KerioWinRouteFirewall_6 and Windows2k3 опять про перенаправление DNS запросов
 

Всем Здравствуйте!
Вверили мне школу на обслуживание, школа около 30 машин для учащихся + 20 машин для администрации, уже настроенный до меня сервер - DC,FTP и PROXY (ISA), от исы пока бегу как от чумы, решил убрать эту машину от интернета !ВООБЩЕ!, на ХР поставил kwf.
Подскажите пожалуста, где на 2003 поставить переадресацию DNS запросов от2003 на проксик? боюсь накрутить, поэтому и спрашиваю.
Если мало информации, то могу расписать сеть белее подробно.
Зарание спасибо!



С уважением Sususa.

подробней. не совсем понял что за переадресация? возможно ты имеешь введу пересылку запросов? это свойство сервера ДНС. в консоле управления твоим ДНС правой кнопкой по самому серверу, там свойства, далее вкладка пересылка.

з.ы. сразуже выделена строка всеДругиеДНСдомены. тебе остаётся вбить ИП проксика и нажать кнопку добавть потом пременить или ОК. всё пересылка работает.)

з.з.ы. зря ты так с исой.)

честно говоря пока страшновато, боюсь наколбасить, соответсвенно потребуется время на восстановление, а пока его нет, в будующем задумаюсь.
именноа на клиенте только днс контроллера домена? думаю я всё понял, большщее спасибо!!!, буду пробовать.

Что в ISA можно наколбасить? Талантом надо особым обладать. А вот ставить серверное приложение на XP, количество обслуживаемых подключений для которой ограничено 4-мя сервисными и 10-ю по IIS это несомненно сильный ход.

простите, не совсем понял излогаемой мысли, если не трудно то прошу расшифровать.

sususa, это значит, что в XP максимум доступно 10 подключений к этой машине, т.е. если грубым языком, если на XP есть сетевая папка, то только 10 человек к ней смогут подключиться. Также точно если у вас стоит прокся, то только 10 соединений будет доступно. Для ваших целей сервер просто необходим.

По поводу ISA - всегда есть возможность сделать экспорт всего и вся,"наколбасить" чего хочешь и вернуть все обратно

Собственно предыдущий оратор озвучил подробности. Добавить нечего. По поводу правильно настройки DNS:
1. Основной DNS в Вашей сети должен находиться на контроллере домена, и иметь метод хранения - интегрированный в AD.
2. Настройте форвардинг на сервера провайдера. Для пересылки неразрешенных вопросов.
3. На файрволле откройте TCP\UDP 53 с контроллера на сервера имен провайдера. И собственно все настройки.

Спасибо за полезную информацию, пригодиться.
Краснею, не знал. Думал ограничения только у HOME, а тут http://support.microsoft.com/kb/314882/ru



P.S. а кто нибудь Kerio на 2к3 юзал?

это вариант без Kerio?

А какая разница? Это принцип. А как его реализовать, зависит от конкретного продукта. Читайте доки по Керио, как разрешить траффик через файрволл.

Да, спасибо, я всё понял,
Тему можно считать решённой
всем спасибо

у меня стоял, у знакомых стоит. если что задавай вопросы, посмотрим что можно сделать. относительно ДНС форвардинга, так в Керио галочка специальная есть.

ОП!!!
При попытке перевода пользователей на новый проксик , в обход 2003 (подменил шлюз, и поставил пересылку) , пользователей домена блокирует иса!!!
хорошо, отключаю ису...... у пользователей отвалились общие папки с которыми они активно работали, завожу нового пользователя в домене, его папочки работают.
Понятно, что домен завязан с исой (за каламбур не ругайте, я пока маленький).
Надо убрать эту связь, чтобы убрать ису и тогда старые учётки ну будут фаерволиться исой.
Как это сделать?
Сори за лень, горит другая работа.
Зарание всем спасибо!!!

поднимай ИСУ обратно. ставь как всё работало и не трогай! запомни главное правило админа, работает - не трогай! по мере надобности будишь изменения вность, научишся вообщем. относительно бэкапа настройки ИСЫ спроси выше, кто то сказал что такое возможно.

з.ы. ненадо придумывать себе работу и\или проблемы

В чём то уважаемыйwertyg несомнно прав, но у меня другая ситуация, у меня минимум времени на решение этой проблемы, а на самом деле его даже на решение пока нету, вот и полез я сюда, за помощью, за скорой помощью. Всё равно спасибоwertyg
Так всё же, как безболезненно убрать связку ИСА-ПОЛЬЗОВАТЕЛЬСКИЙ ИНЕТ-ПОЛЬЗОВАТЕЛЬСКАЯ ШАРА?
Буду признателен.
С уважением SUSUSA.

Что-то я нить в рассуждениях потерял... Замените дефолтный шлюз на клиентских машинах, в адресе прокси, в свойствах обозревателя уберите ISA. ISA с AD завязана конечно, но не настолько. Как пользователи получают доступ к общим папкам? Можно, и желательно даже, привести топологию сети. Подсеть одна? ISA была просто в роли пограничного файрволла?

Есть общая папка (доступ ВСЕ) , все и заходят,
топологию сети с деталями выдам пожже
а может просто снести ису?
Я не хочу катить балоны на ису, просто нет пока возможности разобраться.
Мужики, выручайте, горю!!!!

ipconfig /all c клиентской машины, с расшифровкой адресов.
Ошибку, которая выдается при обращении к сетевому ресурсу.
ipconfig /all с сервера, где расположена папка
Настройки безопасности для папки (Share и NTFS)
Права пользователя, от которого будете проводить обращение должны быть минисмальны (Domain Users)
Связанные по времени события из Security лога контроллера домена с указанием ресурса, номера ошибки и ее расшифровки.

ISA можно и снести, удара не нанесет, только будьте уверены, что сервисы на ней никакие не опубликованы. Лучше ответьте на предыдущий вопрос, решим думаю.

что за сервисы? как посмотреть? в исе дуб дубом
на сервере - домен, для разграничений прав пользователей в системе и в общем доступе к ресурсам, ну и интернет.
Я понимаю что если например завести новах пользователей, пересоздать общие ресурсы то всё заживёт, но это равносильно переустановки АД, а в этом случае я лучше систему переставлю(пред. админ мог чё нить нашаманить).
Этот вариант я тоже рассматриваю, но это не сейчас и далеко не сейчас.
После остановки служб исы (трёх, какие не помню) пользовательские компы вообще перестают видеть сервер как класс. вот вам и общий ресурс. Стартую службы, всё работает.
фаервол, держит сеть!!! Даже в отключенном состоянии :))
Есть компьютер к примеру COMP(ip 192.168.0.99/dns 192.168.0.5/шлюз не указан), есть учётка, к примеру DIRECTOR (даже добавим её в админы домена),.
Есть сервер, (ip 192.168.0.5) - соответственно школьная локалка
(ip 12.221.17.73/dns 10.221.56.35;10.221.56.13/шлюз 10.21.0.17)-dhcp прова
есть подключение vpn по которому мы подключаемся к интернету
так у нас всё работает: DIRECTOR идёт в нет, иса пропускает по учётке.
создаю нового пользователя, даю ему права админа домена с той же машины пробую выйти в нет и не могу.
таким образом не могу дать доступ в инетернет другим пользователям так как ни знаю ису, а разбираться пока нету времени.


что делаю я:
ставлю ещё одну машину на ХР:
(ip 192.168.0.100) - таже локалка
(ip 10.221.17.73/dns 10.221.56.35;10.221.56.13/шлюз 10.21.0.17)-dhcp прова
с впн аналогично 2к3
настраиваю KWF, к примеру нас интересует NAT


машина директора
COMP(ip 192.168.0.99/dns 192.168.0.5/gateway 192.168.0.100) - при этом на сервере назначаю пересылку адресов на 192.168.0.100, захожу под DIRECTOR обновляю страницу и тут мне перекрывает доступ иса, хотя шлюз 192.168.0.100, видимо застревает в 2003 на запросе dns
Тут же логинюсь под любой новой учёткой, с пол пинка захожу в интернет , и ни какая иса не тормознёт.

хочу убрать ису, но оставить структуру домена.
помогите!

Ничего я из Вашего сумбура к сожалению не понял.
1. Сервер с адресом 192.168.0.5 и контроллер домена это одно и тоже или нет?
2. Не увидел адресов ISA сервера
Это тоже момент непонятный. ISA по идее должна стоять на нем же.
При входе под пользователем Director и любым другим, что в профиле пользователя в настройках обозревателя указано в качестве прокси?

а говорите не поняли...
так и есть.
сори за непонятки, по натуре не литератор
Oleg Krylov, спасибо за помощь

Что то я немного поковырялся.... можеть лучше и правду почитать доки по исе... вроде всё не так уж и сложно.

Вам для решения (временного) проблем доступа нужно создать одно правило, разрешить всем пользователям из внутренней сети наружу http, https И все. Ну можете добавить POP3, SMTP и ICQ. На первое время хватит. И у вас появится время на изучение продукта и более тонкую настройку правил. Все делается мастером, он интуитивно понятен, абсолютно ничего сложного нет. Заодно проверьте правила доступа к localhost, и всякие запрещающие. Не так уж страшен черт...

так и сделал, всё работает, спасибо.
Теперь новая проблема. Не всем пользователям можно быть в инетернете, я создал правило, из локалки в инетернет но не всем а опрделённо группе домена, к примеру WEB.
Сейчас в интернет выходить как и веб , так и другие пользователи которых в правилах вовсе нет, тое сть они проскакивают через 2003 (иса, домен, днс) а надо что бы "застревали"
правила точно работают, по оношению к самому (192,168,0,5) серверу работают.
Если я уже всех достал, то, мужики, не серчайте и извиняйте, но всё равно не отстану :)

А это скорее всего потому, что правило для http вы указали для всех пользователей, а потом создали правило для инета группы веб? Надо правило для http указать для нужной группы пользователей и помнить, что правила обрабатываются в ИСЕ сверху вниз по порядку.

P.S. Чтобы не быть голословными, сделайте скрин правил ISA и выложите, наглядно будет и понятно.

Это уже, уважаемый, отправлю Вас к господину Томасу Шиндеру. Найдите в сети его книгу по ISA. Лучше пока не встречал. И читать легко, и информации выше крыши.

Добавлю: ссылка на эту книгу есть и здесь на форуме, я как то давал линк. А при желании можно пойти на http://forums.isaserver.org и задать ему там вопросы, он там модератор :)

Решил проблему.
На исе разрешил любой трафик всем подключениям, на шлюзе настроил nat, завёл пользователей для регистрации на сервере, и тд
Пока эксперементировать не буду но изучать начну.
Спасибо всем за помощь!!!