Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ISA Server 2004 - große Probleme - Gruppen in Richtlinien

Frage Microsoft Windows Server

Mitglied: jcvmaster

jcvmaster (Level 1) - Jetzt verbinden

20.08.2007, aktualisiert 21.08.2007, 3076 Aufrufe, 2 Kommentare

Hallo zusammen,

ich habe hier einen ISA 2004. voll funktionsfähig und alles bestens am laufen.
Der grundsätzliche Aufbau...

ISA hat 3 Interfaces, 1 zum Router, 1 zum Netz "KSN" und 1 zum Netz "WGE".
In "KSN" ist der root-DC ksn.local, in "WGE" der dc für wge.ksn.local.
Der ISA ist Mitglied in wge.ksn.local, beide "internen" Netze werden durch den ISA verbunden, läuft soweit alles gut.

So, nun zum Problem...
Ich verwende einige Regeln zur Steuerung des Internetzugriff.
Dafür sind Computersätze definiert die dann über entsprechende Regeln Zugriff auf "Extern" bekommen oder nicht.
Geht auch alles.

Nun will ich einige Benutzer von der Filterung ausnehmen.
Daher habe ich eine Regel VOR den anderen Regeln definiert ...
ZULASSEN VON (WGE, KSN) NACH (Extern) FÜR (FREIE BENUTZER).

In "Freie Benutzer" ist eine lokale Sicherheitsgruppe "InternetGruppe" der Domäne wge.ksn.local drin. Die habe ich auch einfach selektieren können.
Nun, wenn diese Regel aktiv ist, geht GAR kein Internetverkehr mehr aus den internen Netzen raus, egal mit welchem Benutzer. Es kommt aber auch keine Fehler- oder Sperrmeldung,
im Browser kommt nur nach einige Zeit "Website kann nicht angezeigt werden"....
Dabei ist es auch egal, wer oder was in diesem Benutzersatz "Freie Benutzer" drin ist.
Sobald ein solcher Satz in der Richtlinie drin ist, geht nix mehr.

In der ISA-Überwachung kommt manchmal ein "Zugriff verweigert" mit dem Regelnamen, obwohl dass ja eine ZULASSEN-Regel ist ?!
Interessant ist, das unter Details hier als "ursprüngliche Adresse" 0.0.0.0 steht und nicht die IP des Clients (die aber sehr wohl über "Details" steht).

Ich habe das Gefühl, dass da irgendwas mit der Abfrage der Benutzer aus der ADS nicht klappt.
Im Ereignisprotokoll ist nix zu finden, das Browsen der ADS im ISA geht auch, sieht man ja beim hinzufügen der ADS-Gruppe zum Benutzersatz.

Hat jemand eine Idee?
Ich hoffe es innständig, ich verzweifle hier bald.

Danke im Vorraus und Schöne Grüße,
Jan

P.S. wird die Regel deaktiviert funktioniert natürlich wieder alles einwandfei
Mitglied: damicka
20.08.2007 um 21:42 Uhr
Hallo;
du authentifiziert deine Clients sonst nur via DNS und WINS Auflösung richtig?
...und jetzt willst du zwischendurch einfach gezielt User aus dem AD authentifizieren lassen?
In welcher Reihenfolge steht die Regel zu einer die es veilleicht verbietet?
Bringt der Browser überhaupt ein Fenster zum authentifizieren?
Wenn nein dann mal checken ob:
Extras --> Internetoptionen --> Verbindungen --> Einstellungen --> Proxyserver und dort der ISA steht.

Gruß
Micha
Bitte warten ..
Mitglied: jcvmaster
21.08.2007 um 03:15 Uhr
Hallo, danke für die Antwort.
Der ISA läuft aber nicht als Proxy, sondern nur als (sozusagen) transparenter Filter.
Da auch die zugreifenden Rechner Domänenmitglieder sind, sollte der ISA die Benutzer automatisch über ihr Kerberos-Ticket authentifizieren.

Vor dieser Regel stehen nur 2 Regeln, die vollen IP-Verkehr zwischen den Netzen WGE und KSN zulassen sowie externen DNS-Verkehr zulassen (also Namensauflösung im Internet).
Sonst nichts, die Systemrichtlinie wurde auch nicht verändert.


P.S.: Nein, es kommt keinerlei Abfrage (ist ja auch nicht gewünscht)
Bitte warten ..
Ähnliche Inhalte
Windows Server
Richtlinien: Outlook Richtlinien fehlen?
gelöst Frage von Thomas2Windows Server1 Kommentar

Hallo zusammen, ich möchte Richtlinien für Outlook festlegen, jedoch kann ich keine Einträge am Domänencontroller finden, die dafür zuständig ...

Windows Server
ISA Server 2006 Systemanforderungen
Frage von SillyBeanWindows Server4 Kommentare

Guten Tag ich habe mal eine Frage zu den Systemanforderungen von ISA Server 2006. Das Programm ist zwar etwas ...

Windows Server
GroupPolicy Preferences - Zielgruppenadressierung - Benutzer in Gruppe, Richtlinie zieht nur wenn auf "nicht Groupmember" gestellt wird
Frage von Magic-QFWindows Server8 Kommentare

Hi Gemeinde Ich hab bei einer Domäne ein mir voll komisches Phänomen: Ich lasse in einer GP Preference einige ...

PHP
Zend Framework - Große Probleme mit Webseite
Frage von harald.schmidtPHP5 Kommentare

Hallo! Wir haben produktiv eine Webseite auf einem externen Webserver. Dort läuft die Seite so wie sie soll. Wir ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 2 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 7 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 8 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 19 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...