Jump to content

ISA Server 200o Port routen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

@grizzly999

 

ok, der intregrierten Modus hatte ich bei der Installation gewählt.

Cache Größe und so hatte ich angegeben.

 

Mit Wizard meinte ich nach der Installation vom ISA (war komplett durch) fragte er mich ob er den Assistenten starten soll für die erste Einrichtung des ISA´s.. die habe ich dann durchlaufen lassen und besagte Dinge geändert. Ich vermute das er das ganze auf gemacht hat als ich unter IP Paket Filter "ISA SERVER sichern" angeklickt habe. Dort habe ich dann die Option "Fest zugeordnet gewählt" Ist das ok oder falsch ?

 

 

Gruß

 

Christian

Link zu diesem Kommentar

Eigentlich mach diese Funktion den Server noch "sicherer", was auch immer er tut, aber er macht nichts offen.

Ich benutze die Funktion nie, weil nirgends so genau dokumentiert ist, was sie in den einzelnen Einstellungen tut (zumindest habe ich bis jetzt noch nichts gefunden). Da sich die Einstellungen gem. Warnhinweis nicht alle wieder rückgängig machen lassen, nutze ich diese Einstellung nicht.

 

Einfach nur den ISA aufsetzen und dann von Hand die benötigten Regeln einrichten. Das reicht. Übrigens wenn man im Menü Ansicht die "Aufgabensicht" oder wie das heißt abschaltet, kann man alles ohne diese Wizards etwas professioneller konfigurieren.

 

grizzly999

Link zu diesem Kommentar

@grizzly999

 

Einen Teil des Fehlers habe ich denke ich mal gefunden.

Unter Protokollregeln ist eingestellt das er den Gesamten IP Datenverkehr durchlassen soll. Unter Anwendung steht dann bei der Regel "ClientSatz intern" das "intern" ist das von mir angelegte interne Netz 192.168.1.x.

Wenn ich aber nun z.b. nur HTTP freigebe kann ein Client mit Gate und DNS trotzdem ohne Proxy surfen.. Das muss man doch abstellen können.

 

 

Gruß

 

Christian

Link zu diesem Kommentar

Ja, aber der ist nur uintern offen, nicht nach extern.

 

Wenn ich aber nun z.b. nur HTTP freigebe kann ein Client mit Gate und DNS trotzdem ohne Proxy surfen.. Das muss man doch abstellen können

Ja, wenn man in den Site- und Inhaltsregeln Benutzer oder Benutzergruppen definiert, die surfen dürfen. Dann geht ohne WebProxy Eintrag nichts mehr.

 

grizzly999

Link zu diesem Kommentar

@solinske

 

Nein, einen IIS habe ich im Netz nicht laufen. Bei dem Windows2000 Server wo der ISA drauf läuft habe ich den IIS auch während der Server Inst rausgenommen.

 

@grizzly999

 

So ich habe jetzt den ISA neu installiert. Direkt danach das SP1 für den ISA. Auch den Assistenten habe ich nicht durchlaufen lassen. Danach ging überhaupt nichts mit Internet so wie es sein sollte. Es ging lediglich eine PING Anfrage von ISA Server auf eine IP im Internet, Aber auch keine Namensauflösung. So sollte es ja denke ich mal sein. Von den Clients aus ging auch über Proxy keine Verbindung raus. So weit so gut.

 

Somit habe ich danach eine Protokoll Regel erstellt wo für die internen Clients HTTP und HTTPS erlaubt ist. Damit ging dann auch die Verbindung von Client über Proxy nach draußen. Wenn ich aber in der Protokoll Regel statt nur HTTP und HTTPS -- GESMATEN IP Datenverkehr angebe, dann kan jeder Client auch ohne Proxy ins Internet, POP3 MAILS abholen, EMAILS schreiben etc etc... IST DAS NORMAL ?

Link zu diesem Kommentar

Ja, das ist normal. Gesamter IP Verkehr ist eben gesamter IP-Verkehr, egal welcher Zielport (der über UDP oder TCP geht).

Darum sollte man DAS nicht tun, sondern schön jedes Protokoll, das man braucht einzeln freischalten. Ansonsten ist der ISA von innen fast komplett auf.

 

Aber jetzt tut's ja, wie es soll. ISA ist aber ein kompliziertes Teil, ich empfehle dir daher für den tieferen Einstieg entweder einen ISA-Kurs oder ein gutes ISA Buch. Ich habe schon mal ein oder zwei Vorschläge im Board gepostet.

 

grizzly999

Link zu diesem Kommentar

@grizzly999

 

ja laufen tut der ISA jetzt erstmal. Das mit Buch und Kurs ist auch schon in Arbeit :-))

Vielleicht eine abschließende Frage : Ist es nicht möglich es zu unterbinden das ein Client der eine GATE UND DNS Eintag hat es zu unterbinden ohne den Proxy Server Eintrag zu surfen.

 

Mail und anderes kann man abstellen ist klar, aber auch wenn ich nur HTTP freigebe kann er ohne Proxy surfen.

 

 

THX !

 

Christian

Link zu diesem Kommentar

Wenn man mit Benutzerauthenitifizierung arbeiten will, ja. Oder man richtet Benutzer auf dem ISA lokal ein, und nutzt diese zur Authentifizierung. Die Benutzer müssen sich dann aber immer explizit authentifizieren, eine integrierte Authentifizierung gibt es nur bedingt (Username und Kennwort gleich).

Oder man richtet den ISA in einer eigenen Domäne ein und richtet eine einseitige Vertraeunsstellung zur Arbeitsdomäne ein (ist übrigens die empfohlene Methode in Tom Shinders ISA Buch).

 

 

grizzly999

Link zu diesem Kommentar
  • 2 Monate später...
Original geschrieben von Crockett

 

Das mit der Anleitung zum veröffentlichen hat wohl gut geklappt. Nur jetzt das Problem. Ich muss ihm beim veröffentlichen die externe IP des ISA Servers geben. Da ich über eine DFÜ Verbindung DSL die Internet Verbindung herstelle, ändert sich die IP bei einer Neueinwahl. Dann funktioniert der veröffentlichte Server nicht mehr,da die Regel noch die alte INET IP intus hat.

Gibt es hierfür einen Trcik , das er die automatisch aktualisiert ?

 

----

 

:cry:

 

Hy Leute, stehe gerade vor dem gleichen Problem. Möchte einen TerminalServer bzw. Mailserver hinter dem ISA erreichen. Nur bei Neueinwahl ändert sich ja die IP in den Serververöffentlichungen --- hab auch das von grizzly999 angesprochen Script von w+w.isatools.org probiert (ohne Erfolg) .... :confused:

 

Gibt es evtl. irgend eine andere möglichkeit (Am ISA z.b. den Port 25 frei machen und ihm sagen "wenn Anfrage an Port 25 -> dann weiterleiten an IP x.x.x.x ")

 

:confused::confused:

 

P.S.: ISA und Mailserver haben die gleiche Netzadresse ...

 

Danke schon mal ...

 

MFG

CP

Link zu diesem Kommentar

Hallo !

 

Ich habe seinerzeit das Problem so gelöst das ich einen DSL Router zwischen ISA und DSL Modem gehangen habe.

Das externe Device ist für den ISA nun die interne IP des Routers.

Diese muss natürlich in einem anderen Kreis liegen als das restliche interne Netz. Die 2. NIC des ISA bekommt dann eine IP aus dem Routerkreis und wird direkt an den Router angeschlossen. Somit ist es nun egal ob sich die Internet IP ändert. Läuft so einwandfrei mit sämtlichen Serververöffentlichungen.

 

 

Gruß

 

Christian

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...