Åbning af porte på ISA server

Ja - du skal også have åbnet for routeren, men er det ikke noget med, at man kan lade al trafik rende igennem routeren? Hvis du alligevel har en ISA server til at klare dit beskidte arbejde, mener jeg at det administrativt er det letteste sådan.

For at åbne for en port i ISA server, skal du ind i dine policy elements. Her har du mulighed for at tilføje nye regler med adgangssager.

Jeg kan desværre ikke helt huske hvordan det gøres, men hvis du starter med din ISA server manager, eller hvad det nu er den hedder, plejer det altså at være relativt let.

Hvad med sådan noget som \"Server publishing rules\" skal det ikke konfigureres? Lige nu kører den med en standardinstallation via W2K SBS, hvilket vil sige ingen Server publishing rules.
Når du siger \"policy elements\" er det så elementet \"Destination sets\" du mener?
Og til sidst hvordan checker jeg om routeren er åben. (Jeg har overhovedet ikke check på routere). Routeren er som sagt standardkonfigureret fra Cybercity.

Standardkonfigurationen fra CC er ikke åben - jeg har selv nogle erfaringer med denne typer router, og det kan lade sig gøre at åbne for alt - der var engang et script på CCs hjemmeside, der ordnede sagerne, men det er forsvundet - så kontakt CC omkring det.

Ellers har du jo mulighed for at lave NAT rules til routeren - det vil sige åbne porte og protokoller - og bestemme til hvilken maskine på dit interne netværk, forespørgsler på disse skal sendes videre til. På CCs hjemmeside kan du finde mere om det - der er også en glimrende forklaring og et lille script!

Server publishing rules har ikke noget med porte at gøre - det handler om, hvordan du har mulighed for at få adgang til din SBS server (webserver, mailserver m.v.) udefra.

Du skal have fat i noget i retning af policy elements eller noget i den retning. Det er desværre et stykke tid siden jeg arbejdede med SBS selv, og har siden sagt op, så jeg har ikke bedre mulighed for at guide dig frem.

Søg i hjælp - den er god, brug wizards - de er ret avancerede i SBS, og kig endelig på SBS hjemmesiden (www.microsoft.com/sbs)

Håber det hjælper!

Prøv dette:

1. Vælg Access Policy/IP Packet Filters.
2. Højre klik og vælg New/filter.

3. Skriv et passende Protokol/Filter navn.(Tryk Next)
4. Allow Packet transmission.(Tryk Next)
5. Vælg Custom.(Tryk Next)
6. I IP Protocol:vælges TCP/I Direction: vælges Outbound/I Local Port: Vælg All ports/ I Remote Port: Vælges Fixed og i port skrives 740.(Tryk Next) og (Tryk Next)
7. Vælg only this remote computer og indtast 147.29.11.10.(Tryk Next) og tryk Finish.

Du skal desuden have åbnet Port:740 i Router.

Når du anvender ISA Server kan du i princippet, åbne alle porte på Router, men ved kun at åbne de porte du behøver giver det en ekstra sikkerhed.

Okay jeg må lige checke op på routeren kan jeg mærke. Jeg vender tilbage.

Undgå at benytte Server Publishing Rules i ISA, da det giver bedre adgang for Mimda Worm/Code Red Worm.
- Læs mere om det hér:
http://www.microsoft.com/isaserver/techinfo/development/stopnimda.asp


Hvad skal du (mere nøjagtig) benytte Server Publishing Rule til?
- Er det for at få adgang til webserver, terminal server eller VPN?

Hér er iøvrigt et godt link til opsætning af ISA Server:
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/isa/plan/mtbisal.asp

Eller du kan finde meget mere på følgende:
http://www.isaserver.org/

Tinglysningen kan checkes over nettet men kræver at man åbner for port 740 TCP/IP 147.29.11.10. Mht. server pub. rule var det bare fordi jeg læste om det og det lød som noget der skulle åbnes for.
Microsoft Trial Guide:
(Publishing Rules
Server publishing rules filter all incoming and outgoing requests. They map incoming requests to the appropriate servers behind the ISA Server computer. For example, Exchange Server 2000 can be published transparently through ISA Server. Web publishing rules map incoming requests to the appropriate Web servers behind the ISA Server computer.)
Men jeg tror også mere mit problem er , så vidt jeg kan forstå på Cybercitys FAQ, at Cicso routeren er låst for al indkommende trafik. Så den må jeg lige prøve at åbne.

Hvis det er din webserver du skal have fat i bag firewallen, så lav et destination Set til din webserver og brug web publishing rules.

Ja, få åbnet din Router.

Øv hvorfor skal det være så besværligt. Nu har jeg fået åbnet for routeren og har checket med Cybercity at jeg har gjort det rigtigt. Men det virker stadig ikke. Det er denne side jeg skal ind på:
https://tinglysning.domstol.dk:740/

Vælg Access Policy/IP Packet Filters.
- Vælg det filter du har lavet.
Vælg fanen filter type.
Vælg Custom og under IP Protocol vælg any.
Tryk OK og refresh ISA.
Vent 1 min. og prøv og gå på.

Nu har du full adgang. - Virker det?

nej, desvære

mmmhhh, har du sat adgang til internet under \"protocol rules\"?

Ja der er den regel som SBS automatisk opretter

Allow function er på?
HTTP er på?
Any request er enabled?

Hvad får du af fejlmeddelses i Browser?

Any request er enabled, var ikke på men User groups istedet. Jeg har lige ændr5et den til Any...
Jeg får ingen fejlmeddelelse, kun en blank side.

Skal man evt. restarte ISA

Næee, det hjalp ikke

Blank side???

Hvordan connecter du din Browser?
- Se under tools/Internet options/connections.
Vælg Lan Settings.

Marker atumatic detect settings og use proxy server for your Lan.
Indtast IP og port:8080.

atumatic=automatic

Det er sat rigtigt, der er adgang til internet. Jeg kan surfe rundt på alle sider. Adgangen til Tinglysningen er via www.domstol.dk vælge linket Links og derefter Det Centrale Tinglysningssystem. Indtil klikket på det sidste link virker det fint.

Jeg sidder jo også her og taster via internet adgangen

Har du prøvet at gå ind på siden? Er den oppe

Ja, jeg har lige været der og den er oppe.
- Jeg kører selv igennem en ISA Server.

Velkommen til CSC og Tinglysningssystemet
Indtast venligst din personkode og kendeord.
Noget lignende dette ser jeg:

Tryk derefter \"Login\".
Personkode: 
Kendeord:   
 

 

Det er da belastende.
Det jeg har konfigureret routeren med er dette:
set nat entry add 192.168.1.150 740 WAN-IP 740 TCP
WAN-IP = aktuel ipadresse
Cicso 677 router
Dette skulle route alle forespørgsler på port 740 til ip 192.168.1.150 ifølge CC
Under IP Packet Filters er det et punkt der hedder \"Secure your ISA server Computer\" Denne kørsel er ikke kørt? Kan det gøre noget?

Nej det har ikke relation til dit problem hér.
- Det er mere vedrørende sikring af din ISA Server.

Du har fuldt Trial Guiden?

Sidder du ved en klient eller direkte på ISA Server?

Routerne ser ud til at være OK.

Trial Guiden???

Både klient og ISA

Ok og hverken klient eller ISA giver adgang.

Du kan downloade en trial guide for installation af din ISA Server.
Hér:
http://www.microsoft.com/isaserver/evaluation/trial/isaEvalDL.asp

Hvis du ikke kan komme ind, er det fordi du lige skal oprettes.

Har du installeret service packs og bruger du win2k adv. server?
http://www.microsoft.com/isaserver/evaluation/trial/default.asp

Jeg oppe lige af hér, men er på i aften igen.

Til orientering, så har jeg brugt Trial Guide og ovenstående link til opsætning af ISA Server.

Jeg har lige lidt mere information. Det er en SSL protokol på port 740, hvilket jo ikke er den port man plejer at køre på (port 443). Skulle det gøre nogen forskel?

Nu har jeg løst problemet. Problemet var at https://tinglysning.domstol.dk:740 er som det kan ses en SSL tunnel. Normalt kører SSL tunnels på port 443 og det er denne port der er standard i ISA serveren. Ergo nyttede det ikke umiddelbart at åbne for port 740, da ISA serveren når jeg connectede på sitet så at det var SSL og routede til port 443. Der skulle et VBScript til for at åbne. Scriptet er som følge:
set isa=CreateObject(\"FPC.Root\")
set tprange=isa.Arrays.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
set tmp=tprange.AddRange(\"SSL 740\", 740, 740)
tprange.Save
Dette script tilføjer porten under TunnelPortRanges i registreringsdatabasen, og voila det virker.

j.robert du får her lidt point som tak for hjælpen, om ikke andet har jeg da fået lidt mere check på hvordan man åbner porte.

Det var dejligt du fik det til at virke.
- Må jeg spørge hvor du fik den oplysning fra.

Du kan jo bare åbne for porten på ISA.
- Kan man ikke?

Nej man kan ikke bare åbne for porten, da siden benytter sig af https=SSL, og ihvertfald Small Businnes Server 2000, hvor server 2000, IIS, exchange, SQL og ISA er forenet er det standard at SSL bruger port 443. Så vidt jeg ved er VBScriptet den eneste måde at tilføje TunnelPortRanges, som det hedder, på. Oplysninger er fra MS Knowlegde Base. http://support.microsoft.com/support/kb/articles/q283/2/84.asp?LN=EN-US&SD=gn&FR=0&qry=SSL&rnk=2&src=DHCS_MSPSS_gn_SRCH&SPR=SBS

Jeg har et problem med at logge ind på ftp sites igennem ISA 2000 og udover også et problem med at ændre passwords når man er logget ind på OWA, kan dette skyldes det samme problem?