пятница, 29 февраля 2008 г.
Как заблокировать маршрутизацию между логическими интерфейсами (IP Alias) локальной сети?
В режиме командной строки выполните команду ip aliasdis <0|1>, где при 0 маршрутизация включена, а при 1 отключена.
среда, 27 февраля 2008 г.
Переход с ISA на.. ISA
Методика не сложна, но в мелочи (типа смены шлюза) имеют свойство забываться, по-этому опишу алгоритм...
Итак имеем ISA 2004 SE (работавший с 11.11.2005!) на одном компьютере и свежеустановленный ISA 2006 SE на другом.
Цель- физически поменять шлюзовые компьютеры!
Еще- ISA 2004 SE несет на себе сервер лицензирования терминального доступа который надо переместить на DC.
1. Устанавливаем службу Ts CAL и активизируем сервер лицензирования терминального
доступа на DC (пусть пока выдает временные лицензии- сами Ts CAL у нас куплены
(т.о. мы лицензию не нарушаем), а мы пока свяжемся с MS.
2. Вылючаем внутренний LAN на ISA 2004.
3. Кабель с WAN ISA 2004 перекидываем на ISA 2006.
4. Т.к. у нас несколько ISP перед ISA мы используем роутер Zy
- на нем, в Static Route меняем маршрут с WAN ISA 2004 на WAN ISA 2006.
5. Исправляем шлюз по умолчанию на всех компьютерах со статическими IP (в первую очередь на TS и DC)
ВСЁ!
На сегодня я не решил два вопроса связанных с ISA:
1. Automatically detect ISA Server (auto-discovery) клиентом брандмауера.
Короче:
Win 2003 r2 + isa server 2006 se
Проблема с Automatically Detect ISA server:
a. В настройках isa auto discovery флажок установлен.
b. алиас wpad на isa сервер в dns есть, с клиентов резолвится.
c. Из браузера доступ к http://isaserver.domain/wpad.dat, а также
http://wpad.domain/wpad.dat, есть.
Клиент автоматически не определяет Isa server, только если прописать в ручную!!!
На http://forums.microsoft.com/TechNet-RU/ShowForum.aspx?ForumID=960&SiteID=40
посоветовали:
Когда ISA Server требует аутентификации для запросов автоматического обнаружения WSPAD (HTTP GET запрос http://address:port/wspad.dat), клиенты брандмауера (Firewall clients) не могут действовать в соответствии с получаемым ответом 401 Unauthorized, генерируемым ISA Server, и клиенты не могут получить информацию из файла Wspad.dat (Ошибка 407).
Эта настройка не влияет на запросы, исходящие от Web браузеров по адресу http://address:port/wpad.dat потому что Web браузер может генерировать диалоговое окно аутентификации, в котором пользователь может указать свои учётные данные для аутентификации.
К сожалению, эта настройка не позволяет клиентам брандмауера (Firewall client) получать конфигурационные данные из файла Wspad.dat, хранимого на компьютере ISA Server.
Причина: Когда мы выбираем опцию Require all users to authenticate в свойствах аутентификации Web proxy защищённой сети, например сети Internal, все HTTP GET запросы, включая запросы WSPAD от клиентов брандмауера (Firewall clients) из защищённой сети обязательно должны быть аутентифицированы, вне зависимости от фактического назначения портов. Однако, клиенты бранмауера (Firewall Client) не поддерживают HTTP аутентификацию, вне зависимости от выбранного метода аутентификации (напрмер Basic authentication или Integrated Windows authentication). Поэтому, когда клиент бранмауера (Firewall client) пытается получить файл Wspad.dat во время автоматического обнаружения, компьютер ISA Server не перенаправляет запрос на WPAD сервер.
Решение: Для ISA Server 2004 Standard Edition, установите последний service pack и добавьте значение реестра SkipAuthenticationForRoutingInformation в ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\W3Proxy\Parameters registry key, и присвойте ему значение 1 или больше (1-достаточно). Дополнительную информацию можно найти здесь:
http://support.microsoft.com/default.aspx?scid=kb;en-us;885683
2. Вторая не решенная проблема-
не могу заставить качать Update с сайта MS, указывая в destination
подмножество url и (или) имен доменов Update MS (только IP!)!
Итак имеем ISA 2004 SE (работавший с 11.11.2005!) на одном компьютере и свежеустановленный ISA 2006 SE на другом.
Цель- физически поменять шлюзовые компьютеры!
Еще- ISA 2004 SE несет на себе сервер лицензирования терминального доступа который надо переместить на DC.
1. Устанавливаем службу Ts CAL и активизируем сервер лицензирования терминального
доступа на DC (пусть пока выдает временные лицензии- сами Ts CAL у нас куплены
(т.о. мы лицензию не нарушаем), а мы пока свяжемся с MS.
2. Вылючаем внутренний LAN на ISA 2004.
3. Кабель с WAN ISA 2004 перекидываем на ISA 2006.
4. Т.к. у нас несколько ISP перед ISA мы используем роутер Zy
- на нем, в Static Route меняем маршрут с WAN ISA 2004 на WAN ISA 2006.
5. Исправляем шлюз по умолчанию на всех компьютерах со статическими IP (в первую очередь на TS и DC)
ВСЁ!
На сегодня я не решил два вопроса связанных с ISA:
1. Automatically detect ISA Server (auto-discovery) клиентом брандмауера.
Короче:
Win 2003 r2 + isa server 2006 se
Проблема с Automatically Detect ISA server:
a. В настройках isa auto discovery флажок установлен.
b. алиас wpad на isa сервер в dns есть, с клиентов резолвится.
c. Из браузера доступ к http://isaserver.domain/wpad.dat, а также
http://wpad.domain/wpad.dat, есть.
Клиент автоматически не определяет Isa server, только если прописать в ручную!!!
На http://forums.microsoft.com/TechNet-RU/ShowForum.aspx?ForumID=960&SiteID=40
посоветовали:
Когда ISA Server требует аутентификации для запросов автоматического обнаружения WSPAD (HTTP GET запрос http://address:port/wspad.dat), клиенты брандмауера (Firewall clients) не могут действовать в соответствии с получаемым ответом 401 Unauthorized, генерируемым ISA Server, и клиенты не могут получить информацию из файла Wspad.dat (Ошибка 407).
Эта настройка не влияет на запросы, исходящие от Web браузеров по адресу http://address:port/wpad.dat потому что Web браузер может генерировать диалоговое окно аутентификации, в котором пользователь может указать свои учётные данные для аутентификации.
К сожалению, эта настройка не позволяет клиентам брандмауера (Firewall client) получать конфигурационные данные из файла Wspad.dat, хранимого на компьютере ISA Server.
Причина: Когда мы выбираем опцию Require all users to authenticate в свойствах аутентификации Web proxy защищённой сети, например сети Internal, все HTTP GET запросы, включая запросы WSPAD от клиентов брандмауера (Firewall clients) из защищённой сети обязательно должны быть аутентифицированы, вне зависимости от фактического назначения портов. Однако, клиенты бранмауера (Firewall Client) не поддерживают HTTP аутентификацию, вне зависимости от выбранного метода аутентификации (напрмер Basic authentication или Integrated Windows authentication). Поэтому, когда клиент бранмауера (Firewall client) пытается получить файл Wspad.dat во время автоматического обнаружения, компьютер ISA Server не перенаправляет запрос на WPAD сервер.
Решение: Для ISA Server 2004 Standard Edition, установите последний service pack и добавьте значение реестра SkipAuthenticationForRoutingInformation в ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\W3Proxy\Parameters registry key, и присвойте ему значение 1 или больше (1-достаточно). Дополнительную информацию можно найти здесь:
http://support.microsoft.com/default.aspx?scid=kb;en-us;885683
2. Вторая не решенная проблема-
не могу заставить качать Update с сайта MS, указывая в destination
подмножество url и (или) имен доменов Update MS (только IP!)!
среда, 20 февраля 2008 г.
Как сделать, чтобы при загрузке всегда включался NumLock?
Самый простой способ, это несколько раз выйти из системы с включенный NumLock, система должна запомнить это, и в будущем включать его при загрузке автоматически. Но можно добиться того же эффекта и быстрее. Идём в реестр, и по адресу HKEY_USERSDEFAULTControl PanelKeyboard находим ключ InitialKeyboardIndicators. Меняем его значение на 2, и при загрузке NumLock будет всегда включен. Меняем на 0, и NumLock будет всегда выключен (полезно для ноутбуков, где нет вынесенного блока клавиш с цифрами).
http://www.3dnews.ru/guide/win-xp-faq/
http://www.3dnews.ru/guide/win-xp-faq/
Как спрятать имя пользователя из Welcome Screen в XP?
Это может пригодиться, например, когда на компьютере прописан пользователь, который никогда не логинится локально, только по сети. Для того чтобы убрать пользователя из списка доступных нужно в реестре по адресу
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
SpecialAccounts\UserList
добавить ключ типа REG_DWORD, соответствующий имени пользователя. Присвоив этому ключу значение 1 мы разрешим показывать этого пользователя в Welcome Screen, а 0 запретим. Несмотря на то, что пользователя не видно, им всё равно можно залогиниться. Для этого дважды нажимаем Crtl+Alt+Del, открывается классическое окно логона, вводим имя, пароль, и логинимся.
http://www.3dnews.ru/guide/win-xp-faq/
http://www.3dnews.ru/guide/win-xp-faq/
Подписаться на:
Сообщения (Atom)