Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
WSUS поднимается, как правило, не на 80 порту. Точнее можно посмотреть в оснастке IIS. Этот порт разрешен в ИСА на in/out для internal - localhost? Что говорит монитор? Хотя его тяжело отстроить, ВСУС запросы редко идут... 12.04.07 09:52 Число просмотров: 4136
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 12.04.07 09:53 Количество правок: 1
|
|
|
|
<sysadmin>
|
ISA сервер в качестве прокси 11.04.07 13:57
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
|
Всем привет.
Возникла необходимость поднять на сервере с одним сетевым интерфейсом ISA. На том же сервере работает WSUS.
Проблема в том, что если в настройках Internal ставишь использование прокси и обязательную авторизацию, то пользователи не могут получать обновления... а если убрать обязательную авторизацию - то ходят в инет как анонимные.
Поскольку ису вижу первый день - хелп неедед....
|
|
Они (клиенты) хоть как то получают обновления, в каком нибудь случае? Обновления идут с ВСУС или ВСУС отдает список, а тянуться с сайта МС. А сколько вообще клиентов? 11.04.07 21:10
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| |
Ранее они получали обновление именно с этого сервера (DC),... 11.04.07 21:45
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
|
|
Ранее они получали обновление именно с этого сервера (DC), на него закачиваются и отдаются клиентам (порядка 200 машин)
|
| | |
"Ранее" - что является милестоуном? Установка ИСА, настройка авторизации на ИСА? После каких действий перестало раздавать обновления. (1/2 офф) жестоко вы ДС, надеюсь запасной ДС есть? Или СБС лицензия? 12.04.07 02:03
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | |
Ранее - это до установки ISA и настройки проксирования с... 12.04.07 08:53
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
|
Ранее - это до установки ISA и настройки проксирования с обязательной авторизацией на локальном интерфейсе. (хотя может и до этой настройки - действия были практически не разнесены по времени). После этого было замечены отказы на обращения к WSUS в логах.
ДЦ - две штуки, но на втором exchange :)
"Ранее" - что является милестоуном? Установка ИСА, настройка авторизации на ИСА? После каких действий перестало раздавать обновления. (1/2 офф) жестоко вы ДС, надеюсь запасной ДС есть? Или СБС лицензия?
|
| | | | |
WSUS поднимается, как правило, не на 80 порту. Точнее можно посмотреть в оснастке IIS. Этот порт разрешен в ИСА на in/out для internal - localhost? Что говорит монитор? Хотя его тяжело отстроить, ВСУС запросы редко идут... 12.04.07 09:52
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 12.04.07 09:53 Количество правок: 1
|
|
|
| | | | | |
Другие непонятки 13.04.07 09:10
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
|
Не могу понять как сделать разрешение ВСЕГО трафика от сети 192.168.0.0/16 на машину с ISA. Имеется правило allow from internal (а в свойствах сети укакзан диапазон как раз 192.168.0.0/16) на localhost. в логах по фильтру на deny имеем
192.168.18.9 DC - TCP - - 13.04.2007 4:59:21 11895 0 0 0 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0x0 0x0 Firewall - 13.04.2007 8:59:21 Internal 192.168.18.9 192.168.18.10 3268 Local Host LDAP GC (Global Catalog) Denied Connection
И почему?
|
| | | | | | |
Весь трафик тебе не нужен. 16.04.07 14:37
Автор: Den <Денис Т.> Статус: The Elderman
|
Чтобы клиенты могли работать с DC, тебе необходимо разрешить следующие подключения:
DNS (TCP/UDP 53)
Kerberos (TCP/UDP 88,749)
LDAP (TCP/UDP 389)
LDAP GC (TCP 3268)
LDAP GC SSL (TCP 3269)
LDAPS (TCP 636)
Microsoft-DS (TCP 445)
RPC/EPMAP (TCP 135)
RPC allocated (определяется через rpccfg.exe или 1024-65535)
Для прочих прелестей, также необходимо добавить:
DHCP/BOOTP (UDP 67,68)
NetBIOS-DGM (UDP 138)
NetBIOS-NS (TCP/UDP 137)
NetBIOS-SSN (TCP 139)
NTP (UDP 123)
Ping (ICMP)
|
| | | | | | | |
Забыл:) Для ДХЦП надо разрешить броадкаст. 16.04.07 15:15
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | | | | | | |
Броадкаст откуда, куда и нафига? :) 16.04.07 15:40
Автор: Den <Денис Т.> Статус: The Elderman
|
|
|
| | | | | | | | | |
ДХЦП клиенты ищут и делают запрос адреса (у них еще нет ИП) ДХЦП сервер через запрос на 255.255.255.255. А сервер отвечает им аналогично. 16.04.07 15:47
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 16.04.07 15:50 Количество правок: 1
|
|
|
| | | | | | | | | | |
Дык я написал, что треба разрешить входящий трафик dhcp/bootp (udp 67,68) 16.04.07 16:15
Автор: Den <Денис Т.> Статус: The Elderman
|
|
|
| | | | | | | | | | | |
Мы спорим о разных категориях:) Я об соурсе и дестинешн, а не портах. ИСА должна принимать трафик направленный на 255,255,255,255 через локальный сетевой интерфейс, на данные порты. По дефолту не принимает и забывают открыть, открывая только localhost. 16.04.07 16:42
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | | | |
Был на 80, сейчас перенес на 81. Опубликовал сервер, сделал... 12.04.07 10:30
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
|
Был на 80, сейчас перенес на 81. Опубликовал сервер, сделал проброс порта в листенере... вроде бы пока работает но криво...
Мне бы доку найти толковую по исе... да еще бы и на русском... :)
WSUS поднимается, как правило, не на 80 порту. Точнее можно посмотреть в оснастке IIS. Этот порт разрешен в ИСА на in/out для internal - localhost? Что говорит монитор? Хотя его тяжело отстроить, ВСУС запросы редко идут...
|
| | | | | | |
Есть курс МС 2824A по ИСА04, но на английском. НА русском, вроде нет курсов такого уровня. 40 метров. По запросу автора и member+ могу выложить на свой фтп. Пишите в личку. Внутри линки. 12.04.07 14:18
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 12.04.07 14:20 Количество правок: 1
|
http://www.isatools.org/
http://isaserver.ru/
http://www.isaserver.org/
|
|
Можно попробовать WSUS через NAT ISA пускать. 11.04.07 15:47
Автор: Den <Денис Т.> Статус: The Elderman
|
|
Но ИМХО, для анонимных подключений по идее можно настроить доступ только на определенные узлы, например на www.microsoft.com (во всяком случае, в KWF такая возможность есть).
|
| |
I worked around ISA issues pretty long time ago. So, I could... 13.04.07 05:39
Автор: void <Grebnev Valery> Статус: Elderman
|
> Но ИМХО, для анонимных подключений по идее можно настроить
> доступ только на определенные узлы, например на
> www.microsoft.com (во всяком случае, в KWF такая
> возможность есть).
I worked around ISA issues pretty long time ago. So, I could be mistaken. But ISA does not provide NAT. Am I missing something? ISA is not a router, but sooner a kind of proxy. If you want NAT, you should run RRAS; and then you can setup NAT on that box. Obviously, you cannot run ISA and RRAS on the same box at the same time.
Anyway, I am not sure.
|
| | |
Тем не менее, ISA прекрасно работает именно в связке с RRAS. 16.04.07 14:57
Автор: Den <Денис Т.> Статус: The Elderman
|
|
|
| | |
[offtop] Надо иметь уважение к тем другим, кто не очень силен в англ. 16.04.07 14:07
Автор: Den <Денис Т.> Статус: The Elderman
|
|
Мне-то понятно о чем речь, но не забывай, что многие ветки уходят рассылкой в основном по русскоязычной аудитории.
|
| | |
Неправильно. ISA всегда умела NAT 13.04.07 12:41
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
