Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ISA Server 2006 Proxy Konfiguration für Computer außerhalb der Domäne

Frage Microsoft Windows Server

Mitglied: kalenderfamily

kalenderfamily (Level 1) - Jetzt verbinden

20.09.2011 um 20:18 Uhr, 3829 Aufrufe, 9 Kommentare

An einer Domäne soll ein AP angehängt werden, der es clients ermöglicht, das Internet zu benutzen

Guten Abend an alle!

Ich habe kürzlich einen AP an eine Domäne gehängt und hoffe, dass es jemanden gibt, der mir mit den Problemen des ISA Proxys helfen kann:

Zum Netzwerk: es gibt eine Domäne mit clients und einen AP, an dem Rechner über Wlan angebunden werden sollen.

Sobald sich ein Rechner über Wlan connected, erhält er als DNS den Proxy 10.1.1.1, soweit so gut.

Beim Aufrufen einer externen Seite blockiert der ISA aber! Er blockiert nicht, wenn ich bsp.weise im IE den Proxy manuell eingebe?!

Leider habe ich bisher noch nicht mit dem ISA gearbeitet, sodass ich mich noch nicht so gut auskenne .

Freue mich auf Antworten!

Grüße
Kalenderfamily
Mitglied: Pjordorf
20.09.2011 um 20:47 Uhr
Hallo,

Zitat von kalenderfamily:
Sobald sich ein Rechner über Wlan connected, erhält er als DNS den Proxy 10.1.1.1, soweit so gut.
Ist das die IP von deinem ISA Intern?

Beim Aufrufen einer externen Seite blockiert der ISA aber! Er blockiert nicht, wenn ich bsp.weise im IE den Proxy manuell eingebe?!
Der ISA ist auch dein Proxy und der erwartet irgendeine Form der Authentifizierung.

Leider habe ich bisher noch nicht mit dem ISA gearbeitet, sodass ich mich noch nicht so gut auskenne .
Dann wird es eine schwere Geburt.

Der ISA kennt 3(4) Arten der Authentifizierung eines Clients
1. FirewallClient http://www.msisafaq.de/Anleitungen/2004/Grundlagen/Firewallclient.htm
2. SecureNAT Client http://www.msisafaq.de/Anleitungen/2004/Grundlagen/SecureNAT-Client.htm
3. WebProxy Client http://www.msisafaq.de/Anleitungen/2004/Grundlagen/Webproxyclient.htm
4. gar keine Authentifizierung (all users)
Welche bei dir zum Tragen kommen, hängt von deinen Firewall Regeln ab. Desweiteren was ihr Auswerten wollt und wie ihr den Zugriff Regeln wollt.
Die Seite http://www.msisafaq.de/About/index.htm#Autoren sollte dir weiterhelfen.

Wenn du einmal begriffen hast wie eine Firewall / Applikation Firewall / Proxy und VPN Appliance so funktioniert,.ist es eigentlich recht einfach
http://de.wikipedia.org/wiki/Microsoft_Internet_Security_and_Accelerati ...

Gruß,
Peter
Bitte warten ..
Mitglied: kalenderfamily
20.09.2011 um 21:10 Uhr
Hallo Peter,

danke für die Links! Dass es nicht einfach werden wird, denke ich mir!

Ich vermute, dass die integrierte Authentifizierung anhand des Domänenbenutzers durchgeführt wird.

Wenn ich es richtig verstanden habe, funktioniert secureNat nur anhand einer IP.
Dies bedeutet bei dynamisch zugewiesenen IPs, dass die Rechner dahinter immer andere sein können,oder?

webproxyclient kann ich, wenn ich es richtig gelesen habe auch nur für Computer der Domäne automatisch verwenden.

Stehe ich gerade auf dem Schlauch?! Das kann doch nicht so schwer sein!...

Grüße
Kalenderfamily
Bitte warten ..
Mitglied: dog
20.09.2011 um 22:03 Uhr
funktioniert secureNat nur anhand einer IP.

Ja.

nur für Computer der Domäne automatisch verwenden.

Nein.
Proxies können auch für andere Rechner automatisch verteilt werden.
Lediglich die Benutzeranmeldung muss dann explizit passieren.
Bitte warten ..
Mitglied: kalenderfamily
21.09.2011 um 16:49 Uhr
Hallo Dog, danke für deinen Post!

Das ist denke ich, was ich suche! Wie kann ich auch den Nicht Domänenmitgliedern einen Proxymitgeben?

Besteht denn auch die Möglichkeit, dass sich nicht Domänenmitglieder am ISA authentifzieren? Genügt es, das Benutzerkonto und identische Passwort, welches der user auf seinem loaklen privat PC hat auch am ISA anzulegen?

Viele Grüße
Kalenderfamily
Bitte warten ..
Mitglied: dog
21.09.2011 um 16:55 Uhr
Wie kann ich auch den Nicht Domänenmitgliedern einen Proxymitgeben?

Stichwort: WPAD (Kann der ISA übrigens von Haus aus)

dass sich nicht Domänenmitglieder am ISA authentifzieren?

Ja, mit ihrem Domainlogin.
Alles andere habe ich nie versucht.
Bitte warten ..
Mitglied: kalenderfamily
28.09.2011 um 19:23 Uhr
Guten Abend!

Ich bin nun einen anderen Weg gegangen und habe die Maschine in die Domäne integriert.

Ein Problem besteht aber leider immer noch: der user muss den Proxy manuell einstellen (obwohl der Benutzer in der Domäne bereits angelegt war). Muss ich denn noch weitere Einstellungen vornehmen?

Grüße
Kalenderfamily
Bitte warten ..
Mitglied: Pjordorf
28.09.2011 um 19:51 Uhr
Hallo,

Zitat von kalenderfamily:
Ein Problem besteht aber leider immer noch: der user muss den Proxy manuell einstellen (obwohl der Benutzer in der Domäne bereits angelegt war).
Klar. Was hat das aufnehmen eines Benutzers in der Domäne mit "welche Einstellungen brauche ich um zum Proxy zu kommen" miteinander zu tun? Gar nichts. Nimmst du den Firewallclient kann der für dich die Proxyeinstellungen im Browser (IE) eintragen, oder du machst WPAD und DHCP, oder du machst es über eine Richtlinie, oder oder oder. Zuerst musst du dir darüber klar sein WIE der Client (Rechner/Gerät) insd Ient soll und dann WIE du es erlauben/verbieten willst. Du hast also Geräte und Benutzer. Suchs dir aus und danch legst du fest was du wo Einstellen willst. Im ISA gibt es den benutzer Jeder. Damit ist auch Jeder gemeint, ohne ausnahme.

Muss ich denn noch weitere Einstellungen vornehmen?
Nur Gateway oder auch Proxy im Browser? Berechtigung aufgrund des Rechnernames, die IP, einer Gruppe oder des Domänenbenutzernamens? Du wirst dir schon klar werden müssen was du willst. Die verschiedenen Clienttypen haben wir dir oben mit links schon genannt. Probiere diese an einen Testclient alle durch und sehe welche für dich in Frage kommen. Jeder Client hat vor- und nachteile. Ein ISA ist nichts was in 5 Minuten abgehakt ist. da musst du dich schon intensiv mit befassen. Eine Astaro wird auch nicht mal eben so eingerichtet.

Gruß,
Peter
Bitte warten ..
Mitglied: kalenderfamily
28.09.2011 um 21:41 Uhr
Hallo Peter,

dass es verschiedene Möglichkeiten gibt ist mir klar. Ich dachte, dass die integrierte Benutzerauthentifizierung eben die Zuweisung des Proxies erledigt. Da der Benutzer ja bereits in der Domäne angelegt ist und die Verbindung über den Proxy an jeder anderen Maschine funktioniert, frage ich mich, wieso es nicht an dieser funktioniert. Aber gut, dann muss ich schauen, ob die Berechtigung anhand des Computernamens erfolgt, denn der Benutzer ist ja bereits einer Benutzergruppe zugeteilt - daran kann es nciht liegen, genauso wenig an der IP!

Grüße
Kalenderfamily
Bitte warten ..
Mitglied: Pjordorf
28.09.2011 um 22:36 Uhr
Hallo,

Zitat von kalenderfamily:
Ich dachte, dass die integrierte Benutzerauthentifizierung eben die Zuweisung des Proxies erledigt.
Ne ne. Das sind unterschiedliche dinge. Du kannst deinem Browser doch auch sagen er soll einen Proxy in USA verwenden. Was hat das mit den Benutzernamen deiner Domäne zu tun? Nichts. Aber der Proxy in USA könnte ja auf dein AD zurückgreifen und dann diesen Benutzer....
Das zuweisen ob überhaupt ein Proxy benutzt wird musst du schon festlegen und dann entsprechend Konfigurieren.Falls dann der Proxy genommen wird, ist dann die Abfrage deines AD ob dieser Benutzer erlaubniss hat ja dann auch von dir gewünscht. dazu hast du den benutzer ja im AD angelegt. Proxyeinstellungen werden dadurch aber nicht irgendwie irgendwo auf irgendwelchen Geräten (Rechner) vorgenommen. Das ist ein anderer Schritt. das kann der Firewallclient machen. Du kannst es per DHCP machen (WPAD). Du kannst es per Richtlinie oder Registrierung machen ...

Da der Benutzer ja bereits in der Domäne angelegt ist und die Verbindung über den Proxy an jeder anderen Maschine funktioniert, frage ich mich, wieso es nicht an dieser funktioniert.
Meine Glaskugel sagt dazu: "Da ist etwas anders". Das können wir hier nicht wissen. Du sitzt vor dem ISA.

Jeder der oben genannten Clients hat andere Vorraussetzungen. Einige überschneiden sich. Teste die Clients einzel gezielt aus.Dabei die ISA Protokollierung genau beobachten. Dann lernst du auch die Regeln zu verstehen und wann welche angewendet wird (Reihenfolge beachten beim erstellen neuer Regeln. Die letzte sollte alle verbieten). Dabei kannst du sehr genau sehen ob es aufgrund einer IP, einer Gruppe oder eines Benutzers (geht nur mit dem Firewallclient - Port 1745) geht oder blockiert wird. Und bedenke, der Benutzer jeder ist wirklich jeder also auch Geräte ohne irgendwelche Benutzer zu kennen oder zu haben. Zum testen nicht gerade diesen verwenden sondern gezielt den Benutzernamen oder eine erstellte Gruppe nutzen.

daran kann es nciht liegen, genauso wenig an der IP!
Das hängt alles nur von deinen verwendeten Regeln ab.

(Zum testen einen Virtuellen SBS 2003 Premium aufsetzen. Dort dir mal die schon vorhandenen reglen des ISA 2004 anschauen)

Gruß,
Peter
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Server 2012 R2 Computer in Domäne haben kein Internet (17)

Frage von Rennpappe zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2016 core - neue Domäne installieren (1)

Frage von chrismass zum Thema Windows Server ...

Hyper-V
Wieso werden Computer aus der Domäne "geworfen" ? (5)

Frage von Tastuser zum Thema Hyper-V ...

Heiß diskutierte Inhalte
Verschlüsselung & Zertifikate
gelöst Festplattenverschlüsselung im Ausland (13)

Frage von Nicolaas zum Thema Verschlüsselung & Zertifikate ...

Windows Server
gelöst Microsoft-Lizenz CALs und passendes Server-Betriebssystem (12)

Frage von planetIT2016 zum Thema Windows Server ...

Festplatten, SSD, Raid
gelöst Fehlerhafte Blöcke im RAID 10 (12)

Frage von Kojak-LE zum Thema Festplatten, SSD, Raid ...

Netzwerkgrundlagen
gelöst Cisco SG500 Series LAG hat sich von selbst umgestellt (11)

Frage von Ex0r2k16 zum Thema Netzwerkgrundlagen ...