|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » С группой Все пользователи все работает, без него никого не пускает |
|
|
С группой Все пользователи все работает, без него никого не пускает
|
Новый участник Сообщения: 35 |
Профиль | Отправить PM | Цитировать Тема может и не свежа, но решения пока не встретил: задача - допустить в инет только некоторых пользователей домена. Для этого на контроллере создал группу inet, в ISA 2006, создал группу в которую включил inet. Создал правило доступа из локальной сети во внешнюю для этой группы, но доступа нет. При добавлении преднастроенной группы Все пользователи все и получают доступ (то есть есть связь, но для всех включая inet) Пробовал разные комбинации, но так и не понял, что в предопрелеленной группе есть такого, что без него не идет???
Хотя можно канечна всех допустить, а как исключение добавить пользователей которым инет запрещен. Но каждый новый пользователь домена будет иметь права на инет (пока админ не исправит), а это не справдливо с точки зрения руководства |
|
Отправлено: 15:28, 28-04-2009 |
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать ISA в домене?
Клиенты FWC на рабочих станциях стоят? Или ISA в роли прокси? |
------- Отправлено: 17:56, 28-04-2009 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 5624
|
Профиль | Отправить PM | Цитировать RinatG, приведите список правил ISA скриншотом.
В самом простейшем варианте должно быть 2 правила(строго в порядке сверху вних): 1. Разрешить - из Internal в External - протоколы FTP, HTTP, HTTPS - для InternetUsers. 2. Правило по умолчанию - deny all Без списка правил мы будем долго гадать. |
------- Отправлено: 02:01, 29-04-2009 | #3 |
Новый участник Сообщения: 35
|
Профиль | Отправить PM | Цитировать Сам сервер ISA в домене, AD пользователей и групп видит отлично (а что такое FWC? ). Прокси настраивал следующим образом: настроил интерфейсы, установил в WS 2003 блок маршрутизация и удаленный доступ, поставил ISA. Правил всего два - допустить весь исходящий трафик из "внутренняя" во "внешняя" пользователям "inet".
|
Отправлено: 07:33, 29-04-2009 | #4 |
Ветеран Сообщения: 5624
|
Профиль | Отправить PM | Цитировать RinatG, прочтите внимательно пост номер 3. скриншот.
|
|
------- Отправлено: 07:35, 29-04-2009 | #5 |
Новый участник Сообщения: 35
|
Профиль | Отправить PM | Цитировать Delirium, для скрина фотошопа нет под рукой, могу канечна отослать скриншотовский вариант (неужатый)...???
|
Отправлено: 07:37, 29-04-2009 | #6 |
Новый участник Сообщения: 35
|
Профиль | Отправить PM | Цитировать Сори, торможу. Вот... http://forum.oszone.net/attachment.p...1&d=1240979125
|
Отправлено: 08:27, 29-04-2009 | #7 |
Новый участник Сообщения: 35
|
Профиль | Отправить PM | Цитировать По косвенным материалам я понял, что еще нада установить на клиентах фаерволклиенты и только после этого доменные пользователи смогут получить выход в инет. Что то ерунда получается какая то, не совсем удобная интеграция в AD
|
Отправлено: 09:09, 29-04-2009 | #8 |
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать фаерволклиенты - FWC - про них я и говорил.
К сожалению Вы не понимаете работу ISA СЕРВЕРА -точнее обработку им правил - коротко скажу - в одном правиле не моут сосуществовать "Все пользователи" и ещё какия либо группа пользователей - тоесть Ваше первое отключенное правило уже не будет работать. Для авторизации ползьователй можно использовать ISA сервер в роли прокси сервера - при этом будет ограничеваться тот доступ к сети интернет, который будет иметь доступ к настройкам прокси - тоесть в болшинстве случаев - это браузеры. Соответственно мы можем управлять только пресуще ему протоколами -80, 8080 и т.п. Если же мы хотим использовать ISA сервер в роли шлюза в интернет с полным рулением трафика изнутри сети , то нам будет необходимо поставить FWC на каждую доменную клиентскую машину - при этом мы уже можем рулить и poop3 и т.п. Так же - для безопасности да и вообще - про ДНС - Вам необходимо настроить Ваш внутренний ДНС сервер на посылку запросов в интернет, а остальным отлуп. Тоесть - у клиентов прописаны только ваши ДНС. Соответственно мы в правилазх ISA сервера должны создать правило - разрешить от ДНС серверов (локальных) рафик по протоколу DNS в сторону интернет всм пользователям. Для того чтобы понять да и просто базово настроить ISA сервер , я Вам рекомендкю воспользоваться документацией на isadocs.ru Так же не принебригайте таким источником как technet - technet.microsoft.com - раздел бибилиотека. |
------- Отправлено: 09:21, 29-04-2009 | #9 |
Новый участник Сообщения: 35
|
Профиль | Отправить PM | Цитировать aptv, да, спасибо, Ваш вопрос меня и натолкнул на эту мысль, немного порылся в инете ... и маленькая победа: скачал и поставил тот самый FWC у себя - инет есть.
Работу сервера может я и не понимаю, а кто же его понял сразу? В общем работаю над этим недостатком, вот книжку скачал... читаю обдумываю. Ну думаю проблемы еще будут (уже с Клиент банком ботва какая то творится) в общем буду частым гостем форума . Спасибо за помощь, тему можно закрывать. |
Отправлено: 14:39, 29-04-2009 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Пользователи наконец-то поняли все преимущества SSD-накопителей | OSZone News | Новости железа | 3 | 07-07-2008 20:51 | |
Не все пользователи компьютера могут работать в сети | lan0664 | Microsoft Windows 2000/XP | 7 | 01-03-2007 17:02 | |
Боллмер: Пользователи Linux должны Microsoft (все, кроме SuSE) | [mzd] | Новости и флейм из мира *nix | 14 | 25-11-2006 23:48 | |
Как убедиться что XPCREATE интегрировал все что от него хотели ? | shamandim | Автоматическая установка Windows 2000/XP/2003 | 1 | 26-03-2006 22:28 | |
Терминальный сервер w2k кроме Администраторов никого не пускает ? | aleha | Microsoft Windows NT/2000/2003 | 12 | 26-01-2005 16:50 |
|