На сервере установлена Windows SBS 2003 c встроенным Exchange, ISA 2004.
Exchange забирает почту с почтовика и раздаёт ее доменным пользователям в сети по стандартным протоколам.
На ISA по умолчанию есть правила, которые пускают POP3 и SMTP траффик.
Вчера понадобилось установить налоговую програмку, на клиентскую машину, которая общается по POP3 и SMTP протоколу. Но не какого обмена не происходит. Пробую телнетом открыть 25 и 110 порты с клиента не пускает. С сервака на котором стоит ISA пускает.
Есть подозрение, что на ту сторону от клиента тест из программы уходит, но клиент не может получить ответ.
Создал ещё дополнительно правил чтоб уж наверняка External <-> Internal Network POP3 и SMTP.
Подскажите в чем проблема?
Заранее благодарен.
В логазах написано что по правилу SMTP Outbound - Access denied, если я пытаюсь открыть 25 порт. Хотя именно в этом правиле чётко прописано from- Internal network to- External network.
Если я с клиента открываю 25 или 110 порт ISA сервера, то всё ОК. С ISA сервера удаленный сервер также открывается по 25 и 110 порту, а вот с клиента удаленный открать не могу.
Я даже дополнительно правил создал по открытию SMTP и POP3 протоколов.
Заранее благодарен
Нет. Нигде не написано, что оно анонимное. То правило, по которому действие запрещается, существует с момента установки ISA.
А когда я создавал правила, об анонимности нигде не было упомянуто.
Может быть сделать Disable, правило которое запрещает исходящий smtp трафик от клиента, или тогда у меня и Exchange ничего отправить и принять не сможет?
С уважением
а для чего там запрещающее правило и причем тут ексчендж
анонимное правило это то что для all users
Само правило разрешающее.
Когда лог смотришь по какому правилу выход был запрещен, ISA пишет что по нему.
Клиент ведь почту забирает и отправлет по протоколам POP3 и SMTP и по тем же самым портам. Другое дело что он внутри сети по ним с Exchange общается.
Да это правило для all users.
Я даже конкретно авторизованных пользователей добавил в правило All outbound traffic from Interanl to External, всё равно не помогает.
либо где то накосячил либо глюк
а какие-нибудь инструкции к действию, кроме конечно переинсталяции ISA server.
Скорее всего ты человека не допонял
У него и почтовик и ISA на одном серванте
1. Как настроен клиент
2. Есть ли принудительная аутентификация
3. Создай правило (для проверки) разрешить всем все из локалки наружу и поставь его в самый верх
Moriarti: Скорее всего ты человека не допонял У него и почтовик и ISA на одном серванте 1. Как настроен клиент 2. Есть ли принудительная аутентификация 3. Создай правило (для проверки) разрешить всем все из локалки наружу и поставь его в самый верх
принудительная аутенфикация это што?
1. Клиент настраивается с сервака. Т.е клиент в браузере набирает ConnectComputer, после чего устанавливается назначенный софт и все политики, туда ходи сюда не ходи и так далее.
2. Помоему встречал такой параметр "Принудительная аутентификация" но точно не уверен. Не установлена
3. Пробовал не помогло и вверх поднимал. В самом деле, выше стоящее правило может отменить ниже стоящее правило?
Но проблему всё же решил. В свойствах Internal Network поставил галку на NAT вместо Route. И всё заработало во все стороны и всё чудно.
Но какого хрена спрашивается. Ведь в описании ниже под Route четко сказано, выбери это, если хочешь на прямую пробрасывать траффик.
Потом NAT у меня поднят на цисковском роутере, который стоит за этим серваком. Чего то наверно недопонимаю.
Наверно стоит почитать книжечку по ISA. По началу я в ней разочаровался, но потом вроде ничего. Ещё понравилось, что когда у меня какие-то ошибки вылезали и ISA захлопывалась, после чего меня спрашивали хочу ли я отправить отчёт в Майкрософт и я отправлял, через пару дней Майкрософт прислал в виде апдейтов заплаты для ISA. После этого исправились ошибки и появился доп функцианал в виде Troubleshouting.
Спасибо всем за участие в моем вопросе.
тебе надо не по исе почитать а по tcp/ip вообще, особенно про nat
у тебя для исы есть две сетки, internal и external, и тебе надо решить какие меж ними будут отношения, nat или route. в первом случае весь трафик из internal в external будет натиться, то есть идти от адреса исы а не от изначального адреса клиента, во втором случае будет роутится и адрес клиента будет явно указан в пакете как адрес отправителя. если у тебя твоя циска не знает маршрута в internal через ису тогда она конечно же не сможет вернуть клиенту пакет.