nofear51
Goto Top

Internet problem Domäne ISA

Wir haben zurzeit Betriebsprüfer bei uns, die brauchen natürlich Internet. Beide haben jeweils 1 Laptop, die natürlich nicht bei uns in der Domäne sind.
Folgendes wurde getan..

Infos: ISA-Server als Firewall, Laptops NICHT in der Domäne.

Es wurde ein Testbenutzer mit Passwort angelegt (für die paar Tage), der ausreichend Rechte hat, auch um ins Internet zu kommen.
In den Verbindungseinstellungen des IE6 wurde die Proxy-adresse und Port der Firewall angegeben.
Nun müsste,wenn man versucht mit dem IE ins Internet zu gehen, der ISA nach Benutzer&Passwort Fragen.(Testbenutzer)
Doch genau dies tut er nicht. Die angeforderte Seite wird nicht Geladen.

Nun meine Frage, wieso fragt die Firewall nicht nach Benutzername u. Kennwort (Authentifizierung) sondern blockt sofort ab.
Die Einstellungen des IE sind in Ordnung. Verbindung haben Sie auch.

(Ich kann von meinem PC aus,welcher in der Domäne ist die 2 Laptops anpingen, und die Laptops können die Firewall anpingen)

Was mir nur aufgefallen ist, die beiden Laptops sind in einer anderen Domäne, aber das dürfte an sich kein Problem sein?!

Hoffe ich konnte mein Problem einigermaßen schildern.. Brauche dringend Hilfe!!

Content-ID: 162604

Url: https://administrator.de/contentid/162604

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

dog
dog 14.03.2011 um 18:45:43 Uhr
Goto Top
<AFAIR>
Für einen PC, der nicht in der Domäne ist, ist der ISA mit seiner SPNEGO-Auth nicht vertrauenswürdig und der IE lehnt es ab.
Damit es klappt muss im ISA die Standard oder Digest-Methode aktiviert sein.
</AFAIR>

Warum sollte aber überhaupt ein Domänenfremder Rechner das Recht bekommen an die Domäne gesteckt zu werden (und somit evtl. andere Rechner zu verseuchen oder Firmen-Policies zu umgehen)?
Bei uns läuft das unter Todesstrafe und ich sehe auch keine Notwendigkeit dem Finanzamt kostenlos Internet zu spendieren.
NoFear51
NoFear51 14.03.2011 um 19:00:03 Uhr
Goto Top
Hey, vielen dank für deine Antwort!

Ja das darf ich leider nicht entscheiden, wenn Chef sagt die dürfen ins Internet, dann ist das auch so face-smile

Was ISA angeht bin ich leider nicht ganz im Thema. DIe Digest-Methode sagt mir leider nichts.
Sie sollen nur 2-3 Tage ins Internet gehen, die Laptops werden aber nicht in die Domäne aufgenommen.
Sie sollen einfach nur für die paar Tage Internetzugriff haben.

Wo kann ich denn die Digest-Methode aktivieren und was bewirkit diese genau?
dog
dog 14.03.2011 um 19:12:45 Uhr
Goto Top
Konfiguration > Netzwerke > Intern > Webproxy > Authentifizierung > Haken bei Standard setzen (Übernehmen nicht vergessen).
Damit können sich Benutzer mit Anmeldedaten am Proxy anmelden und brauchen kein Kerberos-Ticket.
NoFear51
NoFear51 14.03.2011 um 19:18:21 Uhr
Goto Top
Wie meinst du das mit Anmeldedaten am Proxy anmelden?

Denn genau das war ja das Problem. Ich habe bei den Verbindungseinstellungen vom IE unsere Proxyadresse und Port angegeben.

Wenn er dann den IE öffnet, SOLLTE der ISA eig. nach den Anmeldedaten fragen, das tut er aber nicht.

Oder meintest du etwas anderes? face-smile
dog
dog 14.03.2011 um 19:22:53 Uhr
Goto Top
Der ISA fragt ja auch danach, aber der IE lehnt es ab die so zu senden.
Nur mit der Standard-Authentifikation nimmt es der IE an und fragt den Benutzer nach den Daten.
NoFear51
NoFear51 15.03.2011 um 08:10:42 Uhr
Goto Top
Ne leider keine Änderung..