![]() |
С группой Все пользователи все работает, без него никого не пускает
Тема может и не свежа, но решения пока не встретил: задача - допустить в инет только некоторых пользователей домена. Для этого на контроллере создал группу inet, в ISA 2006, создал группу в которую включил inet. Создал правило доступа из локальной сети во внешнюю для этой группы, но доступа нет. При добавлении преднастроенной группы Все пользователи все и получают доступ (то есть есть связь, но для всех включая inet) Пробовал разные комбинации, но так и не понял, что в предопрелеленной группе есть такого, что без него не идет???
Хотя можно канечна всех допустить, а как исключение добавить пользователей которым инет запрещен. Но каждый новый пользователь домена будет иметь права на инет (пока админ не исправит), а это не справдливо с точки зрения руководства |
ISA в домене?
Клиенты FWC на рабочих станциях стоят? Или ISA в роли прокси? |
RinatG, приведите список правил ISA скриншотом.
В самом простейшем варианте должно быть 2 правила(строго в порядке сверху вних): 1. Разрешить - из Internal в External - протоколы FTP, HTTP, HTTPS - для InternetUsers. 2. Правило по умолчанию - deny all Без списка правил мы будем долго гадать. |
Сам сервер ISA в домене, AD пользователей и групп видит отлично (а что такое FWC? :)). Прокси настраивал следующим образом: настроил интерфейсы, установил в WS 2003 блок маршрутизация и удаленный доступ, поставил ISA. Правил всего два - допустить весь исходящий трафик из "внутренняя" во "внешняя" пользователям "inet".
|
RinatG, прочтите внимательно пост номер 3. скриншот.
|
Delirium, для скрина фотошопа нет под рукой, могу канечна отослать скриншотовский вариант (неужатый)...???
|
Вложений: 1
Сори, торможу. Вот... http://forum.oszone.net/attachment.p...1&d=1240979125
|
По косвенным материалам я понял, что еще нада установить на клиентах фаерволклиенты и только после этого доменные пользователи смогут получить выход в инет. Что то ерунда получается какая то, не совсем удобная интеграция в AD
|
фаерволклиенты - FWC - про них я и говорил.
К сожалению Вы не понимаете работу ISA СЕРВЕРА -точнее обработку им правил - коротко скажу - в одном правиле не моут сосуществовать "Все пользователи" и ещё какия либо группа пользователей - тоесть Ваше первое отключенное правило уже не будет работать. Для авторизации ползьователй можно использовать ISA сервер в роли прокси сервера - при этом будет ограничеваться тот доступ к сети интернет, который будет иметь доступ к настройкам прокси - тоесть в болшинстве случаев - это браузеры. Соответственно мы можем управлять только пресуще ему протоколами -80, 8080 и т.п. Если же мы хотим использовать ISA сервер в роли шлюза в интернет с полным рулением трафика изнутри сети , то нам будет необходимо поставить FWC на каждую доменную клиентскую машину - при этом мы уже можем рулить и poop3 и т.п. Так же - для безопасности да и вообще - про ДНС - Вам необходимо настроить Ваш внутренний ДНС сервер на посылку запросов в интернет, а остальным отлуп. Тоесть - у клиентов прописаны только ваши ДНС. Соответственно мы в правилазх ISA сервера должны создать правило - разрешить от ДНС серверов (локальных) рафик по протоколу DNS в сторону интернет всм пользователям. Для того чтобы понять да и просто базово настроить ISA сервер , я Вам рекомендкю воспользоваться документацией на isadocs.ru Так же не принебригайте таким источником как technet - technet.microsoft.com - раздел бибилиотека. |
aptv, да, спасибо, Ваш вопрос меня и натолкнул на эту мысль, немного порылся в инете ... и маленькая победа: скачал и поставил тот самый FWC у себя - инет есть.
Работу сервера может я и не понимаю, а кто же его понял сразу? В общем работаю над этим недостатком, вот книжку скачал... читаю обдумываю. Ну думаю проблемы еще будут (уже с Клиент банком ботва какая то творится) в общем буду частым гостем форума :). Спасибо за помощь, тему можно закрывать. |
RinatG, По поводу банк клиента - http://www.amicon.ru/forum/viewtopic.php?t=454
Пользуйтесь логами - Вам они помогут. |
Че то вы в дебри забрались. Список правил неверный. В частности, самое первое правило ВООБЩЕ не нужно.
Достаточно 2-го и 3-го. Для работы инета на машинах НЕОБЯЗАТЕЛЬНО вовсе ставить firewall Client'а. Достаточно на машине в качестве шлюза по умолчанию выставить адрес ISA сервера и в настройках IE прописать подключение через прокси. И все будет работать. FWC нужен для других целей немного. Второе правило необходимо модифицировать. Не надо разрешать ВЕСЬ исходящий трафик. Достаточно только основные протоколы (HTTP, FTP, HTTPS, SMTP, POP3). Нюансов много, читайте Томаса Шиндера :) |
Время: 12:11. |
Время: 12:11.
© OSzone.net 2001-