| Zobacz poprzedni temat :: Zobacz następny temat |
| Autor |
Wiadomość |
Kuba
Użytkownik Forum
Dołączył: 12 Sep 2011
Posty: 2
Skąd: Radom
|
 Wysłany: Mon Sep 12, 2011 11:41 am Temat postu: ISA server czy można zastÄ…pić |
 |
|
Witam
Odinstalowałem ISA server i chcę go zastąpić sprzętowym routerem z firewallem. Wszystko działa poza tym że na stacjach klienckich dostęp do internetu mam jedynie logując się na administratora, jeśli zaloguję się na studenta (ucznia) dostępu www brak, tzn.: mogę pingować dowolny host, ale nie mogę wyświetlić strony w przeglądarce.
ProszÄ™ o pomoc. |
|
| Powrót do góry |
|
 |
Roman Mor
Moderator
Dołączył: 12 Mar 2008
Posty: 722
Pomógł: 35
Skąd: WrocÅ‚aw
|
| Wysłany: Mon Sep 12, 2011 11:51 am Temat postu: |
|
|
Właśnie ISA Server plus klient ISA na stacjach zapewniają filtrowany dostęp do internetu. Oczywiście, są lepsze rozwiązania jest chodzi o blokowanie dostępu do niedozwolonych treści i bezpieczeństwo. Jednak serwer SBS został tak pomyślany, że wchodzące w jego skład elementy stanowią integralna całość i pochopne odinstalowywanie poszczególnych składnikó może prowadzić do poważnych problemów. Odinstalowałeś klientów ISA na stacjach? Nie wiem zresztą czy wykonanie tego i skonfigurowanie połączenia w przeglądarce pomoże. Lepszym sposobem od usuwania składników SBS jest zatrzymywanie konkretnych usług.
_________________
Pozdrawiam, RM |
|
| Powrót do góry |
|
|
Kuba
Użytkownik Forum
Dołączył: 12 Sep 2011
Posty: 2
Skąd: Radom
|
| Wysłany: Mon Sep 12, 2011 12:02 pm Temat postu: |
|
|
| Na wszystkich stacjach jest postawiony "czysty" xp. Stacje zostały dodane do domeny i nic więcej. Problemem jest teraz to że logując się na stacji na administratora mam dostęp do wszystkiego, natomiast logując się na studenta brakuje mi dostępu do internetu w przeglądarce, jak już pisałem mogę pingować hosty. |
|
| Powrót do góry |
|
|
Roman Mor
Moderator
Dołączył: 12 Mar 2008
Posty: 722
Pomógł: 35
Skąd: WrocÅ‚aw
|
| Wysłany: Mon Sep 12, 2011 1:36 pm Temat postu: |
|
|
Próbowałeś w innej przeglądarce niż IE?
_________________
Pozdrawiam, RM |
|
| Powrót do góry |
|
|
Maciek
Administrator
Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca
|
| Wysłany: Mon Sep 12, 2011 7:23 pm Temat postu: |
|
|
Odinstalowanie ISA to średni pomysł. ISA to jednocześnie firewall, forwarder i proxy. Lepszym rozwiązaniem byłoby zastosowania wyłącznie potrzebnych regułek.
W normalnym desktopie z XP (lub innym Windowsem) masz opcję współdzielenie połączenia internetowego dla danej karty sieciowej. ISA pełni też taką rolę. Inaczej mówiąc ISA jest też programowym routerem. Nie wiem czy na serwerze jest opcja współdzielenia połączenia internetowego. Możesz spróbować.
_________________
 Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
| Powrót do góry |
|
|
sulemar
Użytkownik Forum
Dołączył: 08 Dec 2009
Posty: 8
Skąd: Przysucha
|
| Wysłany: Thu Oct 13, 2011 1:10 pm Temat postu: PrzeglÄ…danie stron internetowych |
|
|
Witam,
po zainstalowaniu rutera, odinstalowaniu ISA, jest możliwość przeglądania stron internetowych tylko na profilu uczniowskim poziom a. Gdzie w zasadach grup jest możliwość ustawienia opcji, aby internet był osiągalny dla innych profili?
Pozdrawiam
_________________
Julka |
|
| Powrót do góry |
|
|
Roman Mor
Moderator
Dołączył: 12 Mar 2008
Posty: 722
Pomógł: 35
Skąd: WrocÅ‚aw
|
| Wysłany: Thu Oct 13, 2011 3:16 pm Temat postu: |
|
|
Jaki router masz na myśli? Odinstalowanie ISA to niezbyt roztropna rzecz. O ile pamiętam poziom A nie ma dostępu do internetu (mogę się mylić). Po pozbyciu się ISA uzyskał, to byłoby logiczne. Pozostałe poziomy maja dostęp poprzez klienta ISA, więc jak nie ma serwera to klient zgłupiał. Trzeba więc pozbyć się klienta. A w ogóle - wiesz co robisz?
_________________
Pozdrawiam, RM |
|
| Powrót do góry |
|
|
sulemar
Użytkownik Forum
Dołączył: 08 Dec 2009
Posty: 8
Skąd: Przysucha
|
| Wysłany: Thu Oct 13, 2011 6:32 pm Temat postu: ISA server czy można zastÄ…pić |
|
|
Zdałam się na firmę, która zajmuje się sieciami komputerowymi, lecz chyba z sbs2003 nie mieli do czynienia. Efekt jest taki, że pracownia wcale lepiej nie działa. Zyskał dyrektor i sekretariat szkoły, bo stale mają dostęp do Internetu. A w pracowni pojawiły się problemy. Ponieważ firma za bardzo się nie spieszy, moje reklamacje traktuje "naprawiamy metodą prób i błędów", wydaje mi się, że mój problem można by rozwiązać, gdybym umiała odnaleźć w zasadach grup w AD regułę dotyczącą dostępu do Internetu. Bo faktycznie na poziomie A uczniowie nie powinni mieć możliwości przeglądania stron, natomiast na innych poziomach dostęp powinien być.
Pozdrawiam
_________________
Julka |
|
| Powrót do góry |
|
|
Maciek
Administrator
Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca
|
| Wysłany: Thu Oct 13, 2011 8:46 pm Temat postu: |
|
|
| Cytat: | | Zyskał dyrektor i sekretariat szkoły, bo stale mają dostęp do Internetu |
To chyba dobrze, że są obecnie odłączeni od kiepsko działającego sbsa. Spróbuj na którymś komputerze klienckim odinstalować klienta ISA i sprawdź, w ustawieniach, że w ustawieniach internetowych nie ma wpisanego serwera proxy. Potem spróbuj, czy działa.
_________________
Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
| Powrót do góry |
|
|
Roman Mor
Moderator
Dołączył: 12 Mar 2008
Posty: 722
Pomógł: 35
Skąd: WrocÅ‚aw
|
| Wysłany: Thu Oct 13, 2011 9:16 pm Temat postu: |
|
|
Zasadą powinno być: serwer SBS kontroluje pracownię (i centrum multimedialne - w czytelni), a reszta szkoły jest niezależna. wtedy nie ma problemu z kiepsko czy jako tako działajacym serwerem SBS. Czyli łącze internetowe (bo o to głównie chodzi) powinno się dzielić za routerem (jeśli router ma jeden port LAN, to należy zastosować switch) na wejście internetowe serwera SBS i resztę szkoły. Wtedy na serwerze nie trzeba nic wyłączać ani zmieniać poza, ewentualnie, zapuszczeniem kreatora połączenia internetowego. Oczywiście, pod warunkiem, że serwer został poprawnie zainstalowany. Ingerencja w składniki SBS-a raczej dobrze nie wróży. Ponieważ masz teraz pracownię uniezależnioną od administracji szkoły i nie działa poprawnie z jakichkolwiek względów (odinstalowanie ISA, czy radosna twórczość wcześniej) to możesz sie pokusić o poprawna instalacje serwera i stacji roboczych, jeśli masz kolekcje DVD. Inaczej to poprawnie działać nie będzie.
_________________
Pozdrawiam, RM |
|
| Powrót do góry |
|
|
thomas.night
Użytkownik Forum
Dołączył: 14 Oct 2011
Posty: 107
Pomógł: 2
Skąd: Polska
|
| Wysłany: Fri Oct 14, 2011 11:59 am Temat postu: |
|
|
| Cytat: | | Czyli łącze internetowe (bo o to głównie chodzi) powinno się dzielić za routerem (jeśli router ma jeden port LAN, to należy zastosować switch) na wejście internetowe serwera SBS i resztę szkoły. |
Ekcheem... No powiedzmy, że to średnio elastyczne, a w środowisku złożonych sieci średnio mądre. Wracając do tematu.
ISA: Tak, możesz się pozbyć tego 'stwora', co z automatu zwolni Cię od tych wszystkich nudnych czynności związanych z bezpieczeństwem. 
Niestety to również nie jest zbyt mądra alternatywa.
Zamiast ubijać bestię spróbuj ją wytresować.
ProponujÄ™ takÄ… drogÄ™:
1. Instalujesz ISA server (sorry, no niestety), a na kliencie... clienta ( http://www.microsoft.com/download/en/details.aspx?id=10193 )
2. Kwestie związane z interfejsami (LAN<->WAN zapewne rozumiesz, więc póki co pominiemy temat)
3. Odepnij póki co klienta od domeny (na podpięcie przyjdzie czas)
4. Powolutku dodawaj regułki.
5. Jak zrozumiesz o co tu chodzi to dopinasz klienta do domeny (o ile jeszcze takÄ… posiadasz)
Jako człowiek spędzający większość czasu przy CentOSie, w ciągu 2h ujarzmiłem ISA właśnie taką metodą.
PS: Widzę, że podobnie jak ja jesteś zwolennikiem własnych prostych i skutecznych rozwiązań, tak więc skryptów 'ministerialnych' raczej unikaj. A co do ISA... powiedzmy, że jeżeli chodzi o ekosystem MS to ważny fundament całej platformy, z którego nie powinno się rezygnować. |
|
| Powrót do góry |
|
|
Maciek
Administrator
Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca
|
| Wysłany: Fri Oct 14, 2011 7:04 pm Temat postu: |
|
|
Z twojej wypowiedzi zrozumiałem, że jesteś zwolennikiem używania SBS jako głównego routera w szkole, bo supozycję Romana określiłes jako średniomądrą...
i jeszcze coÅ›.
W twoim profilu:
SkÄ…d: forum.softmania.pl
Nic tu nie wpisuj:
Zawód: nie umiem czytać
Zainteresowania: jestem spamerem
Zbyt trudne było wypełnienie?
_________________
Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
| Powrót do góry |
|
|
thomas.night
Użytkownik Forum
Dołączył: 14 Oct 2011
Posty: 107
Pomógł: 2
Skąd: Polska
|
| Wysłany: Fri Oct 14, 2011 10:15 pm Temat postu: |
|
|
Z moich doświadczeń wynika tyle, że najlepiej postawić sobie linuxa (CentOS lub Debian) do tego firewall oparty o iptables i squid w roli cache. W moich okolicach to powszechnie stosowana praktyka.
Czemu tak a nie inaczej?
Nie chcę tu wywoływać świętej wojny co lepsze (windows vs linux), ale cokolwiek byle nie router sprzętowy. Rola cache'owania w takim środowisku bywa zbawienna (zresztą chyba nie muszę przekonywać).
Czy SBS i ISA nadałaby się na główną bramę? Pytanie proste, a odpowiedź złożona. Tu wszystko zależy od posiadanego sprzętu. Dla porównania do podziału łącza linuxem wystarczyłby leciwy komputerek z 'tłustymi' 133 MHZami + Freesco (i byłoby w miarę płynnie w sieci do 30 osób).
SBS przy takim sprzęcie.... no bez komentarza.
Jakkolwiek ile głów tyle pomysłów, ale na upartego SBS byłby IMHO tym 'lepszym złem'. Dążąc do ideału pokusiłbym się o taki schemat:
--- maszyna z dowolnym linuxem (byleby Administrator sobie poradził + maszyna wirtualna) + DNS + DHCP + fog
----- VM1 - FreeBSD + pf + squid (dla znawców tematu) lub pfSense, z powodu graficznej konfiguracji regułek
----- VM2 - SBS + ISA -> tylko domena + stosowne GPO
Całość po doszlifowaniu zbackupować + cotygodniowe zrzuty migawkowe (snapshots). Taka koncepcja jest mi najbliższa... No i jeden serwer wykonuje przysłowiowo pracę za trzech.
PS: Maćku, skoro tutaj jest to w dobrym tonie już zaspokoiłem Twoją ciekawość  . Pozdrawiam |
|
| Powrót do góry |
|
|
Maciek
Administrator
Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca
|
| Wysłany: Sat Oct 15, 2011 9:04 am Temat postu: |
|
|
Routery "sprzętowe" są różne. Sam używam w domu Linksysa z DD-WRT i to maleństwo ma możliwości dużo większe niż Freesco. Do szkoły nadawałoby się idealnie, choćby ze względu na VLANy.
Oczywiście zgadzam się, że najlepiej mieć porządną bramę na Linuksie. Jednak pomimo sentymentu nie proponowałbym już Freesco. No, chyba że w sytuacjach awaryjnych, bo Freesco można skonfigurować w minutę.
Co do foga mam mieszane wciąż stanowisko. Zapowiada się to świetnie, ale w moich próbach wystarczył jeden słabszy komputer, by wykonanie obrazu trwało godzinami. Poza tym nie wszystko tam działa idealnie i na dodatek (niestety, to jest problem) wciąż brak spolszczenia.
SBS podpięty bezpośrednio do DLS nie jest dobrym rozwiązaniem. Nawet prosty router jest lepszy, bo jednak chroni Windows przed bezpośrednimi atakami. Niestety - SBS pomimo ciągłych aktualizacji jest dziurawy i podatny na ataki.
_________________
Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
| Powrót do góry |
|
|
|
FAQ
Szukaj
Użytkownicy
Grupy
Rejestracja
Profil
Zaloguj się, by sprawdzić wiadomości
Zaloguj
