8 Antworten in diesem Thema

[willerman]

Hallo,
ich benutze standardmäßig die integrierte Authentifizierung um Domänenbenutzer zu authentifizieren.
Für FTP Programme ist die Standardauthentifizierung vorgesehen.

Es gibt jedoch zwei Ausnahmen:

1. Es gibt Benutzer einer anderen Domäne, die den Proxy ebenfalls verwenden sollen. Diese kriegen dann ein Popup um Benutzernamen und PW einzugeben, Danch haben sie Zugriff aufs Inet über den Proxy.

2. Es gibt Benutzer der gleichen Domäne (in der sich auch der Proxy befindet), denen vom Regelwerk ein Zugriff aufs Inet nicht erlaubt ist (aber auch nicht verboten). Diese sollen sich auch händisch authentifizieren. Sie bekommen jedoch kein Popup, sondern die Verbindung wird gleich abgelehnt.

Weiß jemand warum??

[heinzelrumpel]

2. Es gibt Benutzer der gleichen Domäne (in der sich auch der Proxy befindet), denen vom Regelwerk ein Zugriff aufs Inet nicht erlaubt ist (aber auch nicht verboten). Diese sollen sich auch händisch authentifizieren. Sie bekommen jedoch kein Popup, sondern die Verbindung wird gleich abgelehnt.

Weiß jemand warum??

hi,

warum soll das denn manuell passieren?
wie weisst du den proxy denn den benutzern zu?

gruß

heinzelrumpel

[rablu]

Welcher ISA wird verwendet, 2000 oder 2004?

Es gibt Benutzer der gleichen Domäne (in der sich auch der Proxy befindet), denen vom Regelwerk ein Zugriff aufs Inet nicht erlaubt ist (aber auch nicht verboten).

Beim ISA gibt es nur schwarz und weiss, kein vielleicht.
Entweder eine Regel erlaubt etwas oder erlaubt etwas nicht (= verboten).

Nach der Klaerung der obigen Fragen werden die Antwortmoeglichkeiten besser eingegrenzt.

[Wildi]

... oder erweitert geschrieben:

Wie sieht Deine Regel aus, die es überhaupt jemandem zulässt über den Proxy zu gehen?

Mein vorab Verdacht: Benutzer der eigenen Domäne (wie ISA) haben keinen Zugriff.

Du schreibst ja: User einer anderen Domäne können, wenn sie sich authentifizieren. Die kommen ja auch erst mal beim ISA als unbekannt an, daher authentifizieren.

User innerhalb der Domäne kommen gleich authentifiziert an und das lässt der ISA nicht zu (Fehler in der Regelkonfig)

[willerman]

hi,

warum soll das denn manuell passieren?
wie weisst du den proxy denn den benutzern zu?

gruß

Firmenpoilitk! Einige Abteilungen sollen halt nicht direkt surfen können, sondern erst einen Internetbenutzernamen eingeben um sich freizuschalten.

Die Clients kreigen die Proxyeinstellungen über eine Gruppenrichtlinie.

Welcher ISA wird verwendet, 2000 oder 2004?

2004

Wie sieht Deine Regel aus, die es überhaupt jemandem zulässt über den Proxy zu gehen?

Mein vorab Verdacht: Benutzer der eigenen Domäne (wie ISA) haben keinen Zugriff.

Du schreibst ja: User einer anderen Domäne können, wenn sie sich authentifizieren. Die kommen ja auch erst mal beim ISA als unbekannt an, daher authentifizieren.

Erlaube -> HTTP,FTP,HTTPS -> für Proxybenutzer -> von intern nach intern

Proxybenutzer ist eine Gruppe im ADS, die Benutzer enthält, die Internetzugriff haben sollen. Die Benutzer, die sich manuell anmelden sollen, sind dort natürlich nicht enthalten.

Habe mit dem Netzwerk intern alle IP Adressen (außer 127.x.x.x) abgebildet, da der ISA nur als Proxy dient und ich keine Verwendung für das Zonenmodell habe.

ALs Authentifizierungsmethoden stehen integriert und standard zur Verfügung.

Standard ist soweit ich weiß für das Popup verantwortlich.
Wenn ich integriert abwähle funktioniert die manuelle Anmeldung auch!

Ich vermute deshalb, dass die Benutzer, die Mitglied der Domäne sind, versuchen sich integriert anzumelden.
Da sie nicht in der Gruppe Proxybenutzer sind, wird der Zugriff abgelehnt. Es wird jedoch nicht die Methode Standard angeboten, was ich mir eigentlich vorstelle, das es passiert.

Oder ist das gar nicht vorgesehen?

Habe schon versucht, den einzelen PC (ist eine Art "Internet Cafe-PC) mit einem eigenen Netzwerk abzubilden und diesem nur die STandardauthentifizierung zu ermöglichen, aber das funktioniert auch nicht.

[rablu]

Wieviele Netzwerkkarten sind im ISA drin? Welches Template wurde ausgewaehlt?
Welche Regeln gibt es noch? Wie ist die Reihenfolge der Regeln?

Welche der folgenden Optionen sind bei der Authentifizierung auf dem internen Netzwerk gesetzt?
- Integriert
- Standard
- Digest
- SSL
- Radius
- Authentifizierung ist fuer alle Benutzer erforderlich

[willerman]

Wieviele Netzwerkkarten sind im ISA drin? Welches Template wurde ausgewaehlt?
Welche Regeln gibt es noch? Wie ist die Reihenfolge der Regeln?

Ein Netzwerkadpater -> Template: Einzelner Netzwerkadapter
Es gibt nur noch drei weitere Regeln, die der esafe- und Smartfilter-Administration dienen und an dieser Stelle keine Rolle spielen.

Es gibt nur die Regel die der Gruppe Proxybenutzer den Zugriff auf http, https und ftp gewährt und die Standardregel, die alles verwirft.

Welche der folgenden Optionen sind bei der Authentifizierung auf dem internen Netzwerk gesetzt?
- Integriert
- Standard
- Digest
- SSL
- Radius
- Authentifizierung ist fuer alle Benutzer erforderlich

Integriert und Standard

Authtifizierung ist nicht aktiviert (da ja normalerweise das Regelwerk den Zugriff regelt)
Bringt aber auch nichts, wenn ich es aktiviere. War anfangs auch meine große Hoffnung

[rablu]

Versuche mal ausschliesslich die integrierte Authentifizierung.

FTP sollte dann auch noch gehen, allerdings nur mit dem IE.

[willerman]

Das ist das Problem!
Ich kann nicht nicht auf die Standardauthentifizierung verzichten, da es Nicht-MS-Programme gibt, die den Proxy brauchen. Und das geht nur mit Standard...