Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   Active Directory и ISA Server (http://forum.oszone.net/showthread.php?t=184605)

mhm 04-09-2010 00:23 1488207
Active Directory и ISA Server
 
Тут нарисовалась такая проблема.
Есть Домаин Контролер а допустим 3 юзерами А, Б, В.
Хочу сделать так чтобы А и Б могли заходить в интернет В нет.
что делаю - Создаю пользователей А Б и В в разделе инструментария . (Добавляю через домен, ИСА СЕРВЕР в Домаине.)
Создаю правила - Дейстиве : разрешить , Протоколы : Все , Откуда/Прослушиватели: Внутренняя сеть, Куда : Внешняя , Условия : Все Пользователи .
Создаю правила (чтобы сама машина с Иса Сервером могла лезть в интернет)- Дейстиве : разрешить , Протоколы : Все , Откуда/Прослушиватели: Локальный Компьютер, Куда : Внешняя , Условия : Все Пользователи .
Создаю правила (чтобы внутреняя сетка без препятствий видела ИСА Сервер)- Дейстиве : разрешить , Протоколы : Все , Откуда/Прослушиватели: Внутренняя сеть, Куда : Локальный Компьютер , Условия : Все Пользователи .


Все работает безупречно у ВСЕХ есть интернет

Мне надо чтобы инет был только у А и Б -

Создаю правила - Дейстиве : разрешить , Протоколы : Все , Откуда/Прослушиватели: Внутреняя сеть, Куда : Внешняя , Условия : Пользователи А и Б.
Тоесть меняю Все Пользователи на пользователей А и Б

Интернета нет.
что делаю не так???

Delirium 04-09-2010 09:07 1488292
Каким по счету стоит правило в списках правил? Включаем мониторинг, настраиваем его на прослушку "А", пытаемся выйти в интернет. Смотрим результат

mhm 04-09-2010 11:16 1488321
А стоит первым.
ПО поводу мониторинга, можно поподробней? где включать? как настраивать?

mhm 05-09-2010 01:59 1488775
больше нет идей???

Snake070 05-09-2010 10:27 1488830
У меня та же самая проблема. Как только меняю "Все пользователи" на конкретных пользователей или группу из AD инет пропадает в локалке. И запрет на одного пользователя тоже не работает. Правило стоит первым в списке.

mhm 05-09-2010 20:00 1489114
было бы интерестно как это все решить.

Anton04 05-09-2010 20:44 1489145
mhm,

Иса какая?
Настраиваем ису по правилу с начало все анонимные правила, потом все не анонимные правила.

Цитата:
ПО поводу мониторинга, можно поподробней? где включать? как настраивать? »
F1 в консоле исы и ищем.

cameron 05-09-2010 21:45 1489198
mhm,
1. покажите скриншот правила.
2. какой браузер?
3. FWC на клиенте есть?

mhm 06-09-2010 11:52 1489516
Проблема решилась) ФВКлиент я не поставил! не знал, спасибо форуму, да и в книжки почитал.
Теперь у меня ходят в нет все те кому разрешил.
Еще вопрос, что и где подкрутить чтобы СМОТРЕТЬ В РЕАЛЬНОМ времени кто и куда лезет, и что качает.

cameron 06-09-2010 11:54 1489519
Цитата:
Цитата mhm
Еще вопрос, что и где подкрутить чтобы СМОТРЕТЬ В РЕАЛЬНОМ времени кто и куда лезет, и что качает. »
штатно - через Monitoring-Logging, но там это не очень удобно.
из сторонних решений - BSplitter

Brat_ES 06-04-2011 01:04 1651894
Доброго времени суток.

Случилась какя-то похожая беда, перестали выходить компы из локалки, только с самого сервера ТМГ страницы открываются. Причём пинги, трасерты на внешние ресурсы проходят, а странички не грузятся. В сетевом экране настроены правила (для http, https, ftp) с соответствующими юзер-сетами, куда добавлены соответствующие группы пользователей из АД. На самих компах клиенты фаервола не ставил, всё работало и так до сего момента. НЕ могу понять, что случилось и в каком направлении копать :(

При обращении в инет выдаёт следующее:

Отклоненное соединение SRV-FFTMG01 06.04.2011 0:58:10
Тип журнала: Веб-прокси (прямой)
Состояние: 12209 Для выполнения запроса компоненту Forefront TMG требуется авторизация. Доступ к фильтру веб-прокси запрещен.
Правило: Интернет для ЦИТ
Источник: Внутренняя (srv-adir01.mstu.edu.ru 172.20.10.200:63961)
Назначение: Внешняя (172.20.10.202:8080)
Запрос: GET http://ya.ru/
Информация фильтра: Req ID: 0c12d160
Протокол: http
Пользователь: anonymous

П.С. Если в правиле доступа прописать"все пользователи" то странички грузятся но это не вариант :(

С уважением.

Delirium 06-04-2011 01:42 1651905
Такое впечатление, что TMG потерял связь с контроллером домена или же клиенты теряют связь с AD. У меня подобная ситуация иногда выскакивает у пары клиентов, помогает перезагрузка клиента...
Попробуй для теста перезагрузить проблемную машину, если не поможет - поставить FW Client и проверить. Если ничего не поможет - будем думать и разбирать.

Brat_ES 06-04-2011 02:08 1651914
Цитата:
Цитата Delirium
Такое впечатление, что TMG потерял связь с контроллером домена или же клиенты теряют связь с AD. У меня подобная ситуация иногда выскакивает у пары клиентов »
Тоже так подумал но раньше не было такого, до сего момента, никаких кардинальных настроек в системе не проводил, просто раз и перестало работать, с клиентов пинг на тмг проходит и с него на них тоже.
Цитата:
Цитата Delirium
Попробуй для теста перезагрузить проблемную машину, если не поможет - поставить FW Client и проверить. Если ничего не поможет - будем думать и разбирать. »
Проблема проявилась на всех машинах в локалке, одновременно. На одной поставил клиента тмг, но при попытке выхода в инет значок клиента перечеркивается, как бы теряет связь с тмг, в сплывающем окошке при наведении что-то об авторизации пишет, целиком прочитать не получается, обрывается строка.

Delirium 06-04-2011 03:39 1651932
Хм. Из области фантастики, но мало ли: отключи антивирусы на одной машине+сервер, сделай Выкл/вкл сетевой на клиенте, и проверь.

cameron 06-04-2011 09:54 1652027
ipconfig /all с TMG и клиента покажите.

P.S. это не вы ли случаем внешние адреса заводили как часть internal сети, для, так сказать, роутинга?

Telepuzik 06-04-2011 11:04 1652086
Цитата:
Цитата Brat_ES
Проблема проявилась на всех машинах в локалке, одновременно. »
А клиенты у Вас случаем не под Windows 7?

cameron 06-04-2011 11:08 1652091
Цитата:
Цитата Telepuzik
А клиенты у Вас случаем не под Windows 7? »
а что с win7?

Telepuzik 06-04-2011 11:19 1652108
Цитата:
Цитата cameron
а что с win7? »
Сегодня на семерке точно такая же проблема была не отправляет авторизационные данные на ISA, пока решилось выключением клиента ISA и его повторным включением. Может это правда простое совпадение.

cameron 06-04-2011 11:24 1652115
Цитата:
Цитата Telepuzik
Сегодня на семерке точно такая же проблема была не отправляет авторизационные данные на ISA, пока решилось выключением клиента ISA и его повторным включением. Может это правда простое совпадение. »
пока не выловили такое.
апдеты ставили ночью утром? какая ISA? какой клиент? какая win7?
у нас 2006sp1-tmgsp1/tmg client/win7 x32 rus

Telepuzik 06-04-2011 12:11 1652140
Цитата:
Цитата cameron
апдеты ставили ночью утром? какая ISA? какой клиент? какая win7? »
Апдейты вчера и сегодня не ставились, ISA 2006sp1, клиент ISA-KB929556, Win 7 Prof x64 rus. В логах ошибок нет, клиент ISA при поиске сервера говорил что сервер ISA не обнаружен, пинг с клиента на ISA сервер проходит, имя ISA сервера с клиента разрешается корректно. Антивирус вот обновился примерно в то время когда перестал работать клиент ISA.

cameron 06-04-2011 12:19 1652150
Цитата:
Цитата Telepuzik
клиент ISA-KB929556 »
мы уже на TMG Client благо он с ISA отлично работает.
Цитата:
Цитата Telepuzik
Антивирус вот обновился примерно в то время когда перестал работать клиент ISA. »
у нас NOD32, пока, опять же, не выловили такого.
спасибо за ответы.

Telepuzik 06-04-2011 14:00 1652221
Цитата:
Цитата cameron
мы уже на TMG Client благо он с ISA отлично работает. »
Спасибо попробую проставить TMG клиента.
Цитата:
Цитата cameron
у нас NOD32, пока, опять же, не выловили такого. »
У нас тоже NOD32, пока больше проблем на той машине не возникало.

Delirium 06-04-2011 14:05 1652223
У меня Kaspersky. Так что, похоже, это не проблема антивируса.

Brat_ES 06-04-2011 23:42 1652603
Цитата:
Цитата cameron
ipconfig /all с TMG и клиента покажите.
P.S. это не вы ли случаем внешние адреса заводили как часть internal сети, для, так сказать, роутинга? »
Да, это у меня

Для ТМГ
читать дальше »

X:\>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : srv-fftmg01
Основной DNS-суффикс . . . . . . : mstu.edu.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : mstu.edu.ru
edu.ru

Ethernet adapter Intranet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Embedded Broadcom NetXtreme 5721 PCI-E Gi
gabit NIC #2
Физический адрес. . . . . . . . . : 00-1A-4B-0A-A6-6C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 172.20.10.xxx(Основной)
Маска подсети . . . . . . . . . . : 255.255.0.0
IPv4-адрес. . . . . . . . . . . . : 213.142.204.xxx(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 172.20.10.xxx
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Internet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Embedded Broadcom NetXtreme 5721 PCI-E Gi
gabit NIC
Физический адрес. . . . . . . . . : 00-1A-4B-0A-A6-6D
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 213.142.216.xxx(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз. . . . . . . . . : 213.142.216.xxx
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер Подключение по локальной сети* 8:

Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 02-00-54-55-4E-01
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

X:\>

С клиента (рядовой сервер)
читать дальше »
Microsoft Windows [Версия 6.0.6002]
(C) Корпорация Майкрософт, 2006. Все права защищены.

X:\>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : srv-fs01
Основной DNS-суффикс . . . . . . : mstu.edu.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : mstu.edu.ru
edu.ru

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Физический адрес. . . . . . . . . : 00-0E-0C-A4-2F-B3
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 172.20.10.xxx(Основной)
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз. . . . . . . . . : 172.20.11.1
DNS-серверы. . . . . . . . . . . : 172.20.10.xxx
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер Подключение по локальной сети*:

Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.{6F7DF69A-6071-4229-9F74-EADACFA58
26B}
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

X:\>


Может ли к этой проблеме иметь косвенное отношение заполнение журнала на 80% или размер базы sql2008express, которую задействует тмг, ведение журналов настроено по дефолту, ничего не трогал как установил?

Delirium 07-04-2011 01:47 1652651
Цитата:
Цитата Brat_ES
Может ли к этой проблеме иметь косвенное отношение заполнение журнала на 80% или размер базы sql2008express, которую задействует тмг, ведение журналов настроено по дефолту, ничего не трогал как установил? »
Вряд ли. Помогает то перезагрузка клиента, а не сервера.

cameron 07-04-2011 10:11 1652834
Цитата:
Цитата Brat_ES
IPv4-адрес. . . . . . . . . . . . : 172.20.10.xxx(Основной)
Маска подсети . . . . . . . . . . : 255.255.0.0
IPv4-адрес. . . . . . . . . . . . : 213.142.204.xxx(Основной) »
а вот это на внутреннем интерфейсе для чего?

Brat_ES 07-04-2011 11:08 1652885
Цитата:
Цитата cameron
Цитата Brat_ES:
IPv4-адрес. . . . . . . . . . . . : 172.20.10.xxx(Основной)
Маска подсети . . . . . . . . . . : 255.255.0.0
IPv4-адрес. . . . . . . . . . . . : 213.142.204.xxx(Основной) »
а вот это на внутреннем интерфейсе для чего? »
213.142.204.ххх указан для доступа клиентов из внутренней сети к веб-серверам у которых только один интерфейс с публичным адресом из набора 213.142.204.0/24

Обновлено: Виновник найден и ликвидирован. Им оказался TrafficFilter, как только снёс его и его базу, юзер-сеты стали работать и авторизация тоже.


Время: 11:26.

Время: 11:26.
© OSzone.net 2001-