Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
ISA сервер 01.04.03 15:58 Число просмотров: 1760
Автор: Woonder <Бученков Андрей> Статус: Member
|
> А умеет ли ентот сервер в режиме stand alone распозновать
> приконнекченных юзеров по именам. Стоит этот сервак на вин
> 2000 сервере, контроллере домена (русском).
> Прединсталяционный апдейт актив директори не прошел,
Это надо только для Enterprise режима, если у тебя в организации будет несколько ISA серверов
> вывалилась ошибка: "неправильный формат имени компьютера".
> Что это значит так и не понял, пришлось поставить как stand
> alone. Поставил также юзерам клиентов (везде win 2000
> prof), но в логах ISA имена приконнекченных юзеров не
MSP Client нужен только если пользователи "ходят" за Firewall не через ВЕБ Прокси сервис, то есть по протоколам POP3, SMTP и т.д. И ты создаёшь правило , которое разрешает эти протоколы только для конкретных пользователей. Тогда MSP Client вместе с запросом передает и имя пользователя (SecureNAT) (то есть ISA иниции рует процедуру проверки пользователя, а MSP Client передаёт имя и пароль текущего локального пользователя). если у тебя правила на базе IP , то ставить клиента не надо (NAT).
> отображаются, соответственно правила которые ориентируются
> на имена не работают (а именно это и не нужно!). Мож че
> надо где нить подкрутить?
Если у тебя в Protocol Rules стоит что Applies to Any Request, то и в логах не увидешь имён, так как у тебя по определению всем можно.
Если ты хочешь принудительно всех заставить проходить авторизацию, то в свойствах ISA сервера на закладке Outgoing Web Request поставь галочку "Ask Unauthenticated user for identification"
> И еще вопросик: умеет ли эта штука делать маппинг портов.
> То что снаружи во внутрь умеет - это я понял, а вот
> наооборот: надо чтоб с порта шлюза, предположим 222,
> переадресовывалось на порт 21 интернетовского сервака
> (запрос происходит из внутренней сети). Буду признателен
> хоть за какие-нить объяснения. Спасибо!
Маппинг портов в принципе возможен, если ты сам напишешь Add-On для ИСЫ. SDK прилагается с ИСой. ;). Стандартными средствами сие не можливо.
|
|
<networking>
|
ISA сервер 01.04.03 01:56
Автор: dron <Ivanov Andrey> Статус: Member
|
А умеет ли ентот сервер в режиме stand alone распозновать приконнекченных юзеров по именам. Стоит этот сервак на вин 2000 сервере, контроллере домена (русском). Прединсталяционный апдейт актив директори не прошел, вывалилась ошибка: "неправильный формат имени компьютера". Что это значит так и не понял, пришлось поставить как stand alone. Поставил также юзерам клиентов (везде win 2000 prof), но в логах ISA имена приконнекченных юзеров не отображаются, соответственно правила которые ориентируются на имена не работают (а именно это и не нужно!). Мож че надо где нить подкрутить?
И еще вопросик: умеет ли эта штука делать маппинг портов. То что снаружи во внутрь умеет - это я понял, а вот наооборот: надо чтоб с порта шлюза, предположим 222, переадресовывалось на порт 21 интернетовского сервака (запрос происходит из внутренней сети). Буду признателен хоть за какие-нить объяснения. Спасибо!
|
|
ISA сервер 01.04.03 15:58
Автор: Woonder <Бученков Андрей> Статус: Member
|
> А умеет ли ентот сервер в режиме stand alone распозновать
> приконнекченных юзеров по именам. Стоит этот сервак на вин
> 2000 сервере, контроллере домена (русском).
> Прединсталяционный апдейт актив директори не прошел,
Это надо только для Enterprise режима, если у тебя в организации будет несколько ISA серверов
> вывалилась ошибка: "неправильный формат имени компьютера".
> Что это значит так и не понял, пришлось поставить как stand
> alone. Поставил также юзерам клиентов (везде win 2000
> prof), но в логах ISA имена приконнекченных юзеров не
MSP Client нужен только если пользователи "ходят" за Firewall не через ВЕБ Прокси сервис, то есть по протоколам POP3, SMTP и т.д. И ты создаёшь правило , которое разрешает эти протоколы только для конкретных пользователей. Тогда MSP Client вместе с запросом передает и имя пользователя (SecureNAT) (то есть ISA иниции рует процедуру проверки пользователя, а MSP Client передаёт имя и пароль текущего локального пользователя). если у тебя правила на базе IP , то ставить клиента не надо (NAT).
> отображаются, соответственно правила которые ориентируются
> на имена не работают (а именно это и не нужно!). Мож че
> надо где нить подкрутить?
Если у тебя в Protocol Rules стоит что Applies to Any Request, то и в логах не увидешь имён, так как у тебя по определению всем можно.
Если ты хочешь принудительно всех заставить проходить авторизацию, то в свойствах ISA сервера на закладке Outgoing Web Request поставь галочку "Ask Unauthenticated user for identification"
> И еще вопросик: умеет ли эта штука делать маппинг портов.
> То что снаружи во внутрь умеет - это я понял, а вот
> наооборот: надо чтоб с порта шлюза, предположим 222,
> переадресовывалось на порт 21 интернетовского сервака
> (запрос происходит из внутренней сети). Буду признателен
> хоть за какие-нить объяснения. Спасибо!
Маппинг портов в принципе возможен, если ты сам напишешь Add-On для ИСЫ. SDK прилагается с ИСой. ;). Стандартными средствами сие не можливо.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
