Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ISA Server 2006 Proxy Konfiguration für Computer außerhalb der Domäne

Frage Microsoft Windows Server

Mitglied: kalenderfamily

kalenderfamily (Level 1) - Jetzt verbinden

20.09.2011 um 20:18 Uhr, 3814 Aufrufe, 9 Kommentare

An einer Domäne soll ein AP angehängt werden, der es clients ermöglicht, das Internet zu benutzen

Guten Abend an alle!

Ich habe kürzlich einen AP an eine Domäne gehängt und hoffe, dass es jemanden gibt, der mir mit den Problemen des ISA Proxys helfen kann:

Zum Netzwerk: es gibt eine Domäne mit clients und einen AP, an dem Rechner über Wlan angebunden werden sollen.

Sobald sich ein Rechner über Wlan connected, erhält er als DNS den Proxy 10.1.1.1, soweit so gut.

Beim Aufrufen einer externen Seite blockiert der ISA aber! Er blockiert nicht, wenn ich bsp.weise im IE den Proxy manuell eingebe?!

Leider habe ich bisher noch nicht mit dem ISA gearbeitet, sodass ich mich noch nicht so gut auskenne .

Freue mich auf Antworten!

Grüße
Kalenderfamily
Mitglied: Pjordorf
20.09.2011 um 20:47 Uhr
Hallo,

Zitat von kalenderfamily:
Sobald sich ein Rechner über Wlan connected, erhält er als DNS den Proxy 10.1.1.1, soweit so gut.
Ist das die IP von deinem ISA Intern?

Beim Aufrufen einer externen Seite blockiert der ISA aber! Er blockiert nicht, wenn ich bsp.weise im IE den Proxy manuell eingebe?!
Der ISA ist auch dein Proxy und der erwartet irgendeine Form der Authentifizierung.

Leider habe ich bisher noch nicht mit dem ISA gearbeitet, sodass ich mich noch nicht so gut auskenne .
Dann wird es eine schwere Geburt.

Der ISA kennt 3(4) Arten der Authentifizierung eines Clients
1. FirewallClient http://www.msisafaq.de/Anleitungen/2004/Grundlagen/Firewallclient.htm
2. SecureNAT Client http://www.msisafaq.de/Anleitungen/2004/Grundlagen/SecureNAT-Client.htm
3. WebProxy Client http://www.msisafaq.de/Anleitungen/2004/Grundlagen/Webproxyclient.htm
4. gar keine Authentifizierung (all users)
Welche bei dir zum Tragen kommen, hängt von deinen Firewall Regeln ab. Desweiteren was ihr Auswerten wollt und wie ihr den Zugriff Regeln wollt.
Die Seite http://www.msisafaq.de/About/index.htm#Autoren sollte dir weiterhelfen.

Wenn du einmal begriffen hast wie eine Firewall / Applikation Firewall / Proxy und VPN Appliance so funktioniert,.ist es eigentlich recht einfach
http://de.wikipedia.org/wiki/Microsoft_Internet_Security_and_Accelerati ...

Gruß,
Peter
Bitte warten ..
Mitglied: kalenderfamily
20.09.2011 um 21:10 Uhr
Hallo Peter,

danke für die Links! Dass es nicht einfach werden wird, denke ich mir!

Ich vermute, dass die integrierte Authentifizierung anhand des Domänenbenutzers durchgeführt wird.

Wenn ich es richtig verstanden habe, funktioniert secureNat nur anhand einer IP.
Dies bedeutet bei dynamisch zugewiesenen IPs, dass die Rechner dahinter immer andere sein können,oder?

webproxyclient kann ich, wenn ich es richtig gelesen habe auch nur für Computer der Domäne automatisch verwenden.

Stehe ich gerade auf dem Schlauch?! Das kann doch nicht so schwer sein!...

Grüße
Kalenderfamily
Bitte warten ..
Mitglied: dog
20.09.2011 um 22:03 Uhr
funktioniert secureNat nur anhand einer IP.

Ja.

nur für Computer der Domäne automatisch verwenden.

Nein.
Proxies können auch für andere Rechner automatisch verteilt werden.
Lediglich die Benutzeranmeldung muss dann explizit passieren.
Bitte warten ..
Mitglied: kalenderfamily
21.09.2011 um 16:49 Uhr
Hallo Dog, danke für deinen Post!

Das ist denke ich, was ich suche! Wie kann ich auch den Nicht Domänenmitgliedern einen Proxymitgeben?

Besteht denn auch die Möglichkeit, dass sich nicht Domänenmitglieder am ISA authentifzieren? Genügt es, das Benutzerkonto und identische Passwort, welches der user auf seinem loaklen privat PC hat auch am ISA anzulegen?

Viele Grüße
Kalenderfamily
Bitte warten ..
Mitglied: dog
21.09.2011 um 16:55 Uhr
Wie kann ich auch den Nicht Domänenmitgliedern einen Proxymitgeben?

Stichwort: WPAD (Kann der ISA übrigens von Haus aus)

dass sich nicht Domänenmitglieder am ISA authentifzieren?

Ja, mit ihrem Domainlogin.
Alles andere habe ich nie versucht.
Bitte warten ..
Mitglied: kalenderfamily
28.09.2011 um 19:23 Uhr
Guten Abend!

Ich bin nun einen anderen Weg gegangen und habe die Maschine in die Domäne integriert.

Ein Problem besteht aber leider immer noch: der user muss den Proxy manuell einstellen (obwohl der Benutzer in der Domäne bereits angelegt war). Muss ich denn noch weitere Einstellungen vornehmen?

Grüße
Kalenderfamily
Bitte warten ..
Mitglied: Pjordorf
28.09.2011 um 19:51 Uhr
Hallo,

Zitat von kalenderfamily:
Ein Problem besteht aber leider immer noch: der user muss den Proxy manuell einstellen (obwohl der Benutzer in der Domäne bereits angelegt war).
Klar. Was hat das aufnehmen eines Benutzers in der Domäne mit "welche Einstellungen brauche ich um zum Proxy zu kommen" miteinander zu tun? Gar nichts. Nimmst du den Firewallclient kann der für dich die Proxyeinstellungen im Browser (IE) eintragen, oder du machst WPAD und DHCP, oder du machst es über eine Richtlinie, oder oder oder. Zuerst musst du dir darüber klar sein WIE der Client (Rechner/Gerät) insd Ient soll und dann WIE du es erlauben/verbieten willst. Du hast also Geräte und Benutzer. Suchs dir aus und danch legst du fest was du wo Einstellen willst. Im ISA gibt es den benutzer Jeder. Damit ist auch Jeder gemeint, ohne ausnahme.

Muss ich denn noch weitere Einstellungen vornehmen?
Nur Gateway oder auch Proxy im Browser? Berechtigung aufgrund des Rechnernames, die IP, einer Gruppe oder des Domänenbenutzernamens? Du wirst dir schon klar werden müssen was du willst. Die verschiedenen Clienttypen haben wir dir oben mit links schon genannt. Probiere diese an einen Testclient alle durch und sehe welche für dich in Frage kommen. Jeder Client hat vor- und nachteile. Ein ISA ist nichts was in 5 Minuten abgehakt ist. da musst du dich schon intensiv mit befassen. Eine Astaro wird auch nicht mal eben so eingerichtet.

Gruß,
Peter
Bitte warten ..
Mitglied: kalenderfamily
28.09.2011 um 21:41 Uhr
Hallo Peter,

dass es verschiedene Möglichkeiten gibt ist mir klar. Ich dachte, dass die integrierte Benutzerauthentifizierung eben die Zuweisung des Proxies erledigt. Da der Benutzer ja bereits in der Domäne angelegt ist und die Verbindung über den Proxy an jeder anderen Maschine funktioniert, frage ich mich, wieso es nicht an dieser funktioniert. Aber gut, dann muss ich schauen, ob die Berechtigung anhand des Computernamens erfolgt, denn der Benutzer ist ja bereits einer Benutzergruppe zugeteilt - daran kann es nciht liegen, genauso wenig an der IP!

Grüße
Kalenderfamily
Bitte warten ..
Mitglied: Pjordorf
28.09.2011 um 22:36 Uhr
Hallo,

Zitat von kalenderfamily:
Ich dachte, dass die integrierte Benutzerauthentifizierung eben die Zuweisung des Proxies erledigt.
Ne ne. Das sind unterschiedliche dinge. Du kannst deinem Browser doch auch sagen er soll einen Proxy in USA verwenden. Was hat das mit den Benutzernamen deiner Domäne zu tun? Nichts. Aber der Proxy in USA könnte ja auf dein AD zurückgreifen und dann diesen Benutzer....
Das zuweisen ob überhaupt ein Proxy benutzt wird musst du schon festlegen und dann entsprechend Konfigurieren.Falls dann der Proxy genommen wird, ist dann die Abfrage deines AD ob dieser Benutzer erlaubniss hat ja dann auch von dir gewünscht. dazu hast du den benutzer ja im AD angelegt. Proxyeinstellungen werden dadurch aber nicht irgendwie irgendwo auf irgendwelchen Geräten (Rechner) vorgenommen. Das ist ein anderer Schritt. das kann der Firewallclient machen. Du kannst es per DHCP machen (WPAD). Du kannst es per Richtlinie oder Registrierung machen ...

Da der Benutzer ja bereits in der Domäne angelegt ist und die Verbindung über den Proxy an jeder anderen Maschine funktioniert, frage ich mich, wieso es nicht an dieser funktioniert.
Meine Glaskugel sagt dazu: "Da ist etwas anders". Das können wir hier nicht wissen. Du sitzt vor dem ISA.

Jeder der oben genannten Clients hat andere Vorraussetzungen. Einige überschneiden sich. Teste die Clients einzel gezielt aus.Dabei die ISA Protokollierung genau beobachten. Dann lernst du auch die Regeln zu verstehen und wann welche angewendet wird (Reihenfolge beachten beim erstellen neuer Regeln. Die letzte sollte alle verbieten). Dabei kannst du sehr genau sehen ob es aufgrund einer IP, einer Gruppe oder eines Benutzers (geht nur mit dem Firewallclient - Port 1745) geht oder blockiert wird. Und bedenke, der Benutzer jeder ist wirklich jeder also auch Geräte ohne irgendwelche Benutzer zu kennen oder zu haben. Zum testen nicht gerade diesen verwenden sondern gezielt den Benutzernamen oder eine erstellte Gruppe nutzen.

daran kann es nciht liegen, genauso wenig an der IP!
Das hängt alles nur von deinen verwendeten Regeln ab.

(Zum testen einen Virtuellen SBS 2003 Premium aufsetzen. Dort dir mal die schon vorhandenen reglen des ISA 2004 anschauen)

Gruß,
Peter
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Server 2012 R2 Computer in Domäne haben kein Internet (17)

Frage von Rennpappe zum Thema Windows Server ...

Hyper-V
Wieso werden Computer aus der Domäne "geworfen" ? (5)

Frage von Tastuser zum Thema Hyper-V ...

Windows Server
Win Server 2012R2 bzw 2016 als Backupdomaincontroller in einer Samba 3 Domäne

Frage von Franz-Josef-II zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...