Remove From My Forums

Forefront in DMZ

Frage
0

Anmelden

Hallo Community,

ich brauche hier mal dringend Hilfe , komme leider so nicht weiter.

Ich möcht den TMG in die DMZ platzieren darüber trotzdem Zugriffsregeln über Benutzer verwalten, also sprich Benutzer A darf das und das Benutzer B darf nur diese Websiten besuchen. Allerdings scheitere ich hier völlig.

Das ganze soll nicht nur für eine Domaine geschehen sondern für mehrerer die unabhänig von einander in verschiedenen Netzen sind. Hat Hier jemand irgendwelche Links, Tipps oder Anleitungen für mich?

Vielen Dank

Mittwoch, 9. November 2011 13:57

Antworten

1

Anmelden
Hi,

RADIUS:
http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-Using-LDAP-RADIUS-Authentication.html
http://www.msisafaq.de/anleitungen/2004/Konfiguration/ISAIAS.htm
http://support.microsoft.com/kb/884492
Die Artikel gelten auch fuer Forefront TMG
Wie koennen wir Dir helfen, die letzten Meter auch noch zu verstehen?
Wenn Du mehrere Domaenen hast und quasi als Hoster auftrittst, kann ich Dir nur waermstens Forefront UAG empfehlen, da kannst Du beliebige Authentifizierungsprovider hinterlegen und auch "einfach" gegen multiple nicht trusted Domaenen authentifizieren
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort markiert Alex Pitulice Mittwoch, 16. November 2011 08:54
Mittwoch, 9. November 2011 16:09
1

Anmelden
Hi,

der Member Server ist der NPS (RADIUS) korrekt, der TMG Server ist dann RADIUS Client!
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort markiert Alex Pitulice Mittwoch, 16. November 2011 08:55
Donnerstag, 10. November 2011 11:01

Alle Antworten

0

Anmelden

Hi,

am einfachsten kannst du das realisieren, indem Du den TMG Server zum Mitglied der Domaene machst. TMG kann dann User aus einer Active Directory Gesamtstruktur authentifizieren oder aus verschienden Active Directory Gesamtstrukturen zwischen denen ein Cross Forest oder Explizit Trust besteht.
Wénn der TMG Server nicht Mitglied der Domaene sein soll, bleibt Dir fuer ausgehende Zugriffe nur RADIUS ueber und fuer eingehende Zugriffe LDAP und RADIUS.
RADIUS hat diverse Nachteile und Einschraenkungen und Dur brauchst eine IAS/NPS Struktur, so dass ich das nicht empfehlen wuerde, wenn Du Firewallregeln erstellen willst, wo Du den Zugriff auf Benutzergruppen und Benutzer regeln willst:
http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-Using-LDAP-RADIUS-Authentication.html
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Mittwoch, 9. November 2011 14:07
0

Anmelden

moin patriot,

der tmg soll somit nicht mitglied einer domain sein oder wie verstehe ich das?
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Mittwoch, 9. November 2011 14:08
0

Anmelden

Der TMG soll nicht Mitglied der Domaine sein, habt ihr Server die in der Domaine sind in der DMZ stehn, ist das sicherheitstechnisch keine Risiko? Ich hab ja mehrer Domains nicht nur eine, und das löst es dann leider nicht so wie ich das gern hätte :(

RADIUS hab ich mir auch schon angeschaut aber ich blicke da keine 5 Meter :(

Mittwoch, 9. November 2011 14:12
1

Anmelden
Hi,

RADIUS:
http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-Using-LDAP-RADIUS-Authentication.html
http://www.msisafaq.de/anleitungen/2004/Konfiguration/ISAIAS.htm
http://support.microsoft.com/kb/884492
Die Artikel gelten auch fuer Forefront TMG
Wie koennen wir Dir helfen, die letzten Meter auch noch zu verstehen?
Wenn Du mehrere Domaenen hast und quasi als Hoster auftrittst, kann ich Dir nur waermstens Forefront UAG empfehlen, da kannst Du beliebige Authentifizierungsprovider hinterlegen und auch "einfach" gegen multiple nicht trusted Domaenen authentifizieren
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort markiert Alex Pitulice Mittwoch, 16. November 2011 08:54
Mittwoch, 9. November 2011 16:09
0

Anmelden

Vielen Dank für die Links,

zu der Anleitung habe ich eine Frage

http://www.msisafaq.de/anleitungen/2004/Konfiguration/ISAIAS.htm

"Installation der IAS Servers

Sie installieren den IAS Server wie jede Microsoft Komponente über Start – Systemsteuerung – Software – Windows Komponenten Hinzufügen / Entfernen."

Installer ich das auf meinen DC oder einen Memberserver oder auf dem Forefront server?

Donnerstag, 10. November 2011 06:59
1

Anmelden

Hi,

IAS hiess es bei Windows 2003. NPS heisst es in Windows Server 2008/R2 und Du installierst den NPS ueber den ServerManager. Normalerweise wird der NPS auf einem Memberserver in der internen Domaene installiert. Ob Du einen dedizierten Server dafuer nimmst oder einen existierenden Server ist von Deiner Umgebung abhaengig. Du kannst auch einen zentralen NPS (RADIUS) Server einrichten und dann mit RADIUS Proxies arbeiten:
NPS 2008/R2:
http://technet.microsoft.com/de-de/library/dd346691(WS.10).aspx
RADUS Proxy:
http://technet.microsoft.com/de-de/library/cc731320(WS.10).aspx
RADIUS mit MG:
http://technet.microsoft.com/de-de/library/cc441598.aspx
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Donnerstag, 10. November 2011 07:11
0

Anmelden

Zum Verständniss:

So müsste das ganze dann aufgebaut sein oder? Sorry wenn ich so sau doof frage

DER Memberserver mit NPS ist dann der Radiusserver oder und der TMG der Radius Client?

Donnerstag, 10. November 2011 08:40
1

Anmelden
Hi,

der Member Server ist der NPS (RADIUS) korrekt, der TMG Server ist dann RADIUS Client!
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort markiert Alex Pitulice Mittwoch, 16. November 2011 08:55
Donnerstag, 10. November 2011 11:01
1

Anmelden

Der TMG soll nicht Mitglied der Domaine sein, habt ihr Server die in der Domaine sind in der DMZ stehn, ist das sicherheitstechnisch keine Risiko? Ich hab ja mehrer Domains nicht nur eine, und das löst es dann leider nicht so wie ich das gern hätte :(

RADIUS hab ich mir auch schon angeschaut aber ich blicke da keine 5 Meter :(

Hallo,

hier ein sehr interessanter Artikel, warum es besser ist, den TMG zur Domain hinzuzufügen:

http://www.isaserver.org/tutorials/debunking-myth-that-isa-firewall-should-not-domain-member.html

Grüße,

Toni

Donnerstag, 10. November 2011 14:32
0

Anmelden

Hallo Patriot7,

Haben die Antworten die Situation klargestellt?

Viele Grüße,

Alex

Montag, 14. November 2011 14:50
0

Anmelden

Hallo Patriot,

Ich gehe davon aus, dass die Antworten Dir weitergeholfen haben.

Wenn ja, wäre es hilfreich wenn Du diese Lösung bestätigen würdest, sodass andere Leute von derselben Situation profitieren können.
Wenn nein, neue Rückfragen oder Ergänzungen zu diesem Thread bleiben weiterhin möglich.

Danke und viele Grüße,
Alex

Mittwoch, 16. November 2011 08:57
0

Anmelden

Hallo Alex Pitulice,

entschuldigen das ich erst jetzt antworte, also wir haben das jetzt anders relaisiert.

TMG INS LAN da wird für unsere Domaine authentifiziert, das andere war von meinen Chef so nicht gewollt. Trotzdem Vielen Dank für die Hilfe, ich hab gleich noch eine Frage ein Problem

Zugriff auf FTP:

Bekomm ich im Protokoll angezeigt

Möchte nur für eine Bestimmte Benutzergruppe den Zugriff per FTP erlauben, habe sogar den TMG Client installiert aber keine Besserung

Vielen Dank

Dienstag, 22. November 2011 11:30

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Forefront in DMZ

Frage

Antworten

Alle Antworten