Всем доброго Дня!
ИМЕЕТСЯ:
1. DC - Windows Server 2008 SP2 , DNS,AD,DHCP
2. ISA 2006 - Windows Server 2003 ,ISA
3. На всех клиентах установлен FWC с автообнаружением.
Все пользователям и админам назначены определенные группы доступа(AD) на след. протоколы HTTP,HTTPS, FTP, POP,SMTP.
ОПИСАНИЕ:
Все настроено давно и работает стабильно, но появился огромный интерес. Как то раз зайдя Vkontakte.ru в приложение Poker Shark при загрузке приложения появляется в самом окне приложения "нет соединения с сервером , проверьте..... и.т.д". Так же зайдя на сайт Lemonovo.com загрузка страницы зависает на 50 процентах. Хмм.. Прочесав лог исы, понял что нужно открыть определенные порты 1000, 8080 для Poker Shark и 7501-7502 для Lemonovo.com и для обоих случаем порт 843 .
ПРАВИЛА ISA:
Правило №1 (Web приложения >> Разрешить>> (Poker Shark TCP 1000, 8080), (Lemonovo TCP 7501-7502), (Flash TCP 843) >> Internal >> External >> Все пользователи. Так же пробывал ставить группу Internet Users
Правило №2 ( Internet >> Разрешить >> (HTTP TCP 80), (HTTPS TCP 443), (FTP TCP 21) >> Internal >> External >>> Internet Users.
ПРОБЛЕМА:
Дело в том что при включенном FWC моя проблема не изчезает, но как только я выключаю FWC , все начинает нормально отрабатывать. В чем беда, подскажите?
ЛОГ:
1. http://ifolder.ru/21654741 (ПРОТОКОЛ: HTTP TCP 80)
2. http://ifolder.ru/21654784 (ПРОТОКОЛ: Lemonovo 7502-7505)
3. http://ifolder.ru/21654825 (ПРОТОКОЛ:Shatk 1000, 8080)
Как мы видим из лога аунтификация проходит под моей учеткой HizhuhovskiyRA так жех отклоненный сосединений тоже нет, но мне не понятно что это за странные порты порты 34309,32722.. и.т.д. Доступа к выше сказанным приложениям я все равно не имею. Если выключить FWC лог будет такой же, но все будет работать.
1. Ща, я полезу качать ваши картинки с ifolder.ru...
2. В общем случае FWC обладает БОЛЬШИМИ возможностями, чем SecureNAT. НО! если ваши шняги используют НЕwinsocks вызовы - FWC бессилен.
А ты используешь веб прокси? Или на прямую пользователи лезут? (как я понял, из скринов, на прямую лезут)
в панели ISA Конфигурация -> сети-> внутренняя (правой щелкни и свойства)
Как настроены вкладки Клиент межсетевого экрана и Веб-прокси (если они не настроены то хоть обвключайся FWC работать не будет)
Благодарю за отклик Дмитрий!
Вот у меня по этому поводу тоже есть вопрос, мне кажется использую я все и сразу. Прокси я так понял работает через Http,Https. А Fwc уже приспособлен для портов жесткого регулирование протоколов TCP - UDP с жестким контролем пользователей(Аунтификация). Я вообще хочу использовать все через FWC, читал разную инфу по использованию через FWC что мол в свойсвах браузера необходимо убрать все настройки прокси... и тогда c правильной настройкой на ISA все должно работать. Пробывал так делать, но увы интернет сразу режется((( Может что не настроил.. вообщем Дмитрий проаналезируй мои скрины и скажи что к чему.
http://ifolder.ru/21661043 Свойства - Клиент межсетевого экрана
http://ifolder.ru/21661074 Свойства - веб проки
Ну Скрины я посмотрел страшного ничего не увидел. (правда я использую только встроенную проверку подлинности)
Правда при повторном просмотре логов увидел что на ISA с твоей машины идет какой то траффик по портам 34309, 32772, 34414! Это что за соединения?
Создай правило которое бы разрешало тебе ходить по всем протоколам во внешнюю сеть! И соответственно попробуй зайти на сайты о которых писал выше!
Доброе Утро Дмитрий!
По поводу трафика по портам 34309, 32772, 34414.. этот трафик идет тогда когда я включаю работу FWC на клиенте... если отключить FWC то трафик просто изчезает , такая же ерунда происходит у другого человека. Тут мне тоже не понятно.....
Создал правило разрешающее все, для конкретного компьютера , для всех пользователей.... С отключеным FWC заходит , с включенным не хочет!
Может проблема в клиенте FWC? Какая щас самая последняя актуальная версия? у меня на данный момент 4.0.3441.633.
Или может в свойствах fwc на ISA добавить приложение iexplorer disable 0? Хотя я это тоже пробывал делать!
Если правило разрешить везде создано как первое то странно должно и с включенным пускать,а если оно ниже правил созданных ранее то, с выключенным понятно ты как аноним и тебя пускает, а с включенным ты как пользователь и соответственно рубит по первым правилам!
В случае если тебя рубит как пользователя при включенном FWC, то начинай смотреть HTTP фильтрацию начиная от методов и далее!
Ну по поводу актуальности FWC я конечно сомневаюсь но на майкрософте посмотри там клиент бесплатно лежит!
А что конкретно там смотреть?.... У меня в HTTP все разрешено!
На правиле которое разрешает и которое с пользователями правой щелкаешь -> настройка HTTP. Там есть вкладки Методы, Расширения, Заголовки, Подписи. Вот эти настройки нужно смотреть!
Ну так то у меня там все разрешено! Еще вопрос, можно ли сделать отдельное правило , что бы оно работала в обход FWC? Один вариант я знаю, поставить в пользователях "все пользователи". Можно еще как то сделать?
Другой вопрос, как сделать так что бы в свойствах браузера убрать все галки, точнее прокси и пустить весь трафик через FWC?
Уууух так давай скакать не будем.
1. В HTTP фильтрации у тебя ничего нет? Методы (разрешить все)? Расширения (разрешить все)? и так далее по списку посмотри все вкладки и сравни с HTTP фильтрацией правила разрешить все!
2. Покажи как у тебя настроен клиент!
3. Галки которые ты хочешь убирать они просто настраивают твой браузер для работы с прокси.
4. Клиент межсетевого экрана работает по порту 1745! А те порты которые идут у тебя параленьно с запросом в интернет на ISA это что-то другое. Разберись что это за порты и каким приложением отправляется?
5. В настройках проверки подлинности убери обычную проверку, оставь только встроенную. И попробуй на одной встроенной полазить
Смотря в логах ISA FWC клиент отрабатывает тогда когда нажимаешь на "Обнаружить" в логах это четко отписывается 1745.
По поводу странных портов, дело в том что эти порты выскакивают когда включен FWC , так же это дело проверял на другой машине, если его отключить то все пропадает! Откуда эти порты я х3... причем цифровые значения неизвестных портов каждый раз разные
http://ifolder.ru/21667757 FWC клиент на локальном компьютере
http://ifolder.ru/21667783 Правила доступа
1.В настроки FWC пропиши что сервер задается вручную.
2. Нужен полный лог на lenovo по правилу test без FWC и с FWC + полный лог с выключенным правилом test!