[Anton04]

Цитата r1sh:

и в Мониторинге ничего об этом не показывает и не говорит. »

Вот в этом я сомневаюсь. Почему см. ниже.

Цитата r1sh:

Трафик смог обнаружить только через Microsoft Network Monitor, что он действительно проходит через внутренний интерфейс ISA »

Я уж не знаю как Вы смотрите логи исы, но если к исе попадает запрос то он отражается в её логах (логов несколько в зависимости от типов клиентов, SecureNAT , Webproxy и Firewall). Ведать вы не там смотрите или не то.

Информации для анализа недостаточно. Первое что не понятно это стоят ли какие либо другие программы на исе (антивирусник, шейпер или что-то другое). Второе исходя из описания вы используете Firewall клиент на клиентах, надеюсь на серверах они не стоят? Третье не понятно как у Вас настроены интерфейсы на исе, что бы долго не выяснять почитайте Настройка сетевых интерфейсов для ISA сервера и скажите всё ли у Вас так.

[r1sh]

Напрасно сомневаетесь
первое что я начал копать- в каких случаях ISA не отображает информацию в мониторинге.

Оказалось что в свойствах правила в разделе "Actions" есть галочка"Log requests matching this rule". Если ее убрать, то траффик попадающий под это правило не будет логироваться ни в ADvanced logging ни просто в Logging.

нашел правило Deny, в нем не стояла галочка "Log requests matching this rule".

Правило запрещало определенной группе пользователей доступ в инет на все сайты кроме опредленного числа сайтов.

Линуксовые машины, в том числе и обновлялка касперского ходили в инет под учетной записью anonymous, т.е. неавторизованные.

В правиле явно была создана ISA-группа, в нее добавлена Доменная группа.

Я до сих пор не могу найти инфу,почему неавторизованные пользователи попадали под это правило...

[Anton04]

Цитата r1sh:

Напрасно сомневаетесь первое что я начал копать- в каких случаях ISA не отображает информацию в мониторинге. Оказалось что в свойствах правила в разделе "Actions" есть галочка"Log requests matching this rule". Если ее убрать, то траффик попадающий под это правило не будет логироваться ни в ADvanced logging ни просто в Logging. »

Всё логично, только по умолчанию для созданных правил логирование включено так что мои сомнения имели определённую основу.

[r1sh]

так а почему пользователи которые неавторизованы попадают под это правило?))

[Anton04]

Цитата r1sh:

так а почему пользователи которые неавторизованы попадают под это правило?)) »

Ну так если у Вас в правиле прописаны конкретные пользователи или группы (кроме группы "Все пользователи), то иса пытается авторизовать пользователя, если ей это не удаётся, то и получаем отлуп (и дальнейшие правила не обрабатываются). Это в isa 2000 такое было, там обрабатываются все правила последовательно и находит то правило которое подпадает под соответствующий запрос, а в 2004/2006/TMG важно и порядковый номер этого правила в таблице.

[r1sh]

о как...спасибо огромное что просвятили)) нашел еще вот полезную статью, http://www.isaserver.org/articles/IS...cessRules.html

[Anton04]

Цитата r1sh:

нашел еще вот полезную статью, »

да было такое, даже где-то видел её перевод...