Jump to content
Sign in to follow this  
Joerg Herche

ISA WebProxy Einstellungen

Recommended Posts

Hi alle zusammen,

 

bin gezwungen, mich mit dem ISA Server ein wenig auseinanderzusetzen und bin momentan am experimentieren.

 

Problem WebProxy:

 

Habe bei meinem Browser die automatische Suche der Einstellungen aktiviert.

 

Bei http://www.msisafaq.de/Anleitungen/Installation/wpad.htm fand ich eine Anleitung, was ich alles im ISA einstellen muss, damit der Browser die Daten auch kriegt.

Jetzt habe ich zwar http://SERVERNAME:PORT/wpad.dat eingetragen, aber ... wo ist diese Datei? Wie editiere ich sie?

Was genau steht da drin? Fragen über Fragen ...

 

Habe das Gefühl, dass der Proxy komplett ignoriert wird. Der Testclient geht online, egal ob der Proxy-Dienst oben ist, oder nicht. Mmh

 

Es darf aber auf keinen Fall jemand online kommen, wenn der Proxy-Dienst down ist (Ich will einen WLAN-Hotspot absichern). Wie bewerkstellige ich das? Ausserdem soll mit dem Senden der automatischen Konfiguration eine bestimmte Internetseite im wwwroot-Directory des ISAs eingetragen werden.

 

Und zu allerletzt: Wie bewerkstellige ich es, dass es eine User-Authentifizierung gibt, wenn jemand online will ... Es sollen ja nur die online kommen, die von mir die Userdaten+Passwort bekommen haben.

 

Entschuldigt bitte, sollte ich etwas wirr geschrieben haben, aber habe die gesamte letzte Nacht und den ganzen heutigen Tag erfolglos daran gefriemelt und bin jetzt komplett durch den Wind.

 

Grüße Joerg

Share this post


Link to post

welche authentifizierungsform hast du für die clients eingestellt ???

 

anonym oder standart authetifizierung ( Username und PW in klaretxt ) ???

 

ist dein isa server als gateway eingetragen ???

Share this post


Link to post

Andere Methode:

 

Installier auf dem Client den FirewallClient, und erstelle am ISA Server eine Regel das er den Zugriff auf alle Protokolle verweigert, wenn man der und der User oder die und die Gruppe ist.

Oder du machst es ohne FirewallClient mit einem ClientAdress Set und tragst dort den internen IP Adress Bereich deines Netzwerks ein.

Naja und wenn du halt willst das sie über den ISA hinaus kommen sollen, deaktivierst du die Regel halt.

 

Stefan

Share this post


Link to post

Also, wenn auf dem ISA der Webproxy-Dienst deaktiviert ist, geht nicht mehr mit HTTP oder FTP, egal, welcher Client (WebproxyClient, FW-Client oder Secure NAT Client), ausser vielleicht das Routing wurde manuell auf dem ISA eingeschaltet. Aber kein Webproxy, kein Surfen.

 

grizzly999

Share this post


Link to post

Danke für die schnellen Antworten ...

 

@solinske: Habe die integrierte Authentifizierung gewählt. Aber dann wurden generell die Websites geblockt, weil man nicht die Berechtigung hatte. Deshalb ist die Option momentan deaktiviert.

Ja der ISA-Server ist das Gateway.

 

@Der Teufel: Da das ein HotSpot werden soll, kann ich nicht auf allen Clients den FirewallClient installieren. Das muss mit Bordmitteln gehen. Es sollen eigentlich alle über den ISA-Server hinaus kommen, die von mir einen Benutzernamen und ein Passwort (wird täglich geändert) erhalten haben

 

@grizzly999: Also es kann gut sein, dass das Routing wirklich auch so über den ISA gehen kann. Will den ISA als Proxy und Firewall nutzen, d.h. er hat 2 Interfaces. Könnte also sein. Nebenbei ist der ISA noch DNS und DHCP ... WPAD wird über DHCP verteilt. Um es gleich vorweg zu nehmen, ich habe keine AD Struktur.

 

Wie deaktiviere ich das manuelle Routing?

 

Joerg

Share this post


Link to post

Du musst es nicht deaktivieren, nur nicht anschalten (im Routing und RAS oder der Registry ;) ), dann geht alles über den ISA. Es muss der Zugriff ohne WebProxyDienst gesperrt werden, das funktioniert normalerweise auch. Probiere es nochmal. Warte mit dem Testen noch einen Moment nach Abschalten des Dienstes.

 

Um Benutzer zu authentifizieren musst du in den Eigenschaften des ISA-Servers unter "Ausgehende Anfragen" in den dortigen Eigenschaften die integrierte Windows Authentifizierung wegnehmen und die "Authentifizierung mit dieser Domäne einschalten". Dann normalerweise dort die Domäne eintragen, ob man auch nur den ISA-Coumputer eintragen kann, weil Arbeitsgruppe, weiß ich jetzt nicht. Probieren.

 

grizzly999

Share this post


Link to post

Irgendwie hat sich in den DHCP Einstellungen ein Fehler eingeschlichen. Es wurde ein Gateway publiziert, so dass der Proxy umgangen werden konnte.

 

Die Arbeitsgruppe kann man dort zwar eintragen, aber dann blockt der ISA leider immer noch ... :(

 

P.S. Wie kann ich im ISA einstellen, dass die User eine bestimmte Startseite zugewiesen bekommen?

 

Gruß Joerg

Share this post


Link to post

Das mit der Startseite geht nicht über den ISA, das geht über die Browser-Einstellungen, z.B. über Gruppenrichtlinien.

 

Die Arbeitsgruppe kann man dort zwar eintragen, aber dann blockt der ISA leider immer noch ...

Was meinst du mit "blockiert"?

 

grizzly999

Share this post


Link to post

Habe aber ein noch wesentlich größeres Problem ...

 

Die Proxyeinstellungen werden nicht automatisch verteilt. Da es keine DNS-Zonen existieren und ich bei DNS nur die Forwarder-Adresse eingetragen habe, will ich das per DHCP machen.

 

Habe auch eine Anleitung gefunden, wie ich den WPAD-Eintrag in den DHCP-Einstellungen setze, aber funktionieren tuts leider trotzdem nicht :(

 

Das der Proxy definitv funktioniert, weiss ich, da ich surfen kann, wenn ich den Proxy manuell eintrage.

 

Joerg

Share this post


Link to post

Naja wenns nicht über Firewall Client geht, dann über IP Adressen.

 

Aber ob das so geht wie du meinst, das du täglich ein neues Passwort vergibst, naja du musst einen User machen, und nur dem vergibst du eine Berechtigung auf alle (oder ausgewählte) Protokolle.

 

Und dann musst du im ISA Server einstellen Basic Authentifizierung, da du ja willst das deine User den User und das Passwort händisch eingeben müssen.

 

Wenns nicht über WPAD geht machs über die Gruppenrichtlinien ... dort kannst du bei den IE Einstellungen auch Proxy Einstellungen machen.

 

Und wenn das in deinem Fall nicht so funktioniert ... kannst die Rechner nur als Secure NAT Client konfigurieren (mittels DHCP)

 

Stefan

Share this post


Link to post

Männer ... ihr habt mich auf den richtigen Weg gebracht ...

Die automatischen Einstellungen werden jetzt richtig verteilt (es hat wohl nicht gereicht, den Dienst durchzustarten ... es musste gleich der ganze Server sein ...) :(

Habe einen User angelegt, auf den alle Web-Protocol Rules gelten, d.h. eine Authentifizierung fürs Web gibts nun auch ...

 

Das einzige, was jetzt immer noch nicht funktioniert ist das Zulassen von POP3 und SMTP ... Habe eine Protokoll-Regel dafür erstellt, aber Outlook sagt mit immer nur "Outlook is unable to connect to your incoming (POP3) e-mail server." ... Habe mir zur Kontrolle nochmal die Anleitung auf http://www.isaserver.org angesehen und kann keine Fehler finden. Hab' ich vielleicht noch irgendeine Einstellung vergessen, die man an anderer Stelle als bei den Protokoll-Filtern setzen muss?

 

Danke nochmal an alle ... :)

 

Gruß Joerg

Share this post


Link to post

POP3 und SMTP sind eigentlich ganz einfach. Beim Erstellen einer neuen Protokollregel wird man ja durchgeführt, das meiste ist selbstsprechend. Worauf man achten muss, ist bei der Auswahl der schon vorkonfigurierten Protokolldefinitionen, z.B. dass man bei POP3 auch POP3 auswählt und nicht POP3 Server, genauso bei SMTP. Dann muss das klappen.

 

grizzly999

Share this post


Link to post

Die Protokollregeln sind schon erstellt. Geht leider trotzdem nicht. Sind es wirklich nur die Regeln und nichts weiter sonst? Achja ... woher nimmt Outlook die Einstellungen, dass es über den Proxy gehen soll (ein Standardgateway ist ja nicht eingetragen)? Das sollte es ddoch eigentlich über vom IE kriegen, oder sehe ich das falsch?

 

Gruß Joerg

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...