Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Microsoft ISA Server - iskustva

[es] :: Windows mreže :: Microsoft ISA Server - iskustva

[ Pregleda: 6838 | Odgovora: 17 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Shadowed
Vojvodina

Član broj: 649
Poruke: 12819



+4754 Profil

icon Microsoft ISA Server - iskustva03.07.2002. u 12:41 - pre 244 meseci
Ima li neko iskustva sa Microsoftovim ISA (Inetrnet Security and Acceleration) Serverom. Problem mi je podesavanje firewall-a. Kada instaliram ISA-u radi mi internet u celoj mrezi ali samo surfovanje, MSN Messenfer i mozda jos nesto a nikako ne mogu da namestim da jos neki portovi budu slobodni (naravno, citao sam help fajlove - sve dok mi se nije smucilo). Bio bih veoma zahvalan na pomoci oko ovoga (cudno da ranije nisam nigde na forumu primetio nista o ovom serveru).
BTW, interesuju me i mogucnosti MS Exchange Servera tj. sta se njime sve dobija (najvaznije - dobija li se SMTP server posto na Win2K nemogu da ga nateram da proradi) a i koliko "jede" resursa.

[Ovu poruku je menjao Mihailo dana 25.09.2003. u 12:58 GMT]

[Ovu poruku je menjao Shadowed dana 27.09.2005. u 19:39 GMT+1]
 
Odgovor na temu

visoki
zirih

Član broj: 5587
Poruke: 3
*.dclient.hispeed.ch



Profil

icon Re: Microsof ISA Server - iskustva03.10.2002. u 12:47 - pre 241 meseci
jesi li uspeo resiti probleme sa ISA?
radim sa njime veci preko godinu dana.

 
Odgovor na temu

fangio

Član broj: 5557
Poruke: 295
*.eltosan.co.yu

Jabber: fangio@elitesecurity.org


Profil

icon Re: Microsof ISA Server - iskustva04.10.2002. u 23:50 - pre 241 meseci
kod mene ISA server .. radi samo kao proxy .. nisam uspeo da ga nateram da radi sa dve mrezne kartice .. i na kraju se iznervirao .. dal je moguce da ms$ nije razmisljao o nama sirotinji ... :) ... ms exchange 2000 mi radi na domenskom kontroleru .. sto nije bas prava stvar po ms .. ali u nedostatku masine .. zavrsava posao .. nista strasno .. 4 domena .. sa 100 korisnika .. 5mb ogranicenje .. mejla .. masina bx/900/256/i hd sto veci naravno :) ...


fangio
ajde bree!
 
Odgovor na temu

fangio

Član broj: 5557
Poruke: 295
*.eltosan.co.yu

Jabber: fangio@elitesecurity.org


Profil

icon Re: Microsof ISA Server - iskustva11.10.2002. u 00:44 - pre 241 meseci
Kad vec pomenu ISA server .. jel je neko uspeo da pronadje .. kako staviti ISA server sa 3 mrezne .. jedna unutrasnja .. dve spoljasnje .. tj dve internet IP adrese ... i jedna intranet ... :) ... nemogu da iskoristim celokupni protok na obe .. nego samo kad se prva preoptereti .. on ukljucuje drugu ... a treba mi da obe funkcionisu po 50% celokupnog prometa .. ko razume shvatice :)
ajde bree!
 
Odgovor na temu

bagins

Član broj: 1791
Poruke: 41
*.ptt.yu



Profil

icon Re: Microsof ISA Server - iskustva15.10.2002. u 01:58 - pre 241 meseci
Prvo:
Fangio, mislim da pogresno koristis tri kartice na ISA. Jedna ti je za LAN (treba da ima private IP), druga za DMZ(demilitarizovana, odnosno zasticena zona), ona treba da ima javnu IP i treca kartica ti je za Internet i naravno, treba i ona da ima javnu IP.
E, sada... Te dve kartice sa javnim adresama treba da budu na razlicitim sabnetima da bi ISA mogla da rutira zahteve izmedju njih, sto znaci da im nije upotrebna vrednost u Network Load Balancing-u ili ubrzavanju konekcije, nego jednostavno, vecoj bezbednosti u odnosu na varijantu sa samo dve kartice.
Inace, podesavanje sa dve je mnogo jednostavnije od podesavanja sa tri kartice. Da li si siguran da ti treba podesavanje sa tri NIC-a?
Sto se tice otvaranja portova, to pomalo zavisi i od vrste ISA klijenata koje imas na mrezi. Prica je mnogo dugacka, zato i postoje knjige
Drugo:
ISA se odlicno prodaje, ali ne zbog firewall sposobnosti, jer se preko za te pare kupuju mnogo bolji (stabilniji) , hardverski firewall-ovi, nego zbog web cache-a, koji radi fenomenalno, za razliku od one druge funkcije koja ume da krahira ako suvise cesto menjas setovanja, pa onda moras da reinstaliras. 'Ajde da jednostavno kazemo da je mali nezan ))
Trece:
Shadowed, sa Exchange serverom dobijas ne samo SMTP nego jos gomilu protokola (pop3, imap4...). Dva do tri Enterprise Exchange na dobrom hardware-u su dovoljna za sve mail korisnike u YU. Dakle, sta god pozelis, on moze, ali postoje i jevtiniji mail serveri koji vise odgovaraju nasim uslovima, a uostalom ne zahtevaju podizanje DC-a.

Nadam se da sam bio od pomoci.
Pozdrav.
 
Odgovor na temu

fangio

Član broj: 5557
Poruke: 295
*.eltosan.co.yu

Jabber: fangio@elitesecurity.org


Profil

icon Re: Microsof ISA Server - iskustva16.10.2002. u 16:41 - pre 241 meseci
:) .. Hvala baginsu
.. kad se javio i nesto cemo pametno cuti ovde .. sve je to lepo i tacno .. sto si rekao .. ali da iznesem detaljno problem .. kod mene ne postoji dmz zato sto nemam firewall .. a ISA trenutno koristim samo kao webcash .. posto se slazem sa tvojom konstatacijom da postoje mnogo bolja i jeftinija hardwerska resenja ..

Na serveru gde je instaliran .. postoji trenutno dve kartice .. jedna interna i jedna externa .. tj za intra i internet .. na internet kartici dodeljene su dve IP adrese .. neko ce da pita sto .. ali prilikom registovanja domaina potrebna su dva dns servera ... sto nije bas legalno .. ali .. zivimo u srbiji ....

drugo .. koliko ja znam DMZ je zona izmedju dva firewall-a .... koji se postavljaju u vise varijanti .. mislim na postavku ostalih servera konkretno web i exchange-a ..
ako gresim negde ili sam izostavio neku informaciju molim baginsa da me ispravi :) ...

Trece .. kao sto rekoh problem je sto prilikom dodeljivanja internih adresa prekoh dhcp-a ili nat-a uopste ne postoji pravilo kome ce racunaru otici prva a kojme racunaru druga ip adresa zbog maksimalnog iskoriscenja protoka ... moguce je rezervisati recimo drugu ip adresu za jedan racunar .. ali nikako za grupu ..

primer: server sa natom i 10 klijenata .. hocu da mi prvih pet dobije prvu adresu za saobracaj napolje a ostalih 5 drugu ....ne znam da li postoji resenje sa superscopovima .. to jos nisam probao .. ali eto ideje? :)
Bagins mislim da je sada jasno zasto sam zeleo da postavim 3 NIC-a

cetvrto .. vidim pominjes portove .. pa to je bar najlakse :) ... kad instaliras ISA server sve je zatvoreno .. posle samo otvaras sta ti treba :)

peto .. kad smo vec pomenuli exchange ..primer
. 5 firmi ... na istoj mrezi .. samo 1 ima pravo logovanja .. ostale 4 samo proveravaju mail sa istog servera koji se nalazi u prvoj .. za svakog korisnika od ostalih 4 firmi mora da se otvori nalog u AD users and computers .. za pristup exchange serveru .. drugacije nemogu da provere mail .. resenje da bih zabranio logovanje tih usera iz ostala 4 domaina .. morao sam da ih ubacim u grupu .. gde je zabranjeno lokalno logovanje .. dali je to microsoft glupost ili fangio neobavestenost .... :) el ima neko iskustva u takvim situacijama ...

pozdrav
ajde bree!
 
Odgovor na temu

bagins

Član broj: 1791
Poruke: 41
*.ptt.yu



Profil

icon Re: Microsof ISA Server - iskustva17.10.2002. u 10:03 - pre 241 meseci
OK. Mozda ja ne kapiram u cemu je zapravo problem.
U svakom slucaju, DMZ imas i na jednom ISA ako je three-homed firewall.
Sto se tice load-balancing-a, na tvoje dve kartice, ne kapiram sta ce ti to?
Jedan 10 Mbps NIC je daleko brzi od linka ka internetu, cak i u slucaju da imate E-1 link. Tako da, osim ukoliko grdno ne gresim, biva potpuno svejedno da li imas jednu,dve ili 22 kartice ka netu.

Kada je u pitanju dodela internih adresa sa NAT-a, tu tesko da mozes da utices ko ce koju internu adresu dobiti, ali posto NAT nije ICS, tj. on ne diktira dodelu svojih adresa na silu, mozes uredno dodeliti staticke adrese svojim klijentima. Superscopeovi ne resavaju problem u ovom slucaju, samo ga dodatno komplikuju.

Kada je u pitanju dodela spoljnih adresa NAT-a internim klijentima, on adrese dodeljuje sledecim redom, pod uslovom da nisi pravio specijalna mapiranja za pristup nekom od internih servera spolja:
Prvi klijent dobije prvu adresu, drugi drugu itd. dok god imas spoljnih adresa na NAT-u. Kada se dodje do poslednje adrese sistem pocne da dinamicki mapira interne adrese i portove u jednu jedinu i to poslednju preostalu javnu adresu. To je hard-coded stvar i menja se jedino ako si dobar sa Bilijem

Citat iz W2K Resource Kit-a:

If a single public IP address is available, the NAT requests a new unique TCP or UDP port for the public IP address and uses that as the mapped port.
If multiple public IP addresses are available, the NAT performs private IP address to public IP address mapping. For these mappings, the ports are not translated. When the last public IP address is needed, the NAT switches to performing address and port mapping as it would in the case of the single public IP address.


Exchange.
E, pa tu stvari postaju komplikovane jer Ex2K voli da se integrise u AD.
Tako da mozes ili da odradis downgrade na neki stariji Ex ili da se mucis sa dozvolama. Mozda nije lose da napravis odvojen forest za Ex pa da probas sa trastovima izmedju njega i tvog domena, a da ostali dobiju samo neophodna prava nad Ex forestom( to je iz Ex resource kit-a, nemam ga u e-formi, a mrzi me da prekucavam citat).
Postoji jos jedno, veoma elegantno resenje, a zove se MDaemon. Radi sve k'o mator. Ima podrsku za x,y mail domena, anti-spam, public folders, web access, LDAP support, itd. Sto je jos lepse, ne integrise se u AD

Pozdrav.
Bagins.
 
Odgovor na temu

fangio

Član broj: 5557
Poruke: 295
*.eltosan.co.yu

Jabber: fangio@elitesecurity.org


Profil

icon Re: Microsof ISA Server - iskustva17.10.2002. u 22:30 - pre 241 meseci
trenutna situacija stoji ovako .. jedna masina sa w2k adv srv + isa .. dva NIC-a ... nepostoji razlog za vise kartica zato sto win dozvoljava vise IP adresa po jednoj mreznoj .. imam dve spoljne IP adrese koje su dodeljene jednoj od mreznih.

2 podmreze sa dva nezavisna domeina na istoj fizickoj mrezi bez veza poverenja .. posto nisu ni potrebne ... 3 dns servera .. 2 dhcp-a .. od toga 2 dns-a integriisani u activni direktorijum ... 1 exchange 2000 koji opsluzuje sve usere ... i nalazi sa ne unutrasnjoj masini ... koja je ujedno i DC za jedan od domeina ..

problem postoji samo zbog ravnomernog iskoriscenja 2 ip adrese .. koje kostaju .. :) .. u situaciji kada se za obe IP adrese placa po protoku .. primer ... na svakoj IP adresi imam dozvoljenih 5 gb mesecno .. u praksi .. na prvoj ip adresi se napravi 9 giga .. dok se na drugoj napravi protoka 500 mb .. evo malo sam objasnio ... 4 giga viska na prvoj adresi se placa papreno dok druga ostaje ne iskoriscena ... tj bas ono sto je bagins izdvojio kao citat iz w2k rk ..

kako ovu situaciju resiti .. sa ISA 2000 serverom koji bi ujedno trebao da bude i fire wall i web proxy .. u nedostatku boljih i jeftinih hardwerskih firewall-ova :)

exchange ....
ideja sa forestima je komplikovana i teska za izvodjenje .. prvo trebala bi mi jos jedna masina .. i jos jedan exchange 2000 i problem gde je zakaciti .. direktno na racunar koji ide napolje ... na switch koji je sa ostala dva domeina ...??? .. po meni nema svrhe .. samo me nervira microsoft koji nije razmisljao na tu temu .. ipak je ovo trenutno najbolje resenje .. dok se neko ne seti ili procita gde pise kako bolje izvesti ... nova grupa .. sa zabranom logovanja i lokalnog i pristupa sa mreze .. i onda im ostaje samo exchange .. koji je non stop na netu .. :))) .. bitno je da radi :)))
mdeamon ...
probao sam neku stariju verziju davno .. i nije imala mogucnost vucenja korisnika iz AD .. pa ako si hteo da imas mail morao si da otvaras naloge za svakog usera po naosob .. sto je moras priznati strasno mucno .. :) ... naleteo sam na jedan indiski programcic koji radi super .. na internoj mrezi .. ali se ne usudjujem da ga pustim na net ... sto se tice mdeamona .. verovatno postoji novija verzija i bilo bi mi drago da pustis link gde to moze da se skine! :)

pozdrav
fangio

p.s. exchange servise pack 200mb .. pa ceo server nema toliko .. o cemu je to microsoft razmisljao kad je izdavao novu verziju .. straaaaasnoo ...

ajde bree!
 
Odgovor na temu

bagins

Član broj: 1791
Poruke: 41
*.ptt.yu



Profil

icon Re: Microsof ISA Server - iskustva17.10.2002. u 22:57 - pre 241 meseci
Link za MDaemon je: www.altn.com
Za varijantu sa vise foresta ti je dovoljan jedan EX. Dignes poseban forest za njega i na taj nacin izolujes korisnike drugih domena od domena na kojem ti drzis resurse. Samo izmedju tvog domena i domena foresta u kojem je Ex postavis trast u smeru od ex-a ka tvom domenu i uzivas.

Sto se tice placanja po IP to prvi put cujem u zivotu. Koji je to provajder da ga izbegavam na kilometre?
Sta ako sutra odlucis da dns zone hostujes kod njega na njegovim dns-ovima? Kako ce onda da ti naplacuje? Po jednoj IP? Kretenski, zar ne?
Obicno se placa protok po linku ili pausal na mesec dana plus penali.
Da li si razmisljao da promenis provajdera?

 
Odgovor na temu

fangio

Član broj: 5557
Poruke: 295
*.eltosan.co.yu

Jabber: fangio@elitesecurity.org


Profil

icon Re: Microsof ISA Server - iskustva27.10.2002. u 20:50 - pre 240 meseci
jaooo ne pitaj ... nemogu da biram provajdera nisam iz bg .. verat ... i placalo se po protoku na jednoj ip adresi .. ali srecom to su ukinuli pa je sad neogranicen protok .. i moj problem je otisao .. sada nema veze kako klijenti izlaze napolje .. tj preko koje IP adrese .. ali je interesantan problem .. cak sam postavio pitanje na skorasnjem skupljanju microsofta u sava centru .. gde naravno nisu znali da odgovore . :) ...

exchange ...

vrlo interesantna ideja .. cak i prosta al se eto .. nisam setio .. treba probati ... hvala ... :)
ajde bree!
 
Odgovor na temu

dgolic
CET
Beograd

Član broj: 6021
Poruke: 16
*.52.EUnet.yu

Sajt: www.cet.co.yu


Profil

icon Re: Microsof ISA Server - iskustva28.10.2002. u 01:57 - pre 240 meseci
www.isaserver.org preporucujem svima koji ne znaju za ovu adresu da je posete, pronaci ce te sve sto vas interesuje o ISA serveru. Inace, ja imam jako dobra iskustva u implementaciji ISA servera na nekoliko lokacija, i to u integrated modu. Firewall radi bez problema.
 
Odgovor na temu

bagins

Član broj: 1791
Poruke: 41
*.ptt.yu



Profil

icon Re: Microsof ISA Server - iskustva29.10.2002. u 00:56 - pre 240 meseci
Daleko od toga da na isaserver.org ima sve sto nas/mene zanima.
 
Odgovor na temu

WuDu
Zemun

Član broj: 670
Poruke: 22
*.kompjuteri.co.yu

ICQ: 55505694


Profil

icon Re: Microsoft ISA Server - iskustva19.05.2004. u 13:10 - pre 221 meseci
probaj da resis problem sa winrout-om (do verzije 4, sve posle vise nije winroute)
 
Odgovor na temu

mikis
Mihailo Stefanović
Beograd

Član broj: 1825
Poruke: 767
*.vdial.verat.net

Sajt: www.mikis.org


Profil

icon Re: Microsoft ISA Server - iskustva19.05.2004. u 14:01 - pre 221 meseci
Uuu, ako za ove dve godine nije rešio, ne znam kad će :))) Pogledaj datum kada je napisana poruka.
 
Odgovor na temu

fangio

Član broj: 5557
Poruke: 295
*.eltosan.co.yu

Jabber: fangio@elitesecurity.org


Profil

icon Re: Microsoft ISA Server - iskustva22.05.2004. u 01:01 - pre 221 meseci
:)))))))))) .... zamisli .. nisam resio za dve godine .. jednostavno ukinuli placanje po protoku i zdravooo ... :)


ajde bree!
 
Odgovor na temu

IdeaR
BiH

Član broj: 11048
Poruke: 126
*.pppoe926.bih.net.ba.



+2 Profil

icon Re: Microsoft ISA Server - iskustva27.09.2005. u 18:28 - pre 205 meseci
UP!

Ista meta - isto odstojanje, samo 3 godine kasnije. :)))
Problem identičan onome opisanom u:
Citat:
fangio: Kad vec pomenu ISA server .. jel je neko uspeo da pronadje .. kako staviti ISA server sa 3 mrezne .. jedna unutrasnja .. dve spoljasnje .. tj dve internet IP adrese ... i jedna intranet ... :) ... nemogu da iskoristim celokupni protok na obe .. nego samo kad se prva preoptereti .. on ukljucuje drugu ... a treba mi da obe funkcionisu po 50% celokupnog prometa .. ko razume shvatice :)


Da li ISA 2004 može da pravilno prepozna 2 i više WAN adaptera, i da li radi load balancing bar zahtjeva korisnika (npr. dva korisnika surfaju na po jednom WAN adapteru), jer koliko mi je poznato za pravi load balancing potrebna je podrška i ISPa. I naravno, kako izgleda publish servera u tom slučaju?
 
Odgovor na temu

IdeaR
BiH

Član broj: 11048
Poruke: 126
*.rb.b.2-3.17.bih.net.ba.



+2 Profil

icon Re: Microsoft ISA Server - iskustva28.09.2005. u 08:41 - pre 205 meseci
Naučio sam da ovo što me interesuje ne može ISA kakva jeste. Moglo bi da sav internet promet ide preko jednog WAN interfejsa, a da se saobraćaj preko drugih odrađuje statičkim rutama, jer je moguće imati samo jedan gateway.

Ovo što mene interesuje trebalo bi da radi Rainfinity RainConnect.

Citat:
RainConnect also saves businesses thousands of dollars per year by intelligently load balancing Internet and VPN traffic between multiple broadband links to gain additional bandwidth or replace existing expensive links, with multiple lower cost alternatives.


http://www.rainfinity.com

Ima li neko iskustva sa ovim proizvodom?

[Ovu poruku je menjao IdeaR dana 28.09.2005. u 09:42 GMT+1]
 
Odgovor na temu

petardo
Petar Dobric
Beograd

Član broj: 25704
Poruke: 5
217.119.242.*



Profil

icon Re: Microsoft ISA Server - iskustva05.10.2005. u 13:14 - pre 205 meseci
nisam bas siguran u ovo, ali je mozda jedno od resenja učlanjenje mrežnih adaptera u posebne classid grupe, ipconfig /setclassid i to preko grupnih polisa (recimo sa computer startup scriptom) i onda preko dhcp-a dodeljivati drugi router-gateway.
Da bi to radilo sa strane ISA servera opet bindovati još jednu IP adresu na privatnoj mrežnoj kartici.
Meni pade ovo rešenje na pamet, pa ako je neko voljan da proba, jer ja trenutno nisam u mogućnosti, samo molim da postuje rezultat.
 
Odgovor na temu

[es] :: Windows mreže :: Microsoft ISA Server - iskustva

[ Pregleda: 6838 | Odgovora: 17 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.