заменил ISA2000 на ISA2004 и начались проблемы
Модератор: Модераторы
Сообщений: 32
• Страница 1 из 4 • 1, 2, 3, 4
- Ultimate
- Активный пользователь
- Сообщения: 234
- Зарегистрирован: 16 апр 2004, 16:26
- Откуда: Москва
Ultimate » 02 мар 2005, 15:49
Проблема такова
Снёс ISA2000 EE и поставил ISA2004 SE (Т.к. 2004 EE нету, а 2004SE не обновляет 2000ЕЕ).
Стал разбираться и попытался настроить как в раньше настраивал Ису2000.
Создал правило, позволяющее доступ в интернет аутентифицированным пользователям - вроде заработало.
На одной из машин в сети стоит MDaemon, который забирает почту по multiPOP c внешних ящиков. Так вот, MDaemon забирает почту ТОЛЬКО при настроенном правиле когда доступ в инет разрешается ВСЕМ пользователям, аутентифицированным и неаутентифицированным.
Как настраивать в ИСЕ 2004 пакетные фильтры - я так и не нашёл.
Кроме того, в Monitoring, в окне Connectivity -> Group type: DHCP, DNS, AD в состоянии not connected. Хотя интерфейсы все настроены правильно.
В EventViewer есть сообщения:
"Компьютер не может установить безопасный сеанс связи с контроллером домена TRPG по следующей причине:
Удаленный вызов процедуры был отменен.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена".
ИСА стоит на платформе winserver2003, домен win2000
К домену сервер с ИСОй подключён
Помогите разобраться
Спасибо
Снёс ISA2000 EE и поставил ISA2004 SE (Т.к. 2004 EE нету, а 2004SE не обновляет 2000ЕЕ).
Стал разбираться и попытался настроить как в раньше настраивал Ису2000.
Создал правило, позволяющее доступ в интернет аутентифицированным пользователям - вроде заработало.
На одной из машин в сети стоит MDaemon, который забирает почту по multiPOP c внешних ящиков. Так вот, MDaemon забирает почту ТОЛЬКО при настроенном правиле когда доступ в инет разрешается ВСЕМ пользователям, аутентифицированным и неаутентифицированным.
Как настраивать в ИСЕ 2004 пакетные фильтры - я так и не нашёл.
Кроме того, в Monitoring, в окне Connectivity -> Group type: DHCP, DNS, AD в состоянии not connected. Хотя интерфейсы все настроены правильно.
В EventViewer есть сообщения:
"Компьютер не может установить безопасный сеанс связи с контроллером домена TRPG по следующей причине:
Удаленный вызов процедуры был отменен.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена".
ИСА стоит на платформе winserver2003, домен win2000
К домену сервер с ИСОй подключён
Помогите разобраться
Спасибо
- Xenon[BMSTU]
- Активный пользователь
- Сообщения: 774
- Зарегистрирован: 20 май 2004, 09:23
- Откуда: Москва
Xenon[BMSTU] » 03 мар 2005, 15:31
применительно к MailDaemon - либо разрешить по IP, либо поставитьна комп, где демон стоит, ISA client
могу конечо ошибаться, не так много опыта, как хотелось бы
могу конечо ошибаться, не так много опыта, как хотелось бы
- глобальный каталог
- Активный пользователь
- Сообщения: 323
- Зарегистрирован: 02 фев 2005, 19:30
глобальный каталог » 20 май 2005, 15:15
вот надумал ставить иса 2к4 вместо вингейта, т.к. последний с виндовым rras криво работает (либо rras кривой - один хрен), не хотелось бы чтобы как у автора ветки "и начались проблемы", поэтому сразу спрашиваю - в чём косяк установки исы на контроллер домена, на котором так же вертятся dhcp и dns?
ужаса всякого поначитался вчера, но не понял в чём _принципиальность_ косяка - какого рожна все боятся открывать все порты из локалки в локалхост - оно же и так на обычном контроллере всё открыто?
ужаса всякого поначитался вчера, но не понял в чём _принципиальность_ косяка - какого рожна все боятся открывать все порты из локалки в локалхост - оно же и так на обычном контроллере всё открыто?
- Xenon[BMSTU]
- Активный пользователь
- Сообщения: 774
- Зарегистрирован: 20 май 2004, 09:23
- Откуда: Москва
Xenon[BMSTU] » 23 май 2005, 10:46
лучше этого не делать, сами мелкософты не рекомендуют, хотя у многих знакомых стоит - и все работает
все зависит от рук и головы, плюс насколько навороченнуюполиси ты будешь создавать, если 5-10 правил, то проблем не должно
все зависит от рук и головы, плюс насколько навороченнуюполиси ты будешь создавать, если 5-10 правил, то проблем не должно
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 23 май 2005, 12:57
Ultimate
Почитай http://www.microsoft.com/technet/prodte ... guide.mspx, раздел DCOM
Сам сервер с ISA member домена?
глобальный каталог
Косяка никакого нет.
Есть ситемные правила, в которых просто все порезано (DNS, DHCP, RPC и т.д.), т.е с машины на которой ISA стоит можно получить доступ практически ко всем сервисам, а вот наоборот закрыто.
Создай свои или открой все на внутреннем интерфейсе, как в 2000.
Но как уже писали MS not recommended
Почитай http://www.microsoft.com/technet/prodte ... guide.mspx, раздел DCOM
Сам сервер с ISA member домена?
глобальный каталог
Косяка никакого нет.
Есть ситемные правила, в которых просто все порезано (DNS, DHCP, RPC и т.д.), т.е с машины на которой ISA стоит можно получить доступ практически ко всем сервисам, а вот наоборот закрыто.
Создай свои или открой все на внутреннем интерфейсе, как в 2000.
Но как уже писали MS not recommended
- глобальный каталог
- Активный пользователь
- Сообщения: 323
- Зарегистрирован: 02 фев 2005, 19:30
глобальный каталог » 23 май 2005, 14:45
slz
гы - перед тем как мочить вингейт, решил погонять ису на своей тачке - там не тока снаружи "все порезано (DNS, DHCP, RPC и т.д.)" - у меня даже аська/почта/ввв перестали работать :-)))
>или открой все на внутреннем интерфейсе, как в 2000.
>Но как уже писали MS not recommended
т.е. для 2к это нормальным считалось, а для 2к4 уже всё, прошлый век? зашибись :-)
гы - перед тем как мочить вингейт, решил погонять ису на своей тачке - там не тока снаружи "все порезано (DNS, DHCP, RPC и т.д.)" - у меня даже аська/почта/ввв перестали работать :-)))
>или открой все на внутреннем интерфейсе, как в 2000.
>Но как уже писали MS not recommended
т.е. для 2к это нормальным считалось, а для 2к4 уже всё, прошлый век? зашибись :-)
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 23 май 2005, 14:52
глобальный каталог
снаружи оно по жизни было порезано, теперь они и на внутреннем интерфейсе порезали (тот что в LAT). Ну если ISA ставишь на DC он соответственно в сетке пропадает
Ну и как всегда что бы что-то заработало, надо правила написать, их там просто нет, есть системные для самой ISA.
Разберешься быстро, там все тривиально.
снаружи оно по жизни было порезано, теперь они и на внутреннем интерфейсе порезали (тот что в LAT). Ну если ISA ставишь на DC он соответственно в сетке пропадает
Ну и как всегда что бы что-то заработало, надо правила написать, их там просто нет, есть системные для самой ISA.
Разберешься быстро, там все тривиально.
- глобальный каталог
- Активный пользователь
- Сообщения: 323
- Зарегистрирован: 02 фев 2005, 19:30
глобальный каталог » 24 май 2005, 13:23
slz
"снаружи" - я имел ввиду внутренний фейс, т.е. обращение к исе из локалки на 53 порт например, потому как я сам сижу на компе с исой, т.е. как бы "внутри" нахожусь, так вот у меня "изнутри" ни хрена не работало пока не прописал - вот это ваще супер, т.е. после инсталла получаем неработоспособную систему - никак не работоспособную, потому как функции файера она не выполняет, блокируя по дефолту всё подряд - идиоты :-)))
если в вингейте новые порты открываются/обновляется конфиг мгновенно, то тут всё тупо виснет на N секунд, в зависимости от кол-ва правил - тоже супер просто :-)))
и вот мне интересно - при установке сетап предложил за внутренние адреса считать частные, я сказал "ок", а после установки оно показывало конфигурэйшн еррор до тех пор, пока вручную не снёс всё кроме своей подсети - так какого х спрашивается спрашивали? :-\
"снаружи" - я имел ввиду внутренний фейс, т.е. обращение к исе из локалки на 53 порт например, потому как я сам сижу на компе с исой, т.е. как бы "внутри" нахожусь, так вот у меня "изнутри" ни хрена не работало пока не прописал - вот это ваще супер, т.е. после инсталла получаем неработоспособную систему - никак не работоспособную, потому как функции файера она не выполняет, блокируя по дефолту всё подряд - идиоты :-)))
если в вингейте новые порты открываются/обновляется конфиг мгновенно, то тут всё тупо виснет на N секунд, в зависимости от кол-ва правил - тоже супер просто :-)))
и вот мне интересно - при установке сетап предложил за внутренние адреса считать частные, я сказал "ок", а после установки оно показывало конфигурэйшн еррор до тех пор, пока вручную не снёс всё кроме своей подсети - так какого х спрашивается спрашивали? :-\
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 25 май 2005, 07:55
глобальный каталог
Ну сделали примерно как в *nix-ax, все закрыто по умолчанию
Ну сделали примерно как в *nix-ax, все закрыто по умолчанию
| Цитата | ||||||
| обращение к исе из локалки на 53 порт
[/quote] такого системного правила нет, есть в обратную сторону с ISA (localhost) на 53 порт (internal).
|
