на Enterprise.

[FantomIL]

KLIN,
В консоли управления ИСА зайдите в Configuration->Networks и посмотрите справа по какому шаблону вы ИСУ сконфигурили. В большинстве случаев (для небольших сетей) надо выбрать шаблон Edge Firewall. И в сете Network Rules надо выбрать режм доступа NAT (я так понимаю, что это к Вашей ситуации наиболее лучшим образом подойдет).

Хм... Так я и не понял про режимы. Т.е. вы говорили про про три режима: "Cache, Firewall и Integrated", а потом про шаблоны строения сети... Но шаблонов то больше, непонятно. Если не сложно - поясните, пожалуйста.

А проблему я решил - оказалось что тот роутер, который я якобы превратил в Хаб, хабом не хотел становится.... Короче, я Ису то снёс, но интернета не появилось, мучался, пока не исключил роутер из схемы... И сразу всё заработало. Так что был не прав, извините.

Задача номер 2 у меня теперь это построить на базе нескольких серверов с Исами удалённую сеть на три офиса... Пойду разбираться.

[FantomIL]

KLIN,
Вкратце там достаточно точно описано какой режим для чего и даже картинки нарисованы, чтобы легче понять было.

Ну например:

Цитата:

EDGE firewall - файрволл и прокси стояшие на границе Вашей локалки и И-нета.
Для такой конфигурации необходимо минимум два сетевых адаптера в ИСЕ, один из которых смотрит внутрь, а другой наружу.
Будут работать все три режима ИСЫ Cache, Firewall и Integrated и соответственно можно обеспечиват все три режима работы с клиентами SecureNAT, Web Proxy и Firewall.

Single Network Adapter:
Конфигурация при которой на сервере ИСА есть только одна сетевуха. В этом случае ИСА сможет работать только в режиме прокси, может публиковать некотрые виды сервисов (например ОВА) осуществлять кэширование. В то же время остальные виды сервисов работать не будут.
С клиентами будет взаимодействовать только в режиме Web Proxy.

А развернуто - достаточно долго объяснять. Пожалейте мое время
Лучше почитайте документацию по ИСЕ - все хорошо написано.
Если будут конкретные проблемы или вопросы - спрашивайте.

Привет!

А как ты натянул интерфейс йоты? После установки дров йота определяется как Подключение по локальной сети с отстутствующим кабелем. А для подключения интерфейса используется yota acceess.

Мне бы тоже уйти от yota acceess, желательно средствами виндов или исы.

Please help!!!!

Цитата:

Сообщение от KLIN

FantomIL, вам памятник ставить надо!!! Я всё читал и искал, куда деньги выслать… Или цветы… Ну хоть что-нибудь сделать, вы же в этой теме 4 (!!!) года сидите!!! И помогаете, помогаете, помогаете…
Спасибо огромное!!!

Можно и я со своим барахлом?!

Что имеем: Сеть из двух компов, шлюз IP-телефонии (хитро настроенный провайдером) и роутер, который собственно и раздаёт интернет.

Добавляем в сеть комп с Win 2003 Server Enterprise SP2 X86 Russian и ISA 2006 Enterprise. На роутере вынимаем WAN кабель и убираем DHCP-сервер. На Win 2003 разворачиваем DHCP. Вставляем в комп с Win 2003 адаптер Yota (Не знаю, знаете ли вы что это, могу пояснить, если нужно или можно тут посмотреть). Yota делает новый сетевой интерфейс. Для точности скажу что есть ещё один виртуальный интерфейс, который тоже добавлен в ISA – это Hamachi (тоже могу пояснить, либо тут подробнее).
Далее, почему-то я не могу расшарить трафик из сетевого соединения Yota, приходится удалять ISA, расшаривать, ставить обратно.
В ISA, для простоты настройки делаем пока одно правило – Весь исходящий трафик, от всех сетей, во все сети, для всех пользователей - разрешить.
На DHCP есть поддержка WPAD, В ISA включено Авто-обнаружение.

И вот тут начинается затык. Локально, на сервере есть интернет. А вот у пользователей, после «исправления» в сетевых настройках интернета нет. Хотя шлюз прописан, DNS указывал и IP Win 2003, так и DNS самой Yota.
Зайти на Win 2003 по RDP я сейчас могу, т.е. правила ISA работают (через Hamachi, у Yota динамические IP, по этому и стоит Hamachi).
После установки DNS IP Win 2003, поднялся Skype, но больше ничего не работает.

Конечно, установка FWC помогает и появляется интернет для всего остального помимо Skype, и я бы так и оставил, но есть большая проблема – этот IP-шлюз. На него то не поставить FWC, настраивать его будут спецы провайдера и они просят от меня все сетевые IP, но я то знаю, что при моей конфигурации инета нет…

Вот и вопрос, чего я мог сделать не так?
Т.е. нужно в итоге что – что бы получая по DHCP все настройки комп свободно выходил в интернет.

[Dimon4o]

народ кто-нибудь сталкивался с такой проблемой:
isa 2006 торомозит скорость инета
канал на 4 Мб/с а страницы просто ползауют
что делать куда смотреть
когда поднимали ису все просто летало, потом стало тормозить

[deimos]

Цитата:

Сообщение от Dimon4o

народ кто-нибудь сталкивался с такой проблемой:
isa 2006 торомозит скорость инета
канал на 4 Мб/с а страницы просто ползауют
что делать куда смотреть
когда поднимали ису все просто летало, потом стало тормозить

Вопросы:
1. конфигурация сервера
2. роли сервера
3. какие дополнения ставили к ИСА?(например GFI WebMonitor)
4. какие ошибки есть в логах иса и в евентах
5. импортировали ли в правила ИСА наборы спам/порно/ит.п. доменов, адресов