ISA-Server 2006

[vader.darth]

Hallo Zusammen,

ich habe eine Frage bzgl. einer Zugriffsregel auf einem ISA-Server 2006.

Ein Kunde betreibt einen ISA als Edgefirewall konfiguriert und hat sich jetzt ein Videokonferenzsystem gekauft. Das Konferenzsystem läuft im internen Netz, muss allerdings mit bestimmten Ports auch vom Internet aus zugänglich sein.

Ich habe jetzt ein benutzerdefiniertes Protokoll mit allen entsprechenden Ports (TCP 80, 443, 17990 und 17992 - UDP 50000 - 65535 eingehend) angelegt und eine Firewallrichtlinie "Zugriffsregel" von extern bis Server-IP-Adresse angelegt und das benutzerdefinierte Protokolle eingebunden.

Die Verbindung vom Video-Server nach extern ist durch die Internet-Firewallrichtlinie gewährleistet.

Jetzt besteht allerdings das Problem das jegliche Testverbindung über Port 80 und 17990 durch die Standardregel abgelehnt wird.


Lege ich eine "Nicht-Webserver"-Firewallrichtilinie an, so ist der Zugriff über Port 80 problemlos möglich, allerdings kommt eine Fehlermeldung dass der Port 443 bereits auf einem anderen Socket verwendet wird und deswegen die Richtlinie nicht angewendet werden kann.

Könnte mir bitte jemand einen Tipp geben wie ich die Sache in den Griff bekommen kann?

Vielen Dank schon mal im Voraus.

VG

[dmetzger]

Du kannst selbstverständlich die "Eigenschaften der Unternehmensrichtlinie bearbeiten". Das allerdings mit grosser Umsicht und dokumentiert, um für den regelbetrieb die Änderungen rückgängig machen zu können.

[Dunkelmann]

Um welches Konferenzsystem handelt es sich dabei?
Falls es den H323 Standard nutzt, kannst Du das vorkonfigurierte Protokoll und den Anwendungsfilter vom ISA Nutzen.
About application filters

Zu Port 80:
Viele Anwendungen haben Problme mit dem Webfilter.

Dafür würde ich ein eigenes Protokoll z.B. "http [ohne Filter]" erstellen und individuelle Firewallregeln für die Kommunikation mit den externen Servern/Domänen, die davon betroffen sind, einrichten.

Zu Port 443:
Gibt es schon einen Listener auf dem Port?

OWA oder ein anderer https Webserver? Dann müssen evntuell die url der veröffentlichten Sites angepasst werden bzw. für das Konferenzsystem muss eine andere url oder ein anderer Host verwendet werden.

Manchmal macht auch der WinRM Dienst Probleme und erstellt einen Listener auf Port 443. Dann sind alle über 443 veröffentlichten Sites nicht verfügbar, da der ISA/TMG keinen Listener erstellen kann.
Da mir das auf die Nerven ging, habe ich per GPO auf allen ISA/TMG den WinRM Dienst deaktiviert.