Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     
    Назначение и применение сабжа..
    Продолжение шапки..
    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.
    // текущий бэкап шапки..
    • Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    SergeyMark



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Kiter70

    Цитата:
    Проблема в том что дальше сервера с ИСОЙ уйти не можем, что-то не пускает, а что никак не понять.

    У тебя обе сети в одном адресном пространстве 192.168.0.  Вот и не пускает дальше. И не должно пускать. Смени адресное пространство в одной из сетей на 192.168.1. , тогда пустит.
    Всего записей: 1336 | Зарегистр. 29-09-2004 | Отправлено: 07:33 16-09-2011
    ArgonOL



    Full Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Если действительно требуется работа в одной логической сети (широковещательном домене), то поможет VPN типа Ethernet Over IP. ИСА такого телать не умеет, но умеют всякие железки, типа Mikrotik.
     
    Но если работа в одной логической сети на самом деле не нужна, то маршрутизация через ИСУ будет намного лучше.
    Всего записей: 414 | Зарегистр. 16-02-2004 | Отправлено: 08:09 16-09-2011
    Kiter70



    Full Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Задачи работать под одним доменом в обоих сетях нет.  
    Есть задача связать обе сети через ВПН и использовать ресурсы головного офиса в пригороде, если что-то нужно будет ограничить в филиале мы ведь сможем подключится удаленно к тому контроллеру домена и все что нужно закрыть/запретить.
    А если делать все под одним широковещательным доменом с помощью железа, то подойдет ли для этого циска 891(есть одна такая в канторе)?
    Всего записей: 452 | Зарегистр. 21-12-2008 | Отправлено: 11:04 16-09-2011 | Исправлено: Kiter70, 11:05 16-09-2011
    alexbel31

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть иса2006, на сет. карте смотрящей в инет прописаны несколько внешних айпи.
    Допустим 1.1.1.1, 2.2.2.2, 3.3.3.3, 4.4.4.4
    Можно ли как-то настроить, чтобы определенный комп выходил в инет через 2.2.2.2, а не через 1.1.1.1 как это делают остальные компы?
    Всего записей: 32 | Зарегистр. 23-01-2009 | Отправлено: 15:54 16-09-2011 | Исправлено: alexbel31, 15:57 16-09-2011
    AndreySergeevich



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Друзья, можно как то вырубить в TMG, чтобы в security не писались события файрвола об отброшенных или разрешенных пакетах?
     
    а то получается двойная запись, в свои логи пишет и  еще в event viewer'овские
     
    Всего записей: 178 | Зарегистр. 21-02-2007 | Отправлено: 19:41 20-09-2011
    anton04



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexbel31
     

    Цитата:
    Можно ли как-то настроить, чтобы определенный комп выходил в инет через 2.2.2.2, а не через 1.1.1.1 как это делают остальные компы?

     
    нет, иса не занимается маршрутизацией!
    Всего записей: 2805 | Зарегистр. 14-06-2006 | Отправлено: 20:26 20-09-2011
    ReXXxxar

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    del
    Всего записей: 2 | Зарегистр. 02-11-2010 | Отправлено: 17:13 22-09-2011 | Исправлено: ReXXxxar, 18:15 22-09-2011
    erve

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Такая проблемка неожиданно вырисовалась. Стоит машинка с TMG клиентом. Есть правило, которое разрешает весь трафик с нее в инет. Стоит на машинке utorrent. Известный баг, что он не дружит с клиентом файрвола. Торрент клиент висит, пока клиент не выключишь (хотя и качает). Как только клиент врубается ISA север стал отрубаться. Пинги до него перестают ходить, даже залогиниться нормально нельзя, ни локально, ни по RDP. Если RDP сессия остается, то в консоли вся активность от кого-либо исчезает. Службу файрвола перезапустить не удается - зависает по таймауту маршрутизация и удаленный доступ.  
    В параметрах предотвращения Foold атаки комп прописал в исключения, в клиенте число одновременных соединений уменьшил до 100 (на TMG допускается до 160)... Чего оно так странно валится? Помогает только reset

    Итак, что имеем.
    TMG периодически валится так, что изнутри она недоступна.
    Симпотомов никаких нет - может поработать до паления 10 минут, а может пару дней. Помогает только Hard Reset.
    Проверку на флуд отключал - не помогает, ДНС УЖЕ настроил правильно (только на внутр. интерфейсе).
    Явных предвестников падения в виде торрентов и прочего - нет
    Если остается RDP сеанс на машине в этот момент, то он ничего не показывает. Ни событий в журналах, ни трафика вообще никакого в самой исе. Перезапуск службы не помогает - зависает она.
     
    После ребута в журнале появляются предупреждения
    20219
    Фильтрация пакетов IPv4 отключена. Статические фильтры, настроенные для службы маршрутизации и удаленного доступа, применяться не будут.
    Фильтрация пакетов IPv6 отключена. Статические фильтры, настроенные для службы маршрутизации и удаленного доступа, применяться не будут.
    и ошибки 20106
    Не удалось удалить интерфейс {бла-бла-бла} из диспетчера маршрутизации для протокола IPV6. Произошла следующая ошибка: Не удается завершить выполнение функции.
    Больше ничего необычного нет... Куда копать-то?
    Всего записей: 91 | Зарегистр. 28-08-2006 | Отправлено: 14:56 23-09-2011 | Исправлено: erve, 15:15 23-09-2011
    scrofa



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    День добрый.
    Есть выход в инет через cisco asa далее ISA сервер и сервера DC, 1C...  
    Я с правами администратора домена выйти в инет и получить обновления на ОС могу только на ISA, в то время как с 1С, DC такой возможности нет, при запуске браузера пишет IE не может отобразить страницу, обновления системы выдает ошибку код 80244002c  
    Вопрос где блокирует меня?  
    Склоняюсь что ISA, так как с нее доступ уже имею. Какое правило смотреть или каких прав не хватает или ваши варинты?  
    Спасибо.
    Всего записей: 96 | Зарегистр. 07-04-2008 | Отправлено: 13:33 04-10-2011
    Student1



    Екатеринбуржец    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Подскажите где искать.
    Стоит TMG2010 Enterprise, при скачивании с торрентов или большого файла tmg перестает раздавать инет, и перестает отвечать на пинги.
    И стали долго прогружаться сайты, особенно картинки.


    ----------
    Student
    Всего записей: 1212 | Зарегистр. 13-02-2003 | Отправлено: 13:27 05-10-2011
    TrustyM

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Student1
    Наверное это связано с защитой от флуда и других атак. Настройки срабатывания есть в консоли управления. Какое время действует блокировка не вникали. Но может быть есть и другая причина.
    Всего записей: 420 | Зарегистр. 02-08-2006 | Отправлено: 13:30 05-10-2011
    Student1



    Екатеринбуржец    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    TrustyM
    Добавил свой комп в исключения в настройках флуда, не помогло.

    ----------
    Student
    Всего записей: 1212 | Зарегистр. 13-02-2003 | Отправлено: 13:52 05-10-2011
    TrustyM

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Там в NON-TCP соединениях дело... Исключение компа не поможет Меняй настройки.
    Всего записей: 420 | Зарегистр. 02-08-2006 | Отправлено: 14:19 05-10-2011
    erve

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Хммм... а просто отключение flood защиты поможет?..
     
    Добавлено:

    Цитата:
    Итак, что имеем.  
    TMG периодически валится так, что изнутри она недоступна.  
    Симпотомов никаких нет - может поработать до паления 10 минут, а может пару дней. Помогает только Hard Reset.  
    Проверку на флуд отключал - не помогает, ДНС УЖЕ настроил правильно (только на внутр. интерфейсе).  
    Явных предвестников падения в виде торрентов и прочего - нет  

    Утром поднимаю VPN и тут же TMG умирает - сессия висит, но пинги уже не пускает ниоткуда. Переподключение уже не удается. Что показали логи...
     
    INET, 10/6/2011, 7:35:07, -, 10.16.1.34, 10.16.1.34, ::, VPN-клиенты, VPN-клиенты, Disconnection, 0x0, -, WAN Miniport (PPTP), -, 0, 0, 0, 0, 422531, 422531, -, user, VPN remote access, 8056, 0, -, -, -, -, -, -, ::, -, -, -, -, -, -, -, -, -, 1048575, -, -
    INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:58858, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 34, 34, 50, 50, 312000, 312000, -, user, -, 8056, 45937, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
    INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:55033, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 30, 30, 158, 158, 360484, 360484, -, user, -, 8056, 45742, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
    INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:60130, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 42, 42, 202, 202, 360515, 360515, -, user, -, 8056, 45740, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
    INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:63327, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 29, 29, 45, 45, 363015, 363015, -, user, -, 8056, 45734, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
    INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:53266, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 47, 47, 63, 63, 367906, 367906, -, user, -, 8056, 45720, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
    INET, 10/6/2011, 7:35:07, UDP, 10.16.1.34:58966, 10.16.1.201:53, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x80074e20, Межсетевой трафик, DNS, -, 51, 51, 116, 116, 368125, 368125, -, user, -, 8056, 45717, -, -, -, -, Allowed, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
    INET, 10/6/2011, 7:35:07, TCP, 10.16.1.34:51275, 10.16.1.50:3389, 10.16.1.34, VPN-клиенты, Внутренняя, Terminate, 0x800700b7, Межсетевой трафик, RDP (служба терминалов), -, 701794, 701794, 26714641, 26714641, 417125, 417125, -, user, -, 8056, 45591, -, -, -, -, -, -, ::, -, -, -, -, -, -, -, -, -, 0, -, -
     
    и все... То есть имеем, что часто TMG падает из-за VPN. Но опять же - не всегда.
    Всего записей: 91 | Зарегистр. 28-08-2006 | Отправлено: 10:17 06-10-2011
    Student1



    Екатеринбуржец    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    TrustyM
    Флуд защиту выключил, по прежнему инет подтормаживает, картинки долго прогружаются.
    Где еще можно посмотреть?

    ----------
    Student
    Всего записей: 1212 | Зарегистр. 13-02-2003 | Отправлено: 09:02 07-10-2011
    TrustyM

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Student1
    То, что инет подтормаживает - это одно, то что он теперь хотя бы есть - это другое
    P.S. А картинки и инет подтормаживает когда качаешь торрентом?
    Всего записей: 420 | Зарегистр. 02-08-2006 | Отправлено: 09:09 07-10-2011
    invip

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую, гуру, может уже писали.
    Такой вопрос неожиданно на утро перестала работать игра W.o.T. через 1 ИСа-сервер, всего у меня 4 ИСА-сервера в разных местах. Соответсвенно на 3х других все работает, специально проверял.  Соответсвенно у меня все разрешено, ничего в настройках не менялось. Остается только переустановить ИСА-сервер, что не хочется конечно, может кто что посоветует?
    Всего записей: 44 | Зарегистр. 21-02-2006 | Отправлено: 20:03 07-10-2011
    Egenius



    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Такой вопрос.
    После установки TMG на машинку в домене с Windows Server 2008 R2
    комп при загрузке очень долго висит на стадии "Применение параметров компьютера" еще до входа пользователя в систему.
    Не подскажете с чем может быть связано и как исправить подобное безобразие ?
    Спасибо!
    Всего записей: 452 | Зарегистр. 23-12-2003 | Отправлено: 12:33 18-10-2011
    Grover74

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте.  
     Установили у нас банковскую прогу, которая отсылает/принимает инфу по FTP. Настроили ftp-правило - там как обычно по 21 порту из внутренней во венешнюю, галочку в свойcтвах ftp"Только для чтения" снял.  
     Но задача все равно выдает "ошибка прокси 502" и рвет соединение.  
     
     
     Сначала ругался на 21-й порт, я его добавил в туннель, не помогло. вот лог  
    На 21-й порт ругается - назначение - комп банка  
     Неудачная попытка соединения EVELIN 19.10.2011 16:24:55  
     Тип журнала: Веб-прокси (прямой)  
     Состояние: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.  
     Правило: Web  
     Источник: Внутренняя (192.168.0.69)  
     Назначение: Внешняя (194.158.195.252:21)  
     Запрос: 194.158.195.252:21  
     Информация фильтра: Req ID: 12ed22fc  
     Протокол: SSL-tunnel  
     Пользователь: anonymous  
     Дополнительные сведения  
     Client agent:  
     Object source: Интернет (Источник - Интернет. Объект был добавлен в кэш.)  
     Cache info: 0x0  
     Processing time: 0 ms  
     MIME type:  
     
    На 4516 порт ругается - назначение - комп с исой  
     Неудачная попытка соединения EVELIN 19.10.2011 16:24:58  
     Тип журнала: Веб-прокси (прямой)  
     Состояние: 12204 Указанный SSL-порт не разрешен. ISA Server не настроен для разрешения SSL-запросов от данного порта. Большинство веб-обозревателей используют порт 443 для SSL-запросов.  
     Правило:  
     Источник: Внутренняя (192.168.0.69)  
     Назначение: (192.168.0.3:4516)  
     Запрос: 194.158.195.252:4516  
     Информация фильтра: Req ID: 12ed2396; Req ID: 12ed2396  
     Протокол: SSL-tunnel  
     Пользователь: anonymous  
     Дополнительные сведения  
     Client agent:  
     Object source: Интернет (Источник - Интернет. Объект был добавлен в кэш.)  
     Cache info: 0x0  
     Processing time: 0 ms  
     MIME type:  
     
     НО! порт 4516 - не постоянный , при разных соединениях вылазит разное число.  
     Правило ftp стоит после правила web? разрешающего весь и-нет., если это на что-то влияет.  
     
     Подскажите, куда думать и какие порты туннелировать? В банке сказали - "мы и исой не сталкивались."
    Всего записей: 10 | Зарегистр. 12-06-2008 | Отправлено: 10:25 20-10-2011
    anton04



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Grover74
     

    Цитата:
     Состояние: 12204 Указанный SSL-порт не разрешен.  

     
    И чего тут не понятного, сказано же SSL-порт не разрешен!
    Всего записей: 2805 | Зарегистр. 14-06-2006 | Отправлено: 13:41 20-10-2011
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru