none
Nova Network naum se comunica com o ISA (importante) RRS feed

  • Pergunta

  • Pessoal, é o seguinte:

    eu habilitei a autenticação do meu isa para a network Internal (default) com os seguintes rages de ip :192.168.0.1 a 192.168.0.119 / 192.168.0.226 a 192.168.0.254, observem que essem ranges excluem de 192.168.0.220 a 192.168.0.225. Eu gostaria que alguns usuários não precisassem de autenticação até porque eles utilizam alguns programas, como um da caixa, que não tem como configurar o proxy, e se ele não consegue autenticar o programa não funciona.

    Para isso eu tentei resolver criando uma nova Network colocando na lat esse range de ip excluido (192.168.0.220 a 192.168.0.225) e não habilitar a autenticação para ele. Porém os ips que estão nesse range não conseguem nem se comunicar com o ISA eu fiz um monitoring e nele apareceu denied em todas as comunicações com o servidor ISA e não mostrou qual regra bloqueou.

    O que eu gostaria que me ajudassem é o seguinte:

    1° -Como eu faço pra essa nova network se comunicar com o isa?

    2°- Tem como eu definir quais ips ou usuarios não vão pracisar de  autenticação?

    3° - Quando eu habilitei a autenticação o client do isa não encotrou o servidor automaticamente, ai eu fiz um monitoring e percebi que o firewall estava bloqueando o wpad porque ele estava sem autenticação. Alguma sugestão sobre o que eu posso fazer.

     

    Desde já agradeço a quem puder me ajudar.

    Obrigado

    • Movido Hengzhe Li quinta-feira, 29 de março de 2012 01:01 (De:ISA Server 2004)
    sexta-feira, 11 de maio de 2007 13:14

Respostas

  • Bom dia Bruno,

     

    consegui resolver o problema... eu fiz da seguinte forma:

     

    pra começar, o meu grande problema era o seguinte, o pessoal de ti da empresa que eu instalei o isa queria de qualquer forma que o isa funcionasse do geito que o squid fazia (pedir autenticação para todos exeto 3 maquinas), como foi falado nessa thread eu habilitei autenticaçao mas não tinha como desabilitar apenas pra 3 maquinas, então como vc me disse em um post por eu ter usado o range 192.168.0.1 - 192.168.0.255 que usa a mascara 255.255.255.0 o isa ja determinava que todos os ips faziam parte da autenticação e o que eu colocasse fora disso mas usando a mesma mascara não iria funcionar. Ai vc me disse que se realmente fosse necessario eu precisaria colocar em redes fisicas separadas, então eu fiz o seguinte, eu adicionei na placa de rede do meu firewall o ip 10.0.0.254 e mascara 255.0.0.0. e criei no isa uma network com o range 10.0.0.1 - 10.0.0.254 , modifiquei as regras de acesso acrescentando a network nova em todas elas, habilitei a autenticação na network internal e desabilitei na nova. Nos clientes que eu naum queria autenticação eu não instalei o client do isa e nas configurações o IE eu coloquei o servidor proxy como 10.0.0.254.

     

    funcionou direitinho, agora esta como eles queriam, todos estão usando autenticação exeto as 3 maquinas.

    eu só gostaria que vc me dissesse se eu posso ter algum problema com essa configuração, lemnrado que eu coloquei esses ips como teste, mas eu posso usar outras sub-redes pra fazer isso.

     

    segunda-feira, 21 de maio de 2007 14:29
  • vou te passar 3 artigos q eu escrevi, é só vc adpatar alguma coisas e da até pra fazer a atribuiçao de IP pelo DHCP interno

     

    http://www.itcentral.com.br/default.asp?id=26&ACT=5&content=220&mnu=26

    http://www.itcentral.com.br/default.asp?id=26&ACT=5&content=221&mnu=26

    http://www.itcentral.com.br/default.asp?id=26&ACT=5&content=222&mnu=26

     

     

    da um olhada nos 3 e vc vai ver q é bem parecido com oq vc fez....

     

    abraço

    segunda-feira, 21 de maio de 2007 14:40

Todas as Respostas

  • Bom dia David...bele ?

     

    vamos lá

     

    O unico jeito de exigir autenticaçao para uns usuário e outro não, é realment separando por Network, vc fez o certo em criar a network

     

    1° -Como eu faço pra essa nova network se comunicar com o isa?  Qdo vc cria uma nova network é necessario criar tb um network rule, dizendo q tipo de relaçao essa nova network tem com as outras, se é NAT ou ROUTE. Para configurar isso vc deve ir em NETWORK, e em seguida NETWORK RULE, para facilitar vc pode editar um ja existente e apenas acrescentar a nova rede.

    2°- Tem como eu definir quais ips ou usuarios não vão pracisar de  autenticação? Não tem como fazer isso, como só é possivel exigir autenticaçao por NETWORK, tb só é possivel nao exigir autenticaçao por NETWORK.

    3° - Quando eu habilitei a autenticação o client do isa não encotrou o servidor automaticamente, ai eu fiz um monitoring e percebi que o firewall estava bloqueando o wpad porque ele estava sem autenticação. Alguma sugestão sobre o que eu posso fazer. Da uma olhada nessa documentáçao e valide todos os passos http://www.microsoft.com/technet/isa/2004/plan/automaticdiscovery.mspx

     

    nao esqueça de classificar os posts q lhe foram úteis.

     

     

    abraço

    segunda-feira, 14 de maio de 2007 11:52
  • Bom dia amigo,

    obrigado por me responder

     

    é o seguinte eu fui em NETWORK rule e vi que a unica regra para conexão entre o isa e a rede é a primeira (Local Host access - Route - de: local Host para: All Networks (and Local Host), eu até desativel todas as outras pra fazer um teste e os ips que estavam entre a faixa do Internal consguiram se comunicar, mais os que estavam na faixa que eu defini para a nova Network naum funcionaram. Mesmo assim eu editei as regras existentes (exeto a primeira pq ela naum da) adicionado minha nova network, criei novas regras como por exemplo (route - de: novanetwork para: all networks( and local host), mas não deu certo. Teria alguma outra forma de fazer isso, ou até mesmo alguma regra especial para isso funcionar?

    segunda-feira, 14 de maio de 2007 13:30
  • Por favor, eu estou precisando muito resolver esse problema, pois eu preciso apresentar relatórios contendo o nome dos usuários que estão acessando respectivos sites, pra isso eu preciso da autenticação, mas toda vez que alguem vai usar um software que não tem como configurar o proxy o isa barra pq o usuario fica anonimo, são só 4 maquinas que utilizam esses softwares e por sinal os usuarios tem a internet liberada, mas toda vez que eles vao usar o software eu tenho que ir no isa e desativar a autenticação, por isso eu queria criar a outra network para colocar apenas esses usuarios.

     

    Obrigado.

    quarta-feira, 16 de maio de 2007 11:46
  • Boa noite David;

     

    kra é o seguinte..

     

    vc seleionou um Ip de classe C, ou seja a sua range interna é 192.168.0.0 até 192.168.0.255 isso é definido pela mask q é 255.255.255.0

     

    como vc habilitou na rede INTENAL para requerer autenticaçao....baseado na sua mascara de subrede o ISA ja determinou q toda a range requer autenticaçao.

     

    pergunta: Vc realmente precisa de requerar autenticaçao para sua internal ?

     

     

    Levando em conta q vc precise, eu nao vejo outra soluçao se nao a de dividar a sua atual rede, ou criar outra. Qdo digo dividir sua vc terá q planejar isso com cuidado, vai precisar de outra placa de rede pro server, vai precisar ligar esse nova rede em meios fisicos separados, nao é tao simples nao...

     

    para te ajudar melhor, me dia qual é a sua necessidade com relaçao a autenticaçao, ai damos sequencia na soluçao

     

    abraço

    quinta-feira, 17 de maio de 2007 03:38
  • Bom Dia Bruno,

    Obrigado pela resposta...

     

    é o seguinte...

     

    eu preciso da autenticação por 2 motivos:

    1° - O dono da empresa quer um relatório que mostre o que os usuários estão acessando, e o relatório que o isa dá não esta mostrando o nome dos usuários pq passa pelo isa com anonimo. Eu pesquisei no forum e vi que a unica forma de resolver isso é ativando a autenticação. Isso eu poderia resolver colocando IP fixo nas maquinas, se não fosse o segundo motivo.

     

    2° - Algumas maquinas são usadas por varios usuários e sem autenticação não da pra ter um controle de quem esta acessando.

     

    Se tiver alguma outra forma de resolver isso eu agradeço pela ajuda.

     

    Obrigado

    quinta-feira, 17 de maio de 2007 13:43
  • Boa noite David

     

     

    1° - O dono da empresa quer um relatório que mostre o que os usuários estão acessando, e o relatório que o isa dá não esta mostrando o nome dos usuários pq passa pelo isa com anonimo. Eu pesquisei no forum e vi que a unica forma de resolver isso é ativando a autenticação. Isso eu poderia resolver colocando IP fixo nas maquinas, se não fosse o segundo motivo.    é o seguinte.. para ter esse relatório vc nao precisa exigir na rede INTERNAL a autenticaçao....vc pode criar as regras e liberar somente para os usuários autenticados.

     

    2° - Algumas maquinas são usadas por varios usuários e sem autenticação não da pra ter um controle de quem esta acessando. Se vc criar uma regra com base em usuário, nao importa onde esse usuário logar, ele sempre terá a regra aplicada para ele.

     

     

    Faça esse teste q vc vai ver q funciona:  Tire a exigencia de atenticacao par aa rede INTENAL, e na regra q vc libera HTTP coloque AllAuthenticatedUsers

     

    post aqui o resultado..

     

    abraço

    sexta-feira, 18 de maio de 2007 04:39
  • Bom Dia Bruno,

     

    Eu me expressei mal nesse 2° motivo, vou esclarecer o problema,

     

    é que nessas maquinas que varios usuários acessam a internet ficam logada com um usuário. Exemplo: a maquina1 fica logada com o usuário fulano, mas beltrano e sicrano acessam a internet sem fazer logoff no usuario fulano.

     

    Eu orientei que quando o usuário saisse fizesse logoff ou bloqueasse a estação, porém nessa empresa tinha o squid que tava funcionando com autenticação e tinha como fazer com que algumas maquinas não passassem pela autenticação.

     

    Mas msm assim obrigado pela ajuda e quanto essa opção de colocar como allautenticated users é uma boa sugestão. Obrigado.

    sexta-feira, 18 de maio de 2007 13:17
  • Boa tarde

     

    Entao David...se vc desabilitar para requerer autenticaçao na rede INTERNAL...da pra criar uma regra para essa maquina especifico para all users.

     

    abraço

    sexta-feira, 18 de maio de 2007 17:55
  • Bom dia Bruno,

     

    consegui resolver o problema... eu fiz da seguinte forma:

     

    pra começar, o meu grande problema era o seguinte, o pessoal de ti da empresa que eu instalei o isa queria de qualquer forma que o isa funcionasse do geito que o squid fazia (pedir autenticação para todos exeto 3 maquinas), como foi falado nessa thread eu habilitei autenticaçao mas não tinha como desabilitar apenas pra 3 maquinas, então como vc me disse em um post por eu ter usado o range 192.168.0.1 - 192.168.0.255 que usa a mascara 255.255.255.0 o isa ja determinava que todos os ips faziam parte da autenticação e o que eu colocasse fora disso mas usando a mesma mascara não iria funcionar. Ai vc me disse que se realmente fosse necessario eu precisaria colocar em redes fisicas separadas, então eu fiz o seguinte, eu adicionei na placa de rede do meu firewall o ip 10.0.0.254 e mascara 255.0.0.0. e criei no isa uma network com o range 10.0.0.1 - 10.0.0.254 , modifiquei as regras de acesso acrescentando a network nova em todas elas, habilitei a autenticação na network internal e desabilitei na nova. Nos clientes que eu naum queria autenticação eu não instalei o client do isa e nas configurações o IE eu coloquei o servidor proxy como 10.0.0.254.

     

    funcionou direitinho, agora esta como eles queriam, todos estão usando autenticação exeto as 3 maquinas.

    eu só gostaria que vc me dissesse se eu posso ter algum problema com essa configuração, lemnrado que eu coloquei esses ips como teste, mas eu posso usar outras sub-redes pra fazer isso.

     

    segunda-feira, 21 de maio de 2007 14:29
  • vou te passar 3 artigos q eu escrevi, é só vc adpatar alguma coisas e da até pra fazer a atribuiçao de IP pelo DHCP interno

     

    http://www.itcentral.com.br/default.asp?id=26&ACT=5&content=220&mnu=26

    http://www.itcentral.com.br/default.asp?id=26&ACT=5&content=221&mnu=26

    http://www.itcentral.com.br/default.asp?id=26&ACT=5&content=222&mnu=26

     

     

    da um olhada nos 3 e vc vai ver q é bem parecido com oq vc fez....

     

    abraço

    segunda-feira, 21 de maio de 2007 14:40
  • Oi Bruno,

    realmente... eu li os artigos e ficou bem parecido mesmo, eu fiz essas adaptações de DHCP pra ficar mais seguro, agora sim ta blz... Muito obrigado.

     

    Abraço.

    segunda-feira, 21 de maio de 2007 14:54
  • David...

     

    estamos ai kra....precisando é só postar q a galera ajuda..

     

    abraço

    segunda-feira, 21 de maio de 2007 15:09