Wer hilft mir beim Abschlussprojekt mit ISA

[Nippelzwicka 10]

Hallo,

 

folgendes Problem.

Ich muss einen ISA 2004 installieren, hab aber nicht so viel Ahnung davon(siehe alte Einträge von mir)

 

Gibt es hier jemanden der sich bereiterklären würde mir unterstüzend zur Seite zu stehen.

z.B. Mich per E-Mail unterstützen würde.

 

Mein Momentaner Stand:

Ich hab den Server 2003 installiert.

Hotfixe updates installiert

Netzwerkkarten konfiguriert

ISA installiert

Neugestartet.

 

Was sind die nächsten Schritte

Erst die ISA Server Clients installieren welchen den? Was bietet sich an??? Vorteile nachteile???

Oder doch erst die Netzwerkvorlage wählen??

Oder richte ich doch lieber erst die Firewallrichtlinien ein?

 

Hilfe?????

[Cybquest 36]

So ne richtige Unterstützung kann ich nicht geben, da ich selber erst seit rd. 4 Monaten damit arbeite. Aber ein paar Hinweise...

 

Meine ersten Fragen wären: Was soll der ISA alles machen? Webproxy? Sind auch andere Anwendungen vorgesehen, die nicht über den Browser gehen? Müssen Server veröffentlicht werden? Gibt es eine DMZ?

 

Zur allgemeinen Vorgehensweise würde ich sagen:

- Erst mal das Konzept aufmalen (Schnittstellen, was wohin gehen soll...)

- Netzwerkvorlage wählen

- Netzwerke einrichten

- Netzwerkregeln definieren

- Firewallrichtlinien definieren

 

Zum Thema Client:

Wenn nur Webproxy gebraucht wird, reicht es, per GPO den ISA als Proxy einzustellen.

Für Applikationen ist die Verteilung des Firewallclients vorteilhaft.

Der sog. "SecureNAT"-Client muss nicht installiert werden. Dazu würde es reichen, den ISA als Default-Gateway einzurichten (oder Routen darüber zu definieren). Allerdings ist mit dem keine Benutzerauthentifizierung möglich!

[Nippelzwicka 10]

Also der Isa hängt vor einer Symantec Gateway security. Dazwischen soll eine DMS entstehen. in der für das Projekt aber noch keine Server "stehen".Webproxy wäre cool. Wegen Benutzerauthentifizierung bei ausgehenden Webanfragen.

 

Hab mit Visio schon ein Konzet "gemalt"

Netzwerkvorlage sollte Backfrewall sein oder? Meiner meinung nach schon

 

Vom Client her scheidet der SecureNat ja wohl aus.

 

Was soll ich denn nehmen wenn ich will das jeder AD User an jedem Rechner nur seine Regeln hat?? Den Firewallclient oder?? Aber der kann doch keine Webprotokolle per Benutzerauthentifizierung regeln ist das richtig???

[Cybquest 36]

Wenns nur um Internetbrowsen geht, brauchst du gar keinen Client! Wie gesagt, es reicht im IE unter Extras - Internetoptionen - Verbindungen - LAN-Einstellungen den ISA-Server als Proxy einzutragen! Oder eben per GPO diese Einstellung verteilen.

Der Firewall-Client kann Benutzer übrigens auch authentifizieren.

 

Backend klingt in dieser Konstellation ganz gut :)

Aber die Vorlage ist auch nicht soooo dramatisch, da sämtliche Einstellungen auch nachträglich angepasst werden können (sogar das Bild der Vorlage)

[Nippelzwicka 10]

Also mein jetziger Stand sieht so aus.

 

Der ISA läuft soweit.

Habe mich für den Webproxyclient entschieden.

Die andere Firewall ist auch richtig konfiguriert.

Jetzt bin ich noch ein bisschen am rumspielen.

Ich möchte Benutzerauthentifizierten Internetzugang konfigurieren.

Hab das interen Netzwerkobjekt auch konfiguriert.

Integrierte Auth. für alle Beutzer.

Wenn ich den Proxy im IE angebe kommt auch ne abfrage fürs PAsswort, da kann ich mich aber nur mit dem Beutzer anmelden mitdem ich am ISA angemeldet bin. ICh will aber Domainenname\AD Benutzer und Passwort haben und dann den WWW Verkehr mitloggen, geht das?????

Ausserdem wie das mit Proxy und gruppenlichtlinien geht raff ich auch nicht.

Und beim Firefox kommt garkeine Passwort abfrage.......

[Cybquest 36]

Dier fehlen noch entspr. Firewallregeln, nehm ich an!

Standardmässig kann niemand "surfen".

D.h. du musst eine Regel erstellen:

- Zulassung

- Protokolle: z.B. HTTP und HTTPS

- Von: Netzwerk intern

- Nach: Beliebig oder Extern

- Benutzer: Eine Benutzergruppe anlegen und dort die berechtigten Windows-Gruppe(n) einbauen.

 

Wg. Gruppenrichtlinien... würde ich mich an deiner Stelle erst mal intensiv mit den Grundlagen befassen. Gruppenrichtlinien - Übersicht, FAQ und Tutorials

[Nippelzwicka 10]

Also ich hatte schon regeln aber halt für "alle Benutzer" Das ging auch wenn ich ein neues Benutzerobjekt anlegen will und Windows Benutzer aus der Domaine hinzufügen will bekomme ich eine Fehlermeldung undzwar: Das Objekt Christopher (mein Benutzername) kann aufgrund folgenden Fehlers nich verarbeitet werden.

Der Remoteprozdeduraufruf ist fehlgeschlagen und wurde nicht ausgeführt.

 

Was heißt das jetzt schon wieder??

[Cybquest 36]

Klingt so, als würde da der Authentifizierungs-Verkehr irgendwie geblockt werden. Welche Netzwerkvorlage hast du jetzt eigentlich genommen?

Ggf. mal die Systemrichtlinien überprüfen, ob das Häkle bei "Active Directory" drin ist.

 

Die Eigenschaften des Netzwerkes "Intern": Ist da bei Webproxy das Häkle drin?

HTTP aktiviert? Richtiger Port?

Bei Authentifizierung, Digest und Integriert?

Und dort bei "Domäne auswählen" die Standard-Windows-Domäne?

[Nippelzwicka 10]

Netzwerkvorlage: Backfirewall

 

In den Systemrichtlinien ist bei Auth.Dienst AD der Haken drin ausserdem noch bei StrikteRPC.... und unter nach ist intern aktiviert.

 

Bei intern ist der Webproxyaktiviert port ist 6666 (steht auch im ie)

authentifizierung ist nur integriert und halt für alle benutzer.

 

Die Domaine steht auch unter der Registerkarte Domaine.

 

Es kommt aber immer noch die gleiche Fehlermeldung

[Cybquest 36]

Hmmm... kann das hier schlecht testen. Hab nur nen produktiven ISA 2006 am Start.

Bei mir ist "Digest", "Integriert" und "Standard" drin und ich hab als Vorlage ne Edge. Hier tut alles wie geplant. ABer ob das was damit zu tun hat, weiß ich nicht...

 

Was sagen denn die ISA-Alarme und das Ereignisprotokoll?

[Nippelzwicka 10]

Ich hab nochmal probiert. Ich kann jetzt Benutzer hinzufügen also aus der Ad.

ICh hab ein Update von Microsoft installiert. ;-)

Das heißt ich kann sagen http ist nur für christopher erlaubt.

Wenn ich einen anderen Benutzer anmelde kommt der nicht ins internet.

Was muss ich den machen damit eine Passwortabfrage beim Browserstart kommt.

Das wäre ja eleganter.

Dann könnten alles USer an allen Pc´s online und müssten sich nicht immer abmelden.

Kann man auch irgendenwo den Internetverkehr protokollieren also sehen wer wieviel und wo surft???

[Cybquest 36]

Schau mal im Reiter "Überwachung - Protokollierung"

 

...diese Anmeldemaske... die such ich auch noch ;)

An einem Client hab ich sie mal "unfreiwillig" bekommen, hab aber keine Ahnung, warum!

[Nippelzwicka 10]

Hab ich schon gefunden.

Und diese Anmeldemaske komm bei mir immer sporadisch manchmal und manchmal wieder nicht ich weiß aber auch nicht warum. Ich bin genau nach dem How to bei msisafaq vorgegangen.

 

Was kann eigentlich der Firewallclient was der Webproxy nicht kann?????

[Cybquest 36]

Programme bedienen, die keine Möglichkeit haben, nen Proxy zu hinterlegen. Irgendwelche FTP-Clients, Mailprogramme...