Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

ISA Server 2006 Port-Problem

Frage Sicherheit Firewall

Mitglied: AKillerInHell

AKillerInHell (Level 1) - Jetzt verbinden

17.01.2010, aktualisiert 18.10.2012, 9362 Aufrufe, 26 Kommentare

ISA Server 2006 Problem mit HTTPS, POP3, SMTP, IMAP und einzelne Ports

Hallo alle zusammen,
ich war nun in edlichen Froen und habe langsam keine Lust mehr.
Kein Forum kann mirm eine Frage bantowrten/ oder hat keine lust dazu.

Es ist folgend:
Ich habe hier ein Windows Server 2003 mit ISA 2006 installiert. Habe ihn eingerichtet und soweit funktioniert alles.

Problem ist nun, dass ich gerne einigen NIC's die Authentifizierung zuteilen moechte, sprich das User von NIC 1 sich anmelden muessen. Ich moechte ungern mit einem Webproxy arbeiten, da auch Gaeste sich ab und zu Anmelden duerfen.

Weiteres Problem ist die HTTPS, POP3, SMTP, IMAP Portfreigabe. Ich habe einige Mitarbeiter, welche auf E-Mail Adressen von z.B. Strato.de angewiesen sind und wollen nicht immer ueber diesen Web Communicator ihre Mails abrufen.
Ich persoenlich kann das gut verstehen da ich selber auch lieber einen Mail CLienten benutze. Na gut, ich moechte gerne wissen warum diese Ports einfach nicht funktionieren. Ich hab sie erlaubt, in den Windows Firewalls bei den Clienten gescahut ob alles ok ist. Aber trotzdem bekomme ich immer die meldung das z.B Port 143 nicht geoeffnet ist obwohl er in der Firewall-Zugriffsregel steht!

Ich waer euch sehr verbunden wenn ihr mir bei dem Problem helfen koenntet. Ich hab keine Ahnung wo das Problem sein koennte.

AKillerInHell
Mitglied: dog
17.01.2010 um 03:07 Uhr
Problem ist nun, dass ich gerne einigen NIC's die Authentifizierung zuteilen moechte, [...] Ich moechte ungern mit einem Webproxy arbeiten, da auch Gaeste sich ab und zu Anmelden duerfen.

Wie stellst du dir das vor?
Es gibt im ISA-Server zwei Möglichkeiten Benutzer zu authentifizieren:
  • Webproxyclient
  • MS-Firewallclient

SecureNAT-Clients (also Transpartent Proxy-Modus) hat keine Möglichkeit sich zu authentifizieren.
Sicherlich könnte man da mit VPN noch ein bisschen Hacken, aber das wird dann schon ziemlich konfus.
OK, ich will mal nicht so sein: Es gibt natürlich Captive-Portal und TOS-Plugins: http://www.collectivesoftware.com/Products

Wenn es dir aber lediglich darum geht, dass sich benutzer an NIC1 authentifizieren müssen und Benutzer an NIC2 nicht - wo ist dann das Problem?

Erzeuge 2 Regeln:

Protokoll: *
Quelle: Internes Netz
Ziel *
Benutzer: Authentifizierte Benutzer
Erlauben

Protkoll: HTTP, HTTPS
Quelle: Gastnetz
Ziel: Extern
Benutzer: Anonyme Benutzer
Erlauben

Ich persoenlich kann das gut verstehen da ich selber auch lieber einen Mail CLienten benutze. Na gut, ich moechte gerne wissen warum diese Ports einfach nicht funktionieren. Ich hab sie erlaubt, in den Windows Firewalls bei den Clienten gescahut ob alles ok ist. Aber trotzdem bekomme ich immer die meldung das z.B Port 143 nicht geoeffnet ist obwohl er in der Firewall-Zugriffsregel steht!

Ähm, reden wir hier von ISA oder der Windows-Client-Firewall?
Dir ist denke ich klar, dass ISA nach der Regel was nicht erlaubt wurde, lasse ich nicht durch arbeitet?
Sobald du im ISA-Server eine entsprechende Regel für den E-Mailzugriff erstellst funktioniert auch das problemlos...
Bitte warten ..
Mitglied: AKillerInHell
17.01.2010 um 09:28 Uhr
HAllo und danke fuer die schnelle Antwort. Ja mir ist klar das ISA nur das durch laesst was auch erlaubt wurde. Nur wenn ich die Ports oeffne, passiert nichts. Wo soll sonst das Problem sein?


Mich wundert nur, dass ich beim Webproxy - Alle Benutzer muessen sich Authentifizieren- angekreuzt habe und ich an meinem PC mich noch nicht einmal anmelden musste. Woran kann das liegen?
Das koennte allerdings auch der Grund seinw arum dann Mails nicht durchgelassen werden. Wiederum komme ich ja ganz normal ins Netz (!???)
Und ich habe jetzt mal deine Moeglichkeit mit den beiden Regeln versucht. Entweder bin ich zu bloed um zu verstehen wie man beim Protokoll und beim Ziel *(= Protokoll/Ziel) macht, da er sich dann immer noch nicht anmeldet oder ich habe einfach nicht verstanden fuer was * steht.

Ich hab ja bereits gesagt das ich keinen Webproxy benutzen meochte. Also waere dann ja nur MS- Firewallclient, wobei ich hier nicht wirklich verstehe wo ich dies Konfigurieren kann.


Schon mal danke fuer die schnelle Antwort.

LG AKillerInHell

EDIT: Fehler meldung:
Es konnten keine Nachrichten für das Konto ** gesendet oder empfangen werden. Der Host "pop3.web.de" wurde nicht gefunden. Überprüfen Sie die Angabe des Servernamens.

Server: 'pop3.web.de'
Windows Live Mail-Fehlernummer: 0x800CCC0D
Protokoll: POP3
Port: 110
Secure (SSL): Nein
Socketfehler: 11004
Bitte warten ..
Mitglied: Dani
17.01.2010 um 11:19 Uhr
Moin,
Problem ist nun, dass ich gerne einigen NIC's die Authentifizierung zuteilen moechte, sprich das User von NIC 1 sich anmelden muessen. Ich moechte ungern mit einem Webproxy arbeiten, da auch Gaeste sich ab und zu Anmelden duerfen.
Das sollte kein Problem sein...du musst einfach weitere Netzwerke definieren. Diese werden an Hand des IP-Bereichs unterschieden. Die Auth-Metode wird pro Netzwerk vorgenommen und nicht pro NIC. Wichtig ist eben, dass dein Firewallsystem im ISA das Richtige ist. Somit wäre das Problem schon mal gelöst - kommt natürlich darauf an, wie das bei euch mit Gästen, Mitarbeitern, usw...geregelt ist.

Für die Mailgeschichte:
http://www.msisafaq.de/Anleitungen/2004/Fehler/smtp.htm
http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/SMTPPOP3.ht ...

Bitte nicht von der Version 2004 täuschen lassen...müsste auch unter 2006 funktionieren.


Grüße,
Dani
Bitte warten ..
Mitglied: AKillerInHell
17.01.2010 um 16:56 Uhr
@ Dani: Danke, also mit den Netzwerkkarten laeuft das sehr gut. Die Mail-Geschichte hat bei mir noch nicht hingehauen aber ich werds nochmal probieren.

Ich hab zusaetzlich zu dem Mail Problem jetzt ein Problem mit dem Webproxy bzw. Firewallclienten. Ich habe eine NICH welche sich NICHT Anmelden soll und dies auch nicht tut. Das ist ja gut, will ich ja so.
Nur kann ich auch nicht ins Netz! Ich habe den Webproxy ausgeschaltet bei der NIC und wollte den Firewall Clienten nutzen welchen ich aber nicht finde (.EXE Datei!).
Ich moechte das User einfach das Kabel in IHREN Rechner reinstecken und das Netzwerk laeuft. Ohne das man die Einstellungen Manuell eingeben muss oder das man Scripte verwenden muss.

Soweit danke
Bitte warten ..
Mitglied: Dani
17.01.2010 um 17:05 Uhr
Nur kann ich auch nicht ins Netz!
Hast du für das Netz eine Firewallrichtlinie erstellt bzw. dort freigegeben?!

Ich habe den Webproxy ausgeschaltet bei der NIC und wollte den Firewall Clienten nutzen welchen ich aber nicht finde (.EXE Datei!).
Dast ist Bullshit....sobald du den Webproxy ausmachst wird sämlticher Datenverkehr gesperrt.

>Ich moechte das User einfach das Kabel in IHREN Rechner reinstecken und das Netzwerk laeuft. Ohne das man die Einstellungen Manuell eingeben muss oder das man Scripte verwenden muss.
Die User werden daran unterschieden, auf welcher NIC sie angekommen - anders gehts bei dir nicht.

Die Mail-Geschichte hat bei mir noch nicht hingehauen aber ich werds nochmal probieren
Du musst bei dir aufpassen...dass du das richtige Netwerk nimmst. Du hast ja mehrere...
Bitte warten ..
Mitglied: AKillerInHell
17.01.2010 um 17:21 Uhr
Hast du für das Netz eine Firewallrichtlinie erstellt bzw. dort freigegeben?!

Das hat jetzt geklappt. Komme mit der NIC ins Netz

Dast ist Bullshit....sobald du den Webproxy ausmachst wird sämlticher Datenverkehr gesperrt.

Gut, dann ist es mit jetzt auch egal wie ich es hinbekomme das der Proxy automatisch auf den Rechnern landet. Hauptsache ist nur das nicht jeder Rechner erst manuel von mir bearbeitet werden muss. Mein Chef will das nicht und ich habe damit auch weniger Lasten.

>Ich moechte das User einfach das Kabel in IHREN Rechner reinstecken und das Netzwerk laeuft. Ohne das man die Einstellungen
Manuell eingeben muss oder das man Scripte verwenden muss.
Die User werden daran unterschieden, auf welcher NIC sie angekommen - anders gehts bei dir nicht.

Dafuer habe ich ja DHCP. Muesste doch damit funktionieren oder nicht?


> Die Mail-Geschichte hat bei mir noch nicht hingehauen aber ich werds nochmal probieren
Du musst bei dir aufpassen...dass du das richtige Netwerk nimmst. Du hast ja mehrere...

Was genau meinst du damit? UAf der Anleitung die du mir gegeben hast, steht das man die IP Adresse des Prviders eingeben muss. Ich bin mir nicht hundert pro sicher ob es der IMAP/POP3/SMTP Server ist wenn ich bei nslookup imap.strato.de eingebe aber ich denke mal da kannst du mir auch helfen.

Des weiteren meldet sich ein einziger PC nie an und kann trotzdem aufs Netz. Dieser soll sich Authentifizieren.

Soweit danke schoen
Bitte warten ..
Mitglied: dog
17.01.2010 um 18:03 Uhr
Des weiteren meldet sich ein einziger PC nie an und kann trotzdem aufs Netz. Dieser soll sich Authentifizieren.

Was verstehst du unter "authentifizieren"?
Domain-User können sich am ISA anmelden, ohne dass sie extra ein Passwort eingeben müssen! (Das nennt MS "integrierte Authentifikation")

Hauptsache ist nur das nicht jeder Rechner erst manuel von mir bearbeitet werden muss.

Da gibt es geschätzt 5 Millionen Möglichkeiten

  • Sysprep
  • Proxy-Settings per GPO verteilen
  • Proxy-Autodiscovery (WPAD)

Und du solltest dir mal die Standardlektüre zum Thema vornehmen: 978-3866456136
Bitte warten ..
Mitglied: AKillerInHell
17.01.2010 um 18:11 Uhr
Dies ist kein Domain Rechner. Der Client soll sich normal beim Netzwerk anmelden wenn er eine Aktivitaet im Netz macht.

Ist es moeglich das mir jemadn eine leichte, sichere und vor allem AUTOMATISCHE konfiguration erklaeren kann?

BTW: DAnke fuer den Tipp.


EDIT: Also derzeit sind noch folgende Probleme:
Kein Mail Zugriff. Einige Ports werden nicht geoeffnet wenn ich diese eingebe. Ein Rechner bekommt kein Anmeldungsfenster . Und der Webproxy halt.

Wichtig sind erstmal die Ports, Mail und der Webproxy. Die Anmeldung kann zum schluss bearbeitet werden. Ich habe mir das Buch auch bestellt, notfalls wird mir dies bestimmt bei der Anmeldungssache helfen.
Bitte warten ..
Mitglied: AKillerInHell
21.01.2010 um 14:46 Uhr
So, das mit den Scripten und mit dem Anmelden hab ich jetzt hinbekommen.

Nur ist immer noch das Problem, dass Ports wie z.B 143 (IMAP) einfach nicht geoeffnet werden. Ich habe einen Portscanner der sagt der Port ist zu und ich habe meine E-Mail Lienten die es bestaetigen. Ich hab es auf Zulassen, IMAP4 (ud auch einmal den Port 143 manuell auch nochmals) ausgewaehlt, Netzwerksquelle habe ich Client 1 und Client 2 gewaehlt und als Ziel steht extern. Trotzdem nichts


Bitte um Hilfe
Bitte warten ..
Mitglied: dog
21.01.2010 um 15:09 Uhr
Bitte zeig mal einen Screenshot von den ISA-Regeln auf denen die Einträge gut sichtbar sind.
Im Zweifel kannst du das auch per PN machen.
Bitte warten ..
Mitglied: AKillerInHell
21.01.2010 um 15:18 Uhr
Hier ist der Screenshot:
http://yfrog.com/j6unbenanntrtp
Bitte warten ..
Mitglied: dog
21.01.2010 um 15:40 Uhr
OK, das passt soweit.
Bist du dir sicher, dass zu "Internal MOH" die Benutzer gehören, die passen?

Ansonsten benutz bitte mal den Datenverkehrssimulator (Verfügbar ab SP1) und schau, was der ausspuckt.

Übrigens wird Regel 6 und 7 (zumindest nach deiner Beschreibung) schon von Regel 5 abgefangen.
Bitte warten ..
Mitglied: AKillerInHell
21.01.2010 um 15:45 Uhr
Ja bei Internal MOH sind die richtigen Benutzer. Ich finds leicht merkwuerdig.

Datenverkehrssimulator???
Ahhh kann es vllt daran liegen das ich eben kein SP1 drauf habe?

Es gibt ja bei manchen solche Probleme und bei manchen nicht. Ich lads mir mal runter und melde mich dann
Bitte warten ..
Mitglied: AKillerInHell
21.01.2010 um 16:12 Uhr
So hab alles geladen und Installiert. Getestet und siehe da :"Traffic allowed by firewall policy rules may be blocked by Web or Application filters. "

Also wie kann ich das nun genau ueberpruefen?
Bitte warten ..
Mitglied: dog
21.01.2010 um 16:17 Uhr
Ja hast du denn einen Web- oder Anwendungsfilter installiert? (Z.B. GFI etc.)

Wenn der ISA-Server sonst sagt es ist erlaubt, dann ist es das erfahrungsgemäß auch
Bitte warten ..
Mitglied: AKillerInHell
21.01.2010 um 16:22 Uhr
Anwendungsfilter - NEIN (ausser damit ist Inhaltsfilter gement. Der ist naemlich bei mir im Webproxy aktiviert. No Idea wie ich den raus bekomm.)
Webfilter Jupp auch im Webproxy und auch NO Idea wie ich den raus bekomm.

EDIT: Hab gescahut. Ist ein Web Proxy Filter drin welcher nicht abscahltbar ist, ein HTTPS filter welchen ich nun ausgescahltet habe und halt die ganzen anderen welche Standard maessig an sind.
Bitte warten ..
Mitglied: dog
21.01.2010 um 16:29 Uhr
Nein, ich meine damit nur Plugins die nicht zum ISA-Server selbst gehören.

Ich würde jetzt das Problem wirklich am Client suchen, du kannst am ISA-Server allerhöchstens noch probieren testweise alle Regeln außer die Betreffende zu deaktivieren.

Denk Haken "Authentifizierung für alle Benutzer erforderlich" hast du aber in den Netzwerkeinstellungen nicht gemacht, oder?
Bitte warten ..
Mitglied: AKillerInHell
21.01.2010 um 18:35 Uhr
Also die Clients habe ich 1 zu 1 vom vorherigen System uebernommen und nichts rumgestellt. Alle haben den Proxy dazub bekommen und mehr nicht.

Ic h habe jetzt alles was mit Anmelden zu tun hat, raus genommen aber trotzdem funktioniert es nicht. Plugins habe ich nicht genutzt.

Ich werd langsam fertig gemacht von dem Server, das gibts ja wohl nicht

EDIT: Habe nun einen komplett neu Installierten mit Windows 7 RC1 aufgespielten Laptop hier stehen und das Problem ist immer noch.

Kein IMAP/POP3/SMTP Zugriff. Warum? CLient kanns also nicht liegen.

Der sagt mir hier was von Windows Server 2003 Scalable Network Pack Enable und ich soll es Disablen.. Wo mach ich das? Dies koennte der Grund seinw arum es nicht funktioniert!?
Bitte warten ..
Mitglied: AKillerInHell
21.01.2010 um 22:31 Uhr
Allowed Traffic
Denied Traffic - destination URL host name could not be resolved
Rule Name: Allow Mail for Admins
Rule Order: 2

Additional information
From: Internal
To: External
Network Rule Name: Internet Access
Network Relationship: NAT
Protocol: POP3
Rule Application Filter:


Traffic allowed by firewall policy rules may be blocked by Web or Application filters.



Man was koennten das fuer PlugIns sein? Hab ich was mit dem DNS falsch gemacht? Kann es der Anbieter sein? Etwas muss doch der Grund sein...HILFEEE!
Bitte warten ..
Mitglied: dog
22.01.2010 um 10:18 Uhr
Traffic allowed by firewall policy rules may be blocked by Web or Application filters.

Das ist ein Standardhinweis, der immer kommt und den man nicht beachten muss.

Denied Traffic - destination URL host name could not be resolved

Der Fehler ist schon interessanter.
Bist du sicher, dass die DNS-Auflösung vom ISA-Server funktioniert (auch für diesen speziellen Host)?
Bitte warten ..
Mitglied: AKillerInHell
22.01.2010 um 11:36 Uhr
DNS aufloesung am Server funktioniert. mach ich nslookup beim CLienten sagt er mir server: unknown zeigt mir aber ne ip an vom server. koennte das der fehler sein?
Bitte warten ..
Mitglied: AKillerInHell
22.01.2010 um 11:38 Uhr
Wollen wir vllt mal eine Team Viewer Session machen damit du dir davon mal ein ernstes Bild machen kannst?
Bitte warten ..
Mitglied: dog
22.01.2010 um 11:43 Uhr
beim CLienten sagt er mir server: unknown zeigt mir aber ne ip an vom server.

Das bedeutet nur, dass du keine Reverse-Lookup-Zone eingerichtet hast.
Das sollte nicht weiter schlimm sein.

Wollen wir vllt mal eine Team Viewer Session machen

Können wir machen, aber versprechen kann ich nix
Bitte warten ..
Mitglied: AKillerInHell
22.01.2010 um 12:12 Uhr
wollen wir ne genaue zeit abmachen? ich muss naemlich ab 13 uhr weg. besser waere fuer mich sowas wie 18 Uhr?
Bitte warten ..
Mitglied: AKillerInHell
22.01.2010 um 12:30 Uhr
Ich kanna uch keine Clienten in die Domain nehmen, Da sagt er mir es gaebe ein Problem mit der DNS aufloesung.

Ich dneke da haben wir mein Problem... UNd wie kann ich den jetzt beheben?
Bitte warten ..
Mitglied: dog
22.01.2010, aktualisiert 18.10.2012
Schau dir in der Anleitung http://www.administrator.de/wissen/probleme-mit-multihomed-dcs-vermeide ... mal den Teil "DNS-Einträge kontrollieren" an...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Problem nach DC-Installation unter Server 2012 R2 (9)

Frage von manuel1985 zum Thema Windows Server ...

Windows Server
Problem mit Windows Server 2012 R2 (MSConfig - Systemstart Modus) (3)

Frage von FloFMS zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...