kalenderfamily
Goto Top

ISA Server 2006 Proxy Konfiguration für Computer außerhalb der Domäne

An einer Domäne soll ein AP angehängt werden, der es clients ermöglicht, das Internet zu benutzen

Guten Abend an alle!

Ich habe kürzlich einen AP an eine Domäne gehängt und hoffe, dass es jemanden gibt, der mir mit den Problemen des ISA Proxys helfen kann:

Zum Netzwerk: es gibt eine Domäne mit clients und einen AP, an dem Rechner über Wlan angebunden werden sollen.

Sobald sich ein Rechner über Wlan connected, erhält er als DNS den Proxy 10.1.1.1, soweit so gut.

Beim Aufrufen einer externen Seite blockiert der ISA aber! Er blockiert nicht, wenn ich bsp.weise im IE den Proxy manuell eingebe?!

Leider habe ich bisher noch nicht mit dem ISA gearbeitet, sodass ich mich noch nicht so gut auskenne face-sad.

Freue mich auf Antworten!

Grüße
Kalenderfamily

Content-Key: 173425

Url: https://administrator.de/contentid/173425

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: Pjordorf
Pjordorf 20.09.2011 um 20:47:43 Uhr
Goto Top
Hallo,

Zitat von @kalenderfamily:
Sobald sich ein Rechner über Wlan connected, erhält er als DNS den Proxy 10.1.1.1, soweit so gut.
Ist das die IP von deinem ISA Intern?

Beim Aufrufen einer externen Seite blockiert der ISA aber! Er blockiert nicht, wenn ich bsp.weise im IE den Proxy manuell eingebe?!
Der ISA ist auch dein Proxy und der erwartet irgendeine Form der Authentifizierung.

Leider habe ich bisher noch nicht mit dem ISA gearbeitet, sodass ich mich noch nicht so gut auskenne face-sad.
Dann wird es eine schwere Geburt.

Der ISA kennt 3(4) Arten der Authentifizierung eines Clients
1. FirewallClient http://www.msisafaq.de/Anleitungen/2004/Grundlagen/Firewallclient.htm
2. SecureNAT Client http://www.msisafaq.de/Anleitungen/2004/Grundlagen/SecureNAT-Client.htm
3. WebProxy Client http://www.msisafaq.de/Anleitungen/2004/Grundlagen/Webproxyclient.htm
4. gar keine Authentifizierung (all users)
Welche bei dir zum Tragen kommen, hängt von deinen Firewall Regeln ab. Desweiteren was ihr Auswerten wollt und wie ihr den Zugriff Regeln wollt.
Die Seite http://www.msisafaq.de/About/index.htm#Autoren sollte dir weiterhelfen.

Wenn du einmal begriffen hast wie eine Firewall / Applikation Firewall / Proxy und VPN Appliance so funktioniert,.ist es eigentlich recht einfachface-smile
http://de.wikipedia.org/wiki/Microsoft_Internet_Security_and_Accelerati ...

Gruß,
Peter
Mitglied: kalenderfamily
kalenderfamily 20.09.2011 um 21:10:15 Uhr
Goto Top
Hallo Peter,

danke für die Links! Dass es nicht einfach werden wird, denke ich mir!

Ich vermute, dass die integrierte Authentifizierung anhand des Domänenbenutzers durchgeführt wird.

Wenn ich es richtig verstanden habe, funktioniert secureNat nur anhand einer IP.
Dies bedeutet bei dynamisch zugewiesenen IPs, dass die Rechner dahinter immer andere sein können,oder?

webproxyclient kann ich, wenn ich es richtig gelesen habe auch nur für Computer der Domäne automatisch verwenden.

Stehe ich gerade auf dem Schlauch?! Das kann doch nicht so schwer sein!...

Grüße
Kalenderfamily
Mitglied: dog
dog 20.09.2011 um 22:03:19 Uhr
Goto Top
funktioniert secureNat nur anhand einer IP.

Ja.

nur für Computer der Domäne automatisch verwenden.

Nein.
Proxies können auch für andere Rechner automatisch verteilt werden.
Lediglich die Benutzeranmeldung muss dann explizit passieren.
Mitglied: kalenderfamily
kalenderfamily 21.09.2011 um 16:49:59 Uhr
Goto Top
Hallo Dog, danke für deinen Post!

Das ist denke ich, was ich suche! Wie kann ich auch den Nicht Domänenmitgliedern einen Proxymitgeben?

Besteht denn auch die Möglichkeit, dass sich nicht Domänenmitglieder am ISA authentifzieren? Genügt es, das Benutzerkonto und identische Passwort, welches der user auf seinem loaklen privat PC hat auch am ISA anzulegen?

Viele Grüße
Kalenderfamily
Mitglied: dog
dog 21.09.2011 um 16:55:21 Uhr
Goto Top
Wie kann ich auch den Nicht Domänenmitgliedern einen Proxymitgeben?

Stichwort: WPAD (Kann der ISA übrigens von Haus aus)

dass sich nicht Domänenmitglieder am ISA authentifzieren?

Ja, mit ihrem Domainlogin.
Alles andere habe ich nie versucht.
Mitglied: kalenderfamily
kalenderfamily 28.09.2011 um 19:23:40 Uhr
Goto Top
Guten Abend!

Ich bin nun einen anderen Weg gegangen und habe die Maschine in die Domäne integriert.

Ein Problem besteht aber leider immer noch: der user muss den Proxy manuell einstellen (obwohl der Benutzer in der Domäne bereits angelegt war). Muss ich denn noch weitere Einstellungen vornehmen?

Grüße
Kalenderfamily
Mitglied: Pjordorf
Pjordorf 28.09.2011 um 19:51:51 Uhr
Goto Top
Hallo,

Zitat von @kalenderfamily:
Ein Problem besteht aber leider immer noch: der user muss den Proxy manuell einstellen (obwohl der Benutzer in der Domäne bereits angelegt war).
Klar. Was hat das aufnehmen eines Benutzers in der Domäne mit "welche Einstellungen brauche ich um zum Proxy zu kommen" miteinander zu tun? Gar nichts. Nimmst du den Firewallclient kann der für dich die Proxyeinstellungen im Browser (IE) eintragen, oder du machst WPAD und DHCP, oder du machst es über eine Richtlinie, oder oder oder. Zuerst musst du dir darüber klar sein WIE der Client (Rechner/Gerät) insd Ient soll und dann WIE du es erlauben/verbieten willst. Du hast also Geräte und Benutzer. Suchs dir aus und danch legst du fest was du wo Einstellen willst. Im ISA gibt es den benutzer Jeder. Damit ist auch Jeder gemeint, ohne ausnahme.

Muss ich denn noch weitere Einstellungen vornehmen?
Nur Gateway oder auch Proxy im Browser? Berechtigung aufgrund des Rechnernames, die IP, einer Gruppe oder des Domänenbenutzernamens? Du wirst dir schon klar werden müssen was du willst. Die verschiedenen Clienttypen haben wir dir oben mit links schon genannt. Probiere diese an einen Testclient alle durch und sehe welche für dich in Frage kommen. Jeder Client hat vor- und nachteile. Ein ISA ist nichts was in 5 Minuten abgehakt ist. da musst du dich schon intensiv mit befassen. Eine Astaro wird auch nicht mal eben so eingerichtet.

Gruß,
Peter
Mitglied: kalenderfamily
kalenderfamily 28.09.2011 um 21:41:24 Uhr
Goto Top
Hallo Peter,

dass es verschiedene Möglichkeiten gibt ist mir klar. Ich dachte, dass die integrierte Benutzerauthentifizierung eben die Zuweisung des Proxies erledigt. Da der Benutzer ja bereits in der Domäne angelegt ist und die Verbindung über den Proxy an jeder anderen Maschine funktioniert, frage ich mich, wieso es nicht an dieser funktioniert. Aber gut, dann muss ich schauen, ob die Berechtigung anhand des Computernamens erfolgt, denn der Benutzer ist ja bereits einer Benutzergruppe zugeteilt - daran kann es nciht liegen, genauso wenig an der IP!

Grüße
Kalenderfamily
Mitglied: Pjordorf
Pjordorf 28.09.2011 um 22:36:54 Uhr
Goto Top
Hallo,

Zitat von @kalenderfamily:
Ich dachte, dass die integrierte Benutzerauthentifizierung eben die Zuweisung des Proxies erledigt.
Ne ne. Das sind unterschiedliche dinge. Du kannst deinem Browser doch auch sagen er soll einen Proxy in USA verwenden. Was hat das mit den Benutzernamen deiner Domäne zu tun? Nichts. Aber der Proxy in USA könnte ja auf dein AD zurückgreifen und dann diesen Benutzer....
Das zuweisen ob überhaupt ein Proxy benutzt wird musst du schon festlegen und dann entsprechend Konfigurieren.Falls dann der Proxy genommen wird, ist dann die Abfrage deines AD ob dieser Benutzer erlaubniss hat ja dann auch von dir gewünscht. dazu hast du den benutzer ja im AD angelegt. Proxyeinstellungen werden dadurch aber nicht irgendwie irgendwo auf irgendwelchen Geräten (Rechner) vorgenommen. Das ist ein anderer Schritt. das kann der Firewallclient machen. Du kannst es per DHCP machen (WPAD). Du kannst es per Richtlinie oder Registrierung machen ...

Da der Benutzer ja bereits in der Domäne angelegt ist und die Verbindung über den Proxy an jeder anderen Maschine funktioniert, frage ich mich, wieso es nicht an dieser funktioniert.
Meine Glaskugel sagt dazu: "Da ist etwas anders". Das können wir hier nicht wissen. Du sitzt vor dem ISA.

Jeder der oben genannten Clients hat andere Vorraussetzungen. Einige überschneiden sich. Teste die Clients einzel gezielt aus.Dabei die ISA Protokollierung genau beobachten. Dann lernst du auch die Regeln zu verstehen und wann welche angewendet wird (Reihenfolge beachten beim erstellen neuer Regeln. Die letzte sollte alle verbieten). Dabei kannst du sehr genau sehen ob es aufgrund einer IP, einer Gruppe oder eines Benutzers (geht nur mit dem Firewallclient - Port 1745) geht oder blockiert wird. Und bedenke, der Benutzer jeder ist wirklich jeder also auch Geräte ohne irgendwelche Benutzer zu kennen oder zu haben. Zum testen nicht gerade diesen verwenden sondern gezielt den Benutzernamen oder eine erstellte Gruppe nutzen.

daran kann es nciht liegen, genauso wenig an der IP!
Das hängt alles nur von deinen verwendeten Regeln ab.

(Zum testen einen Virtuellen SBS 2003 Premium aufsetzen. Dort dir mal die schon vorhandenen reglen des ISA 2004 anschauen)

Gruß,
Peter