|
Цитата:
|
Цитата:
|
1) Вы говорите что я потеряю в функциональности ISA сервера если поставлю его на WinXP Pro. Можете сказать какие функции будут не доступны.
2) Что такое клиентская часть ISA сервера? Я скачал с сайта MSoft версию ISA server 2004 beta, в ней имеется серверная и клиентская части? 3) После деинсталяции ISA сервера не возникнет проблем с доступом к Internet и обменом данных по сети? |
Fridrih
1. Ты внимательно прочел мой пост №36? Сформулирую по другому: сам ISA нельзя поставить на ОС несерверной платформы. Можно лишь разместить средства управления ISA. 2. Клиентская часть ISA это Firewall Client и нужен он для того, чтобы обеспечить работоспособность некоторых протоколов и прикладных программ, которые не могут работать через SecureNAT. Кроме того клиент необходим, если тебе нужно ограничить доступ пользователям или группам с помощью SAM или AD. В этом случае на каждом клиентском компьютере установить Firewall Client, который входит в состав ISA Server. Насчет версий скаченных с сайта - затруднюсь сказать, но в версию ISA, распространяемую на диске, клиент входит. После установки ISA дистрибутив клиента должен быть на машине ISA Server в папке mspclnt. 3. После деинсталяции ISA никаких проблем возникнуть не должно. А будут они или нет, сам понимаешь, никто тебе точно не скажет :) |
Прошу помочь разобраться с веб-доступом извне к почтовому серверу по фиксированному IP (без всяких DNS-имен).
Есть сервер под W2k3 EE: сетевуха в локалку (192.168.0.x) и сетевуха в инет (фиксированный внешний IP). На этом сервере (192.168.0.2): ISA 2004 EE и почтовый сервер MDaemon Pro 8.1.3, который имеет встроенный Web-сервер WorldClient для веб доступа к почте. Он слушает http-запросы по порту 3000 (настраивается). Единственный вариант как работает этот веб-доступ - только на самом сервере по запросу http://localhost:3000. Но по http://192.168.0.2:3000 уже не работает ни с самого сервера, ни с машин в локалке. По внешнему IP (что в общем-то и нужно) тоже никак не работает. В логах, при http://(внешний IP):3000 с сервера, ISA пишет: Client IP: 192.168.0.2 Destination IP: 192.168.0.2 Destination Port: 8080 Protocol: http Action: Denided Connection Rule: [Enterprise] Default Rule HTTP Status Code: 12202 The ISA Server denided the specified URL Client User Name: anonymous Source Network: Local Host Destination Network: Local Host URL: http://(внешний IP):3000 Log Record Type: Web Proxy Filter Т.е. как обыно режется последним правилом по умолчанию. Пытался просто создавать правило пропускать из External в Localhost HTTP для All Users. Пробовал публиковать и как веб сервер, и как почтовый сервер с выбором Outlook Web Access (я так понял аналогичная штука для Exchange), но тщетно, видимо путаюсь в этих настройках. Помогите пожалуйста разобраться :help: |
ЕЖ
Сразу тяжело сказать, но навскидку - создай Protocol Definition с портом 3000. Затем, в Protocol Rules делай правило, которое будет разрешать пользователям этот Definition. Если не поможет, то ответь на следующие вопросы: 1. Ты работаешь как Firewall Client или как SecureNAT? 2. Если все сервисы ИСА убить, то веб-интерфейс почтовика отзывается? 3. Хотелось бы попристальнее взглянуть на Web Publishing Rule для WorldClient. |
FantomIL
1. Я работаю без клиентов, т.к. в этом нет необходимости. Но к задаче это ведь не имеет отношения, т.к. требуется доступ к серверу извне локальной сети, из инета. 2. Веб-интерфейс открывается, как я уже написал, только на самом серваке по http://localhost:3000. По локальному IP сервака не откывается ни на самом сервере, ни с локалки. Если вырубить Microsoft Firewall в Monitoring > Services то ничего не меняется (есть доступ только по localhost), но ещё вообще пропадает инет. 3. На данный момент грохнул все правила, которые пытался создавать. Пробема как раз в этом - не удается мне создать правило для пропуска запросов извне на WorldClient по 3000 порту. Не цеплет оно запросы, всё доходит до Default Rule и блокируется. Вот сейчас пытаюсь создать просто Enterprise Acces Rule: Name: WorldClient Action: Allow Protocol: ... вот тут добавляю свой (жму Add > New), обзываю WorldClient WebMail, пишу Inbound, TCP, Port Range ставлю 3000, Finish - и он куда-то исчезает, т.е. не получается добавить этот протокол в создаваемое правило :idontnow: ...Хм, протокол всё-таки появляется в Toolbox в User Defined, но его нельзя добавить в правило. Притом причина, я так понял, в том что у него стоит Inbound - если поменять на Outbound, то в правило его добавить можно. Но для доступа извне мне ведь нужно Inbound, или я не правильно понимаю? |
Цитата:
Да, еще, у тебя ИИС установлен? Где то я читал, что подобную проблему решили следующим образом: устанавливаем ИИС и в WorldClient говорим, что работать будем через ИИС, а потом публикуем. |
Через определенное время/траффик ISA начинает блокировать
Добрый день
Пока точно не отследил, но... через какое-то время (или какой-то объем траффика) вдруг становится недоступным HTTP и FTP контент Лечится все ЛЮБЫМ изменением в правилах FireWall Policy Можно даже ничего не менять - перещелкнул что-нибудь в любом правиле - главное, чтобы появилась кнопка "Apply" После применения "таких" изменений все опять работает Раньше, вроде, такого не было - перед этим был апдейт с Microsoft Ни у кого не встречается еще такое? ISA server 2004 ver. 4.0.2165.594 |
FantomIL
добрый день! топик 39 lewa: Наверное мне нужно сначала там полазить а потом, если не выйдет здесть вопросы задавать. Это действительно так. ИСА это достаточно сложный продукт корпоративного уровня и объяснить в двух словах что-либо вряд ли получится. Поизучай материалы, пойми основы, а потом, если будут конкретные вопросы или затруднения - всегда буду рад помочь наконец то получилось запустить ИСУ и вот конкретные вопросы: DHCP не работает. В system polycy и реквест и ответ разрешен. Лампочки "горят" для этих полисов но IP не обновляется ни в какую. Поставил все IP в ручную. Хочу понять как настроить DHCP. Долго ковырял но никак. В логах когда режет пишет что то типа Netbios name service - Deny и DHCP тоже Deny. Посоветуйте что делать. Далее. Обясните что порусски значит TTL Boundaries минимум и максимум. пока это И еще чуть не забыл Set TTL of object (% of content age) что это такое? И что такое content и его age |
lewa
Проблемы с DHCP и ИСА обычно начинается, когда неправильно настроены параметры DHCP. В частности, когда сервер DHCP пытается присвоить адрес внешнему интерфейсу, который смотрит к провайдеру. Пропиши на этом интерфейсе все руками и дай статический адрес. Тогда убедишься в этом ли проблема. Далее, TTL time boundaries это время жизни объектов в кеше ИСЫ. Соответственно, минимум это минимальное время, которое объекты должны находится в кеше, а максимум - макимальное время, которое объекты могут там находится. Set TTL of object - это опция, которая тоже позволяет задать время хранения объектов в кеше ИСА, только это время исчесляется не минимальной и максимальной границей, а процентами от времени существования содержимого. Соответственно content это содержимое, а age это время его существования. |
Вложений: 4
FantomIL
Все дело в том что все интерфейсы имеют статический адрес. Но лучше один раз увидеть как говорится вот мои настройки исы (в файлах) FantomIL А вот как говорится и лог в студии: |
lewa
Во-первых, в первом правиле для DHCP вместо Anywhere поставь Internal. Во-вторых, выложи, пожалуйста, скрины ВСЕХ правил, которые у тебя на ИСЕ прописаны, поскольку у тебя запросы DHCP блокируются правилом по-умолчанию. А у всех грамотных файрволлов проверка идет до первого подходящего правила, все что дальше - не проверяется. |
FantomIL
Sorry проблемы с инетом поэтому долго молчу. Насчет Anyware и Internal я уже пробовал - чето не получилось. Насчет правил, как только выйду опять в онлайн сразу вывешу. |
Вопрос по ISA Server 2004.
Всем доброго дня!
Вопрос такой. После того, как рухнул сервер более ранней версии там, где мы подключены, как клиенты, там поставили новую версию (см. заголовок). Сейчас человек, который администрирует этот сервер не может почему-то настроить его, чтобы мы могли пользоваться локальным почтовым клиентом (TheBat). Он предложил нам поставить Firewall Client for ISA Server 2003, - поставили, - пишет: "disable: ISA Server192.168.2.1 is not accassible". При этом броузер, настроенный в свойствах по подключению на прокси с таким адресом, работает и ICQ 2003b тоже работает. Прошу совета. Что надо сделать, чтобы все заработало? |
Похоже, что вопрос не там был задан или для понимания ответа у меня не хватит знаний, поэтому такой молчёк :(
Надо было его в руководстве для новичков, похоже, задать. :idontnow: Просьба к модераторам вообще его удалить, или переместить туда, т.к. эта тема, похоже, уже не посещается. Я просто думал, что если будет какой-то ответ, то показать его админу, может тогда он настроил бы нам машину. |
Geo55
Надо на ИСА в политиках клиента внести Бат в список разрешенных программ и правильно настроить само подключение Firewall Client к ИСЕ. А в данный момент клиент вам ясно говорит, что по адресу 192.168.2.1 он не наблюдает никакого ИСА-сервера. Цитата:
Кстати, можно вообще не ставить никакой Firewall Client, а просто открыть нужные порты и все. |
win2003 EE RC2
ISA 2004 SP1 проблемка в следующем: не пускает на gmail почтовые клиенты. в логах пишет что блокирует это дело ентерпрайз полиси. что надо прописать чтобы пускало? потому что в ентерпрайз полиси одно правило: запретить все и добавить туда ничего не дает |
deimos
В интерпрайз полиси ничего добавлять не нужно. Нужно создать разрешающее правило и поставить его ДО блокирующего. |
Господа подскажите плиз в ISA server 2006 добавлено управление SecureNAT
(т.е разграничение прав на его использование) |
Цитата:
|
В настройках протоколов создаешь правило, разрешающее протоколы POP3S и SMTPS (не забудь проверить соответствие портов) и это разрешающее правило поднимаешь повыше в порядке следования.
|
а вот почему у меня через ИСА сервер не хочет мэйл.ру агент работать?
|
Цитата:
З.Ы. Заканчивай флудить в каждой ветке, будь добр. :mad: |
win2003 server
MS ISA 2004 sp1 EE впорос про VPN настроил, коннектиться клиент(на клиенте XP Home). В сессиях вижу что клиент с такой-то айпи приконнектился, но вот дальше ничего: ни он меня не видит, ни я его не вижу. В логах пишет следующее: Добавлено: к сказанному выше: в логах есть такая запись: access denied FWX_E_INVALID_PROTCOL_PACKET_DROPPED 0xC0040028 что можно сделать? немного поменял конфигурацию, теперь в логах пишется про спуфинг пакетов. вот описание: Цитата:
|
В чем может быть проблема: стоит ISA 2004 Standart и вдруг ни с того по http протоколу ничего не работает - чистые листы. Помогает только снос исы и установка снова. Уже 3 раз такая бадяга, ничего не пойму. Кто с этим сталкивался?
|
2 swington
...Так ничего не понятно!
Какая у вас ось? В каком режиме работает ISA? Какой еще софт стоит для управления сетью? Какие созданы правила? Ну и главное, что в логах Винды и ИСЫ??? |
Цитата:
подскажите что делать с этим ругательством? ------------------------------------------------- Цитата:
вылечилось применением вот этих двух статей: а вообще, лучше скажи что она в логах пишет: denied, dropped или что-то иное. |
есть такая проблемка: на серваке windows 2003 server r2 с MS ISA Server 2004 sp2 есть расшаренная папка в которой лежат файлики для запуска сервера в сети. Периодически то один, то другой комп в сети не получает доступ к этой папке и в итоге на клиентских машинах клиент не запускается. потому что он не видит свои конфиги.
Что делать? В логах ошибок нет. сервер имеется в виду не ИСА, а специальная прога сервер с клиентом. чтобы клиент коннектился к своему серваку ему надо видеть конфиг который лежит в этой папке. перенести на другой комп серверную часть с конфигами не предлагать: возможности нет. |
Порты ftp ???
Какие порты нужны для открытия портов для ftp ??? открыли мы 2021 порт. какие еще нужно для аплоудинга. ? по сети необходимо срочно открыть.
|
А на каких портах слушает Ваш FTP сервер? порт 2021 не является стандартным для этого сервиса. Стандартными для него являются (в активном режиме) порты 20 и 21. TCP, естественно.
|
KomatoZo - да 20 21 мы знаем...но у нас стоит isa server и мы не з-наем как открыть upload ftp.
|
Сейчас буду кусаться. Я похож на телепата? Откуда я должен был узнать, по Вашему, про ISA?
1) Какая именно ISA? 2) Где находится FTP - в LAN или в интернете. 3) Кто, откуда (интернет, LAN?) и при каких полномочиях должен загружать файлы на FTP? |
1) isa server 4.0
2) находится в lan 3) просто хотим onrhsnm upload файлов на сервер. download происходит, но аплоуда нету. при том что через керио фаерволл доступ на аплоуд открыт. |
Что такое ISA 4.0??? ISA 2004 знаю. 2000 - знаю. 2006 тоже знаю. 4.0 - не помню. Или что-то очень древнее, или Вы ошибаетесь в чем-то.
|
ISA 2004
|
Ну вот теперь можно общаться по существу.
Хотя нет - что там еще за Kerio стоит? А по поводу upload на FTP - идем к правилу, которым опубликовали FTP сервер, если оно есть. Тыкаемся в него правой кнопкой и жмем на "Configure FTP". Там должна стоять галочка "Read only". Так вот эту галочку надо снять, нажать Ok и не забыть потом нажать Apply. По-идее все. Если публикующего правила нет - пишите. Напишу как его создать. |
kakaya raznica
Топ пр ИСА существует. :mad: За игнорирование поиска - 2 балла. Темы объединил. |
Проблема с Firewall Client Agent
На одной из машин, работающей под Win2K,
возникла следующая проблема: служба Firewall Client Agent не стартует в автомате, а только вручную... речь идет о Microsoft Firewall Client 4 ISA server 2004 может кто сталкивался? |
Цитата:
т.е. %Program Files%Microsoft Firewall Client 2004\FwcMgmt.exe - в автозагрузку. именно туда енот клиент и прописывается. видать кто-то удалил его ярлык с автозагрузки. успехов! |
| Часовой пояс GMT +4, время: 17:27. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.