ФПСУ/IP-Клиент + ISA 2000

[capitannemo]

Поскольку решение пришлось собирать из разных веток форума, напишу.
1. Устанавливаем ФПСУ - IP / Клиент. Кстати Firewall Client нисколько не мешает соединению. Так что - пусть он тоже будет.
2. На ISA идем в Protocol Definitions и создаем правило БанкКлиент - UDP 87 Send.
3. Там же или не там же если у вас домен создаем пользователя БанкКлиент (кто хочет - может дать права оператору)
т.к. в дальнейшем под этим именем будет работать служба - лучше бы запретить смену пароля и снять ограничение на длительность использования пароля.
4. Создаем правила - Protocol Rules - All IP Trafic - для пользователя БанкКлиент , Site and Context Rules - All - для пользователя БанкКлиент (вариант только с UDP 87 не пройдет).
5. На компьютере оператора находим службу Amicon. Вход в систему для нее задаем с учетной записью пользователя БанкКлиент.

Се ту, как говорят французы.
Теперь любой человек зашедший на компьютер не зависимо от своих прав сможет установить соединение.

 

[Rinat]

у меня стоит isa2006

Сделал по этому рецепту, сейчас вообще не коннектится. Можно поподробнее еще раз для 2006??? На клиенте есть служба Amicon update.. нужно ее по учеткой грузить???

 

[Volex]

В ISA 2000 всё вяжется на учётку, привязал службу к учётке и все заработало, спасибо за наводку)))

PS
Для FWC исключения еще прописывал, но думаю не нужны.

 

[sergey.s.betke]

Альтернативное решение: MS ISA 2000 + ФПУ ip клиент на ISA!

<r>Хочу предложить альтернативное решение <URL url="http://sergey-s-betke.blogs.novgaro.ru/klient-bank-sb-rf-fpsu-ipklient-amikon-i-isa-server-kak-zastavit-eto-rabotat-ne-trogaya-klientskie-workstation"><s></s><LINK_TEXT text="http://sergey-...trogaya-klientskie-workstation</LINK_TEXT><e></e></URL>, и ещё одно альтернативное решение: <URL url="http://sergey-s-betke.blogs.novgaro.ru/klient-bank-sberbanka-sb-rf-fpsu-ipklient-amikon-i-isa-server-stroim-specializirovannyj-fpsu-marshrutizator"><s></s><LINK_TEXT text="http://sergey-...zirovannyj-fpsu-marshrutizator</LINK_TEXT><e></e></URL>.</r>

 

[sergey.s.betke]

<r>Стоит добавить. Если Вы используете ISA 2000 (предполагаю, аналогичная картина будет и на isa 2004/2006) и для ФПСУ сервера банка в обратной зоне DNS отсутствует PTR запись (как, например для ФПСУ сервера СПЭД в СПб - 84.204.34.245), Вы будете наблюдать серьёзные проблемы с подключением ФПСУ IP/клиента. А причина в том, что возникает задержка на ISA с доставкой пакета ФПСУ сервера, если у Вас включено логгирование ISA Firewall service, и нет PTR записи для адресата.
Проблему обсуждали здесь: <URL url="http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/a55983d0-f8b3-4e36-95c1-23d958cdc806/"><s></s><LINK_TEXT text="http://social....0-f8b3-4e36-95c1-23d958cdc806/</LINK_TEXT><e></e></URL>, решений несколько:
•либо отключаем логгирование на isa для firewall service ("отключение" полей с fqdn не помогает, проверено)
•либо заставляем админов банка добавить ptr запись в обратную зону для своего сервера
•либо создаём на своих dns серверах обратную зону для адресов их сервера (да, это неправильно, но от них реакции ждать долго, а это решение можно реализовать за несколько секунд).
•возможно, есть решение с отключением rdns запросов на isa (для логгирования) через реестр, но пока его не нашёл. Буду рад подсказкам.

кеширование отрицательных ответов включено и на dns сервере, и на dns клиенте на isa Хосте, но проблема при этом не снимается (пока не понял - почему). снимается только "заглушкой" в виде собственной обратной зоны вместо отсутствующей у провайдера сервера ФПСУ банка.</r>