willerman 10 Geschrieben 9. Mai 2005 Melden Teilen Geschrieben 9. Mai 2005 Hallo, ich benutze standardmäßig die integrierte Authentifizierung um Domänenbenutzer zu authentifizieren. Für FTP Programme ist die Standardauthentifizierung vorgesehen. Es gibt jedoch zwei Ausnahmen: 1. Es gibt Benutzer einer anderen Domäne, die den Proxy ebenfalls verwenden sollen. Diese kriegen dann ein Popup um Benutzernamen und PW einzugeben, Danch haben sie Zugriff aufs Inet über den Proxy. 2. Es gibt Benutzer der gleichen Domäne (in der sich auch der Proxy befindet), denen vom Regelwerk ein Zugriff aufs Inet nicht erlaubt ist (aber auch nicht verboten). Diese sollen sich auch händisch authentifizieren. Sie bekommen jedoch kein Popup, sondern die Verbindung wird gleich abgelehnt. Weiß jemand warum?? Zitieren Link zu diesem Kommentar
heinzelrumpel 10 Geschrieben 9. Mai 2005 Melden Teilen Geschrieben 9. Mai 2005 2. Es gibt Benutzer der gleichen Domäne (in der sich auch der Proxy befindet), denen vom Regelwerk ein Zugriff aufs Inet nicht erlaubt ist (aber auch nicht verboten). Diese sollen sich auch händisch authentifizieren. Sie bekommen jedoch kein Popup, sondern die Verbindung wird gleich abgelehnt. Weiß jemand warum?? hi, warum soll das denn manuell passieren? wie weisst du den proxy denn den benutzern zu? gruß heinzelrumpel Zitieren Link zu diesem Kommentar
rablu 10 Geschrieben 9. Mai 2005 Melden Teilen Geschrieben 9. Mai 2005 Welcher ISA wird verwendet, 2000 oder 2004? Es gibt Benutzer der gleichen Domäne (in der sich auch der Proxy befindet), denen vom Regelwerk ein Zugriff aufs Inet nicht erlaubt ist (aber auch nicht verboten). Beim ISA gibt es nur schwarz und weiss, kein vielleicht. Entweder eine Regel erlaubt etwas oder erlaubt etwas nicht (= verboten).;) Nach der Klaerung der obigen Fragen werden die Antwortmoeglichkeiten besser eingegrenzt.;) Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 9. Mai 2005 Melden Teilen Geschrieben 9. Mai 2005 ... oder erweitert geschrieben: Wie sieht Deine Regel aus, die es überhaupt jemandem zulässt über den Proxy zu gehen? Mein vorab Verdacht: Benutzer der eigenen Domäne (wie ISA) haben keinen Zugriff. Du schreibst ja: User einer anderen Domäne können, wenn sie sich authentifizieren. Die kommen ja auch erst mal beim ISA als unbekannt an, daher authentifizieren. User innerhalb der Domäne kommen gleich authentifiziert an und das lässt der ISA nicht zu (Fehler in der Regelkonfig) Zitieren Link zu diesem Kommentar
willerman 10 Geschrieben 10. Mai 2005 Autor Melden Teilen Geschrieben 10. Mai 2005 hi, warum soll das denn manuell passieren? wie weisst du den proxy denn den benutzern zu? gruß Firmenpoilitk! Einige Abteilungen sollen halt nicht direkt surfen können, sondern erst einen Internetbenutzernamen eingeben um sich freizuschalten. Die Clients kreigen die Proxyeinstellungen über eine Gruppenrichtlinie. Welcher ISA wird verwendet, 2000 oder 2004? 2004 Wie sieht Deine Regel aus, die es überhaupt jemandem zulässt über den Proxy zu gehen? Mein vorab Verdacht: Benutzer der eigenen Domäne (wie ISA) haben keinen Zugriff. Du schreibst ja: User einer anderen Domäne können, wenn sie sich authentifizieren. Die kommen ja auch erst mal beim ISA als unbekannt an, daher authentifizieren. Erlaube -> HTTP,FTP,HTTPS -> für Proxybenutzer -> von intern nach intern Proxybenutzer ist eine Gruppe im ADS, die Benutzer enthält, die Internetzugriff haben sollen. Die Benutzer, die sich manuell anmelden sollen, sind dort natürlich nicht enthalten. Habe mit dem Netzwerk intern alle IP Adressen (außer 127.x.x.x) abgebildet, da der ISA nur als Proxy dient und ich keine Verwendung für das Zonenmodell habe. ALs Authentifizierungsmethoden stehen integriert und standard zur Verfügung. Standard ist soweit ich weiß für das Popup verantwortlich. Wenn ich integriert abwähle funktioniert die manuelle Anmeldung auch! Ich vermute deshalb, dass die Benutzer, die Mitglied der Domäne sind, versuchen sich integriert anzumelden. Da sie nicht in der Gruppe Proxybenutzer sind, wird der Zugriff abgelehnt. Es wird jedoch nicht die Methode Standard angeboten, was ich mir eigentlich vorstelle, das es passiert. Oder ist das gar nicht vorgesehen? Habe schon versucht, den einzelen PC (ist eine Art "Internet Cafe-PC) mit einem eigenen Netzwerk abzubilden und diesem nur die STandardauthentifizierung zu ermöglichen, aber das funktioniert auch nicht. Zitieren Link zu diesem Kommentar
rablu 10 Geschrieben 10. Mai 2005 Melden Teilen Geschrieben 10. Mai 2005 Wieviele Netzwerkkarten sind im ISA drin? Welches Template wurde ausgewaehlt? Welche Regeln gibt es noch? Wie ist die Reihenfolge der Regeln? Welche der folgenden Optionen sind bei der Authentifizierung auf dem internen Netzwerk gesetzt? - Integriert - Standard - Digest - SSL - Radius - Authentifizierung ist fuer alle Benutzer erforderlich Zitieren Link zu diesem Kommentar
willerman 10 Geschrieben 11. Mai 2005 Autor Melden Teilen Geschrieben 11. Mai 2005 Wieviele Netzwerkkarten sind im ISA drin? Welches Template wurde ausgewaehlt? Welche Regeln gibt es noch? Wie ist die Reihenfolge der Regeln? Ein Netzwerkadpater -> Template: Einzelner Netzwerkadapter Es gibt nur noch drei weitere Regeln, die der esafe- und Smartfilter-Administration dienen und an dieser Stelle keine Rolle spielen. Es gibt nur die Regel die der Gruppe Proxybenutzer den Zugriff auf http, https und ftp gewährt und die Standardregel, die alles verwirft. Welche der folgenden Optionen sind bei der Authentifizierung auf dem internen Netzwerk gesetzt? - Integriert - Standard - Digest - SSL - Radius - Authentifizierung ist fuer alle Benutzer erforderlich Integriert und Standard Authtifizierung ist nicht aktiviert (da ja normalerweise das Regelwerk den Zugriff regelt) Bringt aber auch nichts, wenn ich es aktiviere. War anfangs auch meine große Hoffnung :mad: Zitieren Link zu diesem Kommentar
rablu 10 Geschrieben 11. Mai 2005 Melden Teilen Geschrieben 11. Mai 2005 Versuche mal ausschliesslich die integrierte Authentifizierung. FTP sollte dann auch noch gehen, allerdings nur mit dem IE.;) Zitieren Link zu diesem Kommentar
willerman 10 Geschrieben 12. Mai 2005 Autor Melden Teilen Geschrieben 12. Mai 2005 Das ist das Problem! Ich kann nicht nicht auf die Standardauthentifizierung verzichten, da es Nicht-MS-Programme gibt, die den Proxy brauchen. Und das geht nur mit Standard... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.