2
ISA Server 2004 - große Probleme - Gruppen in Richtlinien
Hallo zusammen,
ich habe hier einen ISA 2004. voll funktionsfähig und alles bestens am laufen.
Der grundsätzliche Aufbau...
ISA hat 3 Interfaces, 1 zum Router, 1 zum Netz "KSN" und 1 zum Netz "WGE".
In "KSN" ist der root-DC ksn.local, in "WGE" der dc für wge.ksn.local.
Der ISA ist Mitglied in wge.ksn.local, beide "internen" Netze werden durch den ISA verbunden, läuft soweit alles gut.
So, nun zum Problem...
Ich verwende einige Regeln zur Steuerung des Internetzugriff.
Dafür sind Computersätze definiert die dann über entsprechende Regeln Zugriff auf "Extern" bekommen oder nicht.
Geht auch alles.
Nun will ich einige Benutzer von der Filterung ausnehmen.
Daher habe ich eine Regel VOR den anderen Regeln definiert ...
ZULASSEN VON (WGE, KSN) NACH (Extern) FÜR (FREIE BENUTZER).
In "Freie Benutzer" ist eine lokale Sicherheitsgruppe "InternetGruppe" der Domäne wge.ksn.local drin. Die habe ich auch einfach selektieren können.
Nun, wenn diese Regel aktiv ist, geht GAR kein Internetverkehr mehr aus den internen Netzen raus, egal mit welchem Benutzer. Es kommt aber auch keine Fehler- oder Sperrmeldung,
im Browser kommt nur nach einige Zeit "Website kann nicht angezeigt werden"....
Dabei ist es auch egal, wer oder was in diesem Benutzersatz "Freie Benutzer" drin ist.
Sobald ein solcher Satz in der Richtlinie drin ist, geht nix mehr.
In der ISA-Überwachung kommt manchmal ein "Zugriff verweigert" mit dem Regelnamen, obwohl dass ja eine ZULASSEN-Regel ist ?!
Interessant ist, das unter Details hier als "ursprüngliche Adresse" 0.0.0.0 steht und nicht die IP des Clients (die aber sehr wohl über "Details" steht).
Ich habe das Gefühl, dass da irgendwas mit der Abfrage der Benutzer aus der ADS nicht klappt.
Im Ereignisprotokoll ist nix zu finden, das Browsen der ADS im ISA geht auch, sieht man ja beim hinzufügen der ADS-Gruppe zum Benutzersatz.
Hat jemand eine Idee?
Ich hoffe es innständig, ich verzweifle hier bald.
Danke im Vorraus und Schöne Grüße,
Jan
P.S. wird die Regel deaktiviert funktioniert natürlich wieder alles einwandfei
ich habe hier einen ISA 2004. voll funktionsfähig und alles bestens am laufen.
Der grundsätzliche Aufbau...
ISA hat 3 Interfaces, 1 zum Router, 1 zum Netz "KSN" und 1 zum Netz "WGE".
In "KSN" ist der root-DC ksn.local, in "WGE" der dc für wge.ksn.local.
Der ISA ist Mitglied in wge.ksn.local, beide "internen" Netze werden durch den ISA verbunden, läuft soweit alles gut.
So, nun zum Problem...
Ich verwende einige Regeln zur Steuerung des Internetzugriff.
Dafür sind Computersätze definiert die dann über entsprechende Regeln Zugriff auf "Extern" bekommen oder nicht.
Geht auch alles.
Nun will ich einige Benutzer von der Filterung ausnehmen.
Daher habe ich eine Regel VOR den anderen Regeln definiert ...
ZULASSEN VON (WGE, KSN) NACH (Extern) FÜR (FREIE BENUTZER).
In "Freie Benutzer" ist eine lokale Sicherheitsgruppe "InternetGruppe" der Domäne wge.ksn.local drin. Die habe ich auch einfach selektieren können.
Nun, wenn diese Regel aktiv ist, geht GAR kein Internetverkehr mehr aus den internen Netzen raus, egal mit welchem Benutzer. Es kommt aber auch keine Fehler- oder Sperrmeldung,
im Browser kommt nur nach einige Zeit "Website kann nicht angezeigt werden"....
Dabei ist es auch egal, wer oder was in diesem Benutzersatz "Freie Benutzer" drin ist.
Sobald ein solcher Satz in der Richtlinie drin ist, geht nix mehr.
In der ISA-Überwachung kommt manchmal ein "Zugriff verweigert" mit dem Regelnamen, obwohl dass ja eine ZULASSEN-Regel ist ?!
Interessant ist, das unter Details hier als "ursprüngliche Adresse" 0.0.0.0 steht und nicht die IP des Clients (die aber sehr wohl über "Details" steht).
Ich habe das Gefühl, dass da irgendwas mit der Abfrage der Benutzer aus der ADS nicht klappt.
Im Ereignisprotokoll ist nix zu finden, das Browsen der ADS im ISA geht auch, sieht man ja beim hinzufügen der ADS-Gruppe zum Benutzersatz.
Hat jemand eine Idee?
Ich hoffe es innständig, ich verzweifle hier bald.
Danke im Vorraus und Schöne Grüße,
Jan
P.S. wird die Regel deaktiviert funktioniert natürlich wieder alles einwandfei
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 66649
Url: https://administrator.de/contentid/66649
Printed on: April 25, 2024 at 13:04 o'clock
2 Comments
Latest comment
Hallo; 
du authentifiziert deine Clients sonst nur via DNS und WINS Auflösung richtig?
...und jetzt willst du zwischendurch einfach gezielt User aus dem AD authentifizieren lassen?
In welcher Reihenfolge steht die Regel zu einer die es veilleicht verbietet?
Bringt der Browser überhaupt ein Fenster zum authentifizieren?
Wenn nein dann mal checken ob:
Extras --> Internetoptionen --> Verbindungen --> Einstellungen --> Proxyserver und dort der ISA steht.
Gruß
Micha
du authentifiziert deine Clients sonst nur via DNS und WINS Auflösung richtig?
...und jetzt willst du zwischendurch einfach gezielt User aus dem AD authentifizieren lassen?
In welcher Reihenfolge steht die Regel zu einer die es veilleicht verbietet?
Bringt der Browser überhaupt ein Fenster zum authentifizieren?
Wenn nein dann mal checken ob:
Extras --> Internetoptionen --> Verbindungen --> Einstellungen --> Proxyserver und dort der ISA steht.
Gruß
Micha
Hallo, danke für die Antwort.
Der ISA läuft aber nicht als Proxy, sondern nur als (sozusagen) transparenter Filter.
Da auch die zugreifenden Rechner Domänenmitglieder sind, sollte der ISA die Benutzer automatisch über ihr Kerberos-Ticket authentifizieren.
Vor dieser Regel stehen nur 2 Regeln, die vollen IP-Verkehr zwischen den Netzen WGE und KSN zulassen sowie externen DNS-Verkehr zulassen (also Namensauflösung im Internet).
Sonst nichts, die Systemrichtlinie wurde auch nicht verändert.
P.S.: Nein, es kommt keinerlei Abfrage (ist ja auch nicht gewünscht)
Der ISA läuft aber nicht als Proxy, sondern nur als (sozusagen) transparenter Filter.
Da auch die zugreifenden Rechner Domänenmitglieder sind, sollte der ISA die Benutzer automatisch über ihr Kerberos-Ticket authentifizieren.
Vor dieser Regel stehen nur 2 Regeln, die vollen IP-Verkehr zwischen den Netzen WGE und KSN zulassen sowie externen DNS-Verkehr zulassen (also Namensauflösung im Internet).
Sonst nichts, die Systemrichtlinie wurde auch nicht verändert.
P.S.: Nein, es kommt keinerlei Abfrage (ist ja auch nicht gewünscht)
