Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   [решено] ISA 2004 и msRDP (http://forum.oszone.net/showthread.php?t=106768)

Delirium 12-05-2008 07:02 800084

ISA 2004 и msRDP
 
Сразу каюсь, ламернулся :)
Было на ИСЕ правило для разрешения запросов терминалки и прочее, настроено было на определенный комп. Случайно жахнул галочку Disable rule :) Теперь имею такую прелесть: сервер работает, интернет пашет, все отлично, НО на машину зайти не могу(стоит удаленно, локально не посмотришь) ни mstsc ни чем либо другим(собственно ничего больше и нет, radmin'а не поставили :).
В связи с этим вопрос: как попасть на машину и достучаться до ISA ? на машине я админ, по сетке до машины достукиваюсь, \\servername\c$ - все отлично.
Отключать ISA нельзя, критично для работы.
Remote Desktop Web Conn - тоже не пройдет, пашет через тот же 3389 протокол.

Какие будут предложения? :)

Maximus_MF 12-05-2008 10:01 800151

а поставить себе консоль от исы ???
и чета сути вопроса не уловил
в Remote Management Computers че прописанно ?? чей ip ???

artem_ 12-05-2008 11:24 800207

Если иса в домене, то можете попробовать с контроллера зайти на нее (по умолчанию, при установке она разрешает доступ к серваку с серверов предприятия). Если не пустит - придется монитор и клаву подключать к исе.

Delirium 13-05-2008 00:48 801039

Maximus_MF, консоль ИСЫ тоже не пускает, говорит, сервер RPC недоступен :)
artem_, не пускает ни с одной машины :)
В общем, чувствую придется вырубать сервак и подрубать моник с клавой... :o

artem_ 13-05-2008 15:18 801470

Когда будете перенастраивать доступ по rdp - делайте лучше это в системных политиках

Butunin Klim 13-05-2008 17:55 801618

ну старым дедовским способом.
Psexec тебе в помощ.
Захватить управление.
Создать скрипт добавление правила в ису.
Можно нати на диске с исой там есть скрипты.
Далее просто запустить его
если psexec не канает то запустить скрипт через команду AT

solon 14-05-2008 08:52 802113

Расскажите ламеру, как настроить RDP. Вроде и правила сделал.. фсе равно не пускает :(

Delirium 14-05-2008 09:33 802146

Все, сделал я все, сижу радуюсь :)
solon, В смысле через ISA не пускает?
Если хочешь удаленно управлять через MMC, то идешь в Firewall Policy (правой кнопкой) - View - Show System Policy Rules. Затем в правой панели - Edit System Policy - Remote management. Там есть Remote Management Computers - пропиши себя туда.
Если хочешь именно удаленку, то создаешь простое правило наподобие предлагаемого скрина.

На скрине: butakova.kts.local - имя компа с которого все разрешаешь. Anywhere - куда угодно. _Admins - Список админов, кому это разрешено.

Butunin Klim 14-05-2008 13:51 802378

все просто.
Для начало нужно понять как работают правила.
1. Правило
Все правила применяються с верху вних
2. Правило
Запрет приорететнее разрешения.
3. Правило
есть два вида направление
а. Входящий
б.Исходящий
Часто их путают.
ИСходящий это исходящий откуда-то (а вот откуда вы должны указать)
например изходящий из внетреней сети.
Входящий откудаво так же важно понять
4. Это часто возникают проблемы именно с тем что Иса Сама иса не входит во внутренюю сеть.
Она входит ЛОКАЛЬНЫЙ компьютер (Встроенный сетевой объект, представляющий компьютер ISA Server.)

Тоесть для того что бы вам попать на ису нужно создать правило.

1. Разрешить протоколо RDP (клиент) от внутренней сети в ЛОКАЛЬНЫЙ КОМПЬЮТЕР разрещить всем или только той учетки которой можно (при этом она должна быть настроенна)
2. Проверить что бы небыло запрета на 3389 или rdp порт в правилах выше этого

artem_ 14-05-2008 13:59 802388

Delirium, позвольте поинтересоваться. На сколько мне известно - ICMP не умеет авторизироваться. У вас в правиле я такое увидел - ping, icmp разрешено для админов. А как это?

Butunin Klim 14-05-2008 14:00 802389

artem_,
не преставай к царю! :)

Delirium 15-05-2008 02:29 803005

artem_, честно ответить? :) Правило настраивали до меня, я на новой работе. Поэтому я просто скопировал и воткнул то, что работает :) Пока со всей кухней не разберешься, лучше не трогать :)
А с другой стороны, с чего бы ради я не мог разрешить делать пинг только для определенной группы пользователей? Другим просто недоступен доступ по ISA по icmp

solon 16-05-2008 18:40 804461

Всем спасибо, разобрался!!! :)


Время: 05:40.

Время: 05:40.
© OSzone.net 2001-