Cybquest

Ich habs so gemacht: Vor der allgemeinen Regel, die den eingeschränkten Internetverkehr zulässt habe ich eine Regel, in der das Ziel ein URL-Satz ist, in dem die betreffenden Seiten eingetragen werden ("*bahn.de/*" usw.), die komplett zugelassen werden. Gut, dieser URL-Satz ist ja dann auch so eine Art Whitelist, aber eben nur für kpl. Seiten und nicht für einzelne Exe's.

Was m.E. auch hilfreich ist, eine max. Anzahl Anmeldeversuche zu definieren! Wenn z.B. 5x das Passwort falsch eingegeben wurde, wird der User für 30min. gesperrt. Ansonsten bin ich auch für längere Passwörter mit längeren Zeiten (6Monate)

Hab das grad bei mir geschaut: Ich hab ptbtime1 und ptbtime2 definiert. Über w32tm /monitor bringt er mir, dass er mit ptbtime2.ptb.de synchronisiert wäre... Ein Telnet funktioniert bei mir auch nicht...

Wenns nur ums Routing geht, bei den Clients den Server als Default Gateway eintragen.

In VB-Script z.B. in der Art: strKey = WshShell.RegRead("HKCU\Software\...<hier nen passenden Wert nehmen>") 'Prüfen, ob CU-Schlüssel bereits importiert wurden if strKey <> "<enstpr. erwartetes Ergebnis>" then WShell "regedit /s cu_key.reg" end if

Programme bedienen, die keine Möglichkeit haben, nen Proxy zu hinterlegen. Irgendwelche FTP-Clients, Mailprogramme...

Schau mal im Reiter "Überwachung - Protokollierung" ...diese Anmeldemaske... die such ich auch noch ;) An einem Client hab ich sie mal "unfreiwillig" bekommen, hab aber keine Ahnung, warum!

Hmmm... kann das hier schlecht testen. Hab nur nen produktiven ISA 2006 am Start. Bei mir ist "Digest", "Integriert" und "Standard" drin und ich hab als Vorlage ne Edge. Hier tut alles wie geplant. ABer ob das was damit zu tun hat, weiß ich nicht... Was sagen denn die ISA-Alarme und das Ereignisprotokoll?

Klingt so, als würde da der Authentifizierungs-Verkehr irgendwie geblockt werden. Welche Netzwerkvorlage hast du jetzt eigentlich genommen? Ggf. mal die Systemrichtlinien überprüfen, ob das Häkle bei "Active Directory" drin ist. Die Eigenschaften des Netzwerkes "Intern": Ist da bei Webproxy das Häkle drin? HTTP aktiviert? Richtiger Port? Bei Authentifizierung, Digest und Integriert? Und dort bei "Domäne auswählen" die Standard-Windows-Domäne?

Dier fehlen noch entspr. Firewallregeln, nehm ich an! Standardmässig kann niemand "surfen". D.h. du musst eine Regel erstellen: - Zulassung - Protokolle: z.B. HTTP und HTTPS - Von: Netzwerk intern - Nach: Beliebig oder Extern - Benutzer: Eine Benutzergruppe anlegen und dort die berechtigten Windows-Gruppe(n) einbauen. Wg. Gruppenrichtlinien... würde ich mich an deiner Stelle erst mal intensiv mit den Grundlagen befassen. Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Hier bissle Beispielcode: Bei Fragen... einfach fragen :) startcodes = Split(",läuft nicht,wird gestartet,wird gestoppt,läuft,wird fortgesetzt,angehalten,Fehler", ",") starttypes = Split("Autostart Boot,Autostart Windows,Autostart CM,manuell,gesperrt", ",") Set dienst = GetObject("WinNT://" & strPC & "/" & strSrvc & ",service") 'Dienst auf 'Autostart Windows' umstellen If dienst.StartType = 4 Then dienst.Put "StartType", 2 dienst.SetInfo End If If dienst.Status = 4 Then 'wenn dienst gestartet ist dann stoppen dienst.Stop MsgBox "Dienst auf " & strPC & " gestoppt" ElseIf dienst.Status = 1 Then '...sonst starten dienst.start MsgBox "Dienst auf " & strPC & " gestartet" End If

Eben jene Fehlerseite (Error 403) soll auf dem Mailserver umgebogen werden. Dort im IIS bei den Eigenschaften von "Exchange Virtual Directory"

Funktionieren tut das, indem die Fehlerseite 403 entsprechend umgebogen wird. Eine Vermutung wäre jetzt mal, dass im ISA das http: gar nicht zugelassen wird sondern nur https:. Kann das sein?

Ist wirklich sichergestellt, dass alles richtig eigegeben wurde? Ich hatte hier auch schon Anwender, die zwar ihr Kennwort richtig eingegeben haben und auch der Benutzername sah richtig aus... hatte dann aber doch ein Leerzeichen dahinter!

Wenns nur um Internetbrowsen geht, brauchst du gar keinen Client! Wie gesagt, es reicht im IE unter Extras - Internetoptionen - Verbindungen - LAN-Einstellungen den ISA-Server als Proxy einzutragen! Oder eben per GPO diese Einstellung verteilen. Der Firewall-Client kann Benutzer übrigens auch authentifizieren. Backend klingt in dieser Konstellation ganz gut :) Aber die Vorlage ist auch nicht soooo dramatisch, da sämtliche Einstellungen auch nachträglich angepasst werden können (sogar das Bild der Vorlage)

So ne richtige Unterstützung kann ich nicht geben, da ich selber erst seit rd. 4 Monaten damit arbeite. Aber ein paar Hinweise... Meine ersten Fragen wären: Was soll der ISA alles machen? Webproxy? Sind auch andere Anwendungen vorgesehen, die nicht über den Browser gehen? Müssen Server veröffentlicht werden? Gibt es eine DMZ? Zur allgemeinen Vorgehensweise würde ich sagen: - Erst mal das Konzept aufmalen (Schnittstellen, was wohin gehen soll...) - Netzwerkvorlage wählen - Netzwerke einrichten - Netzwerkregeln definieren - Firewallrichtlinien definieren Zum Thema Client: Wenn nur Webproxy gebraucht wird, reicht es, per GPO den ISA als Proxy einzustellen. Für Applikationen ist die Verteilung des Firewallclients vorteilhaft. Der sog. "SecureNAT"-Client muss nicht installiert werden. Dazu würde es reichen, den ISA als Default-Gateway einzurichten (oder Routen darüber zu definieren). Allerdings ist mit dem keine Benutzerauthentifizierung möglich!

Zu finden unter Rehm-Web.net Downloads. Ist für MS-SQL, kann aber entspr. hingebogen werden. VB-Quelltext ist dabei.

Wir hatten das auch mal, dass die PCs nach Station oder Benutzer benannt waren. 2 Jahre später... zig PCs irgendwo umgestellt, einige Leute gewechselt.. stimmt nix mehr! Nun heissen sie PC-00001 usw. Das Problem mit VNC mach ich über ein selbstgebasteltes Tool, das mir bei An- und Abmeldung der User Name und PC in ne Datenbank schreibt... wurde kürzlich auch mal hier behandelt.

Ach so, du meinst, die nur reservieren, damit sie kein anderer bekommt und dann aber statisch am PC einrichten. Das geht natürlich.

ER will ja aber in zwei Netze, somit bringt eine reservierte IP auch nix. Das mit den zwei Netzwerkkarten ist wohl die praktikabelste Lösung.

Nu ja... was heisst dynamisch. Wenn du ne Anfrage aus einem Netz bekommst, oder eine in ein Netz schickst, wird ja die entspr. IP-Adresse schon mit angegeben. Bei der Namensauflösung ist das natürlich anders, da hangelt er sich ggf. durch alle DNS-Server oder macht nen Broadcast.

Netzwerkeigenschaften.. da wo man die IP-Adresse angibt "Erweitert" drücken und weitere Adressen hinzufügen.

Würde auch sagen entweder oder. Gemischt geht nischt. Wie viele statische gehen weiß ich auch nicht. Aber bis man 32 "verbraucht" hat, dauerts ;)

Im SQL-Manager nen Rechtsklick auf die Tabelle - Alle Tasks - Trigger verwalten Dann nen trigger anlegen: CREATE TRIGGER CheckToleranz ON <Tabellenname> FOR INSERT, UPDATE AS ... und hier jetzt die passende Funktion ... ;) ... hab ich grad nicht parat.

Hallo, hab ein Problem mit meinem ISA-Server: Ich hab ne Regel, die für bestimmte Benutzergruppen den Internetzugang erlaubt. Danach kommt ne Regel, die manche Seiten für alle erlaubt und dann ne Regel, die alles sperrt. Bisher war es so, dass die Benutzer in einer der entspr. Gruppen fein surfen konnten. Seit letzter Woche kommt jedoch bei manchen Anwendern eine Anmeldemaske für den ISA-Server. Wenn ich dort einen Testuser von mir eingebe, geht er ins Internet oder es kommt die Sperrseite (je nach dem, ob ich den Testuser in eine zugelassene Gruppe pack oder nicht). Ich komm einfach nicht dahinter, warum manche Benuzter das jetzt nicht mehr können, obwohl sie in der passenden Gruppe sind. Vor allem kam dann früher halt die Sperrseite. Die Anmeldemaske ist neu... Wo kann ich noch suchen?