Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ISA Server 2006 Proxy Konfiguration für Computer außerhalb der Domäne

Mitglied: kalenderfamily

kalenderfamily (Level 1) - Jetzt verbinden

20.09.2011 um 20:18 Uhr, 3934 Aufrufe, 9 Kommentare

An einer Domäne soll ein AP angehängt werden, der es clients ermöglicht, das Internet zu benutzen

Guten Abend an alle!

Ich habe kürzlich einen AP an eine Domäne gehängt und hoffe, dass es jemanden gibt, der mir mit den Problemen des ISA Proxys helfen kann:

Zum Netzwerk: es gibt eine Domäne mit clients und einen AP, an dem Rechner über Wlan angebunden werden sollen.

Sobald sich ein Rechner über Wlan connected, erhält er als DNS den Proxy 10.1.1.1, soweit so gut.

Beim Aufrufen einer externen Seite blockiert der ISA aber! Er blockiert nicht, wenn ich bsp.weise im IE den Proxy manuell eingebe?!

Leider habe ich bisher noch nicht mit dem ISA gearbeitet, sodass ich mich noch nicht so gut auskenne .

Freue mich auf Antworten!

Grüße
Kalenderfamily
Mitglied: Pjordorf
20.09.2011 um 20:47 Uhr
Hallo,

Zitat von kalenderfamily:
Sobald sich ein Rechner über Wlan connected, erhält er als DNS den Proxy 10.1.1.1, soweit so gut.
Ist das die IP von deinem ISA Intern?

Beim Aufrufen einer externen Seite blockiert der ISA aber! Er blockiert nicht, wenn ich bsp.weise im IE den Proxy manuell eingebe?!
Der ISA ist auch dein Proxy und der erwartet irgendeine Form der Authentifizierung.

Leider habe ich bisher noch nicht mit dem ISA gearbeitet, sodass ich mich noch nicht so gut auskenne .
Dann wird es eine schwere Geburt.

Der ISA kennt 3(4) Arten der Authentifizierung eines Clients
1. FirewallClient http://www.msisafaq.de/Anleitungen/2004/Grundlagen/Firewallclient.htm
2. SecureNAT Client http://www.msisafaq.de/Anleitungen/2004/Grundlagen/SecureNAT-Client.htm
3. WebProxy Client http://www.msisafaq.de/Anleitungen/2004/Grundlagen/Webproxyclient.htm
4. gar keine Authentifizierung (all users)
Welche bei dir zum Tragen kommen, hängt von deinen Firewall Regeln ab. Desweiteren was ihr Auswerten wollt und wie ihr den Zugriff Regeln wollt.
Die Seite http://www.msisafaq.de/About/index.htm#Autoren sollte dir weiterhelfen.

Wenn du einmal begriffen hast wie eine Firewall / Applikation Firewall / Proxy und VPN Appliance so funktioniert,.ist es eigentlich recht einfach
http://de.wikipedia.org/wiki/Microsoft_Internet_Security_and_Accelerati ...

Gruß,
Peter
Bitte warten ..
Mitglied: kalenderfamily
20.09.2011 um 21:10 Uhr
Hallo Peter,

danke für die Links! Dass es nicht einfach werden wird, denke ich mir!

Ich vermute, dass die integrierte Authentifizierung anhand des Domänenbenutzers durchgeführt wird.

Wenn ich es richtig verstanden habe, funktioniert secureNat nur anhand einer IP.
Dies bedeutet bei dynamisch zugewiesenen IPs, dass die Rechner dahinter immer andere sein können,oder?

webproxyclient kann ich, wenn ich es richtig gelesen habe auch nur für Computer der Domäne automatisch verwenden.

Stehe ich gerade auf dem Schlauch?! Das kann doch nicht so schwer sein!...

Grüße
Kalenderfamily
Bitte warten ..
Mitglied: dog
20.09.2011 um 22:03 Uhr
funktioniert secureNat nur anhand einer IP.

Ja.

nur für Computer der Domäne automatisch verwenden.

Nein.
Proxies können auch für andere Rechner automatisch verteilt werden.
Lediglich die Benutzeranmeldung muss dann explizit passieren.
Bitte warten ..
Mitglied: kalenderfamily
21.09.2011 um 16:49 Uhr
Hallo Dog, danke für deinen Post!

Das ist denke ich, was ich suche! Wie kann ich auch den Nicht Domänenmitgliedern einen Proxymitgeben?

Besteht denn auch die Möglichkeit, dass sich nicht Domänenmitglieder am ISA authentifzieren? Genügt es, das Benutzerkonto und identische Passwort, welches der user auf seinem loaklen privat PC hat auch am ISA anzulegen?

Viele Grüße
Kalenderfamily
Bitte warten ..
Mitglied: dog
21.09.2011 um 16:55 Uhr
Wie kann ich auch den Nicht Domänenmitgliedern einen Proxymitgeben?

Stichwort: WPAD (Kann der ISA übrigens von Haus aus)

dass sich nicht Domänenmitglieder am ISA authentifzieren?

Ja, mit ihrem Domainlogin.
Alles andere habe ich nie versucht.
Bitte warten ..
Mitglied: kalenderfamily
28.09.2011 um 19:23 Uhr
Guten Abend!

Ich bin nun einen anderen Weg gegangen und habe die Maschine in die Domäne integriert.

Ein Problem besteht aber leider immer noch: der user muss den Proxy manuell einstellen (obwohl der Benutzer in der Domäne bereits angelegt war). Muss ich denn noch weitere Einstellungen vornehmen?

Grüße
Kalenderfamily
Bitte warten ..
Mitglied: Pjordorf
28.09.2011 um 19:51 Uhr
Hallo,

Zitat von kalenderfamily:
Ein Problem besteht aber leider immer noch: der user muss den Proxy manuell einstellen (obwohl der Benutzer in der Domäne bereits angelegt war).
Klar. Was hat das aufnehmen eines Benutzers in der Domäne mit "welche Einstellungen brauche ich um zum Proxy zu kommen" miteinander zu tun? Gar nichts. Nimmst du den Firewallclient kann der für dich die Proxyeinstellungen im Browser (IE) eintragen, oder du machst WPAD und DHCP, oder du machst es über eine Richtlinie, oder oder oder. Zuerst musst du dir darüber klar sein WIE der Client (Rechner/Gerät) insd Ient soll und dann WIE du es erlauben/verbieten willst. Du hast also Geräte und Benutzer. Suchs dir aus und danch legst du fest was du wo Einstellen willst. Im ISA gibt es den benutzer Jeder. Damit ist auch Jeder gemeint, ohne ausnahme.

Muss ich denn noch weitere Einstellungen vornehmen?
Nur Gateway oder auch Proxy im Browser? Berechtigung aufgrund des Rechnernames, die IP, einer Gruppe oder des Domänenbenutzernamens? Du wirst dir schon klar werden müssen was du willst. Die verschiedenen Clienttypen haben wir dir oben mit links schon genannt. Probiere diese an einen Testclient alle durch und sehe welche für dich in Frage kommen. Jeder Client hat vor- und nachteile. Ein ISA ist nichts was in 5 Minuten abgehakt ist. da musst du dich schon intensiv mit befassen. Eine Astaro wird auch nicht mal eben so eingerichtet.

Gruß,
Peter
Bitte warten ..
Mitglied: kalenderfamily
28.09.2011 um 21:41 Uhr
Hallo Peter,

dass es verschiedene Möglichkeiten gibt ist mir klar. Ich dachte, dass die integrierte Benutzerauthentifizierung eben die Zuweisung des Proxies erledigt. Da der Benutzer ja bereits in der Domäne angelegt ist und die Verbindung über den Proxy an jeder anderen Maschine funktioniert, frage ich mich, wieso es nicht an dieser funktioniert. Aber gut, dann muss ich schauen, ob die Berechtigung anhand des Computernamens erfolgt, denn der Benutzer ist ja bereits einer Benutzergruppe zugeteilt - daran kann es nciht liegen, genauso wenig an der IP!

Grüße
Kalenderfamily
Bitte warten ..
Mitglied: Pjordorf
28.09.2011 um 22:36 Uhr
Hallo,

Zitat von kalenderfamily:
Ich dachte, dass die integrierte Benutzerauthentifizierung eben die Zuweisung des Proxies erledigt.
Ne ne. Das sind unterschiedliche dinge. Du kannst deinem Browser doch auch sagen er soll einen Proxy in USA verwenden. Was hat das mit den Benutzernamen deiner Domäne zu tun? Nichts. Aber der Proxy in USA könnte ja auf dein AD zurückgreifen und dann diesen Benutzer....
Das zuweisen ob überhaupt ein Proxy benutzt wird musst du schon festlegen und dann entsprechend Konfigurieren.Falls dann der Proxy genommen wird, ist dann die Abfrage deines AD ob dieser Benutzer erlaubniss hat ja dann auch von dir gewünscht. dazu hast du den benutzer ja im AD angelegt. Proxyeinstellungen werden dadurch aber nicht irgendwie irgendwo auf irgendwelchen Geräten (Rechner) vorgenommen. Das ist ein anderer Schritt. das kann der Firewallclient machen. Du kannst es per DHCP machen (WPAD). Du kannst es per Richtlinie oder Registrierung machen ...

Da der Benutzer ja bereits in der Domäne angelegt ist und die Verbindung über den Proxy an jeder anderen Maschine funktioniert, frage ich mich, wieso es nicht an dieser funktioniert.
Meine Glaskugel sagt dazu: "Da ist etwas anders". Das können wir hier nicht wissen. Du sitzt vor dem ISA.

Jeder der oben genannten Clients hat andere Vorraussetzungen. Einige überschneiden sich. Teste die Clients einzel gezielt aus.Dabei die ISA Protokollierung genau beobachten. Dann lernst du auch die Regeln zu verstehen und wann welche angewendet wird (Reihenfolge beachten beim erstellen neuer Regeln. Die letzte sollte alle verbieten). Dabei kannst du sehr genau sehen ob es aufgrund einer IP, einer Gruppe oder eines Benutzers (geht nur mit dem Firewallclient - Port 1745) geht oder blockiert wird. Und bedenke, der Benutzer jeder ist wirklich jeder also auch Geräte ohne irgendwelche Benutzer zu kennen oder zu haben. Zum testen nicht gerade diesen verwenden sondern gezielt den Benutzernamen oder eine erstellte Gruppe nutzen.

daran kann es nciht liegen, genauso wenig an der IP!
Das hängt alles nur von deinen verwendeten Regeln ab.

(Zum testen einen Virtuellen SBS 2003 Premium aufsetzen. Dort dir mal die schon vorhandenen reglen des ISA 2004 anschauen)

Gruß,
Peter
Bitte warten ..
Ähnliche Inhalte
Windows Server
ISA Server 2006 Systemanforderungen
Frage von SillyBeanWindows Server4 Kommentare

Guten Tag ich habe mal eine Frage zu den Systemanforderungen von ISA Server 2006. Das Programm ist zwar etwas ...

Windows Server
Proxy-Konfiguration über .pac-Datei
gelöst Frage von newbistaWindows Server3 Kommentare

Guten Tag Zusammen, ich hätte mal eine Frage. Und zwar geht es um die automatische Proxykonfiguration anhand einer proxy.pac-Datei. ...

TK-Netze & Geräte
ETS-2006 ETS-2006 FAX an Fritz!Box 7490
Frage von SaintenrTK-Netze & Geräte16 Kommentare

Hallo Forum, wir haben Zuhause noch eine alte Auerswald TK-Anlage Da Türklingel etc darüber läuft, stellt sich mir die ...

Server

Apache Webserver im LAN via SSH reverse Proxy erreichbar - IP und vHost Konfiguration

Frage von NetworkUserServer2 Kommentare

Hallo liebe Community und einen schönen Sonntagmorgen :) , leider habe ich nach stundenlangem googeln keine Antwort gefunden und ...

Neue Wissensbeiträge
Windows 10

Windows 10 kann XPS erzeugen aber nicht anzeigen ????

Erfahrungsbericht von Deepsys vor 9 StundenWindows 10

Heute schickt mir ein Kollegen eine E-Mail mit einer XPS-Datei vom Kunden im Anhang und fragt wie er diese ...

Exchange Server

1und1 IONOS: Probleme beim Mailversand mit Exchange

Information von reksierp vor 19 StundenExchange Server3 Kommentare

Hallo, seit Do, 17.1.19 etwa Mittags nimmt 1und1 IONOS keine Mails mehr über den Standard-Port SMTP 25 an. Nachdem ...

LAN, WAN, Wireless

Cisco Mikrotik VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aqui vor 1 TagLAN, WAN, Wireless

1. Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials und beschreibt ...

Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 2 TagenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Temporäre WLAN Verbindung für AD-Login
Frage von Christian.WidauerLAN, WAN, Wireless17 Kommentare

Hallo zusammen, ich weiß leider nicht unter welchem Begriff ich dafür suchen muss, daher habe ich bisher leider nichts ...

Windows Server
MSSQL Backup in Form von .sql einspielen
Frage von janosch12Windows Server14 Kommentare

Guten Morgen, wir verwenden das Tool SQLandFTPBackup ( ) zum sichern einiger MSSQL Datenbanken. Nun sichert das Toll die ...

Netzwerkmanagement
Reverse Proxy für TCP und UDP Anfragen
gelöst Frage von flxklsNetzwerkmanagement14 Kommentare

Hallo zusammen, ich besitze einen Rootserver, der nur eine öffentliche IP besitzt und auf dem mehrere VMs laufen. Da ...

Microsoft Office
Office 2016 oder Office 2019
Frage von PeterzMicrosoft Office13 Kommentare

Hallo zusammen, wir müssen unser Office von 2010 auf eine neuere Version Umstellen. Jetzt stellt sich die Frage, ob ...