Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Открыть новую тему     Написать ответ в эту тему

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части этой темы: 1 + 2 + 3

  • Microsoft Internet Security & Acceleration Server - сайт производителя

  • - необходимо посетить, начиная работу с ISA Server

  • IsaDocs.Ru - переведенные статьи с

  • IsaServer.Ru - форумы, статьи, решения

  • ISA на iXBT - Хобот, наш конкурент

  • Коллекция ссылок на статьи
     
  • Варез Miсrosoft Forefront TMG (ISA)
     
    Назначение и применение сабжа..
    Продолжение шапки..
    НАСТОЯТЕЛЬНАЯ ПРОСЬБА

    ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ.
    // текущий бэкап шапки..
    • Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016
    Paromshick



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    При экспорте сертификата закрытый ключ экспортировался? ТМГ должен слушать трафик, а значит расшифроаывать и зашифровывать заново. Для этого требуется закрытый ключ.

    ----------
    Скучно
    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 22:22 03-02-2017
    aleksejlipeck

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день!
     
    Стоит прокси с Forefront, пробрасывает на внутренний сервер 1С, с помощью RemoteApp.
    Через наблюдение вижу подключение по RDP, а через RemoteApp не могу отследить подключение.
    Подскажите где я туплю.
    Всего записей: 13 | Зарегистр. 23-10-2014 | Отправлено: 11:45 28-08-2017
    Paromshick



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Где-то в самом начале
    Что и как он пробрасывает? RDWA вы имеете в виду?
    Где "наблюдаете" подключение по RDP? И что вообще собираетесь отслеживать, а главное где? Может таки на RDG?
    Барин, у вас котлеты с мухами.

    ----------
    Скучно
    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 13:33 28-08-2017
    aleksejlipeck

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подключение из внешки к 1С, через RemoteApp. На один сервер пробрасывает нормально, а когда пытаюсь подключиться на второй по другому порту, попадаю все-равно на первый. Поэтому и хочу отследить - по RDP в Журналы и отчеты - Ведение журнала, все видно, а RemoteApp не вижу.
    Я правильно понимаю, что RemoteApp использует RDP?
    Всего записей: 13 | Зарегистр. 23-10-2014 | Отправлено: 16:12 28-08-2017
    Paromshick



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    aleksejlipeck
    Простите, но так мы далеко не уедем. Я не видел в сабже, который вы не указываете, предположу, что это Forefront Thread Management Gateway описания протокола RemoteApp.
    Вообще. сабж, если я его правильно угадал, достаточно монстровидная штука и там каждая кажущаяся неочевидной мелочь - имеет значение. Иногда даже то, от какой учётной записи проводилась его установка. А вы ленитесь с описанием.
     Как это RemoteApp на другом порту
    Далее. Ферма RDS, о которой телепатически идёт речь - так же весьма богатый настройками продукт.
    Между тем, телепатировать тут бессмысленно.
    Либо вы описываете всё, что знаете, либо говорите, что не знаю, спрашивайте, либо вам помогает кто-то другой

    ----------
    Скучно
    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 19:43 28-08-2017
    aleksejlipeck

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    , , , , ,  
     
    Добавлено:
    Все подключаются по правилу номер 13 "RDP Magazine", правило 14 "RDP Magazine New" создано копированием с заменой порта и ip-сервера на который подключаются
     
    Всё что необходимо покажу, только спрашивайте
    Всего записей: 13 | Зарегистр. 23-10-2014 | Отправлено: 08:20 29-08-2017
    BoJlLLlE6HuK



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Чёт ты намудрил, можно проще
     
     
    Всего записей: 13 | Зарегистр. 15-10-2007 | Отправлено: 10:52 29-08-2017
    aleksejlipeck

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо. Так работает, но не могу разобраться в одном моменте.
    Опубликовано 2 внутренних сервера, на разных портах, подключиться можно на любой через rdp, но через RemoteApp подключается на тот, на который был вход через rdp независимо какой порт укажу в файле подключения
     
    Добавлено:

    Цитата:
    Чёт ты намудрил, можно проще

    Это до меня намудрили
    Всего записей: 13 | Зарегистр. 23-10-2014 | Отправлено: 13:06 29-08-2017
    Paromshick



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    aleksejlipeck
    Я не понимаю, что вы называете RemoteApp. Там всего понамешано в кучу у МС в том числе и термины.
    Телепатирую, что у вас ферма. Она опубликована через RDWA, типа такой web интерфейс со значками приложений. Щелкаешь, у тебя рабочий стол открыватеся. Так TMG здесь ни при чём тогда. На нём публикуется только правило Внутреннего вэб сервера и ничего через него не отследить.

    ----------
    Скучно
    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:14 29-08-2017 | Исправлено: Paromshick, 15:15 29-08-2017
    aleksejlipeck

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
    Могу дать подключение, чтобы не играть  в телепатов
    Всего записей: 13 | Зарегистр. 23-10-2014 | Отправлено: 15:21 29-08-2017
    Paromshick



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    aleksejlipeck
    Может кто-нибудь и согласится, но обычно такие вещи в личку пишут. И откуда вы знаете, какого уровня "специалист" придёт к вам в сеть и что там наваяет....
    Да в общем-то не нужны никакие подключения. Если ваши клиенты получают для входа ссылку типа https://something.domain.com/rdwa/ то здесь на TMG вы ничего не отследите, кроме логирования, которое вряд ли что скажет, если же нет, если у вас раздается .rdp файл, то откройте его блокнотом и выложите сюда. Просто уберите специальную информацию, как-то белые IP или реальный домен.
    А еще лучше смотрите на ферме то, что вас интересует. У вас явно происходит редирект, а значит это ферма. Только может использоваться RDG., а может не использоваться, но в любом случае, к сабжу это отношения не имеет, он просто выполняет публикацию внутреннего ресурса тем или иным способом, а редиректит другой субъект. Офтоп.

    ----------
    Скучно
    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:06 29-08-2017
    aleksejlipeck

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Стоит прокси с TMG, одна сетевая карта смотрит в интернет (ip белый), сторая сетевая карта смотрит во внутреннюю сеть.
    Пользователи подключаются с помощью файла .rdp через RemoteApp (у себя видят только окно программы, а не весь рабочий стол терминального сервера).
    Опубликовано 2 сервера:  один только с "1С", второй с "1С" и "Excel".
    Файлы rdp имеют следующий вид:
     
    На один сервер:
    redirectclipboard:i:1
    redirectposdevices:i:0
    redirectprinters:i:1
    redirectcomports:i:1
    redirectsmartcards:i:0
    devicestoredirect:s:
    drivestoredirect:s:
    session bpp:i:16
    prompt for credentials on client:i:1
    span monitors:i:1
    use multimon:i:1
    remoteapplicationmode:i:1
    server port:i:3391
    allow font smoothing:i:1
    promptcredentialonce:i:1
    authentication level:i:2
    gatewayusagemethod:i:2
    gatewayprofileusagemethod:i:0
    gatewaycredentialssource:i:0
    full address:s:213.x.y.z
    alternate shell:s:||1cestart
    remoteapplicationprogram:s:||1cestart
    gatewayhostname:s:
    remoteapplicationname:s:1C Предприятие
    remoteapplicationcmdline:s:
    alternate full address:s:213.х.y.z
    signscope:s:Full Address,Alternate Full Address,Server Port,GatewayHostname,GatewayUsageMethod,GatewayProfileUsageMethod,GatewayCredentialsSource,PromptCredentialOnce,Alternate Shell,RemoteApplicationProgram,RemoteApplicationMode,RemoteApplicationName,RemoteApplicationCmdLine,Authentication Level,RedirectPrinters,RedirectCOMPorts,RedirectSmartCards,RedirectPOSDevices,RedirectClipboard,DevicesToRedirect,DrivesToRedirect
    signature:s:...
     
    На другой сервер:
    redirectclipboard:i:1
    redirectposdevices:i:0
    redirectprinters:i:1
    redirectcomports:i:1
    redirectsmartcards:i:0
    devicestoredirect:s:
    drivestoredirect:s:
    session bpp:i:16
    prompt for credentials on client:i:1
    span monitors:i:1
    use multimon:i:1
    remoteapplicationmode:i:1
    server port:i:3380
    allow font smoothing:i:1
    promptcredentialonce:i:1
    authentication level:i:2
    gatewayusagemethod:i:2
    gatewayprofileusagemethod:i:0
    gatewaycredentialssource:i:0
    full address:s:213.x.y.z
    alternate shell:s:||1cestart
    remoteapplicationprogram:s:||1cestart
    gatewayhostname:s:
    remoteapplicationname:s:1C Предприятие
    remoteapplicationcmdline:s:
    alternate full address:s:213.x.y.z
    signscope:s:Full Address,Alternate Full Address,Server Port,GatewayHostname,GatewayUsageMethod,GatewayProfileUsageMethod,GatewayCredentialsSource,PromptCredentialOnce,Alternate Shell,RemoteApplicationProgram,RemoteApplicationMode,RemoteApplicationName,RemoteApplicationCmdLine,Authentication Level,RedirectPrinters,RedirectCOMPorts,RedirectSmartCards,RedirectPOSDevices,RedirectClipboard,DevicesToRedirect,DrivesToRedirect
    signature:s:...
     
     
    Добавлено:
    Сейчас проблема только в том, что с помощью файла .rdp пользователи подключаются на тот сервер, на который был вход через "подключение к удаленному рабочему столу".  
    Каким образом можно сделать чтобы пользователи могли подключаться на оба сервера?
    Всего записей: 13 | Зарегистр. 23-10-2014 | Отправлено: 08:48 30-08-2017
    Paromshick



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Каким образом можно сделать чтобы пользователи могли подключаться на оба сервера?

    Боюсь, что настроить заново. Видно, что используется RDG, но при этом серверы принудительно настроены на разные порты, хоть в этом нет никакой необходимости... Странно. Во всяком случае, TMG здесь не при чём, или не в основе, надо смотреть весь комплекс из фермы и реверс прокси.
    На TMG у вас должно быть правило публикации веб сервера, которое указывает на RDG сервер. Впрочем. кто его знает, что там понагорожено.
    Может, оставить так?

    ----------
    Скучно
    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 09:20 30-08-2017
    aleksejlipeck

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Может, оставить так?

    Видимо, так и придется оставить
    Всего записей: 13 | Зарегистр. 23-10-2014 | Отправлено: 08:56 31-08-2017
    Lord5000

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подробнее...
    Всего записей: 1 | Зарегистр. 25-10-2017 | Отправлено: 08:01 25-10-2017
    Paromshick



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вообще, ваш админ правильно делает, ибо фраза
    Цитата:
    Установить этот сертификат на сам веб сервер (заменить локальный) не представляется возможным (требования безопасности).  
    говорит не о требованиях безопасности, а о том, что купленный сертификат был сгенерирован по ошибочному запросу и "чего-то там" не учитывает. Теперь эта проблема перекладывается на голову администратора, а ему не охота и справедливо, потуму, что, завалить можно весь, общий трафик сети.
     
    Посоветуйте адимну посмотреть в сторону HTTPS-to-HTTPS bridging, есть ли там возможность подменять сертификаты, не помню, честно.
    Погуглите tmg ssl proxy
    Посмотрите в сторону сделать HTTPS-to-HTTP bridging, то есть открыть на внутреннем сервере 80 порт. Что как раз подпадает под требования безопасности, вернее им не соответствует

    Цитата:
    Возможно ли применить wildcard сертификат в такой ситурации?

    Это обычный выход. Следует учесть ограничение на уровень доменного имени. *.filial.firma.com нельзя, а *.firma.com можно. Впрочем, это надо уточнять у выпускающих структур.

    ----------
    Скучно
    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:05 25-10-2017
    StingPro9999

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день!!!
    Имеется  сервер isa (прокси сервер) одна карта смотрит в интернет другая внутренняя  сеть  имется web сервер  у которого внешний ip (белый) висит в интернете прописана dns зона на хостинге  доступ по https  
     
    как мне теперь прописать правило в isa server  чтобу был доступ к этому сайту из внутренней сети  
    уже написал куча правил но не работает
    Всего записей: 2 | Зарегистр. 09-11-2017 | Отправлено: 15:29 09-11-2017
    wwladimir



    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    StingPro9999
    Только через split dns.
    Нарисуйте себе маршрут прохождения пакетов к внутреннему серверу из внутренней же сети и поймете, что ISA здесь не причем.
    Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 16:23 09-11-2017
    Paromshick



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Смотрел, смотрел... Не люблю, когда "а зачем?", но всё-таки... А зачем доступ к внутреннему сайту через пограничный прокси? Если это реально нужно, конечно.
    Просто в TMG можно объявить, что прокси не используется для этих да тех, но это уже распространение автонастроек, здесь не правила вовсе.
    Зря я это сказал...

    ----------
    Скучно
    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 22:06 09-11-2017
    StingPro9999

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как тут isa не причем ?? у меня все пользователи выходят через прокси а у isa белый ip адрес  то есть у всех пользователей один ip адрес для выхода в интернет  
    А мне нужно чтобы мы могли заходить по доменному имени на дрзугой белый ip адрес как это сделать???
    Всего записей: 2 | Зарегистр. 09-11-2017 | Отправлено: 10:07 10-11-2017
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru