5
ISA 2000 - Regeln greifen teilweise nicht
Hallo zusammen,
ich habe folgendes Problem an unserem ISA Server:
Wir möchten das lediglich die Gruppe "Internet-User" Zugriff auf das WWW erhält, soweit ja kein Problem, allerdings stellen sich mir einige Hindernisse in den Weg.
Zum einen Sperren wir einige Websites, dies funktioniert auch bisher tadellos. Zusätzlich zu den Usern die in der Gruppe "Internet-User" sind sollen noch weitere Benutzer Zugriff bekommen, aber nur für einige spezielle Seiten. Das läuft ebenfalls bereits problemlos. Und jetzt kommt der Clou: Normalerweise lege ich eine Inhaltsregel an und sage: Traffic für Extern zulassen, wenn Nutzer in Gruppe "Internet-User". Das läuft aber nicht
- der Zugriff aufs Web wird nur gestattet wenn ich eine Any-Any-Regel anlege und das ist einfach nicht Sinn der Sache. Sobald ich die Any-Any-Regel deaktiviere/lösche blockiert der ISA den gesamten Zugriff aufs Web, obwohl ich in der Internetusergruppe bin. Die Kommunikation mit dem AD ist ok, eine Gegengrüfung findet statt, aber iwie bekomme ich keine Weiterleitung ins Netz verpasst.
Ich habe das Komplette Regelwerk bereits neu angelegt, aber keine Veränderung erzielen können. Gibt es im ISA 2000 irgendwo die Möglichkeit zu priorisieren oder etwas ähnliches einzustellen? Wo kann noch der Haken sein? Ich bin im Augenblick etwas ratlos, zumal ich unseren alten ISA angefahren habe, dort ist die Konfiguration identisch. Freue mich über jeden Hinweis!
Es handelt sich um ISA Server 2000, Cache-Modus, außerdem läuft noch die TM Viruswall 7 drauf (gibts da Probleme im Zusammenspiel, trotz unterschiedlicher Portbelegungen?). ich freue mich über alle Ideen/Vorschläge
.
Gruß, scrymate
ich habe folgendes Problem an unserem ISA Server:
Wir möchten das lediglich die Gruppe "Internet-User" Zugriff auf das WWW erhält, soweit ja kein Problem, allerdings stellen sich mir einige Hindernisse in den Weg.
Zum einen Sperren wir einige Websites, dies funktioniert auch bisher tadellos. Zusätzlich zu den Usern die in der Gruppe "Internet-User" sind sollen noch weitere Benutzer Zugriff bekommen, aber nur für einige spezielle Seiten. Das läuft ebenfalls bereits problemlos. Und jetzt kommt der Clou: Normalerweise lege ich eine Inhaltsregel an und sage: Traffic für Extern zulassen, wenn Nutzer in Gruppe "Internet-User". Das läuft aber nicht
- der Zugriff aufs Web wird nur gestattet wenn ich eine Any-Any-Regel anlege und das ist einfach nicht Sinn der Sache. Sobald ich die Any-Any-Regel deaktiviere/lösche blockiert der ISA den gesamten Zugriff aufs Web, obwohl ich in der Internetusergruppe bin. Die Kommunikation mit dem AD ist ok, eine Gegengrüfung findet statt, aber iwie bekomme ich keine Weiterleitung ins Netz verpasst.Ich habe das Komplette Regelwerk bereits neu angelegt, aber keine Veränderung erzielen können. Gibt es im ISA 2000 irgendwo die Möglichkeit zu priorisieren oder etwas ähnliches einzustellen? Wo kann noch der Haken sein? Ich bin im Augenblick etwas ratlos, zumal ich unseren alten ISA angefahren habe, dort ist die Konfiguration identisch. Freue mich über jeden Hinweis!
Es handelt sich um ISA Server 2000, Cache-Modus, außerdem läuft noch die TM Viruswall 7 drauf (gibts da Probleme im Zusammenspiel, trotz unterschiedlicher Portbelegungen?). ich freue mich über alle Ideen/Vorschläge
.Gruß, scrymate
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 138100
Url: https://administrator.de/forum/isa-2000-regeln-greifen-teilweise-nicht-138100.html
Ausgedruckt am: 16.04.2025 um 07:04 Uhr
5 Kommentare
Neuester Kommentar
Hallo!
ich würde Dir gerne helfen, scheitere aber an der Erkennung des Problems...
ich lese nur etwas von
mag sein, dass es an mir scheitert...
Falls nicht: (daran erkennbar, dass in geraumer Zeit niemand einen brauchbaren Vorschlag abgibt...):
gib doch mal bekannt
- was funktioniert
- was NICHT funktioniert
falls Du dich auch noch ein bissl mit Absätzen anfreunden könntest, würde ich mein Möglichstes tun...
lg
Edi
ich würde Dir gerne helfen, scheitere aber an der Erkennung des Problems...
ich lese nur etwas von
soweit ja kein Problem
. Das läuft ebenfalls bereits problemlos.
. Das läuft ebenfalls bereits problemlos.
mag sein, dass es an mir scheitert...
Falls nicht: (daran erkennbar, dass in geraumer Zeit niemand einen brauchbaren Vorschlag abgibt...):
gib doch mal bekannt
- was funktioniert
- was NICHT funktioniert
falls Du dich auch noch ein bissl mit Absätzen anfreunden könntest, würde ich mein Möglichstes tun...
lg
Edi
Moin,
D.h. du erstellst deine Regeln und zum Schluss sollte "Deny any any" stehen.
Mach mal bitte einen Screenshot von deinem Regelwerk und lade es hier hoch.
Grüße,
Dani
Gibt es im ISA 2000 irgendwo die Möglichkeit zu priorisieren oder etwas ähnliches einzustellen?
Das wird an der Reihenfolge der Regeln definiert. Vorne steht an jeder Regel eine Zahl. Und genau so läuft der ISA das Regelwerk durch.D.h. du erstellst deine Regeln und zum Schluss sollte "Deny any any" stehen.
Mach mal bitte einen Screenshot von deinem Regelwerk und lade es hier hoch.
Grüße,
Dani
Hallo Edi,
also ich finde meine Text gut, wenn man ihn komplett liest steht auch das Problem drin ... hier der entspr. Ausschnitt:
"Normalerweise lege ich eine Inhaltsregel an und sage: Traffic für Extern zulassen, wenn Nutzer in Gruppe "Internet-User". Das läuft aber nicht - der Zugriff aufs Web wird nur gestattet wenn ich eine Any-Any-Regel anlege und das ist einfach nicht Sinn der Sache. Sobald ich die Any-Any-Regel deaktiviere/lösche blockiert der ISA den gesamten Zugriff aufs Web, obwohl ich in der Internetusergruppe bin. Die Kommunikation mit dem AD ist ok, eine Gegengrüfung findet statt, aber iwie bekomme ich keine Weiterleitung ins Netz verpasst."
Gruß Philipp
also ich finde meine Text gut, wenn man ihn komplett liest steht auch das Problem drin ... hier der entspr. Ausschnitt:
"Normalerweise lege ich eine Inhaltsregel an und sage: Traffic für Extern zulassen, wenn Nutzer in Gruppe "Internet-User". Das läuft aber nicht - der Zugriff aufs Web wird nur gestattet wenn ich eine Any-Any-Regel anlege und das ist einfach nicht Sinn der Sache. Sobald ich die Any-Any-Regel deaktiviere/lösche blockiert der ISA den gesamten Zugriff aufs Web, obwohl ich in der Internetusergruppe bin. Die Kommunikation mit dem AD ist ok, eine Gegengrüfung findet statt, aber iwie bekomme ich keine Weiterleitung ins Netz verpasst."
Gruß Philipp
Hallo Dani,
ich hab ein Bild oben hinzugefügt. Also ich kenne die Priorisierung, Zahlen an der Seite beim ISA, allerdings sind die mir erst ab ISA 2004 bekannt und nicht unter 2000, aber wer weiß, vielleicht bin ich einfach nur unwissend =) - klärt mich auf!
Gruß
Philipp
ich hab ein Bild oben hinzugefügt. Also ich kenne die Priorisierung, Zahlen an der Seite beim ISA, allerdings sind die mir erst ab ISA 2004 bekannt und nicht unter 2000, aber wer weiß, vielleicht bin ich einfach nur unwissend =) - klärt mich auf!
Gruß
Philipp
Hallo Philipp!
Sorry, ich wollte Dir nicht zu nahe treten und offensichtlich ist es auch an mir gescheitert...
leider habe ich nur Erfahrung mit ISA 2004/2006.
Dort gibt es zusätzlich eine Spalte mit einer Nummer, und in dieser Reihenfolge werden die Regeln dann abgearbeitet...
Dein Screenshot hat aber leider mit ISA 2004/06 wenig bis nichts zu tun...
Vielleicht gibt es ja irgendetwas adäphates, das sich in einer der hinteren Spalten verbirgt...
Für ISA2004/06 gilt: die Firewallrchtlinie mit der höchsten Nummer wird als erstes abgearbeitet, diejenige mit derniedrigsten Nummer als letzte.
Tut mir leid, dass ich Dir nicht besser weiterhelfen kann...
lg
Edi
Sorry, ich wollte Dir nicht zu nahe treten und offensichtlich ist es auch an mir gescheitert...
leider habe ich nur Erfahrung mit ISA 2004/2006.
Dort gibt es zusätzlich eine Spalte mit einer Nummer, und in dieser Reihenfolge werden die Regeln dann abgearbeitet...
Dein Screenshot hat aber leider mit ISA 2004/06 wenig bis nichts zu tun...
Vielleicht gibt es ja irgendetwas adäphates, das sich in einer der hinteren Spalten verbirgt...
Für ISA2004/06 gilt: die Firewallrchtlinie mit der höchsten Nummer wird als erstes abgearbeitet, diejenige mit derniedrigsten Nummer als letzte.
Tut mir leid, dass ich Dir nicht besser weiterhelfen kann...
lg
Edi
