2RaulDuk
на isa поставь первым правилом
all outbound traffic from internal&localhost to internal&localhost for allusers
сними регистрацию dns с внешнего интерфейса.
машина в домене? проверь чтоб в dns обоих сетевых интерфесов был указан dns твоего контроллера домена.
ну и проверь чтобы внутренний интерфейс был первым (сетевое окружение-свойства-дополнительно-дополнительные параметры).
если и в ентом случае не будет работать как нужно, тогда потребуется более детальный анализ.
зы: RSS нужен для проверки пакетов и отправителя. в моем посте есть линк на KB, там же все написано. при включенном RSS высчитывается аппаратный и программный хеш соединения. при использовании NAT или любого прокси программный хеш не будет совпадать... читайте внимательно http://support.microsoft.com/kb/927695

было такое уже, после перезагрузки комп выподает из домена и всё, а когда по IP, то вроде всё работает

по подробнее можно, как это сделать

да в домене


внутренний интерфейс в верху всех остальных, значит он первый во время обращения сетевых служб ?

---------------------------------------------------------------------------------------------------------------------------
значит что мы имеем на данный момент:

на компе с ИСОЙ была отключена функция "Обозреватель компьютеров"

на внешнем интерфейсе DNS заменил на свой, внутренний

вроде бы все ошибки пропали, но хотелось бы узнать у более опытных людей чем я, отключать мне RSS или нет всётаки ?

значит надосмотреть в сторону dns, скорее всего проблема там.

в свойствах tcp\ip внешнего интерфейса снять галку на вкладке DNS "зарегистрировать адрес ентого подключения в DNS"

да. указать dns контроллера домена

именно.
как сделаешь, отпиши. 99% должно помочь.

кстати про RSS - если не будешь использовать VPN, то можно и оставить, но тогда возможно будут проблемы со связью с контроллером. т.е. попробуй выбрать в users кого-нть из Active Directory. если получилось - ок, оставь как есть. если нет, то отключай.

зы: рад что ошибки пропали ;)

да нет, я говорю что уже помагло, спасибо, как я понял что проблема была в том, что я на внешнем адапторе, вписал DNSы провайдера, а не DNS домена

теперь меня волнует, что там в AD за ошибки такие появились:

DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.
именно на компес AD

это где такое? на контроллере или на шлюзе?
№ошибки в студию! или сам посмотри на eventid.net

это на контроллере домена стоит DNS, а на днс пишет ошибку, код4015

смотри тутhttp://eventid.net/display.asp?event...ce=DNS&phase=1, для начала материала достаточно.
раз с ISA проблема решена, значит все ок!
а проблема DNS на DC - енто уже другая тема и не в ентой ветке.

Как запретить ICQ в локальной сети через ISA?
 

Доброго времени суток!
Помогите пожалуйста разобраться с проблемой!
Есть сервер на котором установлен ISA, в нем создано правило доступа в интернет которое разрешает все возможные подключения, не блокируя ничего.
Если создать правило запрета в ISA из сети Internal в сеть External которое закрывает порты "ICQ" и "ICQ 2000" и создать группу пользователей на которых это правило распространяется то, протоколы ICQ & ICQ 2000 должны блокироваться только у этих людей!
Вопрос: Почему ISA закрывает доступ к ICQ портам всем пользователям, хотя должен закрывать только определенным людям, на которых распространяется правило запрета?

Скорее всего что то не верно в правилах, не плохо было бы посмотреть на правила, если возможно скриншот в студию.

П.С. Скорее это не в "сети", а в "Обсуждение программ":http://www.imho.ws/forumdisplay.php?f=3

dj_lexa, + 2 балла за игнорирование поиска. Темы объединил.

Проверь режим работы ИСА. Аутентификация по группам работает только в режимах WPC и FWC. Таким образом, установи FWC, создай правила и все будет работать. И не забудь включить системное правило, разрешающее доступ к службам каталогов для проверки подлинности

дурацкий вопрос, но где в ИСЕ изменяется режим аутентификации клиентов

появилась новая проблема с ИСОЙ :) а именно:
вобщем настроен шлюз с исой на нём, и вроде всё работает, но переодически пропадает интернет как на пользователях так и на самом шлюзе, а через какое то время опять появляется, время через каторое это происходит всё время разное, то может несколько часов всё работать, а то отрубается появляется вновь и тут же отрубается опять, когда нета нет, эксплорер выдаёт такой вот месадж:

The page cannot be displayed
Explanation: There is a problem with the page you are trying to reach and it cannot be displayed.

--------------------------------------------------------------------------------

Try the following:

Refresh page: Search for the page again by clicking the Refresh button. The timeout may have occurred due to Internet congestion.
Check spelling: Check that you typed the Web page address correctly. The address may have been mistyped.
Access from a link: If there is a link to the page you are looking for, try accessing the page from that link.

--------------------------------------------------------------------------------

Technical Information (for support personnel)

Error Code: 403 Forbidden. The ISA Server denied the specified Uniform Resource Locator (URL). (12202)


кстати появилось это как то не сразу, точнее было так, настроил vpn сервер интернет есть, поставил ИСУ нета нет, лезу в сетевые настройки, мняю IP на внешнем интерфейсе (благо резерв есть) и интернет сразу есть, причём есть постоянно и никуда не пропадает ну недели две три покрайней мере точно, а патом начинается вышеописанная проблема и похоже чем дальше тем чаще.

что это за ошибка №403, и как с этим бароться, перерыл всю ИСУ, но что то связанное с Uniform Resource Locator не нашёл, помогите кто знает, ато попадос, начальство нервничает


вот вроде нашёл инфу, но не могу понять о чём реч идёт :))
сервер менеджмент - на сколько я могу понять:)) в русской версии называется "управление данным сервером" сдесь проблем ни каких нет, но вот там где мне предлогают "Expand Standard Management, and then click To Do List." я совсем втыкаю, потаму как мне не понятно где в управлении сервером есть стандартные настройки ?
оригинальное сообщение: http://forums.techarena.in/showthread.php?t=257680
там же есть ссылки на микрософт сайт, но там написанно тоже самое зайдите в стандартные настройки.

How to configure Internet access in Windows Small Business Server 2003
1. On the Small Business Server 2003 computer, click Start, and then click Server Management.
2. Expand Standard Management, and then click To Do List.
3. In the right pane, click Connect to the Internet, and then click Next.
4. On the Connection Type page, click Do not change connection type, and then click Next.
5. On the Firewall page, click Enable firewall, and then click Next.

Important Do not click the Do not change firewall configuration option.
6. When you receive the following message, click OK:
To ensure the proper configuraton of ISA Server, existing custom packet filters will be disabled. For information on how to re-enable existing packet filters, see Small Business Server Help.
7. On the Services Configuration page, click to select the check boxes of the additional services that you want to make available from the Internet, and then click Next.
8. On the Web Services Configuration page, click Allow access to only the following Web site services from the Internet, click to select the check boxes of the services and of the Web sites that you want to make accessible from the Internet, and then click Next.
9. On the Web Server Certificate page, click Create a new Web server certificate, type the Small Business Server computer's fully qualified domain name in the Web server name box, and then click Next.

Important The fully qualified domain name that you type in the Web server name box must be the same name that you use to connect to the Web site from the Internet. For example, if the URL that you use to connect to a Microsoft Outlook Web Access Web site is https://mail.contoso.com/exchange, type mail.contoso.com in the Web server name box.
10. On the Internet E-mail page, click Do not change Internet e-mail configuration, and then click Next.
11. On the Completing the Configure E-mail and Internet Connection Wizard page, view the configuration information to make sure that it is correct, and then click Finish.

Поставил на клиентах Firewall Client и все ок! Спасиб!

И еще помогите разобраться с проблемой. ISA сервер ведет логи в формате mdf и в настройках стоит что логи должны хранится 30 дней. Раньше все так и было, но теперь последний лог файл почему то датируется "ЗАВТРАШНИМ" числом. На сервер время выставлено правильно. В чем может быть проблема?

Как подключиться через mmc к серверу ISA?
Подключаюсь с XP где mmc 2.0
На самом ISA - W2K3 и mmc 3.0.

Никак. Только если поставить ISA Managment Console из дистрибутива ISA.

Народ, подскажите где копать по поводу вот этой ошибки:

Failed Connection Attempt Server 15.04.2008 15:47:43
Log type: Web Proxy (Forward)
Status: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.
Rule: SBS Outbound Access Rule
Source: Internal ( 192.168.0.126:0)
Destination: External ( 207.46.192.254:443)
Request: www.microsoft.com:443
Filter information: Req ID: 111e11d4
Protocol: SSL-tunnel
User: tester

Эта ошибка вылазит каждый раз когда пытаешся зайти на сайт виндофсапйдейт или проверить винду на лицензионность: виндавс апйдейт естественно не работает, проверка на валидность тожжж.

правилом сейчас разрешен весь трафф с компа в и-нет

И это правило стоит самым первым в цепочке?

ставил и первым - результат один: при попытке попасть на виндовсапдейт, соединиться с мсн, проверить винду на валидность: вылетает вышеописанная ошибка.

добавлено через 23 минуты
Вот ошибка при попытке проапдейтится с самого сервака:

Failed Connection Attempt SERVER 17.04.2008 8:41:24
Log type: Web Proxy (Forward)
Status: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.
Rule: Allow HTTP/HTTPS requests from ISA Server to specified sites
Source: Local Host ( 192.168.0.2:0)
Destination: External ( 65.55.184.29:443)
Request: www.update.microsoft.com:443
Filter information: Req ID: 1cec9eaa
Protocol: SSL-tunnel


мне нравится то, что ИСА трафф блокирует правилом, которое является системным и его, этот трафф, разрешает.

добавлено через 2 минуты
пы.сы: прокси в эксплорере можно включать, отключать - не помогает.
на локальной машине(первая ошибка) можно ставить FWклиента, можно не ставить - результат один и тот же.

добавлено через пару дней

Подробное описание проблемы есть тут, но вот с описанием хоть какого-нибудь решения вообще сложно.

пробовал писать разные правила как на исасервер.орг советуют, но не помогает. авторизацию включал всякую разную - не помогло.
куда копать - пока неясно

добавлено ещё через пару дней

новая ошибка появилась, раньше такого в логах не было:

Denied Connection SERVER 29.04.2008 9:47:14
Log type: Firewall service
Status: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer.
Rule:
Source: External ( 65.55.184.125:443)
Destination: Local Host ( 192.168.1.3:4739)
Protocol: Unidentified IP Traffic (TCP:4739)
User:

Как открыть на ИСЕ UDP протокол 87 порт
 

Как открыть на ИСЕ, UDP протокол 87 порт

ИСА какая?
Что Вы подразумеваете под словом открыть? Просто пропускать етот трафик? Перенаправлять его куда-нибудь?

В общем случае:
1. Создаете собственный протокол для данного трафика
2. Настраиваете правило для этого протокола

Подскажите, может кто сталкивался с подобной задачей.

Есть ISA 2004. По умолчанию правилами прикрыта практически полностью (светится только почтовым сервером). Для целей удаленного администрирования есть правило, позволяющее доступ с определенных Computers.

Имеется dyndns хост, которому и хочется предоставить право удаленного администрирования сервера.

Трабл в том, что Computers определяются однозначно по IP-адресу, ресолвинга не происходит никогда, кроме момента ручного апдейта адреса в Computer. Может кто ваял подобный скрипт? Чтоб ресолвил dns-запись и обновлял на текущий ай-пи в записи Computer?

появилась необходимость опубликовать 110 порт сервера exchnage в локальной сети на ружу... при момощи ISA server 2006. Создал правило Allow Pop3Server from external. internal to exchnage.server.local.
но не работает... в логах пишет что 110 порт блокируется Default rule.. хотя правио публикации стоит выше Default rule.
что делать?

Nistelrooy,
Тебе надо опубликовать порт или форвардить его?
Это, как говорят в Одессе, две большие разницы. :)

Подробнее, напиши.

FantomIL, ISA стоит в DMZ в сети 192.168.10.хх
сам exchnage server стоит в локале в сети 192.168.2.хх...
запрсы из вне принемает линукс сервак на котором поднят сквид, ip tables итп.. эта машина смотрит во внешний мир, в DMZ, и в локаль..
при запросе из внешнего мира на линукс, в Iptable прописано правило редиректить на DMZ.. а вот иса принемает запрос и редиректить на сервер.. как организовать? проблема имеено в исе... другие узлы этой схемы работают


Denied Connection ISA-SERVER 04.12.2008 15:29:02
Log type: Firewall service
Status:
Rule: Default rule
Source: External (195.189.xx.xxx:49276)
Destination: Local Host (192.168.10.2:110)
Protocol: POP3
User:

Ограничить доступ к контроллеру домена по имени
 

Как в ISA или любом другом инструменте ограничить доступ ТОЛЬКО к контроллеру домена причем по его ИМЕНИ

попробую пояснить

Есть тестовая сеть:Винда 2003+ДНС+ДХЦП+Активка
Винда 2003+ИСА
Виндва ХП - 5 штук

Нужно реализовать ограничение, позволяющее ограничить для ряда пользователей доступ ТОЛЬКО к контроллеру домена, причем только по его ИМЕНИ.

Никак не могу придумать как это сделать..

Средствами ИСЫ?
Никак.

Просто пропишите в файл hosts на требуемых машинах имя DC и "левый" IP.

P.S. Пользуйтесь поиском. Темы объединил.

Стоит ISA 2006 с одним сетевым интерфейсом. Доступ в интернет через интегрированную аунтификацию. Когда не было правил, добавил всех пользователей из AD. Теперь, когда добавил правила, репликация с AD не проходит. Т.е. , когда добавляю нового пользователя в AD в ISA его нет. Помогите настроить репликацию, какое правило надо создать?

LDAP + RPC Server разрешите

все тоже самое , не помогло

LexandrIII, давайте по порядку...

ИСА в домене?
Файрволл-клиент на рабочих станциях установлен?
В свойствах внутренней сети ИСА включена поддержка файрволл-клиента?
Время в домене нормально?
В логах ИСА что написано?

FantomIL, вам памятник ставить надо!!! Я всё читал и искал, куда деньги выслать… Или цветы… Ну хоть что-нибудь сделать, вы же в этой теме 4 (!!!) года сидите!!! И помогаете, помогаете, помогаете…
Спасибо огромное!!!

Можно и я со своим барахлом?!

Что имеем: Сеть из двух компов, шлюз IP-телефонии (хитро настроенный провайдером) и роутер, который собственно и раздаёт интернет.

Добавляем в сеть комп с Win 2003 Server Enterprise SP2 X86 Russian и ISA 2006 Enterprise. На роутере вынимаем WAN кабель и убираем DHCP-сервер. На Win 2003 разворачиваем DHCP. Вставляем в комп с Win 2003 адаптер Yota (Не знаю, знаете ли вы что это, могу пояснить, если нужно или можно тут посмотреть). Yota делает новый сетевой интерфейс. Для точности скажу что есть ещё один виртуальный интерфейс, который тоже добавлен в ISA – это Hamachi (тоже могу пояснить, либо тут подробнее).
Далее, почему-то я не могу расшарить трафик из сетевого соединения Yota, приходится удалять ISA, расшаривать, ставить обратно.
В ISA, для простоты настройки делаем пока одно правило – Весь исходящий трафик, от всех сетей, во все сети, для всех пользователей - разрешить.
На DHCP есть поддержка WPAD, В ISA включено Авто-обнаружение.

И вот тут начинается затык. Локально, на сервере есть интернет. А вот у пользователей, после «исправления» в сетевых настройках интернета нет. Хотя шлюз прописан, DNS указывал и IP Win 2003, так и DNS самой Yota.
Зайти на Win 2003 по RDP я сейчас могу, т.е. правила ISA работают (через Hamachi, у Yota динамические IP, по этому и стоит Hamachi).
После установки DNS IP Win 2003, поднялся Skype, но больше ничего не работает.

Конечно, установка FWC помогает и появляется интернет для всего остального помимо Skype, и я бы так и оставил, но есть большая проблема – этот IP-шлюз. На него то не поставить FWC, настраивать его будут спецы провайдера и они просят от меня все сетевые IP, но я то знаю, что при моей конфигурации инета нет…

Вот и вопрос, чего я мог сделать не так?
Т.е. нужно в итоге что – что бы получая по DHCP все настройки комп свободно выходил в интернет.

KLIN,
А у Вас в каком режиме ИСА работает на данный момент?
Их три есть: Cache, Firewall и Integrated.
От этого зависит какое количество сетевых интерфейсов сможет обслуживать ИСА и каким образом клиенты смогут с ней взаимодействовать.
Режимов взаимодействия клиентов с ИСА тоже три: SecureNAT, Web Proxy и Firewall.

В кратце так:

C Isa только знакомлюсь...

Где режим посмотрет\переключить? (Пока ищу сам, но не могу найти...)

Поправка:
С удивлением для себя сейчас понял, что у меня стоит ISA Standart edition.

Сейчас переставлю на Enterprise.

KLIN,
В консоли управления ИСА зайдите в Configuration->Networks и посмотрите справа по какому шаблону вы ИСУ сконфигурили. В большинстве случаев (для небольших сетей) надо выбрать шаблон Edge Firewall. И в сете Network Rules надо выбрать режм доступа NAT (я так понимаю, что это к Вашей ситуации наиболее лучшим образом подойдет).

Хм... Так я и не понял про режимы. Т.е. вы говорили про про три режима: "Cache, Firewall и Integrated", а потом про шаблоны строения сети... Но шаблонов то больше, непонятно. Если не сложно - поясните, пожалуйста.

А проблему я решил - оказалось что тот роутер, который я якобы превратил в Хаб, хабом не хотел становится.... Короче, я Ису то снёс, но интернета не появилось, мучался, пока не исключил роутер из схемы... И сразу всё заработало. Так что был не прав, извините.

Задача номер 2 у меня теперь это построить на базе нескольких серверов с Исами удалённую сеть на три офиса... Пойду разбираться.

KLIN,
Вкратце там достаточно точно описано какой режим для чего и даже картинки нарисованы, чтобы легче понять было.

Ну например:

А развернуто - достаточно долго объяснять. Пожалейте мое время :)
Лучше почитайте документацию по ИСЕ - все хорошо написано.
Если будут конкретные проблемы или вопросы - спрашивайте.

йота без yota acceess?
 

Привет!

А как ты натянул интерфейс йоты? После установки дров йота определяется как Подключение по локальной сети с отстутствующим кабелем. А для подключения интерфейса используется yota acceess.

Мне бы тоже уйти от yota acceess, желательно средствами виндов или исы.

Please help!!!!

народ кто-нибудь сталкивался с такой проблемой:
isa 2006 торомозит скорость инета
канал на 4 Мб/с а страницы просто ползауют
что делать куда смотреть
когда поднимали ису все просто летало, потом стало тормозить

Вопросы:
1. конфигурация сервера
2. роли сервера
3. какие дополнения ставили к ИСА?(например GFI WebMonitor)
4. какие ошибки есть в логах иса и в евентах
5. импортировали ли в правила ИСА наборы спам/порно/ит.п. доменов, адресов