С группой Все пользователи все работает, без него никого не пускает

Aleksey Potapov · Отправлено: **17:56, 28-04-2009** | #2

ISA в домене?
Клиенты FWC на рабочих станциях стоят? Или ISA в роли прокси?

Delirium · Отправлено: **02:01, 29-04-2009** | #3

RinatG, приведите список правил ISA скриншотом.
В самом простейшем варианте должно быть 2 правила(строго в порядке сверху вних):
1. Разрешить - из Internal в External - протоколы FTP, HTTP, HTTPS - для InternetUsers.
2. Правило по умолчанию - deny all

Без списка правил мы будем долго гадать.

RinatG · Отправлено: **07:33, 29-04-2009** | #4

Сам сервер ISA в домене, AD пользователей и групп видит отлично (а что такое FWC?

). Прокси настраивал следующим образом: настроил интерфейсы, установил в WS 2003 блок маршрутизация и удаленный доступ, поставил ISA. Правил всего два - допустить весь исходящий трафик из "внутренняя" во "внешняя" пользователям "inet".

Delirium · Отправлено: **07:35, 29-04-2009** | #5

RinatG, прочтите внимательно пост номер 3. скриншот.

RinatG · Отправлено: **07:37, 29-04-2009** | #6

Delirium, для скрина фотошопа нет под рукой, могу канечна отослать скриншотовский вариант (неужатый)...???

RinatG · Отправлено: **08:27, 29-04-2009** | #7

Сори, торможу. Вот... http://forum.oszone.net/attachment.p...1&d=1240979125

RinatG · Отправлено: **09:09, 29-04-2009** | #8

По косвенным материалам я понял, что еще нада установить на клиентах фаерволклиенты и только после этого доменные пользователи смогут получить выход в инет. Что то ерунда получается какая то, не совсем удобная интеграция в AD

Aleksey Potapov · Отправлено: **09:21, 29-04-2009** | #9

фаерволклиенты - FWC - про них я и говорил.
К сожалению Вы не понимаете работу ISA СЕРВЕРА -точнее обработку им правил - коротко скажу - в одном правиле не моут сосуществовать "Все пользователи" и ещё какия либо группа пользователей - тоесть Ваше первое отключенное правило уже не будет работать.
Для авторизации ползьователй можно использовать ISA сервер в роли прокси сервера - при этом будет ограничеваться тот доступ к сети интернет, который будет иметь доступ к настройкам прокси - тоесть в болшинстве случаев - это браузеры. Соответственно мы можем управлять только пресуще ему протоколами -80, 8080 и т.п.
Если же мы хотим использовать ISA сервер в роли шлюза в интернет с полным рулением трафика изнутри сети , то нам будет необходимо поставить FWC на каждую доменную клиентскую машину - при этом мы уже можем рулить и poop3 и т.п.
Так же - для безопасности да и вообще - про ДНС - Вам необходимо настроить Ваш внутренний ДНС сервер на посылку запросов в интернет, а остальным отлуп. Тоесть - у клиентов прописаны только ваши ДНС. Соответственно мы в правилазх ISA сервера должны создать правило - разрешить от ДНС серверов (локальных) рафик по протоколу DNS в сторону интернет всм пользователям.

Для того чтобы понять да и просто базово настроить ISA сервер , я Вам рекомендкю воспользоваться документацией на isadocs.ru
Так же не принебригайте таким источником как technet - technet.microsoft.com - раздел бибилиотека.

RinatG · Отправлено: **14:39, 29-04-2009** | #10

aptv, да, спасибо, Ваш вопрос меня и натолкнул на эту мысль, немного порылся в инете ... и маленькая победа: скачал и поставил тот самый FWC у себя - инет есть.
Работу сервера может я и не понимаю, а кто же его понял сразу? В общем работаю над этим недостатком, вот книжку скачал... читаю обдумываю. Ну думаю проблемы еще будут (уже с Клиент банком ботва какая то творится) в общем буду частым гостем форума

.
Спасибо за помощь, тему можно закрывать.