ISA Server - настройка и решение проблем.

[maxximik]

Кто нибудь знает как в ISA-server открыть TCP порты???

[Arise]

2RaulDuk
на isa поставь первым правилом
all outbound traffic from internal&localhost to internal&localhost for allusers
сними регистрацию dns с внешнего интерфейса.
машина в домене? проверь чтоб в dns обоих сетевых интерфесов был указан dns твоего контроллера домена.
ну и проверь чтобы внутренний интерфейс был первым (сетевое окружение-свойства-дополнительно-дополнительные параметры).
если и в ентом случае не будет работать как нужно, тогда потребуется более детальный анализ.
зы: RSS нужен для проверки пакетов и отправителя. в моем посте есть линк на KB, там же все написано. при включенном RSS высчитывается аппаратный и программный хеш соединения. при использовании NAT или любого прокси программный хеш не будет совпадать... читайте внимательно http://support.microsoft.com/kb/927695

[RaulDuk]

Цитата:

Сообщение от Arise

all outbound traffic from internal&localhost to internal&localhost for allusers

было такое уже, после перезагрузки комп выподает из домена и всё, а когда по IP, то вроде всё работает

Цитата:

Сообщение от Arise

сними регистрацию dns с внешнего интерфейса

по подробнее можно, как это сделать

Цитата:

Сообщение от Arise

машина в домене?

да в домене

Цитата:

Сообщение от Arise

ну и проверь чтобы внутренний интерфейс был первым

внутренний интерфейс в верху всех остальных, значит он первый во время обращения сетевых служб ?

---------------------------------------------------------------------------------------------------------------------------
значит что мы имеем на данный момент:

на компе с ИСОЙ была отключена функция "Обозреватель компьютеров"

на внешнем интерфейсе DNS заменил на свой, внутренний

вроде бы все ошибки пропали, но хотелось бы узнать у более опытных людей чем я, отключать мне RSS или нет всётаки ?

[Arise]

Цитата:

Сообщение от RaulDuk

было такое уже, после перезагрузки комп выподает из домена и всё, а когда по IP, то вроде всё работает

значит надосмотреть в сторону dns, скорее всего проблема там.

Цитата:

Сообщение от RaulDuk

по подробнее можно, как это сделать

в свойствах tcp\ip внешнего интерфейса снять галку на вкладке DNS "зарегистрировать адрес ентого подключения в DNS"

Цитата:

Сообщение от RaulDuk

то есть как, надо чтоб на обеих сетевых карточках в графе DNS стоял IP моего днс сервера, того который на администраторе домена стоит ?

да. указать dns контроллера домена

Цитата:

Сообщение от RaulDuk

внутренний интерфейс в верху всех остальных, значит он первый во время обращения сетевых служб ?

именно.
как сделаешь, отпиши. 99% должно помочь.

кстати про RSS - если не будешь использовать VPN, то можно и оставить, но тогда возможно будут проблемы со связью с контроллером. т.е. попробуй выбрать в users кого-нть из Active Directory. если получилось - ок, оставь как есть. если нет, то отключай.

зы: рад что ошибки пропали

[RaulDuk]

Цитата:

Сообщение от Arise

как сделаешь, отпиши. 99% должно помочь

да нет, я говорю что уже помагло, спасибо, как я понял что проблема была в том, что я на внешнем адапторе, вписал DNSы провайдера, а не DNS домена

теперь меня волнует, что там в AD за ошибки такие появились:

DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.
именно на компес AD

[Arise]

Цитата:

Сообщение от RaulDuk

теперь меня волнует, что там в AD за ошибки такие появились:

DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.
именно на компес AD

это где такое? на контроллере или на шлюзе?
№ошибки в студию! или сам посмотри на eventid.net

[RaulDuk]

Цитата:

Сообщение от Arise

это где такое? на контроллере или на шлюзе?
№ошибки в студию! или сам посмотри на eventid.net

это на контроллере домена стоит DNS, а на днс пишет ошибку, код4015

[Arise]

Цитата:

Сообщение от RaulDuk

это на контроллере домена стоит DNS, а на днс пишет ошибку, код4015

смотри тутhttp://eventid.net/display.asp?event...ce=DNS&phase=1, для начала материала достаточно.
раз с ISA проблема решена, значит все ок!
а проблема DNS на DC - енто уже другая тема и не в ентой ветке.

[dj_lexa]

Доброго времени суток!
Помогите пожалуйста разобраться с проблемой!
Есть сервер на котором установлен ISA, в нем создано правило доступа в интернет которое разрешает все возможные подключения, не блокируя ничего.
Если создать правило запрета в ISA из сети Internal в сеть External которое закрывает порты "ICQ" и "ICQ 2000" и создать группу пользователей на которых это правило распространяется то, протоколы ICQ & ICQ 2000 должны блокироваться только у этих людей!
Вопрос: Почему ISA закрывает доступ к ICQ портам всем пользователям, хотя должен закрывать только определенным людям, на которых распространяется правило запрета?

[Novoross]

Скорее всего что то не верно в правилах, не плохо было бы посмотреть на правила, если возможно скриншот в студию.

П.С. Скорее это не в "сети", а в "Обсуждение программ":http://www.imho.ws/forumdisplay.php?f=3

[FantomIL]

dj_lexa, + 2 балла за игнорирование поиска. Темы объединил.

Проверь режим работы ИСА. Аутентификация по группам работает только в режимах WPC и FWC. Таким образом, установи FWC, создай правила и все будет работать. И не забудь включить системное правило, разрешающее доступ к службам каталогов для проверки подлинности

[RaulDuk]

Цитата:

Сообщение от FantomIL

Таким образом, установи FWC,

дурацкий вопрос, но где в ИСЕ изменяется режим аутентификации клиентов

появилась новая проблема с ИСОЙ а именно:
вобщем настроен шлюз с исой на нём, и вроде всё работает, но переодически пропадает интернет как на пользователях так и на самом шлюзе, а через какое то время опять появляется, время через каторое это происходит всё время разное, то может несколько часов всё работать, а то отрубается появляется вновь и тут же отрубается опять, когда нета нет, эксплорер выдаёт такой вот месадж:

The page cannot be displayed
Explanation: There is a problem with the page you are trying to reach and it cannot be displayed.

--------------------------------------------------------------------------------

Try the following:

Refresh page: Search for the page again by clicking the Refresh button. The timeout may have occurred due to Internet congestion.
Check spelling: Check that you typed the Web page address correctly. The address may have been mistyped.
Access from a link: If there is a link to the page you are looking for, try accessing the page from that link.

--------------------------------------------------------------------------------

Technical Information (for support personnel)

Error Code: 403 Forbidden. The ISA Server denied the specified Uniform Resource Locator (URL). (12202)


кстати появилось это как то не сразу, точнее было так, настроил vpn сервер интернет есть, поставил ИСУ нета нет, лезу в сетевые настройки, мняю IP на внешнем интерфейсе (благо резерв есть) и интернет сразу есть, причём есть постоянно и никуда не пропадает ну недели две три покрайней мере точно, а патом начинается вышеописанная проблема и похоже чем дальше тем чаще.

что это за ошибка №403, и как с этим бароться, перерыл всю ИСУ, но что то связанное с Uniform Resource Locator не нашёл, помогите кто знает, ато попадос, начальство нервничает


вот вроде нашёл инфу, но не могу понять о чём реч идёт )
сервер менеджмент - на сколько я могу понять) в русской версии называется "управление данным сервером" сдесь проблем ни каких нет, но вот там где мне предлогают "Expand Standard Management, and then click To Do List." я совсем втыкаю, потаму как мне не понятно где в управлении сервером есть стандартные настройки ?
оригинальное сообщение: http://forums.techarena.in/showthread.php?t=257680
там же есть ссылки на микрософт сайт, но там написанно тоже самое зайдите в стандартные настройки.

How to configure Internet access in Windows Small Business Server 2003
1. On the Small Business Server 2003 computer, click Start, and then click Server Management.
2. Expand Standard Management, and then click To Do List.
3. In the right pane, click Connect to the Internet, and then click Next.
4. On the Connection Type page, click Do not change connection type, and then click Next.
5. On the Firewall page, click Enable firewall, and then click Next.

Important Do not click the Do not change firewall configuration option.
6. When you receive the following message, click OK:
To ensure the proper configuraton of ISA Server, existing custom packet filters will be disabled. For information on how to re-enable existing packet filters, see Small Business Server Help.
7. On the Services Configuration page, click to select the check boxes of the additional services that you want to make available from the Internet, and then click Next.
8. On the Web Services Configuration page, click Allow access to only the following Web site services from the Internet, click to select the check boxes of the services and of the Web sites that you want to make accessible from the Internet, and then click Next.
9. On the Web Server Certificate page, click Create a new Web server certificate, type the Small Business Server computer's fully qualified domain name in the Web server name box, and then click Next.

Important The fully qualified domain name that you type in the Web server name box must be the same name that you use to connect to the Web site from the Internet. For example, if the URL that you use to connect to a Microsoft Outlook Web Access Web site is https://mail.contoso.com/exchange, type mail.contoso.com in the Web server name box.
10. On the Internet E-mail page, click Do not change Internet e-mail configuration, and then click Next.
11. On the Completing the Configure E-mail and Internet Connection Wizard page, view the configuration information to make sure that it is correct, and then click Finish.

[dj_lexa]

Цитата:

Сообщение от FantomIL

Таким образом, установи FWC

Поставил на клиентах Firewall Client и все ок! Спасиб!

И еще помогите разобраться с проблемой. ISA сервер ведет логи в формате mdf и в настройках стоит что логи должны хранится 30 дней. Раньше все так и было, но теперь последний лог файл почему то датируется "ЗАВТРАШНИМ" числом. На сервер время выставлено правильно. В чем может быть проблема?

[dim99]

Как подключиться через mmc к серверу ISA?
Подключаюсь с XP где mmc 2.0
На самом ISA - W2K3 и mmc 3.0.

[FantomIL]

Никак. Только если поставить ISA Managment Console из дистрибутива ISA.

[deimos]

Народ, подскажите где копать по поводу вот этой ошибки:

Failed Connection Attempt Server 15.04.2008 15:47:43
Log type: Web Proxy (Forward)
Status: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.
Rule: SBS Outbound Access Rule
Source: Internal ( 192.168.0.126:0)
Destination: External ( 207.46.192.254:443)
Request: www.microsoft.com:443
Filter information: Req ID: 111e11d4
Protocol: SSL-tunnel
User: tester

Эта ошибка вылазит каждый раз когда пытаешся зайти на сайт виндофсапйдейт или проверить винду на лицензионность: виндавс апйдейт естественно не работает, проверка на валидность тожжж.

правилом сейчас разрешен весь трафф с компа в и-нет

[FantomIL]

Цитата:

Сообщение от deimos

правилом сейчас разрешен весь трафф с компа в и-нет

И это правило стоит самым первым в цепочке?

[deimos]

Цитата:

Сообщение от FantomIL

И это правило стоит самым первым в цепочке?

ставил и первым - результат один: при попытке попасть на виндовсапдейт, соединиться с мсн, проверить винду на валидность: вылетает вышеописанная ошибка.

добавлено через 23 минуты
Вот ошибка при попытке проапдейтится с самого сервака:

Failed Connection Attempt SERVER 17.04.2008 8:41:24
Log type: Web Proxy (Forward)
Status: 995 Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения.
Rule: Allow HTTP/HTTPS requests from ISA Server to specified sites
Source: Local Host ( 192.168.0.2:0)
Destination: External ( 65.55.184.29:443)
Request: www.update.microsoft.com:443
Filter information: Req ID: 1cec9eaa
Protocol: SSL-tunnel


мне нравится то, что ИСА трафф блокирует правилом, которое является системным и его, этот трафф, разрешает.

добавлено через 2 минуты
пы.сы: прокси в эксплорере можно включать, отключать - не помогает.
на локальной машине(первая ошибка) можно ставить FWклиента, можно не ставить - результат один и тот же.

добавлено через пару дней

Подробное описание проблемы есть тут, но вот с описанием хоть какого-нибудь решения вообще сложно.

пробовал писать разные правила как на исасервер.орг советуют, но не помогает. авторизацию включал всякую разную - не помогло.
куда копать - пока неясно

добавлено ещё через пару дней

новая ошибка появилась, раньше такого в логах не было:

Denied Connection SERVER 29.04.2008 9:47:14
Log type: Firewall service
Status: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer.
Rule:
Source: External ( 65.55.184.125:443)
Destination: Local Host ( 192.168.1.3:4739)
Protocol: Unidentified IP Traffic (TCP:4739)
User:

Как открыть на ИСЕ, UDP протокол 87 порт

[FantomIL]

ИСА какая?
Что Вы подразумеваете под словом открыть? Просто пропускать етот трафик? Перенаправлять его куда-нибудь?

В общем случае:
1. Создаете собственный протокол для данного трафика
2. Настраиваете правило для этого протокола

Подскажите, может кто сталкивался с подобной задачей.

Есть ISA 2004. По умолчанию правилами прикрыта практически полностью (светится только почтовым сервером). Для целей удаленного администрирования есть правило, позволяющее доступ с определенных Computers.

Имеется dyndns хост, которому и хочется предоставить право удаленного администрирования сервера.

Трабл в том, что Computers определяются однозначно по IP-адресу, ресолвинга не происходит никогда, кроме момента ручного апдейта адреса в Computer. Может кто ваял подобный скрипт? Чтоб ресолвил dns-запись и обновлял на текущий ай-пи в записи Computer?