none
Трудности с FirewallClient RRS feed

  • Вопрос

  •  

    Значится так: Имеем ИСА 2006, адрес внутрений 192,168,10,1 у клиентов 192,168,10,2-192,168,10,10.

    Адрес внешний (для внутреннего пользования) 192,168,100,100. Простой доступ отключён на внешнем интерфейсе, на внутренем включён.

     

    На сервере ИСА создал пользователя Педро и пароль, затем на локальной машине 192,168,10,10 также создал пользователя Педро и праоль -такой же. В правилах на  ИСЕ указал ИЗ внутреней сети во внешнюю полный доступ для пользователя Педро!!!

    Залогинелся на лок. машине с этим логином и паролем. а при попытке доступа в ИНЕТ пишет "Не удаётся открыть страницу поиска". На ИСЕ в логах- пишет доступ запрещён, а в сессиях висят 2 конекта, причем один определятся как Педро фаейвол клиент. а второй -его же IP только, как SecureNAT....они так и висят вместе....??????Вот.

     

    Что где поправить ума не приложу...)))


     

     

    23 октября 2008 г. 5:14

Ответы

Все ответы

  •  Kilogen написано:

     

    Простой доступ отключён на внешнем интерфейсе, на внутренем включён.


    Опишите подробно, что Вы имели в виду и как это сделали. Я полагаю что проблема именно в этом.
    Если в настройках браузера на этом клиенте явно указать использование прокси-сервера, доступ по HTTP работает?
    23 октября 2008 г. 12:10
  • Я немного напутал...Насклько я понял " Общий простой  доступ к файлом " необходимо сделать на компьютере с ИСА сервер. в свойствах папки? так?

     Странно, но на виндоуз ХР это галочка есть, а на 2003 её я так и не нашёл((((

    24 октября 2008 г. 4:43
  •  Kilogen написано:

    Простой доступ отключён на внешнем интерфейсе, на внутренем включён.

    Вы про опцию "Общий доступ к подключению к Интернету" в свойствах внутреннего сетевого интерфейса?

    Отключите ее.

    24 октября 2008 г. 5:00
  • Да.Отключил, но не помогло. И того на внешнем интерфейсе осталась галка- TCP\IP, на внутреннем TCP\IP и Client для сетей Microsoft...

    24 октября 2008 г. 6:27
  • ipconfig /all

    с ISA Server покажите

    24 октября 2008 г. 9:26
  • Проверьте настройки сетевых интерфейсов.

    Настройка сетевых интерфейсов Microsoft ISA Server

    24 октября 2008 г. 9:39
  • Проверил-все в порядке, настройки соот.

    Но я вот, что заметил-в настройках иентернет браузера на клиенте с FirewallClient

    все галочки- 1. автом. поред. параметров 2. Использовать сценарий автом. настройки  3. Использовать прокст-сервер 4. Не использовать прокси-сервер для локальных адресов...

     

    С 3 и 4 позицией я согласен, а вот насчёт 1 и 2 -не уверен????  И после того как я снял в ручную эти две первых галочки Интерент заработал и машинка стала определяться  как FirewallClient...

     

    В связи с этим вопрос-не подскажите какие параметры выставлять на ИСЕ в  Конфигурации -Сети - Внутрен. -Свойства -FirewallClient - уменя здесь везде галочки стоят по умолчанию....

     

     

    28 октября 2008 г. 4:09
  • Automatic Detection Concepts in ISA Server 2006

     

    Параметры автоматического определения

    Для облегчения развертывания настройте параметры автоматического определения, чтобы указать способ получения параметров веб-прокси веб-обозревателями, запущенными на компьютерах клиентов межсетевого экрана данной сети. Автоматическое определение поддерживается с использованием описанных ниже методов.

    • Автоматическое обнаружение. Установите флажок Автоматическое определение параметров, чтобы разрешить веб-обозревателям на компьютерах клиентов межсетевого экрана автоматически обнаруживать местонахождение сервера, на котором расположены динамические генерируемые сценарии настройки для клиентов межсетевого экрана (Wspad.dat).
    • Автоматическое определение. Установите флажок Использовать сценарий автоматической настройки, чтобы указать, что веб-обозреватели на компьютерах клиентов межсетевого экрана должны получать настройки из файла конфигурации в заданном местонахождении.

    Автоматическое обнаружение с помощью WPAD

    Когда функция автоматического обнаружения включена для клиентов межсетевого экрана, веб-обозреватели используют протокол WPAD (Web Proxy Automatic Discovery), чтобы получить запись WPAD от сервера DHCP или DNS. Возвращаемая клиенту информация содержит адрес WPAD-сервера, на котором расположен файл Wspad.dat. Клиенты межсетевого экрана подключаются к указанному серверу и извлекают параметры веб-прокси, указанные в данном файле.

    Автоматическое определение с помощью сценария настройки

    Клиенты, настроенные на использование сценария настройки, подключаются к указанному в сценарии месту, чтобы получить параметры веб-прокси. Сервер Microsoft ISA Server 2006 предоставляет стандартный сценарий настройки, расположенный по адресу http://fqdn:8080/array.dll?Get.Routing.Script, где fqdn — полное доменное имя данного компьютера ISA Server. Местонахождение сценария настройки можно указать в каждом веб-обозревателе или задать для всех клиентов с помощью групповой политики. Можно указать, чтобы клиенты межсетевого экрана использовали только сценарий настройки, или настроить его вместе с функцией автоматического обнаружения с помощью WPAD. Если настроены оба параметра, то местонахождения сценария используется в случае ошибки при определении WPAD.

    Параметры конфигурации веб-прокси применяются, когда на клиентских компьютерах установлен клиент межсетевого экрана. Если позднее изменить настройки в диспетчере ISA Server, то сервер ISA Server автоматически обновляет настройки при каждом перезапуске компьютера клиента межсетевого экрана, при каждом нажатии кнопки Обнаружить или Проверить на вкладке Параметры диалогового окна Клиент межсетевого экрана Microsoft для ISA Server на клиентском компьютере, и через шесть часов после предыдущего обновления. Параметры применяются ко всем пользователям на компьютере клиента межсетевого экрана.

    Дополнительные сведения об автоматическом определении см. в документе Принципы автоматического определения в ISA Server 2006 на веб-узле технического центра Microsoft ISA Server(http://www.microsoft.com).

    28 октября 2008 г. 6:48
  • Большое спсибо!!!!

    28 октября 2008 г. 7:13
  • Один момент! После установки клиента Бранд. на станцию с ХР через ГП-выходит окно применнения личных параметров Интернет экспл. и всё на этом-2 часа ничего не происходит...станция так и висит-в чем может быть глюк? не знаете?

    29 октября 2008 г. 5:48
  • При установке Firewall Client вручную доступ работает корректно?

    Также следует проверить параметры применения объектов групповой политики (команда gpresult).

    29 октября 2008 г. 5:59
  • При установке на другую машину в ручную-работает...

    В политиках ничего особенного сделанно не было-просто создали пакет, указали в Конфиг. компьютера путь для пакета и всё....

     

    Microsoft Windows [Version 5.2.3790]
    (C) Copyright 1985-2003 Microsoft Corp.

    C:\Documents and Settings\Administrator>gpresult

    Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
    Copyright (C) Microsoft Corp. 1981-2001

    Created On 10/28/2008 at 10:13:40 PM


    RSOP data for TESTSERVER\Administrator on SERVER03 : Logging Mode
    ------------------------------------------------------------------

    OS Type:                     Microsoft(R) Windows(R) Server 2003, Standard Editi
    on
    OS Configuration:            Primary Domain Controller
    OS Version:                  5.2.3790
    Terminal Server Mode:        Remote Administration
    Site Name:                   Default-First-Site-Name
    Roaming Profile:
    Local Profile:               C:\Documents and Settings\Administrator
    Connected over a slow link?: No


    COMPUTER SETTINGS
    ------------------
        CN=SERVER03,OU=Domain Controllers,DC=TESTSERVER
        Last time Group Policy was applied: 10/28/2008 at 10:11:49 PM
        Group Policy was applied from:      server03.TESTSERVER
        Group Policy slow link threshold:   500 kbps
        Domain Name:                        TESTSERVER
        Domain Type:                        Windows 2000

        Applied Group Policy Objects
        -----------------------------
            Default Domain Controllers Policy
            Default Domain Policy

        The following GPOs were not applied because they were filtered out
        -------------------------------------------------------------------
            Local Group Policy
                Filtering:  Not Applied (Empty)

        The computer is a part of the following security groups
        -------------------------------------------------------
            BUILTIN\Administrators
            Everyone
            IIS_WPG
            BUILTIN\Users
            BUILTIN\Pre-Windows 2000 Compatible Access
            Windows Authorization Access Group
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            This Organization
            SERVER03$
            Domain Controllers
            NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS


    USER SETTINGS
    --------------
        CN=Administrator,CN=Users,DC=TESTSERVER
        Last time Group Policy was applied: 10/28/2008 at 8:53:08 PM
        Group Policy was applied from:      server03.TESTSERVER
        Group Policy slow link threshold:   500 kbps
        Domain Name:                        TESTSERVER
        Domain Type:                        Windows 2000

        Applied Group Policy Objects
        -----------------------------
            Default Domain Policy

        The following GPOs were not applied because they were filtered out
        -------------------------------------------------------------------
            Local Group Policy
                Filtering:  Not Applied (Empty)

        The user is a part of the following security groups
        ---------------------------------------------------
            Domain Users
            Everyone
            BUILTIN\Administrators
            BUILTIN\Users
            BUILTIN\Pre-Windows 2000 Compatible Access
            NT AUTHORITY\INTERACTIVE
            NT AUTHORITY\Authenticated Users
            This Organization
            LOCAL
            Enterprise Admins
            Domain Admins
            Schema Admins
            Group Policy Creator Owners

    C:\Documents and Settings\Administrator>

    29 октября 2008 г. 6:15
  • Вы устанавливаете Клиент брандмауэра посредством объекта групповой политики Default Domain Policy? Пакет установки создаётся в разделе Computer Configuration?

     

    29 октября 2008 г. 6:37
  •  Artyom [d.raven] Sinitsyn написано:
    Вы устанавливаете Клиент брандмауэра посредством объекта групповой политики Default Domain Policy? Пакет установки создаётся в разделе Computer Configuration?

     

     

    Да, а что?

    29 октября 2008 г. 6:48
  • А на других станциях Клиент брандмауэра устанавливается нормально посредством групповой политики? Если да, то проблема с конкретной системой.

     

    29 октября 2008 г. 6:50
  •  

    Вы знаете на другой машине я ен пробовал ...Я создал виртуально сервер и раб.станцию, завел домен...вот пробую пока устанавливать автоматом-и сразу глюк...Щас хочу попробовать поставить на другуюю...

    Подскажиет пож-то, что необходимо сделать, что бы после такой вот автоустановки, на клиентской машине всё уже было прописано, я имею ввиду путь к ИСЕ и прочее, что бы не было необходимости садится за каждый комп и вручную его конфигурировать...

    Спасибо.

    29 октября 2008 г. 7:35
  • Тут два варианта:

    1) публикация информации для автоматической конфигурации клиентов. Подробности смотрите в статье Automatic Detection Concepts in ISA Server 2006.

    2) настраивать Клиент брандмауэра на клиентском компьютере с использованием конфигурационных файлов. Детальное описание этих файлов приведено в статье Internal Client Concepts in ISA Server 2006 в разделе Modifying Settings on the Firewall Client Computer.

    29 октября 2008 г. 7:48
  • Т.е. если я правельно понял клиен устаенавливается на клиен.машину голый? Т.е. на отконфигурированый? И его необходимо будет либо в ручную, либо вот этими двумя способами править-так? Мои дествия предпологаю такие:

    1) С помощью ГП устанавливаю клиента на клиен. тачки

    2) С помощью ГП прописываю всем клиентам  в настройках браузера путь к ИСА и соот к скрипту, который там по умолчанию

    Нужно что то ещё?

     

    29 октября 2008 г. 9:31
  •  Kilogen написано:

    Т.е. если я правельно понял клиен устаенавливается на клиен.машину голый? Т.е. на отконфигурированый? И его необходимо будет либо в ручную, либо вот этими двумя способами править-так? Мои дествия предпологаю такие:

    1) С помощью ГП устанавливаю клиента на клиен. тачки

    Это утверждение безусловно верно.

     Kilogen написано:

    2) С помощью ГП прописываю всем клиентам  в настройках браузера путь к ИСА и соот к скрипту, который там по умолчанию

    Нужно что то ещё?

    Этим действием Вы сконфигурируете только браузер на пользовательских системах. Если быть более точным, Вы настроете систму в качестве WebProxy-клиента. На конфигурации Firewall Client это никак не скажется, тем более по умолчанию он будет перезаписывать настройки прокси в браузере настройками указанными на вкладке Firewall Clients свойств объекта внутренней сети в ISA Server Management Console.

    Как настроить Firewall Client я указал в предыдущем посте.

     

    29 октября 2008 г. 9:39
  • И вообще стоит создать новое обсуждение с детальным описанием необходимой конфигурации клиенстких систем в контексте ISA Server.

     

    29 октября 2008 г. 9:41
  •  Artyom [d.raven] Sinitsyn написано:
     Kilogen написано:

    Т.е. если я правельно понял клиен устаенавливается на клиен.машину голый? Т.е. на отконфигурированый? И его необходимо будет либо в ручную, либо вот этими двумя способами править-так? Мои дествия предпологаю такие:

    1) С помощью ГП устанавливаю клиента на клиен. тачки

    Это утверждение безусловно верно.

     Kilogen написано:

    2) С помощью ГП прописываю всем клиентам  в настройках браузера путь к ИСА и соот к скрипту, который там по умолчанию

    Нужно что то ещё?

    Этим действием Вы сконфигурируете только браузер на пользовательских системах. Если быть более точным, Вы настроете систму в качестве WebProxy-клиента. На конфигурации Firewall Client это никак не скажется, тем более по умолчанию он будет перезаписывать настройки прокси в браузере настройками указанными на вкладке Firewall Clients свойств объекта внутренней сети в ISA Server Management Console.

    Как настроить Firewall Client я указал в предыдущем посте.

     

    Прошу прощения, но у меня в данный момент не очень с английским....Не могли бы Вы в 2х словах обрисовать картину настройки...Буду очень признателен..Вам

    29 октября 2008 г. 10:30
  •  Artyom [d.raven] Sinitsyn написано:

    Пожалуйста, сатья на великом и могучем языке Понимание процесса автоматической настройки Web Proxy и клиента брандмауэра в ISA Server 2004.

     

    Вы знаете, после ознокомления с этой  статьёй я понял принцип работы, Но к сожелению так и не разобрался как это сделать руками((((((

    31 октября 2008 г. 3:58
  • В таком случае откройте новое обсуждение, опишите, что Вы уже сделали и что конктретно не работает. Постараемся помочь.

    В этой ветке отвечать я более не стану.

    31 октября 2008 г. 7:30