1
Isa Server 2004 Benutzerauthentifizierung funktioniert nicht!
Hallo zusammen!
Ich habe folgendes Problem:
Ich habe einen ISA Server 2004 auf W2k3 (172.18.0.1) installiert. Dieser Server hat 2 NICs. Er routet zwichen internem Netz (172.18.0.0) und dem Internet (über DFÜ).
Außerdem stellt er eine Verbindung zu einem Remotestandort her (VPN). Nun möchte ich den Zugang auf den VPN regeln.
Das ganze möchte ich mit Firewallregeln realisieren. Dazu habe ich auf einem separaten W2k3 Server (172.18.0.5) installiert. Dort habe ich einen DC inkl AD und IAS installiert. Im ISA Server habe ich dann als RADIUS Server 172.18.0.5 eingetragen. Alles in allem habe ich es so gemacht: http://www.msisafaq.de/anleitungen/2004/Konfiguration/ISAIAS.htm
Die Firewallregel habe ich so angepasst, dass alle RADIUS User auf den Tunnel Zugriff haben.
Nun wollte ich von einem angeschlossen Client WinXP (172.18.0.21). (Domändenmitglied, als User an Domäne angemeldet) einen Ping auf den VPN Tunnel machen. Ergebnis: Zeitüberschreitung
Schaue ich im Protokoll des ISA Servers nach, sehe ich dort, dass die Verbindung verweigert wurde. Als Clientbenutzername steht hier nichts. Das ist das was mich stutzig macht. Ich habe auf dem Client den ISA Firewallclient installiert und den ISA Server hinzugefügt. Eine Verbindung ist DA!
Jetzt meine Frage: Warum meldet sich der Client nicht ordnungsgemäß am ISA Server an? Denn wenn er das machen würde, müsste er ja aufgrund der Firewallrichtlinie Zugriff auf den Tunnel haben!
Gruß Daniel
Ich habe folgendes Problem:
Ich habe einen ISA Server 2004 auf W2k3 (172.18.0.1) installiert. Dieser Server hat 2 NICs. Er routet zwichen internem Netz (172.18.0.0) und dem Internet (über DFÜ).
Außerdem stellt er eine Verbindung zu einem Remotestandort her (VPN). Nun möchte ich den Zugang auf den VPN regeln.
Das ganze möchte ich mit Firewallregeln realisieren. Dazu habe ich auf einem separaten W2k3 Server (172.18.0.5) installiert. Dort habe ich einen DC inkl AD und IAS installiert. Im ISA Server habe ich dann als RADIUS Server 172.18.0.5 eingetragen. Alles in allem habe ich es so gemacht: http://www.msisafaq.de/anleitungen/2004/Konfiguration/ISAIAS.htm
Die Firewallregel habe ich so angepasst, dass alle RADIUS User auf den Tunnel Zugriff haben.
Nun wollte ich von einem angeschlossen Client WinXP (172.18.0.21). (Domändenmitglied, als User an Domäne angemeldet) einen Ping auf den VPN Tunnel machen. Ergebnis: Zeitüberschreitung
Schaue ich im Protokoll des ISA Servers nach, sehe ich dort, dass die Verbindung verweigert wurde. Als Clientbenutzername steht hier nichts. Das ist das was mich stutzig macht. Ich habe auf dem Client den ISA Firewallclient installiert und den ISA Server hinzugefügt. Eine Verbindung ist DA!
Jetzt meine Frage: Warum meldet sich der Client nicht ordnungsgemäß am ISA Server an? Denn wenn er das machen würde, müsste er ja aufgrund der Firewallrichtlinie Zugriff auf den Tunnel haben!
Gruß Daniel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 98842
Url: https://administrator.de/contentid/98842
Printed on: April 23, 2024 at 12:04 o'clock
1 Comment
update: Ich habe mal ein bisschen rumprobiert. Wenn ich den http Verkehr in einer Firewallregel begrenze, muss ich im Browser den ISA Server als Proxy eintragen und dann beim Aufrufen einer Website an der Domäne anmelden.
Bei einem reinen Ping springt logischerweise kein Anmeldefenster auf. Kann es sein, dass man nur den Webzugriff durch Authentifizierung regeln kann?
Ich habe aber gelesen, dass man den Zugriff auf alle Protokolle bzw. Verbindungen ( zb. Vpn-tunnel) mit authentifizierung über den Firewallclient regeln kann.
Gruß und Danke schonmal
Daniel
Bei einem reinen Ping springt logischerweise kein Anmeldefenster auf. Kann es sein, dass man nur den Webzugriff durch Authentifizierung regeln kann?
Ich habe aber gelesen, dass man den Zugriff auf alle Protokolle bzw. Verbindungen ( zb. Vpn-tunnel) mit authentifizierung über den Firewallclient regeln kann.
Gruß und Danke schonmal
Daniel
