Mr.John_Doe 10 Geschrieben 7. Dezember 2005 Melden Teilen Geschrieben 7. Dezember 2005 Hallo Leute, ich habe für die Anbindung eines zweiten LAN's an das unsere einen ISA-Server 2004 aufgesetzt. Die Nutzer im sicheren LAN_A sollen auf den OutlookWebAccess von EX_B im LAN_B zugreifen. Dafür habe ich eine Firewall-Regel erstellt: Von: intern Nach: EX_B Protokoll: HTTP; HTTPS Wer: Firewalluser Die Nutzergruppe Firewalluser verweist auf eine Gruppe im AD des sicheren Netzes. In dieser Gruppe sind alle User, welche den OWA nutzen sollen. Aber anscheinend blockt er die User trotzdem, denn so kommt keine Kommunikation zustande. Sage ich aber in der Regel, das jeder User durchgelassen werden soll, funktioniert es. Ich habe auch schon das in der ISA vorgefertigte Profil für Systemdienste dazugenommen. Hat aber leider nicht gereicht. Ach ja, hat einer von euch Erfahrung mit Symantec AnitVirus für ISA? Denn bei mir kann ich ihn nicht installieren, da er mir dann sagt, ich solle erst einen ISA-Server auf dem Server installieren. Aber der läuft ja schon.... Könnt ihr mir helfen? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 7. Dezember 2005 Melden Teilen Geschrieben 7. Dezember 2005 Hi, wie äußert sich das mit der nicht zustande gekommenen Kommunikation genau, gibt es irgendwelche Fehlermeldungen? Verwendet ihr die Forms-Based-Authentication? In dem Fall könnte dir dieser Artikel helfen. Vielleicht zäumst du das Pferd aber auch besser andersrum auf und erstellst eine OWA-Publishing-Regel. Hier findest du ein Whitepaper dazu. Mit symantec kann ich leider nicht helfen. Christoph Zitieren Link zu diesem Kommentar
Mr.John_Doe 10 Geschrieben 7. Dezember 2005 Autor Melden Teilen Geschrieben 7. Dezember 2005 Danke für die Antwort. Er meldet im Browser schlicht und einfach, dass die ISA den Traffic geblockt hat. Das selbe macht er auch mit Internetseiten. Später soll dann noch für bestimmte Nutzer der Zugriff auf bestimmte Websites erlaubt werden. Da blockt er aber auch, trotz das sie in einer Gruppe sind, welche eigentlich laut Firewallregel die Rechte haben sollte. Auch da ist es so, dass er blockt, wenn ich nicht sage, das jedem User der Zugriff gestattet sein soll... Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 7. Dezember 2005 Melden Teilen Geschrieben 7. Dezember 2005 Mal ne Frage zu den Arbeitsplätzen: wie sind die konfiguriert? SecureNat? WebProxyClient? FW-Client installiert? SecureNat unterstützt keine Authentifizierung, d.h. wenn dein Standard-GW zum ISA-Server zeigt und du keinen Proxy im IE eingetragen hast, dürfte das nicht funktionieren. Christoph Zitieren Link zu diesem Kommentar
Mr.John_Doe 10 Geschrieben 7. Dezember 2005 Autor Melden Teilen Geschrieben 7. Dezember 2005 Ich habe keine Clients installiert. Der Standart-GW zeigt auf den ISA. Im IE ist kein Proxy eingetragen... Die User sollen sich mit ihrem Nutzeraccount user_1@LAN_A an ihrem Rechner anmelden. Wenn sie nun auf die Freigegebenen Seiten oder auf den OWA zugreifen sollen, starten sie den IE und geben die Adresse ein. (Solange User_1 Mitglied der Gruppe LAN_B/Firewalluser ist). Die Gruppe habe ich selbst erstellt. Das ist nicht die vom ISA erzeugte Nutzergruppe. Leider klappt es nur, wenn ich in der Firewallrichtlinie sage, dass jeder durchgelassen werden soll. Sage ich, dass nur die AD-Gruppe Firewalluser durchgelassen werden soll, verweigert er den Zugang. Auch für z.b. User_1. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 7. Dezember 2005 Melden Teilen Geschrieben 7. Dezember 2005 Also, SecureNat. Wie ich schon sagte, haut das da mit der Authentifizierung nicht hin. Am besten gibst du den Clients den ISA-Server als Proxy Server, dann sollte das funktionieren. Christoph Zitieren Link zu diesem Kommentar
Mr.John_Doe 10 Geschrieben 7. Dezember 2005 Autor Melden Teilen Geschrieben 7. Dezember 2005 Danke für deine schnelle Hilfe... Ich habe jetzt unter IE --> Extras --> Verbindung --> LAN den ISA als Proxy angegeben und das Gateway rausgenommen. Aber welche Ports soll ich da angeben. Ich hab beim ISA nirgends Angaben dazu bekommen. Ich habe es jetzt mal ohne Ports getestet. Nun zeigt er immmer an, dass der ISA den Zugriff geblockt hat. Auch wenn ich in der Firewallrichtlinie sage, dass jeder User akzeptiert werden soll... Muss ich irgendwo noch einmal die Nutzerdaten angeben? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 7. Dezember 2005 Melden Teilen Geschrieben 7. Dezember 2005 Wie sehen genau deine FW-Policies aus? Wie ist genau deine Netzwerk-Konfiguration? Werden mit dem ISA nur die beiden Netze LAN-A und LAN-B verbunden, oder gibt es noch eine dritte NIC für Zugang zum internet? Für s erste würde ich s mal mit "Allow All Outbound Traffic from Lan-A to Lan-B" für alle User probieren. Wenn das dann klappt, kannst du versuchen, die User einzuschränken. Christoph Zitieren Link zu diesem Kommentar
Mr.John_Doe 10 Geschrieben 7. Dezember 2005 Autor Melden Teilen Geschrieben 7. Dezember 2005 Ich habe einen Screenshot als Zip angehängt. Dort sind die Firewallrichtlinien, wie ich sie gesetzt habe. Ich habe versucht, allen den Zugriff auf alles zu geben. Das hat funktioniert. Sage ich dann aber, dass nur die Gruppe Entwicklung zugreifen darf, klappt es leider nicht mehr. Die Gruppe Entwicklung verweißt auf die AD-Gruppe Firewalluser.... Das Netzwerk sieht schematisch so aus: LAN_A --> LAN_B --> Router Zwischen LAN_A und LAN_B ist der ISA. In LAN_B der Exchange. Firewallrichtlinie2.zip Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 8. Dezember 2005 Melden Teilen Geschrieben 8. Dezember 2005 Hi, sorry, dass ich erst jetzt antworte. Aber das sollte so eigentlich funktionieren, wenn die Netzwerke im ISA richtig definiert sind. Christoph Zitieren Link zu diesem Kommentar
Mr.John_Doe 10 Geschrieben 8. Dezember 2005 Autor Melden Teilen Geschrieben 8. Dezember 2005 Ich hab jetzt den ISA-Client an der Teststation installiert. Dann den ISA-Server angegeben und unter Proxy-Konfiguration "automatisch Einstellungen übernehmen" angeklickt. Er sagt dann erfolgreich und trägt auch in den Proxyeinstellungen jede Menge ein. Starte ich nun den Browser, so gibt er lange "Proxyeinstellungen werden gesucht" an und irgendwann kommt dann Seite nicht gefunden. Gestatte ich in der Firewallrichtlinie jedem den Zugang, so klappt es... Danke für deine Unterstützung. Zitieren Link zu diesem Kommentar
Mr.John_Doe 10 Geschrieben 8. Dezember 2005 Autor Melden Teilen Geschrieben 8. Dezember 2005 Hallo, ich habe jetzt alles noch einmal neu angelegt. Nur habe ich diesmal den Proxy-Port auf 8800 gelegt. Das war es anscheinend. Jetzt klappt alles so, wie ich es mir dachte. Jetzt muss ich mir nur noch überlegen, wie ich auf einen Ordner auf dem Server im sicheren LAN zugreifen kann. Aber das ist eine andere Geschichte. Ich danke dir für deine schnelle Hilfe. Iss echt klasse von dir. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.