Jump to content

ISA-Firewallregel für AD-Benutzer klappen nicht.


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich habe für die Anbindung eines zweiten LAN's an das unsere einen ISA-Server 2004 aufgesetzt.

 

Die Nutzer im sicheren LAN_A sollen auf den OutlookWebAccess von EX_B im LAN_B zugreifen.

 

Dafür habe ich eine Firewall-Regel erstellt:

 

Von: intern

Nach: EX_B

Protokoll: HTTP; HTTPS

Wer: Firewalluser

 

Die Nutzergruppe Firewalluser verweist auf eine Gruppe im AD des sicheren Netzes. In dieser Gruppe sind alle User, welche den OWA nutzen sollen.

Aber anscheinend blockt er die User trotzdem, denn so kommt keine Kommunikation zustande. Sage ich aber in der Regel, das jeder User durchgelassen werden soll, funktioniert es.

 

Ich habe auch schon das in der ISA vorgefertigte Profil für Systemdienste dazugenommen. Hat aber leider nicht gereicht.

 

Ach ja, hat einer von euch Erfahrung mit Symantec AnitVirus für ISA? Denn bei mir kann ich ihn nicht installieren, da er mir dann sagt, ich solle erst einen ISA-Server auf dem Server installieren. Aber der läuft ja schon....

 

Könnt ihr mir helfen?

Link zu diesem Kommentar

Hi,

 

wie äußert sich das mit der nicht zustande gekommenen Kommunikation genau, gibt es irgendwelche Fehlermeldungen?

Verwendet ihr die Forms-Based-Authentication?

In dem Fall könnte dir dieser Artikel helfen.

 

Vielleicht zäumst du das Pferd aber auch besser andersrum auf und erstellst eine OWA-Publishing-Regel.

 

Hier findest du ein Whitepaper dazu.

 

Mit symantec kann ich leider nicht helfen.

 

Christoph

Link zu diesem Kommentar

Danke für die Antwort.

 

Er meldet im Browser schlicht und einfach, dass die ISA den Traffic geblockt hat.

 

Das selbe macht er auch mit Internetseiten. Später soll dann noch für bestimmte Nutzer der Zugriff auf bestimmte Websites erlaubt werden.

Da blockt er aber auch, trotz das sie in einer Gruppe sind, welche eigentlich laut Firewallregel die Rechte haben sollte.

 

Auch da ist es so, dass er blockt, wenn ich nicht sage, das jedem User der Zugriff gestattet sein soll...

Link zu diesem Kommentar

Ich habe keine Clients installiert.

 

Der Standart-GW zeigt auf den ISA.

 

Im IE ist kein Proxy eingetragen...

 

Die User sollen sich mit ihrem Nutzeraccount user_1@LAN_A an ihrem Rechner anmelden.

Wenn sie nun auf die Freigegebenen Seiten oder auf den OWA zugreifen sollen, starten sie den IE und geben die Adresse ein. (Solange User_1 Mitglied der Gruppe LAN_B/Firewalluser ist).

Die Gruppe habe ich selbst erstellt. Das ist nicht die vom ISA erzeugte Nutzergruppe.

 

Leider klappt es nur, wenn ich in der Firewallrichtlinie sage, dass jeder durchgelassen werden soll. Sage ich, dass nur die AD-Gruppe Firewalluser durchgelassen werden soll, verweigert er den Zugang. Auch für z.b. User_1.

Link zu diesem Kommentar

Danke für deine schnelle Hilfe...

 

Ich habe jetzt unter IE --> Extras --> Verbindung --> LAN den ISA als Proxy angegeben und das Gateway rausgenommen.

Aber welche Ports soll ich da angeben. Ich hab beim ISA nirgends Angaben dazu bekommen. Ich habe es jetzt mal ohne Ports getestet. Nun zeigt er immmer an, dass der ISA den Zugriff geblockt hat. Auch wenn ich in der Firewallrichtlinie sage, dass jeder User akzeptiert werden soll...

 

Muss ich irgendwo noch einmal die Nutzerdaten angeben?

Link zu diesem Kommentar

Wie sehen genau deine FW-Policies aus?

Wie ist genau deine Netzwerk-Konfiguration? Werden mit dem ISA nur die beiden Netze LAN-A und LAN-B verbunden, oder gibt es noch eine dritte NIC für Zugang zum internet?

 

Für s erste würde ich s mal mit "Allow All Outbound Traffic from Lan-A to Lan-B" für alle User probieren. Wenn das dann klappt, kannst du versuchen, die User einzuschränken.

 

Christoph

Link zu diesem Kommentar

Ich habe einen Screenshot als Zip angehängt. Dort sind die Firewallrichtlinien, wie ich sie gesetzt habe.

 

Ich habe versucht, allen den Zugriff auf alles zu geben. Das hat funktioniert. Sage ich dann aber, dass nur die Gruppe Entwicklung zugreifen darf, klappt es leider nicht mehr.

 

Die Gruppe Entwicklung verweißt auf die AD-Gruppe Firewalluser....

 

Das Netzwerk sieht schematisch so aus:

 

LAN_A --> LAN_B --> Router

 

Zwischen LAN_A und LAN_B ist der ISA. In LAN_B der Exchange.

Firewallrichtlinie2.zip

Link zu diesem Kommentar

Ich hab jetzt den ISA-Client an der Teststation installiert.

Dann den ISA-Server angegeben und unter Proxy-Konfiguration "automatisch Einstellungen übernehmen" angeklickt. Er sagt dann erfolgreich und trägt auch in den Proxyeinstellungen jede Menge ein.

 

Starte ich nun den Browser, so gibt er lange "Proxyeinstellungen werden gesucht" an und irgendwann kommt dann Seite nicht gefunden.

 

Gestatte ich in der Firewallrichtlinie jedem den Zugang, so klappt es...

 

Danke für deine Unterstützung.

Link zu diesem Kommentar

Hallo,

 

ich habe jetzt alles noch einmal neu angelegt. Nur habe ich diesmal den Proxy-Port auf 8800 gelegt. Das war es anscheinend.

 

Jetzt klappt alles so, wie ich es mir dachte.

 

Jetzt muss ich mir nur noch überlegen, wie ich auf einen Ordner auf dem Server im sicheren LAN zugreifen kann.

Aber das ist eine andere Geschichte.

 

Ich danke dir für deine schnelle Hilfe.

Iss echt klasse von dir.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...