ПОМОГИТЕ! ISA 2000 сервер не слушается :(((

Обсуждение технических вопросов по продуктам Novell

ПОМОГИТЕ! ISA 2000 сервер не слушается :(((

Сообщение Кашуро Константин » 29 янв 2004, 14:38

Понимаю что не по топику форума но уже задолбало бодатьтся с этим чудом.
Проблема - после установки FP1 на ISA сервер к нему перестают подключаться файрвалл клиенты. Поиски в базе знаний Микрософта никакого вразумительного ответа не дали.

использование chkwsp32.exe дополнительной информации не дает.
Есть отсылка в службу поддержки (платную) где говоритя что проблема вероятно в клиенте и надо бы заменить пару dll.

Откат на SP1 помогает но вылазит другая проблема - переполнение буферов приема пакетов - в журнале событий регистрируется запись о том что буферов типа больше нет и рестартуются сервисы веб-прокси и файрволла.

В базе знаний - опять звонить в службу поддержки и мы вам за денюжку.. хотя решение данной проблемы входит в FP1 (FuturePack1). ставим - имеем геморрой описанный выше. Замкнутый круг какой-то.
причем в журнале событий появляются записи о невозможности достучаться до службю лицензирования на другом сервере.

решился на отчаянный шаг - скачал Бету ISA 2004 выковырял оттуда клиента. Установил - не помогло.


Что за козлы в Микрософте работают?????????? :twisted:
Это было после 3-го Электронного Джихада
Аватара пользователя
Кашуро Константин
 
Сообщения: 168
Зарегистрирован: 05 июн 2002, 11:16
Откуда: г.Ханты-Мансийск

Сообщение PavelKHTW » 29 янв 2004, 22:17

Поставь на том же W2k VMWare - в ней Linux с Squid и не морочь себе голову, а еще лучше снеси этот самый W2K и поставь чистый Linux или FreeBSD и на нем Squid.
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

По существу значит сказат нечего? Жаль..

Сообщение Кашуро Константин » 30 янв 2004, 09:05

А вот как вы будете управлять из этой байды политикой доступа к ресурсам Интернет? Ведь на первом месте пользователь с его проблемами, а не его IP адрес..
Это было после 3-го Электронного Джихада
Аватара пользователя
Кашуро Константин
 
Сообщения: 168
Зарегистрирован: 05 июн 2002, 11:16
Откуда: г.Ханты-Мансийск

Сообщение Алексей Золотников » 30 янв 2004, 09:48

В журнале "Системный администратор", октябрь 2003, было описание дистрибутива, специально заточенного под файервол. Называется CensorNet www.intrago.co.uk/products/censornet.php.
Вроде как позволяет брать пользователей из AD.
Посмотрите, может хорошая вещь.
Потом поделитесь впечатлениями :)
Аватара пользователя
Алексей Золотников
 
Сообщения: 42
Зарегистрирован: 21 окт 2002, 14:41
Откуда: Екатеринбург

Сообщение Юрий Беляков » 30 янв 2004, 12:29

Вещь хорошая, все бесплатные продукты грамотно собраны в единое целое, с единым управлением через Веб. Устанавливается за 10 мин. Что не понравилось - доступ для машины будет только в том случае, если внести ее МАК адрес в систему. Хотелось бы это отключать.
Аватара пользователя
Юрий Беляков
 
Сообщения: 628
Зарегистрирован: 31 май 2002, 11:46
Откуда: Екатеринбург

Re: ПОМОГИТЕ! ISA 2000 сервер не слушается :(((

Сообщение shu1976 » 31 янв 2004, 05:08

Кашуро Константин писал(а):Понимаю что не по топику форума но уже задолбало бодатьтся с этим чудом.
Проблема - после установки FP1 на ISA сервер к нему перестают подключаться файрвалл клиенты. Поиски в базе знаний Микрософта никакого вразумительного ответа не дали.
Что за козлы в Микрософте работают?????????? :twisted:


установка FP1 ничего не меняет, проверяйте LAT и доступ
С уважением,
shu1976
Аватара пользователя
shu1976
 
Сообщения: 27
Зарегистрирован: 28 мар 2003, 19:38

Возможно что и так

Сообщение Кашуро Константин » 02 фев 2004, 09:02

Но ! В LAT - перечислены все приватные подсети, какие только имеют место быть согласно RFC. Правила доступа не изменялись.
Стоит только откатить на SP1 -работает как ни в чем не бывало, ставим FP1 тй=айм-ауты при подключении и обрыв файрвалл сессии.
Это было после 3-го Электронного Джихада
Аватара пользователя
Кашуро Константин
 
Сообщения: 168
Зарегистрирован: 05 июн 2002, 11:16
Откуда: г.Ханты-Мансийск

Re: Возможно что и так

Сообщение shu1976 » 02 фев 2004, 17:50

Кашуро Константин писал(а):Но ! В LAT - перечислены все приватные подсети, какие только имеют место быть согласно RFC. Правила доступа не изменялись.
Стоит только откатить на SP1 -работает как ни в чем не бывало, ставим FP1 тй=айм-ауты при подключении и обрыв файрвалл сессии.


понятно, вопрос такой - сколько у вас стоит максимальное число запросов (perfomance tuning/number users per day)? и какая версия сервера стоит?
С уважением,
shu1976
Аватара пользователя
shu1976
 
Сообщения: 27
Зарегистрирован: 28 мар 2003, 19:38

Сообщение PavelKHTW » 02 фев 2004, 22:05

А вот как вы будете управлять из этой байды политикой доступа к ресурсам Интернет? Ведь на первом месте пользователь с его проблемами, а не его IP адрес..

А вот так и будем, через eDirectory(точнее через LDAP) и IP адрес тут вообще ни причем. При желании можно заставить через домен NT или AD(если в ней есть нормальная поддержка LDAP).
Если внимательно читать доку на сайте squid-а - можно найти все, начиная от проверки пользователей в NDS и заканчивая принадлежностью этих пользователей определенным группам - ну а дальше все как в ISA2000.
Для справки, у меня 256к проксятся на машине P133 128Мб - и работает вся эта "байда" быстрее чем тоже на ISA2000 и P4 2.4 256Мб - так что делайте выводы господа :)
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Настройки ISA в части обработки запросов..

Сообщение Кашуро Константин » 04 фев 2004, 09:45

Число запросов менее 1000. Хотя редко работает менее 100. Версия - Standart edition.
Это было после 3-го Электронного Джихада
Аватара пользователя
Кашуро Константин
 
Сообщения: 168
Зарегистрирован: 05 июн 2002, 11:16
Откуда: г.Ханты-Мансийск

Вопрос к PavelKHTW

Сообщение skoltogyan » 04 фев 2004, 21:39

1. Павел, а вы-бы немогли с примерами конфигурации Вашего Сквида показать ?

2. и, раз Вы используете раздачу через Группы + LDAP.
Насколько я понял, вы настроил SQUID на обращение к серверу LDAP, что-бы вычитать какой пользователь в какой группе и для проведения аутентифкации.
Т.е. при запуске Сквида, Сквид выбирает из LDAP сервера (в Вашем случае LDAP поддерживает eDir) Список указанных в конфигурациях SQUID групп и их членов..
И потом пользователь запускает свой броузер, сквид спрашивает: Имя/пароль, поьзователь водит, сквид по ЛДАП проверят имя и пароль, если все хорошо то дает права на основании прав, которые имеют членыгрупп(ранее прописанное в сквиде).. Если так, то как вы действуете, когда в NDS в Группу(доступа к интернет) добавляете/убираете пользователя - делаете руками после этого
/usr/sbin/squid -k reconfigure
или как-то по иному
?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение PavelKHTW » 05 фев 2004, 11:28

Рекомендую почитать статью
http://www.osp.ru/lan/2003/03/022_print.htm
+ на сайте сквида есть много полезной информации.

squid -k reconfigure - приходится делать по одной причине - сквид кеширует информацию о пользователях(указанное вами время) и естественно после добавления/удаления из группы нужно сбрасывать эту информацию.
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Павлу

Сообщение skoltogyan » 05 фев 2004, 13:26

Если я Вас правильно понял Вы:
1. Каждый раз при добавлении / убирание пользователя из Групп доступа к сквиду в NDS , передергиваете SQUID
?

2. Каждый раз, при добавлении/убирании самойй группы в NDS, вносите руками соответсвующие изменения в список групп в squid.conf и опять передергиваете сквид.
?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение PavelKHTW » 05 фев 2004, 13:38

1. Да правильно поняли, по какой причине я уже писал.
2. Отвечаю вопросом на вопрос - как часто вам приходится удалять группы пользователей? И как по вашему сквид может узнать какие права в инете дали пользователям вновь созданной группы? Кстати, передергивание сквида происходит совершенно незаметно для пользователей.
Никто не навязывает данное решение, если хотите платить за ISA2000 и получать кучу проблем - тогда пожалуйста, если же устраивает надежное бесплатное решение, в котором есть всего один недостаток - отсутствие GUI в стандартной поставке, думаю лишний раз можно переконфигурировать сквид :)
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Pavly про squid+LDAP compare ISA2000

Сообщение skoltogyan » 05 фев 2004, 21:00

Похоже что Вас сегодня достали.
1. Я задал 2 вопроса и получил 1 ОТВЕТ и ОДНО ВОЗМУЩЕНИЕ.
2. Если вопросы Вас разозлили - приношу свои извинения.

Я одним глазом смотрел ISA2000, его показывали потенциальным покупателям. Мне понравилось то, что удобно построены средства МОНИТОРИНГА ТРАФФИКА.
Доступ к этим результатам через WWW.
Так вот, одно из понравившихся мест :показывал на данный момент очень интересную статистику
сколько уже выкачал качающий по ftp через прокси...

192.168.0.100 ftp://ftp.novell.com/pub/updates/up.exe 134 Kb 3,4 K/s


А про SQUID..Одно из решений проблемы номер 1, это посадить в XINETD на какой-нибудь порт скрипт, передергивающий сам сквид..
Тогда можно будет не лазить напрямую к сквиду, а типа:
telnet squidcomp *
и он сам передернится.
А про номер 2, - сам ищу решения, и думал что у Вас есть идеи как и это побороть...
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 46

cron