Чтобы клиенты могли работать с DC, тебе необходимо разрешить следующие подключения:
DNS (TCP/UDP 53)
Kerberos (TCP/UDP 88,749)
LDAP (TCP/UDP 389)
LDAP GC (TCP 3268)
LDAP GC SSL (TCP 3269)
LDAPS (TCP 636)
Microsoft-DS (TCP 445)
RPC/EPMAP (TCP 135)
RPC allocated (определяется через rpccfg.exe или 1024-65535)
Для прочих прелестей, также необходимо добавить:
DHCP/BOOTP (UDP 67,68)
NetBIOS-DGM (UDP 138)
NetBIOS-NS (TCP/UDP 137)
NetBIOS-SSN (TCP 139)
NTP (UDP 123)
Ping (ICMP)
Всем привет.
Возникла необходимость поднять на сервере с одним сетевым интерфейсом ISA. На том же сервере работает WSUS.
Проблема в том, что если в настройках Internal ставишь использование прокси и обязательную авторизацию, то пользователи не могут получать обновления... а если убрать обязательную авторизацию - то ходят в инет как анонимные.
Поскольку ису вижу первый день - хелп неедед....
Они (клиенты) хоть как то получают обновления, в каком нибудь случае? Обновления идут с ВСУС или ВСУС отдает список, а тянуться с сайта МС. А сколько вообще клиентов?11.04.07 21:10 Автор: Garick <Yuriy> Статус: Elderman
Ранее они получали обновление именно с этого сервера (DC), на него закачиваются и отдаются клиентам (порядка 200 машин)
"Ранее" - что является милестоуном? Установка ИСА, настройка авторизации на ИСА? После каких действий перестало раздавать обновления. (1/2 офф) жестоко вы ДС, надеюсь запасной ДС есть? Или СБС лицензия?12.04.07 02:03 Автор: Garick <Yuriy> Статус: Elderman
Ранее - это до установки ISA и настройки проксирования с обязательной авторизацией на локальном интерфейсе. (хотя может и до этой настройки - действия были практически не разнесены по времени). После этого было замечены отказы на обращения к WSUS в логах.
ДЦ - две штуки, но на втором exchange :)
"Ранее" - что является милестоуном? Установка ИСА, настройка авторизации на ИСА? После каких действий перестало раздавать обновления. (1/2 офф) жестоко вы ДС, надеюсь запасной ДС есть? Или СБС лицензия?
WSUS поднимается, как правило, не на 80 порту. Точнее можно посмотреть в оснастке IIS. Этот порт разрешен в ИСА на in/out для internal - localhost? Что говорит монитор? Хотя его тяжело отстроить, ВСУС запросы редко идут...12.04.07 09:52 Автор: Garick <Yuriy> Статус: Elderman Отредактировано 12.04.07 09:53 Количество правок: 1
Не могу понять как сделать разрешение ВСЕГО трафика от сети 192.168.0.0/16 на машину с ISA. Имеется правило allow from internal (а в свойствах сети укакзан диапазон как раз 192.168.0.0/16) на localhost. в логах по фильтру на deny имеем
Чтобы клиенты могли работать с DC, тебе необходимо разрешить следующие подключения:
DNS (TCP/UDP 53)
Kerberos (TCP/UDP 88,749)
LDAP (TCP/UDP 389)
LDAP GC (TCP 3268)
LDAP GC SSL (TCP 3269)
LDAPS (TCP 636)
Microsoft-DS (TCP 445)
RPC/EPMAP (TCP 135)
RPC allocated (определяется через rpccfg.exe или 1024-65535)
Для прочих прелестей, также необходимо добавить:
DHCP/BOOTP (UDP 67,68)
NetBIOS-DGM (UDP 138)
NetBIOS-NS (TCP/UDP 137)
NetBIOS-SSN (TCP 139)
NTP (UDP 123)
Ping (ICMP)
Забыл:) Для ДХЦП надо разрешить броадкаст.16.04.07 15:15 Автор: Garick <Yuriy> Статус: Elderman
ДХЦП клиенты ищут и делают запрос адреса (у них еще нет ИП) ДХЦП сервер через запрос на 255.255.255.255. А сервер отвечает им аналогично.16.04.07 15:47 Автор: Garick <Yuriy> Статус: Elderman Отредактировано 16.04.07 15:50 Количество правок: 1
Мы спорим о разных категориях:) Я об соурсе и дестинешн, а не портах. ИСА должна принимать трафик направленный на 255,255,255,255 через локальный сетевой интерфейс, на данные порты. По дефолту не принимает и забывают открыть, открывая только localhost.16.04.07 16:42 Автор: Garick <Yuriy> Статус: Elderman
Был на 80, сейчас перенес на 81. Опубликовал сервер, сделал проброс порта в листенере... вроде бы пока работает но криво...
Мне бы доку найти толковую по исе... да еще бы и на русском... :)
WSUS поднимается, как правило, не на 80 порту. Точнее можно посмотреть в оснастке IIS. Этот порт разрешен в ИСА на in/out для internal - localhost? Что говорит монитор? Хотя его тяжело отстроить, ВСУС запросы редко идут...
Есть курс МС 2824A по ИСА04, но на английском. НА русском, вроде нет курсов такого уровня. 40 метров. По запросу автора и member+ могу выложить на свой фтп. Пишите в личку. Внутри линки.12.04.07 14:18 Автор: Garick <Yuriy> Статус: Elderman Отредактировано 12.04.07 14:20 Количество правок: 1
Но ИМХО, для анонимных подключений по идее можно настроить доступ только на определенные узлы, например на www.microsoft.com (во всяком случае, в KWF такая возможность есть).
I worked around ISA issues pretty long time ago. So, I could...13.04.07 05:39 Автор: void <Grebnev Valery> Статус: Elderman
> Но ИМХО, для анонимных подключений по идее можно настроить > доступ только на определенные узлы, например на > www.microsoft.com (во всяком случае, в KWF такая > возможность есть).
I worked around ISA issues pretty long time ago. So, I could be mistaken. But ISA does not provide NAT. Am I missing something? ISA is not a router, but sooner a kind of proxy. If you want NAT, you should run RRAS; and then you can setup NAT on that box. Obviously, you cannot run ISA and RRAS on the same box at the same time.
Anyway, I am not sure.
Тем не менее, ISA прекрасно работает именно в связке с RRAS.16.04.07 14:57 Автор: Den <Денис Т.> Статус: The Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
