WSUS 3.0 и ISA 2004 standart
 

имеются WSUS 3.0 и ISA 2004 standart.
Проблема заключпется в том что не проходит синхронизация WSUS с сайтом microsoft.Как я понял ISA просто блокирует.
Помогите настроить ISA так чтоб WSUS обновлялся.
Ошибка в отчёте WSUS такова

WebException: Удаленный сервер возвратил ошибку: (407) Требуется проверка подлинности посредника.
в System.Net.HttpWebRequest.GetRequestStream()
в System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
в Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig()
в Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper)
в Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper)
в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS()
в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect)

И ещё ,товарищи ,помогите поднять VPN на ISA сервере.Хотелось бы из дома рулить сервантом.
Заранее примного благодарен.

тебе на ISA сервере надо создать правило которое будет разрешать WSUS лезти в интернет

http://www.isadocs.ru/docs/CMT_H_Con...rase_id=441207
http://www.isaserver.org/articles/2004su1345.html
Пользуйтесь мониторингом ISA, легче будет определить, какое правило не разрешает WSUS работать.

у меня такое правило (см. вложеие)
wsus уставновлен на сервере (у меня так) media и смотрит на проксю провайдера 195.58.1.134

Хорошо,я совсем новичок в администрирование.
Объясните как это сделать по шагово, если можно с иллюстрациями.
Сервер- это Windows 2003 Small Business Server(DC) + WSUS _ISA 2004 Standart edition.
ISA настроена как прокси сервер с авторизацией пользователя по имени и пароля учитывая политики домена.
Плюс парк клиентских машин с XP Prof ,порядка 45 штук.

Заранее очень признателен.

Ну если у тебя ISA идет в составе пакета Windows 2003 Small Business Server PE, то тебе нужно разрешить localhost коннектиться к серверам Microsoft по протоколам 80, 443

Если же ИСА отдельная, то нужно создать правило from LAN_WSUS_SERVER to Microsoft_WSUS_SERVER 80, 443
И главное, чем уже правило, тем выше в списке оно должно стоять

А можно ли более конкретно....что куда жать и т.п.......плиз с иллюстрациями.

ипать колотить (модераторы, сори). Читайте Шиндера. Там все с иллюстрациями.

Читал.....не помогло.....поэтому обращаюсь к вам.....

ну хотя бы выложи принт-скрин правил и более подробно опиши: один это сервер или их два и т.п.

а можно и мое правило прикрутить и посмотреть че каво

И ещё....Всё-таки помогите тут же- на этом серванте поднять общедоступный VPN.Чтобы с любого компа из вне мог цепляться к серверу и лазить по внутренней сети.

На лицо неверное написание правил и их порядок

1. Все правила публикации (правила 5 и 6) должны быть сверху после OWA
2. Зачем что-то запрещать, если можно не разрешать.
3. 10 правило - это нарушение безопасности в целом. УБРАТЬ!
4. 8 правило изменить в соответствии с доступом (по компьютерам или по учетным записям (FWC) )
5. для VPN нужно в разделе VPN ISA разрешить подключение по средствам PPTP или L2TP (IPSEC), далее выбрать кто и когда будет подключаться, через какие протоколы аутентификации, далее в правилам firewall создать для них правила VPN clients to Internal ну или куда нужно. Во вкладке Networks создать правило (если вдруг оно автоматом не создалось) для VPN clients to internal через Route
6. правила сетей не имеют приоритезации, но! правило NAT должно быть последним
7. установи Sp3 в случае ISA 2004. Включи Logging (Вкладка Monitoring). Все "забитые" пакеты будут помечаться красным. Очь удобно
8. скачай ISA Server Best Practices Analyzer, чтобы убедится (ну хоть в какой-то мере), что все в порядке

Прикрепил картику, может поможет

Суть такова.
VPN подключается ,а вот присоединиться к серванту средствами удалённого рабочего стола не могу.....пинг тоже не проходит.

Фишка такова.Рассказываю что есть.
Почтарь работающий как локальный почтовый сервер и так и ходящий наружу.....соответственно почта должна ходить и с него и на него как из нутри так и внутрь.
Есть куча студентов ,которым надо запретить выход в инет.
Запретить порты Квипа и аси(если можно то помочь с квипом более детально).
Ну соответственно VPN работал.
Ну и локальный трафик чтоб работал полностью.

Вопрос-Есть ли в исе функция что когда к тебе подключаются по VPN то инет на серванте не пропадает?
Прикладываю ниже правила которые нарисовал.

п.с. русский язык намного обширнее, чем ты думаешь.

Не сильно понял какую именно роль выполняет почтовый сервер, но я бы правила поставил так (смотри вложение)
По поводу ICQ, QIP, Miranda etc - все они используют порт 5190
В пятом правиле заменяешь All outbound traffic на те протоколы, которые нужны, например, http+https+pop3+smtp
И они не смогут работать с аськами и квипами.

Далее, если впн клиент подключается, значит политика впн сработала, но не пускают правила фаервола.
По поводу RDP. Нужно опубликовать сервер на этот протокол. Не забудь включить функцию удаленного контроля в политике фаервола ИСЫ.

Теперь посмотрим на правила:
1 правило - это публикация mail сервера для подключения к нему из Интернета по SSL
2 правило - публикует сервер как SMTP сервер на вход! Зачем??? ты сделал анонимный SMTP
3 правило - ммм, а что оно делает? :)
4 правило - протоколы соединения сервера (почта, SUS...) с внешим источником синхронизации
5 правило - доступ в интернет для внутренней сети, здесь нужно указать необходимые проктолы и разрешенных юзеров
6 правило - разрешает впн клиентам доступ во внутреннюю сеть и сервер
7 правило - локальный трафик между внутренней сетью и сервером
8 правило - правило для блокирования траффика, который удовлетворил ни одному из правил

В любом случае, переделай правила, включи мониторинг и смотри: что, куда и зачем стучится

Спасибо за помощь.
Тобешь иду я в правильном напрвлении?

Далее, если впн клиент подключается, значит политика впн сработала, но не пускают правила фаервола.
По поводу RDP. Нужно опубликовать сервер на этот протокол. Не забудь включить функцию удаленного контроля в политике фаервола ИСЫ.




Можно Об этом поподробнее.

вот те правила по вашим рекомендациям

вот правила

Хотел столько написать... передумал
6 и 5 меняем местами, 3 правило делаем предпоследним и наслаждаемся

а почему их надо менять местами....какая у них зависимость

aptv,
Ping работает только для All Users

Вопрос ещё таков.
Я создаю какое лиюо правило ,к примеру выход в инет пользователям группы Интернет дать выход в инет ,а в Exceptions заношу одного пользователя ,который входит впредыдущую группы.
Суть такова что тело ,которое сидит в исключениях всё равно лазит в инет
Чё делать?

И ещё .
Создал правило весь траффик кроме RDP для всех юзеров пускать из интернал и локал хост в интернал и локал хост.
Добавил правило ,которое гласит что только член группы ,к примеру ЭКЗАМПЛ , имеют право лазить по RDP из интернал к локал хост.

В итоге вообще не пускает.


смотрел логгинг -говорит что сработало второе правил и помечено красным.Но это правило же разрешает RDP

no comments http://c-books.info/books/news5.php/...er-2004-2.html

У меня WSUS 3.0 Sp1 и ISA 2006.
Ошибка точно такая же.
У меня в правилах стоит доступ в инет для пользователей группы INET
WSUS ISA не пускает в инет, говорит что она ананимная и блочит ее. Пропускает только если доступ в инет поставить для
All Users, но такого делать нельзя.
Подскажите чего делать то?

blackrokk, а ИСУ нельзя настроить так чтобы она пускала в инет например по MAC адресу?

По IP можно. Тип клиента будет SecureNAT
Всем:
Блин, народ, сорри. Не могу понять. Берете ЕДИНСТВЕННУЮ книгу Шиндера по ISA 2004, и ничего больше в жизни не надо, если на MVP не расчитываете. Такой мощный инструмент, гибкий, надежный. Или так и будем, как слепые котята тыкаться?

Oleg Krylov, я к сожалению, или скорее к счастью не настраивал ИСУ, поэтому и уточняю у авторов. Работаю на Симантике, там знаю что можно :)

Совершенно разные продукты. Даже по классу. Кажется у Symantec нет файрволла Enterprise-класса. А книга просто совет. На ISASERVER.ORG есть чувак по имени Burn. Так вот он прочитал ТОЛЬКО эту книгу. Отвечает практически на любой вопрос в форуме :)

Не знаю насчет возможностей ИСЫ, скажу за симантек - фаерволл+проксик. :) Примерно как Керио WinRoute, может чуть постабильней. ИМХО!

Спасибо, учту. Почитаю на досуге :)

Вот так даже... А полное название продукта не подскажете? Что-то как-то интересно стало :)

Raptor Firewall

The key features of the Symantec Enterprise Firewall include:
■ Enterprise-class gateway security with full application inspection proxy
technology and automatic system hardening and monitoring
■ Full application inspection technology to provide protection against
complex blended threats and Denial of Service attacks, by default
■ Extension of networks with a proxy secured, IPsec-compliant integrated
VPN with hardware-assisted high-speed encryption
■ URL-based content filtering to block against unwanted sites
■ High availability/load balancing to extend scalability and eliminate system
downtime
■ Scalable, centralized Web-based management
■ Automated, up-to-date protection

вот такой. Наворотов много, но я только фаерволл использую :)