Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ISA Server 2004 - große Probleme - Gruppen in Richtlinien

Mitglied: jcvmaster

jcvmaster (Level 1) - Jetzt verbinden

20.08.2007, aktualisiert 21.08.2007, 3166 Aufrufe, 2 Kommentare

Hallo zusammen,

ich habe hier einen ISA 2004. voll funktionsfähig und alles bestens am laufen.
Der grundsätzliche Aufbau...

ISA hat 3 Interfaces, 1 zum Router, 1 zum Netz "KSN" und 1 zum Netz "WGE".
In "KSN" ist der root-DC ksn.local, in "WGE" der dc für wge.ksn.local.
Der ISA ist Mitglied in wge.ksn.local, beide "internen" Netze werden durch den ISA verbunden, läuft soweit alles gut.

So, nun zum Problem...
Ich verwende einige Regeln zur Steuerung des Internetzugriff.
Dafür sind Computersätze definiert die dann über entsprechende Regeln Zugriff auf "Extern" bekommen oder nicht.
Geht auch alles.

Nun will ich einige Benutzer von der Filterung ausnehmen.
Daher habe ich eine Regel VOR den anderen Regeln definiert ...
ZULASSEN VON (WGE, KSN) NACH (Extern) FÜR (FREIE BENUTZER).

In "Freie Benutzer" ist eine lokale Sicherheitsgruppe "InternetGruppe" der Domäne wge.ksn.local drin. Die habe ich auch einfach selektieren können.
Nun, wenn diese Regel aktiv ist, geht GAR kein Internetverkehr mehr aus den internen Netzen raus, egal mit welchem Benutzer. Es kommt aber auch keine Fehler- oder Sperrmeldung,
im Browser kommt nur nach einige Zeit "Website kann nicht angezeigt werden"....
Dabei ist es auch egal, wer oder was in diesem Benutzersatz "Freie Benutzer" drin ist.
Sobald ein solcher Satz in der Richtlinie drin ist, geht nix mehr.

In der ISA-Überwachung kommt manchmal ein "Zugriff verweigert" mit dem Regelnamen, obwohl dass ja eine ZULASSEN-Regel ist ?!
Interessant ist, das unter Details hier als "ursprüngliche Adresse" 0.0.0.0 steht und nicht die IP des Clients (die aber sehr wohl über "Details" steht).

Ich habe das Gefühl, dass da irgendwas mit der Abfrage der Benutzer aus der ADS nicht klappt.
Im Ereignisprotokoll ist nix zu finden, das Browsen der ADS im ISA geht auch, sieht man ja beim hinzufügen der ADS-Gruppe zum Benutzersatz.

Hat jemand eine Idee?
Ich hoffe es innständig, ich verzweifle hier bald.

Danke im Vorraus und Schöne Grüße,
Jan

P.S. wird die Regel deaktiviert funktioniert natürlich wieder alles einwandfei
Mitglied: damicka
20.08.2007 um 21:42 Uhr
Hallo;
du authentifiziert deine Clients sonst nur via DNS und WINS Auflösung richtig?
...und jetzt willst du zwischendurch einfach gezielt User aus dem AD authentifizieren lassen?
In welcher Reihenfolge steht die Regel zu einer die es veilleicht verbietet?
Bringt der Browser überhaupt ein Fenster zum authentifizieren?
Wenn nein dann mal checken ob:
Extras --> Internetoptionen --> Verbindungen --> Einstellungen --> Proxyserver und dort der ISA steht.

Gruß
Micha
Bitte warten ..
Mitglied: jcvmaster
21.08.2007 um 03:15 Uhr
Hallo, danke für die Antwort.
Der ISA läuft aber nicht als Proxy, sondern nur als (sozusagen) transparenter Filter.
Da auch die zugreifenden Rechner Domänenmitglieder sind, sollte der ISA die Benutzer automatisch über ihr Kerberos-Ticket authentifizieren.

Vor dieser Regel stehen nur 2 Regeln, die vollen IP-Verkehr zwischen den Netzen WGE und KSN zulassen sowie externen DNS-Verkehr zulassen (also Namensauflösung im Internet).
Sonst nichts, die Systemrichtlinie wurde auch nicht verändert.


P.S.: Nein, es kommt keinerlei Abfrage (ist ja auch nicht gewünscht)
Bitte warten ..
Ähnliche Inhalte
Windows 10

Windows 10 32Bit, ISA Steckkarte und 16Bit Anwendung?

Frage von maddocWindows 104 Kommentare

Hi Leute. Wir haben ein selbstentwickeltes Produkt was für Windows NT gedacht war. Also schon recht alt. Nichts desto ...

Windows 10

Großes Problem!

gelöst Frage von L.0.B.0.TWindows 1022 Kommentare

Ich habe Windows im sicheren Modus gestartet, alles läuft normal ausser das nur cmd gestartet wir und ich keine ...

HTML

Favicon problem

gelöst Frage von HansJoachmHTML6 Kommentare

Hi, wenn ich auf eine meiner Serverseiten mit https: zugreife, wird das favicon korrekt angezeigt, wenn ich auf die ...

Webbrowser

Zertifikats Problem

Frage von brammerWebbrowser4 Kommentare

Hallo, wir haben bei einem Kunden eine etwa spezielle Regelung was den Zugriff auf Maschinen für Wartungszwecke angeht. Der ...

Neue Wissensbeiträge
Microsoft Office
O365 Makro Schutz nicht immer per GPO möglich
Information von sabines vor 20 StundenMicrosoft Office

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 2 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 2 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 4 TagenHumor (lol)19 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Windows Server
Windows Server 2019 RDP auf anderen Port umlegen scheint zumindest in der Firewall nicht zu funktionieren
gelöst Frage von kfj-deWindows Server18 Kommentare

Hallo zusammen, habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der ...

Netzwerke
FortiGate Firewall Konfiguration
gelöst Frage von ObaidaNetzwerke14 Kommentare

Guten Morgen, ich möchte fragen, wenn man eine Firewall zwischen den Server, der für eine Umgebung test gemacht wurde ...

Windows 10
Windows 10 das klassische Startmenü
Frage von Daoudi1973Windows 1012 Kommentare

Hallo zusammen, wie kann ich bitte ohne zusätsliche Tolls wie "das kostenlose Programm Open Shell" im Windows 10 das ...

Windows Server
Problem bei der Installation von .Net Framework 3.5 auf Server 2012R2
Frage von Timo0oWindows Server12 Kommentare

Hallo zusammen, vielleicht kann mir hier wer helfen ich bin nämlich langsam am Verzweifeln. Ich habe hier einen Server ...