none
Firewall Client + Require All users to authenticate RRS feed

  • Pergunta

  • Boa noite, uso o isa 2006, quando eu marco a opçao Require all users to authenticate in network ou All authenticated Users em  firewall policy, meu firewall client não funciona, o isa nega todas as portas, só funciona se eu deixar all users, o que pode ser? Obrigado
    quarta-feira, 14 de março de 2007 23:25

Todas as Respostas

  • Thales,

    Pelo visto o seu ISA não está autenticando corretamente. Cheque a ordem dos binds de consulta das placas de rede. Garanta que sua placa interna está em primeiro na ordem de consulta. Lembre-se, também, que se você forçar a autenticação, computadores que não possuirem o firewall client não irão acessar a internet em protocolos que utilizem conexões winsock. Apenas http, https e ftp, usando o browser. Não existe forma de enviar a autenticação para o ISA sem o firewall client, nos demais protocolos. Eu sugiro o seguinte: Crie uma regra que permita ao seu servidor DNS interno fazer consultas externas. Sete a regra para all users. Crie as demais regras de acesso corporativo informando os grupos que terão permissão de acesso a internet. Dessa forma você garante que sua resolução de nomes para o mundo irá funcionar, que seu ISA conseguirá autenticar seus usuários e que apenas usuários autenticados poderão acessar a internet.

    []´s

    Alberto

    quinta-feira, 15 de março de 2007 02:55
    Moderador
  • Alberto,

    desculpe a ignorancia, mas o que sao binds? como eu vejo se a minha placa de rede interna esta em primeiro na ordem de consulta?

    Eu ja tenho uma regra dos servidores dns  - external  - para all users.. eu posso mandar um shot das regras pra vc dar uma olhada Obrigado!

    quinta-feira, 15 de março de 2007 04:52
  • Thales,

    Bind é apontamento ou associação. Para verificar, botao direito no icone de sua local area connection e open network connections. Menu advanced, advanced settings. Lá você encontra a ordem de consulta das placas de rede. A que estiver mais acima será a primeira a ter o seu DNS utilizado. Sugiro colocar sempre a placa interna como primeira opção. Pode enviar a imagem ou backup das regras para m0rph3us@gmail.com. Assim que tiver um tempinho eu lhe respondo.

    []´s

    Alberto

    quinta-feira, 15 de março de 2007 10:04
    Moderador
  • Caro Alberto,

    As ordem das placas de rede estavam como vc falou, primeiro a Interna e depois a Externa, enviei o backup do isa pro seu e-mail, agradeço muito a sua ajuda.

    Obrigado!

    quinta-feira, 15 de março de 2007 13:46
  • Thales,

    Altere o posicionamento da sua regra de permissão de DNS. Posicione ela acima de todas as outras. Além disso, permita que apenas os seus servidores DNS façam consultas para o mundo. Não precisa permitir que todos na rede o façam. Sobre o firewall client, configure o autodiscovery para os clientes do ISA. Veja este artigo: http://support.microsoft.com/kb/309814 . Ele é para 2000, mas para 2003 a filosofia é a mesma. Não esqueça de habilitar a opção na rede internal do seu ISA. Verifique, também, se seus DC's estão funcionando corretamente. Pela olhada que dei em sua configuração, esta tudo ok. Vou gastar mais um tempo analisando a configuração para ver se encontro algum problema.

    []'s

    Alberto

    quinta-feira, 15 de março de 2007 14:09
    Moderador
  • Alberto,

    Alterei o posicionamento da minha regra de dns pro topo e limitei apenas aos servidores dns conforme indicado por voce, porem quando eu mudo pra All Authenticated Users, o firewall client para de funcionar e o isa nega todos os protocolos.

    quinta-feira, 15 de março de 2007 14:27
  • Thales,

    Use os grupos do seu AD, ao inves do all authenticated users. Não marque a opção de "require all users to authenticate" em sua rede internal. Teste e nos reporte.

    []'s

    Alberto

    quinta-feira, 15 de março de 2007 14:52
    Moderador
  • Alberto,

    Fiz as alterações conforme sua orientação, Criei uma regra de acesso liberando todos os protocolos de saída, da rede interna para a rede externa e usando o grupo do AD que eu criei, porêm não funcionou, ele continua negando.

    Result code: 0xc004000d FWX_E_POLICY_RULES_DENIED

    Obs: se eu dou um telnet 172.16.0.1 53 não era pra telar ficar preta? ou eh normal dar falha na conexão? Obrigado!

     

    quinta-feira, 15 de março de 2007 16:01
  • Alguma sugestão?
    segunda-feira, 26 de março de 2007 23:14