KOPI

Kuba · Użytkownik Forum Dołączył: 12 Sep 2011 Posty: 2 Skąd: Radom

Witam
Odinstalowałem ISA server i chcę go zastąpić sprzętowym routerem z firewallem. Wszystko działa poza tym że na stacjach klienckich dostęp do internetu mam jedynie logując się na administratora, jeśli zaloguję się na studenta (ucznia) dostępu www brak, tzn.: mogę pingować dowolny host, ale nie mogę wyświetlić strony w przeglądarce.
Proszę o pomoc.

Roman Mor · Wysłany: Mon Sep 12, 2011 11:51 am Temat postu:

Właśnie ISA Server plus klient ISA na stacjach zapewniają filtrowany dostęp do internetu. Oczywiście, są lepsze rozwiązania jest chodzi o blokowanie dostępu do niedozwolonych treści i bezpieczeństwo. Jednak serwer SBS został tak pomyślany, że wchodzące w jego skład elementy stanowią integralna całość i pochopne odinstalowywanie poszczególnych składnikó może prowadzić do poważnych problemów. Odinstalowałeś klientów ISA na stacjach? Nie wiem zresztą czy wykonanie tego i skonfigurowanie połączenia w przeglądarce pomoże. Lepszym sposobem od usuwania składników SBS jest zatrzymywanie konkretnych usług.
_________________
Pozdrawiam, RM

Kuba · Wysłany: Mon Sep 12, 2011 12:02 pm Temat postu:

Na wszystkich stacjach jest postawiony "czysty" xp. Stacje zostały dodane do domeny i nic więcej. Problemem jest teraz to że logując się na stacji na administratora mam dostęp do wszystkiego, natomiast logując się na studenta brakuje mi dostępu do internetu w przeglądarce, jak już pisałem mogę pingować hosty.

Roman Mor · Wysłany: Mon Sep 12, 2011 1:36 pm Temat postu:

Próbowałeś w innej przeglądarce niż IE?
_________________
Pozdrawiam, RM

Maciek · Wysłany: Mon Sep 12, 2011 7:23 pm Temat postu:

Odinstalowanie ISA to średni pomysł. ISA to jednocześnie firewall, forwarder i proxy. Lepszym rozwiązaniem byłoby zastosowania wyłącznie potrzebnych regułek.
W normalnym desktopie z XP (lub innym Windowsem) masz opcję współdzielenie połączenia internetowego dla danej karty sieciowej. ISA pełni też taką rolę. Inaczej mówiąc ISA jest też programowym routerem. Nie wiem czy na serwerze jest opcja współdzielenia połączenia internetowego. Możesz spróbować.
_________________

Belfer.one.PL

Autorski Przewodnik Kulturalny

sulemar · Użytkownik Forum Dołączył: 08 Dec 2009 Posty: 8 Skąd: Przysucha

Witam,
po zainstalowaniu rutera, odinstalowaniu ISA, jest możliwość przeglądania stron internetowych tylko na profilu uczniowskim poziom a. Gdzie w zasadach grup jest możliwość ustawienia opcji, aby internet był osiągalny dla innych profili?
Pozdrawiam
_________________
Julka

Roman Mor · Wysłany: Thu Oct 13, 2011 3:16 pm Temat postu:

Jaki router masz na myśli? Odinstalowanie ISA to niezbyt roztropna rzecz. O ile pamiętam poziom A nie ma dostępu do internetu (mogę się mylić). Po pozbyciu się ISA uzyskał, to byłoby logiczne. Pozostałe poziomy maja dostęp poprzez klienta ISA, więc jak nie ma serwera to klient zgłupiał. Trzeba więc pozbyć się klienta. A w ogóle - wiesz co robisz?
_________________
Pozdrawiam, RM

sulemar · Użytkownik Forum Dołączył: 08 Dec 2009 Posty: 8 Skąd: Przysucha

Zdałam się na firmę, która zajmuje się sieciami komputerowymi, lecz chyba z sbs2003 nie mieli do czynienia. Efekt jest taki, że pracownia wcale lepiej nie działa. Zyskał dyrektor i sekretariat szkoły, bo stale mają dostęp do Internetu. A w pracowni pojawiły się problemy. Ponieważ firma za bardzo się nie spieszy, moje reklamacje traktuje "naprawiamy metodą prób i błędów", wydaje mi się, że mój problem można by rozwiązać, gdybym umiała odnaleźć w zasadach grup w AD regułę dotyczącą dostępu do Internetu. Bo faktycznie na poziomie A uczniowie nie powinni mieć możliwości przeglądania stron, natomiast na innych poziomach dostęp powinien być.
Pozdrawiam
_________________
Julka

Maciek · Wysłany: Thu Oct 13, 2011 8:46 pm Temat postu:

Roman Mor · Wysłany: Thu Oct 13, 2011 9:16 pm Temat postu:

Zasadą powinno być: serwer SBS kontroluje pracownię (i centrum multimedialne - w czytelni), a reszta szkoły jest niezależna. wtedy nie ma problemu z kiepsko czy jako tako działajacym serwerem SBS. Czyli łącze internetowe (bo o to głównie chodzi) powinno się dzielić za routerem (jeśli router ma jeden port LAN, to należy zastosować switch) na wejście internetowe serwera SBS i resztę szkoły. Wtedy na serwerze nie trzeba nic wyłączać ani zmieniać poza, ewentualnie, zapuszczeniem kreatora połączenia internetowego. Oczywiście, pod warunkiem, że serwer został poprawnie zainstalowany. Ingerencja w składniki SBS-a raczej dobrze nie wróży. Ponieważ masz teraz pracownię uniezależnioną od administracji szkoły i nie działa poprawnie z jakichkolwiek względów (odinstalowanie ISA, czy radosna twórczość wcześniej) to możesz sie pokusić o poprawna instalacje serwera i stacji roboczych, jeśli masz kolekcje DVD. Inaczej to poprawnie działać nie będzie.
_________________
Pozdrawiam, RM

thomas.night · Wysłany: Fri Oct 14, 2011 11:59 am Temat postu:

Maciek · Wysłany: Fri Oct 14, 2011 7:04 pm Temat postu:

Z twojej wypowiedzi zrozumiałem, że jesteś zwolennikiem używania SBS jako głównego routera w szkole, bo supozycję Romana określiłes jako średniomądrą...

i jeszcze coś.
W twoim profilu:
Skąd: forum.softmania.pl
Nic tu nie wpisuj:
Zawód: nie umiem czytać
Zainteresowania: jestem spamerem
Zbyt trudne było wypełnienie?
_________________

Belfer.one.PL

Autorski Przewodnik Kulturalny

thomas.night · Wysłany: Fri Oct 14, 2011 10:15 pm Temat postu:

Z moich doświadczeń wynika tyle, że najlepiej postawić sobie linuxa (CentOS lub Debian) do tego firewall oparty o iptables i squid w roli cache. W moich okolicach to powszechnie stosowana praktyka.

Czemu tak a nie inaczej?
Nie chcę tu wywoływać świętej wojny co lepsze (windows vs linux), ale cokolwiek byle nie router sprzętowy. Rola cache'owania w takim środowisku bywa zbawienna (zresztą chyba nie muszę przekonywać).

Czy SBS i ISA nadałaby się na główną bramę? Pytanie proste, a odpowiedź złożona. Tu wszystko zależy od posiadanego sprzętu. Dla porównania do podziału łącza linuxem wystarczyłby leciwy komputerek z 'tłustymi' 133 MHZami + Freesco (i byłoby w miarę płynnie w sieci do 30 osób).
SBS przy takim sprzęcie.... no bez komentarza.

Jakkolwiek ile głów tyle pomysłów, ale na upartego SBS byłby IMHO tym 'lepszym złem'. Dążąc do ideału pokusiłbym się o taki schemat:
--- maszyna z dowolnym linuxem (byleby Administrator sobie poradził + maszyna wirtualna) + DNS + DHCP + fog
----- VM1 - FreeBSD + pf + squid (dla znawców tematu) lub pfSense, z powodu graficznej konfiguracji regułek
----- VM2 - SBS + ISA -> tylko domena + stosowne GPO

Całość po doszlifowaniu zbackupować + cotygodniowe zrzuty migawkowe (snapshots). Taka koncepcja jest mi najbliższa... No i jeden serwer wykonuje przysłowiowo pracę za trzech.

PS: Maćku, skoro tutaj jest to w dobrym tonie już zaspokoiłem Twoją ciekawość Wink

. Pozdrawiam

Maciek · Wysłany: Sat Oct 15, 2011 9:04 am Temat postu:

Routery "sprzętowe" są różne. Sam używam w domu Linksysa z DD-WRT i to maleństwo ma możliwości dużo większe niż Freesco. Do szkoły nadawałoby się idealnie, choćby ze względu na VLANy.
Oczywiście zgadzam się, że najlepiej mieć porządną bramę na Linuksie. Jednak pomimo sentymentu nie proponowałbym już Freesco. No, chyba że w sytuacjach awaryjnych, bo Freesco można skonfigurować w minutę.
Co do foga mam mieszane wciąż stanowisko. Zapowiada się to świetnie, ale w moich próbach wystarczył jeden słabszy komputer, by wykonanie obrazu trwało godzinami. Poza tym nie wszystko tam działa idealnie i na dodatek (niestety, to jest problem) wciąż brak spolszczenia.
SBS podpięty bezpośrednio do DLS nie jest dobrym rozwiązaniem. Nawet prosty router jest lepszy, bo jednak chroni Windows przed bezpośrednimi atakami. Niestety - SBS pomimo ciągłych aktualizacji jest dziurawy i podatny na ataki.
_________________

Belfer.one.PL

Autorski Przewodnik Kulturalny