ISA-Server 2006 verweigert HTTP Verbindung (nicht autorisiert)
Hallo,
wir haben einen ISA-Server 2006 auf W2K2003-R2 im Einsatz, schon seit langem.
Eine ausgewählte AD-Gruppe (Informatik) mit wenigen Leuten darf hier laut Regel über den ISA FTP/HTTP/HTTPS Verkehr nach draußen tätigen.
Bei Bedingung ist eben nicht "Alle Benutzer" gesetzt, sondern die besagte AD-Gruppe Informatik.
Das funktionierte soweit immer einwandfrei. Heute morgen jedoch funktionierte VPN, Mailverkehr und auch der PING nach draußen korrekt, allerdings normales Surfen über HTTP (IE-8, Moz) nicht mehr (!!).
Hab mir die Protokollierung aufm ISA-2006 angeworfen und er brachte die Meldung: anonymous -> autorisierung fehlgeschlagen, also anscheinend habe ich mich nicht am ISA korrekt authentifizieren können.
Ein ähnliches Problem hatte ich letztens, als ich die Regel "Intern -> Server (RDP)" von "Alle Benutzer" auf "Informatik AD Gruppe" umgestellt hab, da war danach kein Zugriff via RDP mehr auf unsere Server möglich, kam immer "nicht autorisiert".
Nach Restart des MS-Firewall-Dienstes funktionierte es wieder.
An was kann das liegen? Am einem Cache? An einer Einstellung am ISA? An bestimmten Benutzern?
Bin echt ratlos....
wir haben einen ISA-Server 2006 auf W2K2003-R2 im Einsatz, schon seit langem.
Eine ausgewählte AD-Gruppe (Informatik) mit wenigen Leuten darf hier laut Regel über den ISA FTP/HTTP/HTTPS Verkehr nach draußen tätigen.
Bei Bedingung ist eben nicht "Alle Benutzer" gesetzt, sondern die besagte AD-Gruppe Informatik.
Das funktionierte soweit immer einwandfrei. Heute morgen jedoch funktionierte VPN, Mailverkehr und auch der PING nach draußen korrekt, allerdings normales Surfen über HTTP (IE-8, Moz) nicht mehr (!!).
Hab mir die Protokollierung aufm ISA-2006 angeworfen und er brachte die Meldung: anonymous -> autorisierung fehlgeschlagen, also anscheinend habe ich mich nicht am ISA korrekt authentifizieren können.
Ein ähnliches Problem hatte ich letztens, als ich die Regel "Intern -> Server (RDP)" von "Alle Benutzer" auf "Informatik AD Gruppe" umgestellt hab, da war danach kein Zugriff via RDP mehr auf unsere Server möglich, kam immer "nicht autorisiert".
Nach Restart des MS-Firewall-Dienstes funktionierte es wieder.
An was kann das liegen? Am einem Cache? An einer Einstellung am ISA? An bestimmten Benutzern?
Bin echt ratlos....
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 166542
Url: https://administrator.de/forum/isa-server-2006-verweigert-http-verbindung-nicht-autorisiert-166542.html
Ausgedruckt am: 23.12.2024 um 16:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo!
Ich kann Deine Munkeleien nicht verfizieren
Mit Glück hat das auch nichts zu tun...
Vielmehr verwendet ISA die Credentials, die bei der Windows-Anmeldung angegeben wurden...
Die Funktion des Firewall Client wird hier erläutert: http://www.msisafaq.de/anleitungen/2004/Grundlagen/Firewallclient.htm
Nichts desto trotz habe ich einen Verdacht, wo die Ursache Deines Problems zu suchen ist:
diese "Lösung" kann als Reaktion auf 2 Fehler hilfreich sein:
1.) der ISA-Server hat sich aufgehängt (kann sein...)
2.) zum Zeitpunkt, an dem der MS-Firewall-Dienst gestartet wurde, war kein Anmeldeserver (=DC) vorhanden...
Dadurch konnte sich der ISA nicht im AD authentifizieren, dadurch authentifiziert er jetzt auch die User nicht mehr...
falls 2.) zutrifft:
kann es sein, dass ISA heute Nacht ein Update installiert hat (ebenso der DC) und dass dadurch - beim Reboot des ISA - der DC nicht ansprechbar war?
auf 2.) würde auch hindeuten, falls Du jetzt NICHT auf das AD vom ISA aus zugreifen kannst...
Lösung wäre, die Zeitpunkte für "automatische updates" auf allen Server zu unterschiedlichen Zeiten laufen zu lassen...
PS: würde mich freuen, wenn Du uns Bescheid sagen könntest, ob ein Tipp hilfreich war
lg
Edi
Ich kann Deine Munkeleien nicht verfizieren
Mit Glück hat das auch nichts zu tun...
Vielmehr verwendet ISA die Credentials, die bei der Windows-Anmeldung angegeben wurden...
Die Funktion des Firewall Client wird hier erläutert: http://www.msisafaq.de/anleitungen/2004/Grundlagen/Firewallclient.htm
Nichts desto trotz habe ich einen Verdacht, wo die Ursache Deines Problems zu suchen ist:
Nach Restart des MS-Firewall-Dienstes funktionierte es wieder.
diese "Lösung" kann als Reaktion auf 2 Fehler hilfreich sein:
1.) der ISA-Server hat sich aufgehängt (kann sein...)
2.) zum Zeitpunkt, an dem der MS-Firewall-Dienst gestartet wurde, war kein Anmeldeserver (=DC) vorhanden...
Dadurch konnte sich der ISA nicht im AD authentifizieren, dadurch authentifiziert er jetzt auch die User nicht mehr...
falls 2.) zutrifft:
kann es sein, dass ISA heute Nacht ein Update installiert hat (ebenso der DC) und dass dadurch - beim Reboot des ISA - der DC nicht ansprechbar war?
auf 2.) würde auch hindeuten, falls Du jetzt NICHT auf das AD vom ISA aus zugreifen kannst...
Lösung wäre, die Zeitpunkte für "automatische updates" auf allen Server zu unterschiedlichen Zeiten laufen zu lassen...
PS: würde mich freuen, wenn Du uns Bescheid sagen könntest, ob ein Tipp hilfreich war
lg
Edi
Hallo!
Freut mich, dass Du die Ursache des Problems (möglicherweise durch meine Anregung) gefunden hast!
Beim ISA-Server ist die Startreihenfolge der Infrastruktur von gesteigerter Bedeutung (was ich gestern anlässlich eines Stromausfalls wieder mal bemerken musste/durfte...)
Liegt aber in der Natur der Architektur...
lg
Edi
Freut mich, dass Du die Ursache des Problems (möglicherweise durch meine Anregung) gefunden hast!
Beim ISA-Server ist die Startreihenfolge der Infrastruktur von gesteigerter Bedeutung (was ich gestern anlässlich eines Stromausfalls wieder mal bemerken musste/durfte...)
Liegt aber in der Natur der Architektur...
lg
Edi