Probleme mit ISA 2004 - Richtlinie mit Gruppen geht nicht

[j.c.v. 10]

Hallo zusammen,

 

ich habe hier einen ISA 2004. voll funktionsfähig und alles bestens am laufen.

Der grundsätzliche Aufbau:

 

ISA hat 3 Interfaces, 1 zum Router, 1 zum Netz "KSN" und 1 zum Netz "WGE".

In "KSN" ist der root-DC ksn.local, in "WGE" der dc für wge.ksn.local.

Der ISA ist Mitglied in wge.ksn.local, beide "internen" Netze werden durch den ISA verbunden, läuft soweit alles gut.

 

So, nun zum Problem:

Ich verwende einige Regeln zur Steuerung des Internetzugriff.

Dafür sind Computersätze definiert die dann über entsprechende Regeln Zugriff auf "Extern" bekommen oder nicht.

Geht auch alles.

 

Nun will ich einige Benutzer von der Filterung ausnehmen.

Daher habe ich eine Regel VOR den anderen Regeln definiert:

ZULASSEN VON (WGE, KSN) NACH (Extern) FÜR (FREIE BENUTZER).

 

In "Freie Benutzer" ist eine lokale Sicherheitsgruppe "InternetGruppe" der Domäne wge.ksn.local drin. Die habe ich auch einfach selektieren können.

Nun, wenn diese Regel aktiv ist, geht GAR kein Internetverkehr mehr aus den internen Netzen raus, egal mit welchem Benutzer. Es kommt aber auch keine Fehlermeldung,

im Browser kommt nur nach einige Zeit "Website kann nicht angezeigt werden"....

Dabei ist es auch egal, wer oder was in diesem Benutzersatz "Freie Benutzer" drin ist.

Sobald ein solcher Satz in der Richtlinie drin ist, geht nix mehr.

 

In der ISA-Überwachung kommt manchmal ein "Zugriff verweigert" mit dem Regelnamen, obwohl dass ja eine ZULASSEN-Regel ist ?!

Interessant ist, das unter Details hier als "ursprüngliche Adresse" 0.0.0.0 steht und nicht die IP des Clients (die aber sehr wohl über "Details" steht).

 

Ich habe das Gefühl, dass da irgendwas mit der Abfrage der Benutzer aus der ADS nicht klappt.

Im Ereignisprotokoll ist nix zu finden, das Browsen der ADS im ISA geht auch, sieht man ja beim hinzufügen der ADS-Gruppe zum Benutzersatz.

 

Hat jemand eine Idee?

Ich hoffe es innständig, ich verzweifle hier bald.

 

Danke im Vorraus und Schöne Grüße,

Jan

 

P.S.: wird die Regel deaktiviert funktioniert natürlich wieder alles einwandfei

[grizzly999 11]

Versuche mal, eine Globale Gruppe zu nehmen, oder eine Universale.

Nur so eine (unbegründete) Idee....

 

 

grizzly999

[j.c.v. 10]

Global habe ich schon getestet.... ohne Erfolg.

Universal.... hmm, das geht ja nun nicht immer.... werde ich aber morgen nochmal versuchen...

[Cybquest 36]

Ist der ISA als Proxy in den Browsern definiert? Mit Benutzern/Gruppen kann man nur über Webproxy oder Firewallclient arbeiten. Mit SecureNAT-Verbindungen (wenn z.B. der ISA einfach als Standardgateway angegeben wird) gehts nicht.

[j.c.v. 10]

Ahja,

der ISA macht tatsächlich "nur" NAT, Proxy wollten wir nicht wegen evtl. Einschränkungen bei Direktverbindungen usw. . .

 

Hmm, das ist ja sehr dumm, ist das absolut sicher, dass man da nicht mit Gruppen arbeiten kann? Workaround vielleicht?

 

Mich wunderts, dass wenn eine Gruppen-FW-Richtlinie definiert ist, einfach nix mehr geht. Anstatt Fehlermeldung, Regel auslassen oder so...

[Cybquest 36]

Dann hilft nur: Firewallclient verteilen.

[Christoph35 10]

... ist das absolut sicher, dass man da nicht mit Gruppen arbeiten kann? ...

 

Ja, SecureNAT Clients authentifizieren sich nicht am ISA Server, sondern bauen die Verbindung anonym auf. Damit kann man auch nichts mit Gruppenzugehörigkeiten regeln.

 

Abhilfe schafft dann nur der von Cybquest erwähnte FW-Client. Downloaden kann man den hier:

 

Download details: ISA Server Firewall Client

 

Christoph

[j.c.v. 10]

Alles klar!

Werde ich mal testen, was man da machen kann.

 

Danke erstmal und schöne Grüße,

Jan