iis nem hajlandó a 80 -as porton működni

All replies

• 

  

  0

  Sign in to vote

  Itt most lassan kezdem nem teljesen átlátni a konfigot...

  A klienseken telepítve van az ISA kliens? ISA-ban meg van adva, hogy a helyi címeket ne proxy-zza? McAfee ugye nem ISA-n van?

  A.

  Tuesday, January 11, 2011 7:41 AM
• 

  

  0

  Sign in to vote

  nincs telepítve isa kliens.  Mcafee nem az ISA-n van. Csak azért írtam ezt le, hogy nem az explorer vagy az IIS saját hibaoldala jön be, hanem a szolgáltató szervere válaszol, hogy neki fogalma nincs milyen oldal az a http://intranet

  ISA-ban nincs megadva ilyen hogy a helyi címeket ne proxyzza ki.

  Tuesday, January 11, 2011 8:00 AM
• 

  

  0

  Sign in to vote

  De a DNS-ben az "intranet" ugye a belső ip-címre mutat? Pingre helyes értéket kapsz?

  Ha nincs ISA kliens, akkor az IE-ben pl. GPO segítségével meg van adva, hogy helyi címekkel mi legyen?

  A.

  Tuesday, January 11, 2011 8:04 AM
• 

  

  0

  Sign in to vote

  Hello

   

  Csak kerdes:

  Szoval mielott meg tovabb mennek.

  Indits egy erest egy kliensrol az intranet sitre fele es az isa

  monitorjaban nezd meg hogy miert fordul kifele.

  Gondolom a dns bejegyzesek rendbevannak. Az iis kotesek is megfelloek.

   

   

  ---

  Udvozlettel:Sneff Gabor

  Tuesday, January 11, 2011 8:04 AM
• 

  

  0

  Sign in to vote

  ping rendben van. belső címre mutat.

   

  GPO -val van megadva proxy kivételként. (de ha a böngészőben kikapcsolom a proxy-t akkor is ugyan ez a helyzet...)

  Tuesday, January 11, 2011 8:06 AM
• 

  

  0

  Sign in to vote

  Az isa logging eredménye:

   

  Allowed Connection

  Log type: WEb Proxy (forward)

  Status: 403 Forbidden

  Rule: All local trafic

  Source: ip címem

  Dest: Local host (172...)

  Request: Get http://10.1.1.1   (szerver címe)

  Protocol: http

  User: anonym...

   

   

  Tuesday, January 11, 2011 8:20 AM
• 

  

  0

  Sign in to vote

  Kipróbáltam, hogy az IIS-t leállítottam. Indíottam egy apache-ot és alátettem egy kezdőlapot. A szerveren rendben megjelenik, a kliensen meg ugyan ez a hiba...

  szóval ez akkor nem iis gond...vagy az isa szórakozik velem..vagy nem tudom...

  Tuesday, January 11, 2011 9:05 AM
• 

  

  0

  Sign in to vote

  a másik problémám, hogy elvileg a 403-mas státusznak volna néhány al-státuszta...de ez a monitoring/logging-ba nem jelenik meg, az IIS log-ba pedig nem kerül be csak az a kérés/oldal amit meg is tudott nyitni..

  ha tudnám a pontos státuszkódot talán előrébb lennék...

   

  Tuesday, January 11, 2011 9:46 AM
• 

  

  0

  Sign in to vote

  nekem nagyon úgy fest, hogy az IIS csak a localhoston figyel ezért megy a szerverről szó nélkül...

  ha viszont a httpconf-al felveszem a 10.46.9.9:80 -as portot, akkor az IIS alapértelmezett lapot el sem tudom indítani....

   

  mondjuk azt nem értem, hogy ha átírom a 80 -as portot akár 81 -re akkor miért megy szó nélkül...

   

  nem lehet valahogy újrainstall nélkül az ISA-t újraregelni? Hátha segítene...mert kezd úgy tűnni, hogy az ISA van megkerülve..

  Tuesday, January 11, 2011 1:49 PM
• 

  

  0

  Sign in to vote

  Hello

   

   

   

  Akkor igy nez ki az iis igaz?

   

   

  http://snefi.atw.hu/iis.jpg

   

  A szabaly meg http allowe from internal to localhost /vagy webserver

  publish van?

   

   

   

   

   

  ---

  Udvozlettel:Sneff Gabor

  • Edited by Sneff Gabor Tuesday, January 11, 2011 2:55 PM f

  Tuesday, January 11, 2011 2:51 PM
• 

  

  0

  Sign in to vote

  Nem egészen:

  Több site van, de a lényeg az alapértelmezett ( a többi tulajdonképp lekapcsolható..csak tesztek voltak korábban)

  alapértelmezett site 1 FUT valami.sajat.hu 10.1.1.1  80 443

   

  A szabály pedig most: minden forgalom  |  allow all outbound  | internal | all networks |all user

  Van egy szerver publis is, de az most ki van kapcsolva mert az ISA BPA szerint ha csak egy hálókártya van akkor úgysem működik....

  Egyébként meg az a szabály, hogy, bár mind1 mert kikapcsolva és bekapcsolva sem megy...

  allow |anywhere | 10.1.1.1 (szerver ip ) | http | web listener (80-as port, all network, no auth ) | bridging: redirect to http port: 80 | all user

  talán a lényeget kiírtam...

   

  Tcpview -val megnéztem és a 80-as portal csak egyetlen bejegyzés van:

  0.0.0.0 (local address) 80 (local port) Listening

  semmi más bejegyzés ami 80 -as port..

  Tuesday, January 11, 2011 3:13 PM
• 

  

  0

  Sign in to vote

  Hello

  Ugye nem errol van szo?
  http://snefi.atw.hu/iis/iis.html
  az iis logokhoz meg alisd le site-ot es a system32\logfiles\... -ban ottlesz a log is.

  ---

  Udvozlettel:Sneff Gabor

  • Edited by Sneff Gabor Tuesday, January 11, 2011 6:27 PM g

  Tuesday, January 11, 2011 6:05 PM
• 

  

  0

  Sign in to vote

  Kérlek mond, hogy ez a videó fel van gyorsítva:)

   

  Egyébként nem erről van szó...

  Az iis loghoz még csak le sem kell állítani a site-ot...

  Az az érdekes, hogy ha kliensről megnyitnám az oldalt (és itt ugye nem nyílik meg az oldal) akkor az IIS logba nem kerül be.

  Felmegyek a szerverre, megnyitom a site-ot és azonnal belekerül a logba.

  Ezért írtam valahol feljebb, hogy nem tudom megnézni a 403.X.X az alstátuszát a hibának...

   

   

   

  Wednesday, January 12, 2011 8:12 AM
• 

  

  0

  Sign in to vote

  egyébként amit teljesen nem értek...

  ha a kliensen be van állítva a proxy a böngészőbe és kapok egy választ hogy 403 forbidden és  a szolgáltató Web Security Appliance -e válaszol nekem, hogy gáz van...ez még rendben van..

   

  de hogy lehet, hogy ha kikapcsolom a proxyt a böngészőben és ugyan ez a helyzet...ha nincs proxy akkor nem lenne szabad kimennie..szerintem...

  Wednesday, January 12, 2011 9:42 AM
• 

  

  0

  Sign in to vote

  Most ott tartok, hogy az ISA / CONF / Networks / Web Chaining -ben volt ugye a Last default rule amiben be volt állítva, hogy minden kérést tolja az upstream proxyra. Most elé betettem egy szabályt, hogy http kéréseket amelyek a szerver felé mennek, ne tolja a proxyra hanem szolgálja ki direktben.

  Így minden jól menne...ha nem lenne az internetezés elviselhetetlenül lassú...percek kellenek egy oldal betöltéséhez..

  A logokban nincs hiba..nincs semmi ami bajra utalna..

  Wednesday, January 12, 2011 1:30 PM
• 

  

  0

  Sign in to vote

  igazából már csak azért írom ezeket le, hogy hátha bekattan valakinek valami...

  tegnap éjjel újrahúztuk az ISA-t.

  amit beállítottunk:

    - egy firewall policy (allow all outbound, localhost + all network to ugyanez, all user)

    - a configuration / networks / networks fülön felvettük az internal ip tartományokat, ugyanitt beállítottuk a domain-t; és a web-proxyt.

    - ugyanitt a network set fülön maradt minden gyári,  a network rules fülön maradtak a gyári beállítások szintén

   

  Aztán jött a próba: mind a szervere, mind a kliensen rendben bejön a belső site..nincs 403 ....

  De itt még nem működik az internet:

  Szóval, ahogy már néhány éve, most is a Web chaining menüben beállítjuk a web-proxyt...

   

  Ettől kezdve minden a régi...az éjszakázás mehetett a kukába...most reggel az ISP-vel beszéltünk. Azt állítják, hogy náluk nincs és nem is volt módosítás....ha az ő rendszerük válaszol nekünk belső kérésekre, akkor nálunk van a gond...nézzük át a host fájlokat..állítsuk be, ...stb...stb...

  Csak tudnám, hogy az elmúlt majdnem 7 évben ez, hogy működött eddig így....

  Egyébként: Az ISA-ban van egy olyan gondolat, hogy ha egy lábon áll a paripa, akkor nem támogatott az IP-level, transport level packet filtering. NA ez a gondolat nekem homályos...

  Lehet hogy ezért lassul be az internet, ha a "mindent proxyzzon ki ami http kérés " elé felveszek egy olyat, hogy "ami a szerverünkhöz megy menjen direktbe " ?

  Valahogy azt kellene megoldani, hogy a 80 -as portra irányuló kéréseket ne proxyzza, csak a 8080-ra érkezőket..nem lehet ezt valahogy ...ááá nem értem...

  Thursday, January 13, 2011 8:07 AM
• 

  

  0

  Sign in to vote

  Hello

   

  Szerintem mielott tobb idot pazarlunk el:

  Legyszives rajzolj mar egy abrat hogy hogy is nez ki a halozat /kulon az

  internal/external labak bealitasaival, network -ok listaja, szabalyok

  hogy vannak, iis kotesek hogy vannak konkretan, van e hozzajuk rendelve

  host header stb.

  Mert igy a sacolgatasokkal nemlehet semmire menni az idopazarlason

  kivul.

   

   

  ---

  Udvozlettel:Sneff Gabor

  Thursday, January 13, 2011 8:18 AM
• 

  

  0

  Sign in to vote

  Nem vagyok túl jó rajzoló, szóval itt igyekszem leírni:

   

  - Van egy LAYER 2 -es felhő. Ebbe csatlakozik az összes telep, a SZERVERÜNK (10.1.1.1), és az ISP is.

  - A klienseken a böngészőben: proxynak be van állítva a 10.1.1.1 8080

  - a szerver 2003 ISA 2004 IIS 6, egy hálókártya szóval csak webproxy az ISA.

  -az isa-ban a network alatt: external, internal, local host, quaran VPN és VPN Clients...szóval minden gyári...

  - az isa-ban be van állítva az összes IP tartományunk az INTERNAL networksnél. (pl.10.1.1.1-10.1.1.254; 10.1.2.1-10.1.2.254;10.1.4.1-10.1.4.254;10.1.3.1-10.1.3.254;)

  - ugyanitt be van állítva a domain és a web proxy (8080)

  - a web chaniing-ben be van állítva, hogy "redirecting them to a specified upstream server" to all networks.

  - egyetlen szabály van: ALLOW, ALL Outbound, ALL Network, All Network, All users.

  - IIS -ben: Webhely tulajdonságoknál a webhely fülön: Ip cím: 10.1.1.1 TCP 80 SSL 443; Speciális alatt még: alapértelmezett 80; és alapértelmezett 80 intranetpage

   

  Igazából ennyi.

   

  Thursday, January 13, 2011 8:42 AM
• 

  

  0

  Sign in to vote

  Számomra nem teljesen világos, hogy minek kell a web chaining?

  A.

  Thursday, January 13, 2011 12:04 PM
• 

  

  0

  Sign in to vote

  Hello

   

  Az alabbiak szerint keszitet logokat feltudnad tenni valahova?

  http://snefi.atw.hu/isa/isa.html

   az ip tatomanyokat 0 -tol 255 -ig szokas megadni.

   

  ---

  Udvozlettel:Sneff Gabor

  Thursday, January 13, 2011 7:07 PM
• 

  

  0

  Sign in to vote

  Sajnos az utóbbi napokban nem tudtam ezzel foglalkozni, mert az ezzel töltött idő miatt feltornyosultak az egyéb teendők...

  Elkészítettem a kért logokat néhány "változtatással":

   

   - mivel valamilyen megoldást kellett találni a portál elindítására, így most az intranetes portál a 81 -es portra került...

   - készítettem az IIS-ben egy másik lapot ami a 80-as porton figyel - companyweb -

   - mivel ez nincs a DNS-ben, így ip alapján hívtam meg a böngészőben. (http://10.46.9.9 -ként szerepel)

     És a monitorozásnál leszűrtem csak a saját IP-m re a loggolást: Client IP - Equals - 10.46.26.98; ez a szűrés nélkül kicsit izmos lenne a log.

   

  A log fájlokat itt éred el:

  http://www.filedropper.com/logs

   

  Köszi a segítséget.

   

  • Edited by Holian Tuesday, January 18, 2011 8:35 AM lemaradt a link

  Tuesday, January 18, 2011 8:34 AM
• 

  

  0

  Sign in to vote

  mert itt tudom beállítani hogy a porxy kérések hová menjenek.. ha ez nincs beállítva akkor a kliensek nem tudnak internetezni.

   

  Be lehetne állítani ezt a proxyt direkt-be a kliensekben, de mivel egy hozzáférésünk van, így egyszerre csak egy ember tudná használni. Ráadásul a szolgáltatónál úgy van konfigolva, hogy ha A user bejelentkezik a proxyra akkor 10 percig nem is engedi a következő B -ipt használni....

   

   

  Tuesday, January 18, 2011 8:37 AM
• 

  

  0

  Sign in to vote

  Hello

   

  Ez vices mert pl 10.46.9.9 es ez 10.46.26.98 se szerepelt eddig a

  beszelgetesben.

  Az internal tartomanyoknala 10.1.1.1-10.1.1.254 /stb... / -javisd ki

  erre: 10.1.1.0-10.1.1.255 /stb../

   

   

   

  ---

  Udvozlettel:Sneff Gabor

  Tuesday, January 18, 2011 11:09 AM
• 

  

  0

  Sign in to vote

  Azért nem szerepelt, mert az IP-ket a postolásnál megváltoztattam....

  Közben viszont rájöttem, hogy nem sok értelme van, tekintve, hogy minden belső cím...

  Szóval a logokban levő ip-k a valósak, és az internál tartományokban is ennek megfelelően szerepelnek a címek...

  • Edited by Holian Tuesday, January 18, 2011 11:44 AM ...

  Tuesday, January 18, 2011 11:43 AM
• 

  

  0

  Sign in to vote

  Gábor,

  Így is elég sokat segítettél már és próbálkoztál, de még...

  Ahogy látom van valamilyen teszt (virtuális..) környezeted, ahol lehet garázdálkodni. Ha lenne egy kis időd megpróbálnád azt ami nálunk a galibát okzza?

   

  - A klienseken beállítani, hogy a szervert használja procxy-ként 8080 -as porton

  - az ISA-ban a fenti szabályokon felül a webchaining -nél beállítani:

              1. saját site engedélyezése  --> retrieving them directly from the specified dest.  --> to: szerver

                  last default rule  --> redirecting them to a specified upstream server --> to all networks

  És beállítanál valamilyen proxy servert..

   

  Nálunk ez a beállítás okozza a lassulást...

  köszi...

  Wednesday, January 19, 2011 1:56 PM
• 

  

  0

  Sign in to vote

  Hello

   

  Nalam mukodik rendesen... de nezd az isa monitorjat es elarulja hogy mi

  nem sikerul a dns serverednek.

  De amugy erre a proxy hasznalatra rakerdeznek a szolgaltatodnal mert

  eleg "furcsa" hogy valaki meg ezt kotelezoen betegye eled.

   

   

  ---

  Udvozlettel:Sneff Gabor

  Wednesday, January 19, 2011 8:27 PM
• 

  

  0

  Sign in to vote

  Ezt kérdeztem én is, s nem kaptam rá választ, hogy minek a láncolás?

  A.

  Thursday, January 20, 2011 6:35 AM
• 

  

  0

  Sign in to vote

  Nem tudom másként elmondani, hogy miért kell láncolás...

  Az ismereteim szerint csak itt a láncolásnál lehet beállítani a proxyzást. Márpedig az internethez csak ezen a proxy-n keresztül férünk hozzá.

  Lehet hogy furcsa..de ez az egyetlen módja..mindig is ez volt..csak korábban nem kellett a láncolásnál a last default rule elé felvenni semmit, ahhoz, hogy a belső website menjen. Az ISP állítja, hogy náluk nem változott semmi, de én ezt már erősen kétlem...

   

   

  Thursday, January 20, 2011 12:15 PM
• 

  

  0

  Sign in to vote

  Hello

   

  Szerintem kerdezz ra a szolgtatodnal megegyszer hogy tenyleg csak az o

  proxy-jukon keresztu lelhet e kijutod mert gyanusan nem :D

  Ha igen akkor illene egy masik szolglatato keresni ha lehetseges.

   

   

   

  ---

  Udvozlettel:Sneff Gabor

  Thursday, January 20, 2011 12:19 PM