none
Не работает Outlook Express через ISA 2006 RRS feed

  • Вопрос

  •  

    Проблема такая:

    В домене Windows 2003 группы пользователей, которым необходима почта через интернет на домене, к примеру

    mail.test.ru

    Когда я создаю правило:

    - Group Users - all outbound protocol - internal - external - all users   -    всё работает, но как только я вместо all users

    добавляю группу пользователей из домена, то почта перестаёт работать.

    В этом правиле я ставлю запреты на посещение сайтов и скачивание через configure HTTP, потому создаю несколько правил для разных групп, при all users правила смысла не имеют, а как только ставлю определённые группы, то почта не работает. В чём может быть причина?

    30 марта 2008 г. 19:38

Все ответы

  • Вам нужно установить FWC на клиентские машины, чтобы с вашем сценарии заработала аутентификация.

    31 марта 2008 г. 4:27
    Модератор
  •  

    Клиента поставил, почта работает, НО.....инет стал работать гораздо медленнее...

    Не подскажите ещё: - как обновить ISA, если исключить службу WSUS и обновление вручную..., никаких закладок

    Update я не нашёл...!?

    31 марта 2008 г. 19:09
  • Обновление через сайт WindowsUpdate.

    1 апреля 2008 г. 10:39
    Модератор
  •  

    Спасибо, понял. И всё-таки, не подскажите - как быть с тем, что после установки клиента под ISA, нитернет на клиентских машинах стал работать медленнее и что можно сделать, если я переименовал группу пользователей в AD, а ISA всё-ровно помнит старое имя группы и постоянно его даёт, но никак не новое.?
    2 апреля 2008 г. 5:51
    1. WebProxy работает быстрее, чем FWC и SecureNAT, т.к. во втором случае ISA вынужден делать редирект на WebProxy внутри себя.
    2. Для обновления закэшированной информации из AD вам придется перезапустить ISA (сервис или сервер).
    2 апреля 2008 г. 10:57
    Модератор
  •  sie написано:

    Вам нужно установить FWC на клиентские машины, чтобы с вашем сценарии заработала аутентификация.



    Коллеги. Помогите плиз советом
    имеется рабочая группа. клиенты ходят через ису, стоит бэсик аутентификация.
    Очень необходимо чтобы клиенты использовали майкрософт аутлук для просмотра почты.
    Неужели без установки клиента файервола ничего нельзя сделать?
    Может есть какой-нибудь способ?

    Заранее спасибо!!!
    2 апреля 2008 г. 16:50
  • Настройте клиентов как SecureNAT, создайте правило для протокола POP3 для All users (у вас не будет работать только аутентификация в правилах)

    4 апреля 2008 г. 4:36
    Модератор
  •  sie написано:

    Настройте клиентов как SecureNAT, создайте правило для протокола POP3 для All users (у вас не будет работать только аутентификация в правилах)



    Спасибо. Для настройки как SecureNAT я должен указать в качестве шклюза адрес исы и все? У меня в принципе так и настроено через dhcp. А что значит не будет работать только аутентификация в правилах? Не будет работать аутентификация только через протокол pop3 или все остальные? И какпотом настроить аутлук у клиентов? какой сервер указать в pop и smtp?
    4 апреля 2008 г. 5:35
  •  

    FWC поставил, почта работает, НО пропал ping. Только тогда, когда в правилах для групп пользователей, которым необходим ограниченный доступ в интернет, я ставлю ALL Users, то пинг работает, но сами правила уже не действуют. Если несложно, не подскажите как настроить SecureNAT !?
    4 апреля 2008 г. 19:45
  •  

    все верно, fwc поддерживает тока winsocks приложения, то есть тока tcp и udp а пинги это icmp.

    securenat это самые простые клиенты для настройки, тупо делаешь правила анонинмные (all users), между internal и external правило nat (чаще всего оно уже есть) и у клиентов шлюзом поставить ису.

    5 апреля 2008 г. 16:51
    Отвечающий
  •  

    Всё понял кроме одного:

    - не знаю как создавать правило NAT и что в нём должно быть, Дмитрий?

    Я прошу прощения, но не мог бы ты поподробнее о правиле, т.к. я только начинающий и спросить толком не у кого, всё по книгам, где вообщем пишут, не углубляясь в ньюансы.

    5 апреля 2008 г. 19:07
  •  

    непонимаю чего там сложного, когда я начинал то и книги не понадобились и ни у кого не спрашивал, там все в в интерфейсе интуитивно понятно а что непонятно то кнопка f1 все обьясняет Smile

    есть правила которые определяют отношения между сетями, либо ничего, либо nat, либо route. securenat клиенты будут работать в двух последних случаях. в network rules пишешь что нужно между сетями internal и external, чаще всего там ставят nat

    5 апреля 2008 г. 22:10
    Отвечающий
  •  

    Да, всё так и сделал. Правило NAT там по умолчанию, но если я оставляю ALL Users, то блокировки на сайты в Configure HTTP будут деуствовать НА ВСЕХ  пользователей, мне же нужно на группу. Тут то как этот вопрос решить?
    6 апреля 2008 г. 4:16
  •  

    ты напиши по человечески, что ты хочешь получить в конечном итоге, поставь тз нормально

    а то одно хочу и всем, то другое и никому....

    6 апреля 2008 г. 7:31
    Отвечающий
  •  

    Проблема такая:

    В домене Windows 2003 группы пользователей, которым необходима почта через интернет на домене, к примеру

    mail.test.ru

    Когда я создаю правило:

    - Group Users - all outbound protocol - internal - external - all users   -    всё работает, но как только я вместо all users

    добавляю группу пользователей из домена, то почта перестаёт работать.

    В этом правиле я ставлю запреты на посещение сайтов и скачивание через configure HTTP, потому создаю несколько правил для разных групп, при all users правила смысла не имеют, а как только ставлю определённые группы, то почта не работает. В чём может быть причина?

     

    - ты мне ответил, что нужен FWC - я поставил, почта действительно заработала. Как я и писал пропали пинги, ты мне тоже на это ответил, НО.....осталась одна невыясненная деталь :

    - ПРАВИЛА !!! мне нужно, чтобы у меня с клиентских машин всё нормально пинговалось и работали правила, то есть я мог выбирать группы и создавать правила доступа к сайтам.

     

    6 апреля 2008 г. 13:28
  •  

    мда, а ты пробовал почитать что нить про ису и типы клиентов? почему ты правило пишешь для  all outbound protocols? что мешает сделать разные правила для разных протоколов? например для пингов и других неаутенфицируемых протоколов сделай анонимное правило (all users)? для остальных неанонимное и аутенфицируй их через прокси или fwc.

     

    ps я например вообще не вижу смысла в пингах, зачем простым смертным юзерам пинги?

    6 апреля 2008 г. 19:53
    Отвечающий
  •  

    Дело в том, что я совсем "зелёный" в плане сети и ИСУ всего лишь 3 недели назад начал рассматривать, так что прошу строго не судить. Книга по ИСЕ есть, но некотрые моменты я не понимаю. Вот ты пишешь про all users и остальных не онанимное правило сделать и ау тентифицировать их через fwc или прокси.

    Тебе не сложно будет мне просто написать сами два правила как пример и пример аутентификации через прокси!?

    10 апреля 2008 г. 3:36
  •  

    3 недели!!! за три недели можно стать инженером Smile я когда впервые увидел ису, мне хватило недели чтобы поставить ее уже в эксплуатацию (был большой переезд и баловаться времени не было), и саму книгу что я всем советую лично я так и не читал Smile) а если посмотреть на учебные курсы то микрософтовский курс по исе меньше недели Smile

     

    что там с правилами может быть непонятно, для пинга создаешь

    allow ping from internal to external for all users

    для остальных, например веб

    allow http, https, ftp from internal to external for <UserGroup>

    и т.д. все очень просто, на принципе правил работают все известные мне файрволы

    10 апреля 2008 г. 7:49
    Отвечающий
  •  Илья08 написано:

     

    Да, всё так и сделал. Правило NAT там по умолчанию, но если я оставляю ALL Users, то блокировки на сайты в Configure HTTP будут деуствовать НА ВСЕХ  пользователей, мне же нужно на группу. Тут то как этот вопрос решить?

     

    В случае SecureNat клиентов единственный способ это разделить клиетов на подсети и для каждой подсети (указывается в From) настроить свои правила доступа.

    14 апреля 2008 г. 10:25
    Модератор