Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   WSUS (http://forum.oszone.net/forumdisplay.php?f=99)
-   -   WSUS 3.0 и ISA 2004 standart (http://forum.oszone.net/showthread.php?t=91630)

Aleksey Potapov 08-10-2007 21:38 656609

WSUS 3.0 и ISA 2004 standart
 
имеются WSUS 3.0 и ISA 2004 standart.
Проблема заключпется в том что не проходит синхронизация WSUS с сайтом microsoft.Как я понял ISA просто блокирует.
Помогите настроить ISA так чтоб WSUS обновлялся.
Ошибка в отчёте WSUS такова

WebException: Удаленный сервер возвратил ошибку: (407) Требуется проверка подлинности посредника.
в System.Net.HttpWebRequest.GetRequestStream()
в System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
в Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig()
в Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper)
в Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper)
в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS()
в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect)

И ещё ,товарищи ,помогите поднять VPN на ISA сервере.Хотелось бы из дома рулить сервантом.
Заранее примного благодарен.

Daemon.XP 09-10-2007 06:50 656759

тебе на ISA сервере надо создать правило которое будет разрешать WSUS лезти в интернет

monkkey 09-10-2007 08:42 656778

http://www.isadocs.ru/docs/CMT_H_Con...rase_id=441207
http://www.isaserver.org/articles/2004su1345.html
Пользуйтесь мониторингом ISA, легче будет определить, какое правило не разрешает WSUS работать.

Daemon.XP 09-10-2007 09:49 656824

Вложений: 1
у меня такое правило (см. вложеие)
wsus уставновлен на сервере (у меня так) media и смотрит на проксю провайдера 195.58.1.134

Aleksey Potapov 09-10-2007 22:32 657275

Хорошо,я совсем новичок в администрирование.
Объясните как это сделать по шагово, если можно с иллюстрациями.
Сервер- это Windows 2003 Small Business Server(DC) + WSUS _ISA 2004 Standart edition.
ISA настроена как прокси сервер с авторизацией пользователя по имени и пароля учитывая политики домена.
Плюс парк клиентских машин с XP Prof ,порядка 45 штук.

Заранее очень признателен.

Dimas_83 10-10-2007 16:05 657772

Ну если у тебя ISA идет в составе пакета Windows 2003 Small Business Server PE, то тебе нужно разрешить localhost коннектиться к серверам Microsoft по протоколам 80, 443

Если же ИСА отдельная, то нужно создать правило from LAN_WSUS_SERVER to Microsoft_WSUS_SERVER 80, 443
И главное, чем уже правило, тем выше в списке оно должно стоять

Aleksey Potapov 11-10-2007 18:00 658616

А можно ли более конкретно....что куда жать и т.п.......плиз с иллюстрациями.

Dimas_83 11-10-2007 21:41 658724

ипать колотить (модераторы, сори). Читайте Шиндера. Там все с иллюстрациями.

Aleksey Potapov 11-10-2007 22:55 658761

Читал.....не помогло.....поэтому обращаюсь к вам.....

Dimas_83 11-10-2007 23:08 658766

ну хотя бы выложи принт-скрин правил и более подробно опиши: один это сервер или их два и т.п.

Daemon.XP 12-10-2007 15:40 659220

а можно и мое правило прикрутить и посмотреть че каво

Aleksey Potapov 12-10-2007 19:16 659313

И ещё....Всё-таки помогите тут же- на этом серванте поднять общедоступный VPN.Чтобы с любого компа из вне мог цепляться к серверу и лазить по внутренней сети.

Dimas_83 12-10-2007 22:02 659398

Вложений: 1
На лицо неверное написание правил и их порядок

1. Все правила публикации (правила 5 и 6) должны быть сверху после OWA
2. Зачем что-то запрещать, если можно не разрешать.
3. 10 правило - это нарушение безопасности в целом. УБРАТЬ!
4. 8 правило изменить в соответствии с доступом (по компьютерам или по учетным записям (FWC) )
5. для VPN нужно в разделе VPN ISA разрешить подключение по средствам PPTP или L2TP (IPSEC), далее выбрать кто и когда будет подключаться, через какие протоколы аутентификации, далее в правилам firewall создать для них правила VPN clients to Internal ну или куда нужно. Во вкладке Networks создать правило (если вдруг оно автоматом не создалось) для VPN clients to internal через Route
6. правила сетей не имеют приоритезации, но! правило NAT должно быть последним
7. установи Sp3 в случае ISA 2004. Включи Logging (Вкладка Monitoring). Все "забитые" пакеты будут помечаться красным. Очь удобно
8. скачай ISA Server Best Practices Analyzer, чтобы убедится (ну хоть в какой-то мере), что все в порядке

Прикрепил картику, может поможет

Aleksey Potapov 15-10-2007 19:21 661112

Суть такова.
VPN подключается ,а вот присоединиться к серванту средствами удалённого рабочего стола не могу.....пинг тоже не проходит.

Aleksey Potapov 15-10-2007 19:36 661120

Фишка такова.Рассказываю что есть.
Почтарь работающий как локальный почтовый сервер и так и ходящий наружу.....соответственно почта должна ходить и с него и на него как из нутри так и внутрь.
Есть куча студентов ,которым надо запретить выход в инет.
Запретить порты Квипа и аси(если можно то помочь с квипом более детально).
Ну соответственно VPN работал.
Ну и локальный трафик чтоб работал полностью.

Aleksey Potapov 15-10-2007 22:19 661229

Вопрос-Есть ли в исе функция что когда к тебе подключаются по VPN то инет на серванте не пропадает?
Прикладываю ниже правила которые нарисовал.

Dimas_83 15-10-2007 23:48 661280

Вложений: 1
п.с. русский язык намного обширнее, чем ты думаешь.

Не сильно понял какую именно роль выполняет почтовый сервер, но я бы правила поставил так (смотри вложение)
По поводу ICQ, QIP, Miranda etc - все они используют порт 5190
В пятом правиле заменяешь All outbound traffic на те протоколы, которые нужны, например, http+https+pop3+smtp
И они не смогут работать с аськами и квипами.

Далее, если впн клиент подключается, значит политика впн сработала, но не пускают правила фаервола.
По поводу RDP. Нужно опубликовать сервер на этот протокол. Не забудь включить функцию удаленного контроля в политике фаервола ИСЫ.

Теперь посмотрим на правила:
1 правило - это публикация mail сервера для подключения к нему из Интернета по SSL
2 правило - публикует сервер как SMTP сервер на вход! Зачем??? ты сделал анонимный SMTP
3 правило - ммм, а что оно делает? :)
4 правило - протоколы соединения сервера (почта, SUS...) с внешим источником синхронизации
5 правило - доступ в интернет для внутренней сети, здесь нужно указать необходимые проктолы и разрешенных юзеров
6 правило - разрешает впн клиентам доступ во внутреннюю сеть и сервер
7 правило - локальный трафик между внутренней сетью и сервером
8 правило - правило для блокирования траффика, который удовлетворил ни одному из правил

В любом случае, переделай правила, включи мониторинг и смотри: что, куда и зачем стучится

Aleksey Potapov 16-10-2007 10:35 661450

Спасибо за помощь.
Тобешь иду я в правильном напрвлении?

Aleksey Potapov 16-10-2007 15:04 661669

Далее, если впн клиент подключается, значит политика впн сработала, но не пускают правила фаервола.
По поводу RDP. Нужно опубликовать сервер на этот протокол. Не забудь включить функцию удаленного контроля в политике фаервола ИСЫ.




Можно Об этом поподробнее.

Aleksey Potapov 16-10-2007 15:24 661686

вот те правила по вашим рекомендациям

Aleksey Potapov 16-10-2007 15:24 661688

вот правила

Dimas_83 16-10-2007 16:58 661783

Хотел столько написать... передумал
6 и 5 меняем местами, 3 правило делаем предпоследним и наслаждаемся

Aleksey Potapov 16-10-2007 17:20 661801

а почему их надо менять местами....какая у них зависимость

monkkey 17-10-2007 08:47 662079

aptv,
Ping работает только для All Users

Aleksey Potapov 17-10-2007 17:12 662370

Вопрос ещё таков.
Я создаю какое лиюо правило ,к примеру выход в инет пользователям группы Интернет дать выход в инет ,а в Exceptions заношу одного пользователя ,который входит впредыдущую группы.
Суть такова что тело ,которое сидит в исключениях всё равно лазит в инет
Чё делать?

И ещё .
Создал правило весь траффик кроме RDP для всех юзеров пускать из интернал и локал хост в интернал и локал хост.
Добавил правило ,которое гласит что только член группы ,к примеру ЭКЗАМПЛ , имеют право лазить по RDP из интернал к локал хост.

В итоге вообще не пускает.


смотрел логгинг -говорит что сработало второе правил и помечено красным.Но это правило же разрешает RDP

Dimas_83 17-10-2007 18:01 662399

no comments http://c-books.info/books/news5.php/...er-2004-2.html

blackrokk 30-01-2009 09:48 1024213

У меня WSUS 3.0 Sp1 и ISA 2006.
Ошибка точно такая же.
У меня в правилах стоит доступ в инет для пользователей группы INET
WSUS ISA не пускает в инет, говорит что она ананимная и блочит ее. Пропускает только если доступ в инет поставить для
All Users, но такого делать нельзя.
Подскажите чего делать то?

madmax24 30-01-2009 10:23 1024234

blackrokk, а ИСУ нельзя настроить так чтобы она пускала в инет например по MAC адресу?

Oleg Krylov 30-01-2009 18:07 1024715

Цитата:

Цитата madmax24
blackrokk, а ИСУ нельзя настроить так чтобы она пускала в инет например по MAC адресу »

По IP можно. Тип клиента будет SecureNAT
Всем:
Блин, народ, сорри. Не могу понять. Берете ЕДИНСТВЕННУЮ книгу Шиндера по ISA 2004, и ничего больше в жизни не надо, если на MVP не расчитываете. Такой мощный инструмент, гибкий, надежный. Или так и будем, как слепые котята тыкаться?

madmax24 02-02-2009 09:53 1026944

Oleg Krylov, я к сожалению, или скорее к счастью не настраивал ИСУ, поэтому и уточняю у авторов. Работаю на Симантике, там знаю что можно :)

Oleg Krylov 02-02-2009 10:22 1026967

Цитата:

Цитата madmax24
не настраивал ИСУ. Работаю на Симантике »

Совершенно разные продукты. Даже по классу. Кажется у Symantec нет файрволла Enterprise-класса. А книга просто совет. На ISASERVER.ORG есть чувак по имени Burn. Так вот он прочитал ТОЛЬКО эту книгу. Отвечает практически на любой вопрос в форуме :)

madmax24 02-02-2009 11:15 1027007

Цитата:

Цитата Oleg Krylov
Кажется у Symantec нет файрволла Enterprise-класса. »

Не знаю насчет возможностей ИСЫ, скажу за симантек - фаерволл+проксик. :) Примерно как Керио WinRoute, может чуть постабильней. ИМХО!

Цитата:

Цитата Oleg Krylov
А книга просто совет »

Спасибо, учту. Почитаю на досуге :)

Oleg Krylov 02-02-2009 11:41 1027032

Цитата:

Цитата madmax24
скажу за симантек - фаерволл+проксик »

Вот так даже... А полное название продукта не подскажете? Что-то как-то интересно стало :)

madmax24 02-02-2009 12:04 1027051

Raptor Firewall

The key features of the Symantec Enterprise Firewall include:
■ Enterprise-class gateway security with full application inspection proxy
technology and automatic system hardening and monitoring
■ Full application inspection technology to provide protection against
complex blended threats and Denial of Service attacks, by default
■ Extension of networks with a proxy secured, IPsec-compliant integrated
VPN with hardware-assisted high-speed encryption
■ URL-based content filtering to block against unwanted sites
■ High availability/load balancing to extend scalability and eliminate system
downtime
■ Scalable, centralized Web-based management
■ Automated, up-to-date protection

вот такой. Наворотов много, но я только фаерволл использую :)


Время: 10:52.

Время: 10:52.
© OSzone.net 2001-