Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     

    Назначение и применение сабжа..
    Продолжение шапки..

    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.

    // текущий бэкап шапки..

  • Всего записей: 11820 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    2 davinchi9
    висту не смотрел, может там в браузере по умолчанию тупо не стоит галка про интегратед аутенфикацию?

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 23:39 13-07-2008
    Ivan_Taiga

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Нужно создать правило для FTP-сервера в ISA. Как это сделать?

    Всего записей: 27 | Зарегистр. 10-06-2008 | Отправлено: 09:19 14-07-2008
    Verest69



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ты имеешь ввиду публикацию своего внутреннего FTP?

    Всего записей: 221 | Зарегистр. 29-07-2005 | Отправлено: 09:42 14-07-2008
    Ivan_Taiga

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    публикацию своего внутреннего FTP

    Да.

    Всего записей: 27 | Зарегистр. 10-06-2008 | Отправлено: 10:25 14-07-2008
    davinchi9



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted

    Цитата:
    не стоит галка про интегратед аутенфикацию

    что за галка такая, можно подробнее?

    Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 10:57 14-07-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    davinchi9
    ну дожили, уже юзерскую галку в IE найти не могут. есть там в свойствах IE такая галка, типа использовать виндовую аутенфикацию, обычно по умолчанию включена

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:05 14-07-2008
    Verest69



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ivan_Taiga на вкладке Tasks делаешь create new server publishing rule

    Всего записей: 221 | Зарегистр. 29-07-2005 | Отправлено: 11:24 14-07-2008
    davinchi9



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted

    Цитата:
    не стоит галка про интегратед аутенфикацию


    Цитата:
    типа использовать виндовую аутенфикацию

    Есть такой флаг, это в свойствах IE на вкладке "Дополнительно" флаг и в разных системах называется по разному:
    win Vista: Разрешить встроенную проверку подлинности Windows
    win XP: Включить интегрированную проверку подлинности Windows
    я так понимаю это разрешение использовать NTLM аутентификацию?
    на висте в IE 7 флаг был установлен и аутентификация с ним не проходила, снял флаг, перезапустил IE и вуаля - все заработало, в логах исы пользователь авторизован, BSpliter показывает соединения как NTLM - тут я ничего не понял, т.к. вроде NTLM я получается отключил...
    пропробовал тоже самое сделать на ХР - в любом результате работает, аутентифицируется через NTLM... не совсем понятен смысл этого флага...
    Огромное спасибо за помощь!!!

    Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 16:06 14-07-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    davinchi9
    а fwc не стоит? то что показывает левый фильтр не совсем заслуживает доверия

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 23:37 14-07-2008
    Antdik



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем привет!
    Ситуация следующая WIN2003Serv SP2 + ISA2006ST все работало ОК. Придя из отпуска обнаружил, что умник из филиала (замещал на время отпуска) снес с сервера SP2. ISA вроде работает смотрел по логам, НО перестала открываться консоль. Можно ли это вылечить без переустановки ISA server?

    Всего записей: 96 | Зарегистр. 11-01-2006 | Отправлено: 10:37 15-07-2008
    Verest69



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Antdik что по логам? на что ругается MMC? снесли SP2 с винды? поставить его заново?

    Всего записей: 221 | Зарегистр. 29-07-2005 | Отправлено: 11:18 15-07-2008
    Antdik



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Пишет что не может открыть файл. Причины: файл не записан, это не консоль, создан в более поздней версии MMC или не хватает прав на файл. Работаю под админом. SP2 снесли с винды. Поставить заново, не знаю, может вообще все раком встанет. Поэтому хотелось просто запустить консоль
    PS можно ли накатить ISA поверх ?

    Всего записей: 96 | Зарегистр. 11-01-2006 | Отправлено: 11:46 15-07-2008 | Исправлено: Antdik, 11:53 15-07-2008
    davinchi9



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted
    fwc пока стоит но его служба отключена и менеджер управления выгружен...
    Цитата:
    то что показывает левый фильтр не совсем заслуживает доверия  

    с чего такое недоверие к BSpliter'у?
     
    по поводу этой галки попробовал поискать в инете - нашел вот это (не знаю насколько то применимо к ISA сервер):

    Цитата:
    Встроенная проверка подлинности Windows: При использовании этого способа, ранее имевшего название NTLM или Проверка подлинности с запросом и подтверждением Windows NT, информация о проверке подлинности отправляется по сети в виде билета Kerberos, что обеспечивает высокий уровень безопасности. Встроенная проверка подлинности Windows использует проверку подлинности Kerberos, версия 5 и NTLM. Для использования этого способа клиенты должны иметь Microsoft Internet Explorer 2.0 или более поздние версии. Кроме того, встроенная проверка подлинности Windows не поддерживается прокси-подключениями HTTP. Эту возможность лучше всего использовать в интрасети, где компьютер пользователя и веб-сервер входят в состав одного и того же домена и администраторы могут проверить, все ли пользователи используют Internet Explorer 2.0 или более поздние версии.
    источник
    эта формулировка сделал в голове полную кашу - получается NTLM древний метод аутентификации, который поддерживался до Internet Explorer 2.0 и не работает через прокси?
     
    хоть с аутентификацией вроде разобрался но замечена еще обдна трабла: ИСА режет SSL трафик - Outlook обращаясь к Exchange делает запросы на 443 порт сервера с ИСА а не Exchange (что и смущает, должно вроде на сервер Exchange) и приэтом они от anonymous, в результате имеем такие строки в логах:

    Цитата:
    Имя пользователя клиента    anonymous
    URL-адрес    exchange.domain.ru:443
    Агент клиента    "Microsoft Office/12.0 (Windows NT 6.0; Microsoft Office Outlook 12.0.6213; Pro)"
    IP-адрес клиента    192.168.0.x
    IP-адрес назначения    192.168.0.x
    Используемый протокол    SSL-tunnel
    Правило    Правило по умолчанию
    Действие    Отклоненное соединение
    Код состояния HTTP    12202

    вот не пойму от outlook должен идти аутентифицированный запрос?
    учитывая то что у Exchange сервера сменился МАС и IP адрес, фнужно ли почтовому серверу выдавать новый сертификат?
     
    и попутно: почему все веб-запросы сначала идут от anonymous потом от аутентифицированного пользователя?
     
    Добавлено:
    Antdik

    Цитата:
    Пишет что не может открыть файл.

    Файл консоли? попробуй поставить удаленную средсва управления на другой комп и открыть оттуда, потом файл консоли перекинь на сервер...

    Цитата:
    не хватает прав на файл. Работаю под админом

    проверь права, у админа тоже может не быть прав если целенаправленно так нарулить...

    Цитата:
    Поставить заново, не знаю, может вообще все раком встанет.

    сделай образ акронисом и эксперементируй... если консоль ИСЫ не открывается это уже из ряда вставания раком, т.е. что-то еще может глючить но нетак явно...

    Цитата:
    PS можно ли накатить ISA поверх  

    можно попробовать запустить воостановление установки, но опять же после создания образа...

    Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 12:21 15-07-2008 | Исправлено: davinchi9, 12:59 15-07-2008
    pavel1978

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток.  
    Такая ерунда творится - через некоторое время клиенты по очереди отваливаются. Ребутишь сервак - все нормально работает. Через некоторое время опять та же проблема. Устанавливали WinServer 2003 SP2 (был SR1), sql virtual machine 2005. До этих перемен всё работало, как часы. Что первое надо проверить?

    Всего записей: 149 | Зарегистр. 13-03-2008 | Отправлено: 13:13 15-07-2008
    Antdik



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    davinchi9
    Спасибо! сработало установка удаленного  управления и перекидка файла консоли.

    Всего записей: 96 | Зарегистр. 11-01-2006 | Отправлено: 13:27 15-07-2008
    davinchi9



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    pavel1978

    Цитата:
    клиенты по очереди отваливаются

    что именно отваливаются? доступ в инет или файловые шары или что еще?

    Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 13:36 15-07-2008
    hardhearted



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    davinchi9

    Цитата:
    эта формулировка сделал в голове полную кашу  

    читай оригиналы на английском, некоторые переводы могут привести к зависанию любой мозг

    Цитата:
    с чего такое недоверие к BSpliter'у?

    не тока к сплиттеру, если что то показывает не так как ожидалось значит надо проверять напрямую.

    Цитата:
    и попутно: почему все веб-запросы сначала идут от anonymous потом от аутентифицированного пользователя?  

    такое спрашивать вообще стыдно, во первых так работают абсолютно все прокси, собственно сами прокси не виноваты, это вина клиентов, а во вторых тут это почти на каждой странице спрашивали последние несколько лет.

    Цитата:
    Outlook обращаясь к Exchange делает запросы на 443 порт сервера с ИСА а не Exchange (что и смущает, должно вроде на сервер Exchange)  

    если у тебя клиент и exchange стоят в одной сетке то все соединения между ними должны ходить напрямую мимо исы.
     
     

    Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 13:42 15-07-2008
    davinchi9



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    hardhearted

    Цитата:
    значит надо проверять напрямую

    напрямую это смотреть логи? столбец в логах "прошедший проверку клиент" свидетельствует о NTLM аутентификации?

    Цитата:
    такое спрашивать вообще стыдно...

    мне как начинающему админу должно быть простительно

    Цитата:
    во первых так работают абсолютно все прокси...

    я и сам не первый раз задаю этот вопрос но нормального ответа так и не услышал... если не трудно дай ссылку гне на форуме об этом говорится - хочу разобраться рас уж конкретно занялся исой...
     

    Цитата:
    если у тебя клиент и exchange стоят в одной сетке то все соединения между ними должны ходить напрямую мимо исы

    ИСА, клиент и exchange в одной сетке, но в URL запрашивается по <FQDN>:443 сам exchange сервер, а IP-адрес назначения ISA сервера и запрос анонимный, но я так понимаю что клиент получив ответ от exchange должен потом подать аутентифицированный запрос?
    уточню как оно в логе выглядит:

    Цитата:
    Имя пользователя клиента    anonymous  
    URL-адрес    exchange.domain.ru:443  
    Агент клиента    "Microsoft Office/12.0 (Windows NT 6.0; Microsoft Office Outlook 12.0.6213; Pro)"  
    IP-адрес клиента    192.168.0.x  
    IP-адрес назначения    192.168.0.x - IP адрес ISA Server'a
    Используемый протокол    SSL-tunnel  
    Правило    Правило по умолчанию  
    Действие    Отклоненное соединение  
    Код состояния HTTP    12202  

    Если клиент обращается напрямую к Exchange серверу, который не стоит там же где ISA сервер, то в логох исы вообще ничего не должно быть без специального правиля контролирующего обращения сеть-сервер Exchange - правильно я понимаю?

    Всего записей: 630 | Зарегистр. 27-02-2007 | Отправлено: 15:38 15-07-2008
    Dr_Spectre



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Почему то иса судя по журналу отклоняет от компов локальной сети  бродкастовые запросы (192.168.0.255) к службе имен netbios на 137 порт и датаграмму netbios на 138 порт. При том что из сети локальная в сеть локальная и сам компьютер с исой "Весь исходящий трафик" разрешен.
    Почему он это делает?
     


    ----------
    Со всеми регардами - Alexei Dmitriev aka Dr.Spectre
    Чтобы добиться успеха в этом мире, одной глупости недостаточно, к ней нужны еще хорошие манеры.
    (c) Вольтер

    Всего записей: 1554 | Зарегистр. 15-12-2001 | Отправлено: 17:54 15-07-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru