sandsturm 10 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 Hallo Leute Ich habe einen ISA 2004 als Back FW installiert, das heisst also als Front FW ist eine Checkpoint VN-1 Edge im Einsatz, danach der ISA mit 2 Netzwerkinterfaces, eines in die DMZ das andere ins LAN als Standardgateway für die Rechner im LAN. Soweit so gut, es funktioniert eigentlich alles prima, ausser Firewalrichtilinien die ich auf bestimmte AD Benutzergruppen erstelle (Der ISA ist Domain Member!). Wenn ich eine Richlinie für die Standard Gruppe Alle Benutzer erstelle, dann funktioniert sie einwandfrei, wenn ich sie aber auf eine AD Gruppe beschränke dann funktioniert sie nicht mehr. Muss ich irgendwelche Ports öffnen, damit er ISA mit dem DC kommunizieren kann? Oder wie sieht das aus, http://www.msisafaq.de hat mir da leider auch nicht weitergeholfen. Hat vielleicht jemand eine Lösung für dieses Problem? Gruss sandsturm Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 Von welchem Internetzugang sprichst du? Webzugang (HTTP/HTTPS)? Dann geht die FW-Richtlinie mit AD-Gruppen nur, wenn im Browser der ISA als Proxy eingetragen ist. Wenn es um andere Protokolle geht, brauchst du die Firewallclientsoftware auf den Clients. Steht aber auch alles irgendwo auf http://www.msisafaq.de grizzly999 Zitieren Link zu diesem Kommentar
sandsturm 10 Geschrieben 18. April 2006 Autor Melden Teilen Geschrieben 18. April 2006 Ich meine eigenlich grundsätzlich alle Firewallregeln, egal welches Protokoll. Funktiniert das nur mit dem FW Client??? Das wäre doch jammerschade denn ich arbeite mit dem Webproxyclient für http und für alles andere den normalen Client (weiss nicht mehr wie er heisst). Falls es wirklich nicht möglich ist die FW Regeln auf Benutzergruppen zu erstellen, frage ich mich nach dem Sinn den ISA als Memberserver aufzusetzen, denn genau das war eigenltlich für mich das einzige Argument... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 Ich meine eigenlich grundsätzlich alle Firewallregeln, egal welches Protokoll. Funktiniert das nur mit dem FW Client??? Wie schon geschrieben, für alle Protokolle außer HTTP/HTTPS/FTP über Browser benötigt man den FW-Client vom ISA Server (ist auf der ISA CD mit drauf, oder bei Anhaken mit installiert worden) für die Benutzerauthentifizierung. Das wäre doch jammerschade denn ich arbeite mit dem Webproxyclient für http und für alles andere den normalen Client (weiss nicht mehr wie er heisst). ich weiss nicht, welchen Client du da meinst, aber offensichtlich nicht den FW-Client des ISA. Falls es wirklich nicht möglich ist die FW Regeln auf Benutzergruppen zu erstellen, frage ich mich nach dem Sinn den ISA als Memberserver aufzusetzen, denn genau das war eigenltlich für mich das einzige Argument... Es IST möglich, das zu tun, wenn der FW-Client auf den Clients installiert sit (Gebetsmühle OFF :D ) Daher macht es durchaus Sinn, aber ohne geht es eben nicht. Das ist bei TCP/IP nunmal so. Da ist nichts schade dran, das ist logisch und man kann ja froh sein, dass Microsoft die FW-Clientsoftware anbietet. grizzly999 Zitieren Link zu diesem Kommentar
sandsturm 10 Geschrieben 19. April 2006 Autor Melden Teilen Geschrieben 19. April 2006 Okay, ich habs verstanden, ich wollte halt nur mit dem SecureNAT Client arbeiten , ich dachte das sei am einfachsten. Aber in diesem Fall muss ich mir den FW Client einmal näher ansehen... vielen Dank für deine Hilfe Ich habe gleich noch eine andere Frage. Ich habe den ISA mit einer MSDE installiert. Diese nimmt sich jetzt jeweils fast den kompletten Arbeitsspeicherbereich für sich, sodass der ISA sehr langsam wird. Kann ich der MSDE auch wie beim normalen SQL sagen, das sie nur einen Teil vom Speicherbereich nutzen darf? sandsturm Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.