Jump to content

ISA 2000 von IP auf AD-User umstellen !?

Halford

Von Halford
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Halford Fellow

Halford   10

Geschrieben
Geschrieben

Hello Folks !

 

VORGESCHICHTE:

Wir setzen den ISA 2000 ein. Der ISA 2000 ist auf einem Windows 2003 Server installiert, dieser ist Mitglied im Active Directory – Als Standard-AP.

 

Es existieren zwei (2) Clientadresssätze :

Genereller Zugriff ( Komplette Priv. IP Range von Betrieb)

&

Vollzugriff (IP Adressen einzelner Mitarbeiter APs)

zusammen mit den Zielsätzen:

 

Blacklist („böse“ Websites wie http://www.fcbayern.de / http://www.ebay.de / Reiseveranstalter etc.)

Whitelist („gute“ Websites wie http://www.mcseboard.de / http://www.heise.de / Infotainment etc.)

Intern (Intranet, Diensteserver etc. IP Adressen und UNC Namen davon)

 

entstanden folgende Site & Inhalts Regeln:

„Blockiere Blacklist“ Ziele: Blacklist-Zielsatz Zeitplan: Immer Aktion: verweigern Umleitung auf Interne Fehlermeldungsseite Anwendung: Alle Anfragen

 

„Zulassung Whitelist“ Ziele: Alle Ziele Außer dem gewählten Zielsatz „Whitelist-Zielsatz“ Zeitplan: Immer Aktion: VERWEIGERN Anwendung: „Genereller Zugriff“ – Außnahmen „Vollzugriff“

 

Prokollregel – Gesamter IP Datenverkehr zulassen für alle.

Routingregel für Internet & Routingregel für „Intern“ – direkt vom angegebenen Ziel abfragen

----

 

Soweit sogut mit dieser Konfiguration lief es wunderbar.

 

Der Anfang vom Ende

Nun soll das Ganze Konstrukt in die Luft geworfen und von IP auf AD-Benutzer geändert werden.

 

Ich habe einen potenteren Server bereits mit W2k3 und ISA 2000 aufgesetzt sowie in Domäne geholt. Dieser soll, sofern alles einwandfrei läuft den alten Proxy ersetzen.

Das wurde getan:

Die alten Regelsätze importiert (Blacklist/Whitelist/Intern). Das Routing wurde eingestellt (Internet & Intern). Protokollregel – Gesamter IP Datenverkehr zulassen für alle wieder erstellt.

 

Im AD eine neue Gruppe erstellt „Internet Vollzugriff“ und die alten Vollzugriff-AP Besitzer dort hinterlegt.

 

Als Site & Inhaltsregeln hab ich folgende erstellt:

 

„Whitelist zulassen“ Ziele: Alle bis auf Ausgewählten Zielsatz „Whitelist“ Zeitplan: Immer Aktion: VERWEIGERN Anwendung: Unten angegebene Benutzer & Gruppen

 

Dort habe ich Dom-Benutzer hinzugefügt.

Außnahmen Vollzugriff & Dom-Admins.

(Bei den Benutzern ist Dom-Benutzer mit hinterlegt –

jedoch nicht die Primäre Gruppe (Prim. ist die Abteilungnr.)!? – kann dies das Prob sein ?)

 

„Blacklist verweigern“ Ziele: Ausgewählter Zielsatz „Blacklist“ Zeitplan: Immer Aktion: VERWEIGERN – Umleitung auf Interne Fehlermeldungsseite Anwendung: Alle Anfragen

 

„Vollzugriff“ Ziele: Alle Ziele außer dem gewählten Zielsatz“Blacklist“ Zeitplan: Immer Aktion: Zulassen Anwendung: unten angegebene Benutzer & Gruppen

 

Hier sind Gruppe „Domänen-Admins“ & die zusammengestellte „Internet Vollzugriff“ – Gruppe eingestellt.

---

 

30 sek wart .... für Part 2

Link zu diesem Kommentar
Halford Fellow

Halford   10

Geschrieben
  • Autor
Geschrieben

Soweit zu Konfiguration.

Die Doppelte Blockierung der Blacklist ist drin, da zum Beispiel http://www.t-online.de in der Whitelist ist jedoch bild.t-online.de gesperrt sein soll. Genauso die Bildersuche bei Google.

 

Das Problem ist folgendes: als es noch über IP lief musste man sich beim Aufruf von bspweise. http://www.heise.de'>http://www.heise.de'>http://www.heise.de 1 x mit den Internet-Benutzerdaten authentifizieren.

Nachdem es auf AD umgestellt worden ist verlangt der Browser für jedes Bild/Frame/ Domainexternes Dokument eine weitere Authentifizierung ….

Beim Aufruf von http://www.heise.de sind das knapp 35 authentifizierungen. Bricht man mit ESC den Auth.Vorgang sofort ab bekommt man die „Seite kann nicht angezeigt werden“-Meldung vom IE. Sofern man Ausdauer beweist und 8- 12 mal die Authentifizierung eingegeben hat sieht man schon mal die Frames und einiges an Inhalt der http://www.heise.de Präsenz.

Bricht man nun ab sind Fehlermeldungen des ISA in den nicht geladenen Frames/Bildern/Bannern bzw. das Symbol für „kaputtes Bild“.

 

Ich habe schon einiges ausprobiert und Mal alle Regelsätze runtergeworfen und eine „Jeder darf alles Regel“ (Alle Anfragen (User & IP)) erstellt …. funktioniert dann komischerweise ?!

 

Liegt es an irgendwelchen Rechten die ich vergessen hab zu setzen ?

 

Ich bitte um Feedback , sofern noch Fragen offen sind … nur zu fragt :D

 

Besten Dank im voraus für alle Bemühungen

Link zu diesem Kommentar
Halford Fellow

Halford   10

Geschrieben
  • Autor
Geschrieben

Hallo, wir verwenden einen Per GPO konfigurierten IE.

 

Das Problem von Oben ist zumindest teilweise bereinigt: Der Firewall Dienst ist nun AUS und bleibt AUS.

Der ISA ist als "Integriert" installiert der Firewall Dienst ist jetzt jedoch deaktiviert.

 

Der Firewallclient wird nicht eingesetzt es ist ein reiner Caching Server - Kritische Unternehmensschutzmechanismen setzen wir nicht auf Microsoft Basis ein.

 

 

Ich habe die Vermutung das es an den Regeln liegt.

 

Habe am gestrigen Nachmittag noch rumprobiert.

 

Vollzugriff User dürfen alles

 

Whitelist User dürfen nur Whitelist

 

Beide sollen bei Eingabe von bösen Websiten wie ebay.de oder dicke*****n.de unsere "zugriff verweigert"-Seite bekommen.

 

Bei den Vollzugriff usern funktioniert es nach Firewall-dienst abschaltung.

 

Die Whitelist User bekommen jedoch wenn Sie eine Seite eingeben die _nicht_ in Blacklist und _nicht_ in der Whitelist ist das Authentifizierungsfenster tausendmal. - da würd ich ja dann auch die zugriff verweigert seite gerne sehen ...

@ FiBO es ist nicht das DomänenAuth.Fenster sondern der Userlogin für den ISP, jeder Mitarbeiter hat eine Kennung & PW.

 

Ich habe alle "Site und Inhaltsregeln" gelöscht und nochmal von vorne begonnen.

Folgende Regeln hab ich erstellt vielleicht ist dort ein Logikfehler...

 

Blacklist

Ziele "Ausgewählter Zielsatz": Blacklist

Zeitplan: Immer

Aktion:Verweigern - httpanfrage an diesen URL weiterleiten - http://***/verweigert.html

Anwendung: Alle Anfragen

 

Vollzugriff

Ziele: Alle

Zeitplan: Immer

Aktion: Zulassen

Anwendung: Unten angegebene Benutzer & Gruppen (Gruppe Dom-Admins & Gruppe Vollzugriff)

 

Whitelist

Ziele: Ausgewählter Zielsatz

Zeitplan: Immer

Aktion: Zulassen

Anwendung: Alle Anfragen

 

Intern

Ziele: Ausgewählter Zielsatz

Zeitplan: Immer

Aktion: Zulassen

Anwendung: Allle Anfragen

 

Wenn ich jedoch eine Regel Aufmache:

Blockiere alles Außer Whitelist

Ziele: Alle Ziele außer dem gewählten Satz "Whitelist"

Zeitplan: Immer

Aktion: Verweigern - umleiteiten zu verweigert.htm

Anwendung: Dom-Benutzer

 

können die User die in der Gruppe "Vollzugriff" sind auch nur noch auf die Whitelist zugreifen.

 

any Ideas ?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...