|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » Доступ к интернету с машин, находящихся не в домене |
|
|
Доступ к интернету с машин, находящихся не в домене
|
Сообщения: 591 |
Профиль | Отправить PM | Цитировать Здравствуйте!
Подскажите пожалуйста как сделать следующее. Есть сеть с контроллером на Вин 2003, ИСА 2006, АД, ДНС, ГПО. Естественно все рабочие станции в домене. Для доступа к интернету на рабочих станциях стоит FWC. Как можно дать интернет для машин не принадлежащих домену. Т.е пришел человек с ноутом, подключился к сети и доступ есть. Естественно, это для определенного круга лиц. Где то натыкался на то как это сделать, но найти не могу. СПАСИБО |
|
Отправлено: 08:18, 15-01-2010 |
Ветеран Сообщения: 2068
|
Профиль | Отправить PM | Цитировать YDen,
Иса и AD на разных машинах? Аутентификация нужна для этих групп пользователей? Если не нужна делаем так: 1. Создаём правило разрешающее с определённых IP всем пользователям выход в инет. Это правило помещаем почти в самый низ. 2. В других нужных правилах добавляем исключения этих IP адресов. Если нужна делаем так: 1. Разрешаем базовую аутентификацию (т.е. открытым текстом по логину и паролю). 2. Создаём учётку(и) на исе. 3. Создаём правило разрешающее выход в инет для созданных ранее учёток. |
------- Отправлено: 10:55, 15-01-2010 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 3722
|
Профиль | Отправить PM | Цитировать YDen
Варианты: 1. Создать доменного пользователя, прописать в настройках браузера адрес прокси сервера и сказать пользователям логин и пароль для доступа в интернет. 2. Если есть DHCP сделать привязку ip по MAC адресу для определенных компьютеров. На ISA создать правило разрешающие доступ для определенных ip без авторизации. |
------- Отправлено: 11:03, 15-01-2010 | #3 |
Сообщения: 591
|
Профиль | Отправить PM | Цитировать Сделал, но еще больше в непонятках. Появились вопросы. Если не трудно, поясните пожалуйста, что я сделал неверно.
Ноут, не принадлежащий ЛВС, в свойствах сетевого интерфейса стоит IP 192.168.0.75, маска, шлюз - адрес сервера с ИСОЙ, днс - тот же адрес что и ИСА. В Свойствах подключения обозревателя http прокси поставил имя сервера ИСЫ, порт 80. 1. Опишу по шагам: Исходные данные: сервер на Вин 2003, на нем ИСА 2006, АД, ДНС. На ИСЕ в свойствах внутренней сети: -диапазон адресов: 192.168.0.0-192.168.0.255 (все машины ЛВС лежат в этом диапазоне), -доменные имена: *.firma.local -напрямую обращаться к след.серверам и доменам - *.firma.local -автообнаружение отключено (на всех машинах стоит FWC, вручную внесен имя сервера ИСЫ -включена поддержка FWC, стоит галка Использовать сервер вэб-прокси -включено подключение клиентов вэб-прокси для данной сети, HTTP 80 -проверка подлинности - встроенная. НА ИСЕ создал разрешающее правило: ноут (внес в ису ip ноута)-внешняя, HTTP, Все пользователи. При запросе вэб-страниц все открывает. Норма. Но хочется немного подстраховаться. Если в указанном выше правиле ставлю определенного пользователя, то интернет на ноуте не идет, запроса пароля нет. Хотелось бы, чтобы пользователь подключившись к сети, мог "ходить" по сети (локальной) только введя имя пользователя и пароль. Так же при подключении к интернету происходила авторизация. Это нужно для безопасности и контроля трафика. А то любой может прийти со своей техникой, вбить настройки и работать в интернете. 2. Клиенты ЛВС ходят в инет только с использованием FWC - какие настройки во внешней сети поставить в закладках FWC и Вэб-прокси. Что сейчас стоит я описал выше. 3. Для клиентов гостей, вроде описанного выше случая с ноутом, создаю еще одну внутреннюю сеть, прописываю диапазон 192.168.0.70-192.168.0.80, остальные настройки идентичны первой Внутренней сети. Но интернет в этом случае не работает на ноуте - госте. Более того в Наблюдении-Ведении журнала я не вижу запросов с 192.168.0.75. Хочу чтобы настроки для клиентов домена были одни, а клиентов-гостей - другие. 4. Создано правило для системных протоколов (типа 53 порта) - стоит Все пользователи. Если ставлю Все прошедшие проверку пользователи - сеть становится недоступной. Для чего нужен Все прошедшие проверку пользователи? Для пользователей домена в ИСЕ созданы персональные правила для выхода в инет, и правило для работы сети (типа 53 порта) для Все пользователи. Подскажите, пожадуйста, где я ошибся и как нужно правильно. Спасибо что уделили внимание проблеме. |
Отправлено: 16:13, 02-02-2010 | #4 |
Ветеран Сообщения: 2068
|
Профиль | Отправить PM | Цитировать YDen,
Плохо читал мой пост, перечитай ещё раз, глядишь вопросов поубавится. |
|
------- Отправлено: 11:12, 03-02-2010 | #5 |
Сообщения: 591
|
Профиль | Отправить PM | Цитировать Сегодня сделал:
- установил способ авторизации заместо Встроенная поставил Обычная. На ноуте при запросе вэб-страниц стало появляться окно авторизации, но машины в сети перестали видеть сеть и сервер соответственно - убрал обратно на Встроенная - опять попробовал создать дополнительную Внутреннюю сеть для диапазона 192.168.0.70\79. Создал сетевое правило Внутренняя сеть-Внутренняя сеть гостей, тип Маршрутизация, установил его после внутренней сети. Сетевые правила установлены на основе шаблона Пограничный экран. Итог - ноут не видит сеть, в Ведении журнала нет запросов от 192.168.0.75. Дополнительную внутреннюю сеть создавал, чтобы для клиентов-гостей поставить авторизацию Обычная. |
Отправлено: 12:22, 04-02-2010 | #6 |
Ветеран Сообщения: 2068
|
Профиль | Отправить PM | Цитировать YDen,
Цитата YDen:
|
|
------- Отправлено: 12:40, 08-02-2010 | #7 |
Сообщения: 591
|
Профиль | Отправить PM | Цитировать Цитата Anton04:
Во Внутренней сети1 исключил этот диапазон. |
|
Отправлено: 14:49, 09-02-2010 | #8 |
Старожил Сообщения: 215
|
Профиль | Отправить PM | Цитировать что такое FWC?
где его искать у клиентов? |
Последний раз редактировалось Shera_Best, 23-02-2010 в 13:35. Отправлено: 07:34, 22-02-2010 | #9 |
Ветеран Сообщения: 5624
|
Профиль | Отправить PM | Цитировать |
------- Отправлено: 01:05, 24-02-2010 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
2008 - установить обои рабочего стола для всех машин в домене через политики? | God-of-Chaos | Windows Server 2008/2008 R2 | 9 | 06-03-2014 22:49 | |
2008 - 4 принтера + групповая политика = доступ к принтерам со всех машин... | God-of-Chaos | Windows Server 2008/2008 R2 | 1 | 07-09-2009 17:01 | |
Как запустить службу у пользователей находящихся в домене??? | admyes | Microsoft Windows NT/2000/2003 | 11 | 26-02-2008 17:08 | |
Доступ к шарам на WinXP Pro c машин Win98. | Danilo Ivanov | Сетевые технологии | 2 | 21-09-2003 14:12 |
|