Поставил ISA SERVER 2004. Все пучком работает в плане инета. Но есть проблемы! При включенном FIREWALL Client на пользовательской машине перестает работать подключение к удаленному рабочему столу на других подсетях, кроме нашей локальной 192.168.2.0. И не работает POP3 клиент при подключении к почтовику на 192.168.1.0. Что и куда нужно прописать? И заодно вопросик - почему через прокси исы не хочет качать GET RIGHT? А так же плохенько работает ICQ? Спасибо.

Значит более подробно. ISA стоит на сервере с IP .2.246 куда и подключена выделенка на инет. Сетка на нашем оффисе 2.0 раздается DHCP на сервере .2.1. Далее есть РОУТЕР server 2003c ай пи 2.2. используется в сети как главный шлюз, откуда идет маршрутизация на другие оффисы (возьмем к примеру подсеть .1.0 старого оффиса) Без файрволл клиента все работает хорошо на клиентских машинах кроме приложений напрямую работающих с инетом (не через прокси 2.246), когда запускается FireWall Client Ситуация меняется на противоположную. Работают с инетом приложения, но к другим подсетям не коннектятся - например BAT не видит почтовика на .1.2. Удаленный рабочий стол тоже не коннектится к 1.1 или 1.2. ИСА стоит на 2003 сервер. По поводу Логов - посмотрел на примере BAT - вот так и пишет: Internal - Source(2.2 - моя локальная); OLD - Destination (1.2. которая - я ее прописал в исе как OLD); Destination IP 192.168.1.2 (почтовик старого оффиса); протокол POP3; Access Denided! Почему Денайдед - в FIREWALL police я прописал что из Internal на OLD разрешены все протоколы на всех пользователей. Не пойму.

Немного понятней тут напишу: По поводу Логов - посмотрел на примере BAT - вот так и пишет: Source - "Internal" (192.168.2.0 - моя локальная сеть); Destination - "OLD" (192.168.1.0 подсеть старого оффиса); Destination IP 192.168.1.2 (почтовик старого оффиса); протокол - "POP3"; Access Denided! Почему Денайдед - в FIREWALL police я прописал что из Internal на OLD разрешены все протоколы на всех пользователей. Не пойму.

aleks2 KatapultНемного понятней тут напишу: По поводу Логов - посмотрел на примере BAT - вот так и пишет: Source - "Internal" (192.168.2.0 - моя локальная сеть); Destination - "OLD" (192.168.1.0 подсеть старого оффиса); Destination IP 192.168.1.2 (почтовик старого оффиса); протокол - "POP3"; Access Denided! Почему Денайдед - в FIREWALL police я прописал что из Internal на OLD разрешены все протоколы на всех пользователей . Не пойму.

А надо на все IP... либо авторизацию пользователей настраивай.
Сорь не совсем понял, что на все ай пи? И что с авторизацией не так? Можно поподробнее плз?

aleks2Для пользователя - означает необходимость авторизации последнего.
Если не пропускает - значит авторизация не работает - в логах Authenticated Yes или No и имя пользователя показано?
Авторизация Firewall Client-а требует домена (или массы телодвижений).

Есть вариант разрешений "по IP клиентского компутера" - в этом случае ISA не заморачивается авторизацией. Для связи внутренних подсетей вполне приемлемо.

Но наиболее правильно (если топология конечно позволяет): исключить обращение через Firewall для локальных подсетей - см. LAT или чего ее там заменяет в ISA 2004. В этом случае связь локальных сетей будет идти минуя ISA. Вот я прикладываю картинку с ИСЫ. Все вроде должно работать в полисах есть разрешение на подобное соединение (прикладываю след постом) и все равно денайдед :-(

вот

aleks2 KatapultПоставил ISA SERVER 2004. Все пучком работает в плане инета. Но есть проблемы! 1) При включенном FIREWALL Client на пользовательской машине перестает работать подключение к удаленному рабочему столу на других подсетях, кроме нашей локальной 192.168.2.0. И не работает POP3 клиент при подключении к почтовику на 192.168.1.0 . Что и куда нужно прописать? И заодно вопросик - 2) почему через прокси исы не хочет качать GET RIGHT? 3) А так же плохенько работает ICQ? Спасибо.

1) А откуда ISA FIREWALL должон знать, что другие подсети тоже НАШИ - это вы ему должны поведать.
2) GET RIGHT либо пользует WebProxy, либо FIREWALL Client в любом случае в логе ISA есть записи о попытках подключения и причине отказа.
3) Конкретнее?Вот кстати о причине отказа я как раз ничего и не нашел......

aleks2Если в поле Rule пусто - это значит нет НИ запрещающего, НИ разрешающего правила => запрещено.

К сожалению мой опыт с ISA 2004 невелик и под рукой только ISA 2000, но я бы предложил заменить в правиле conditions All Users на Any requests.Все поборол я эту проблему. Ты прав - я оттуда и начал логически рыть - если не определено правило, то не попадает ни под одно правило, далее вопрос, почему, если такое правило есть ?! вот тут все странно как то, иса не сразу применяет внесенные правила что ли, к тому же нужно внимательно смотреть на старшинство правил, похоже она пользуется первым подходящим правилом и остальные не просматривает. нужно еще экспериментировать. Но в любом случае значительно проще дается понимание того, почему работает, а не почему НЕ работает. Спасибо за наводящие мысли.