Usuário com melhor resposta
12209 O ISA Server exige autorização para preencher a solicitação - Acesso ao filtro de proxy web negado

Pergunta
-
Bom dia! Alguem pode me ajudar?
O nosso ISA 2006 estava funcionando corretamente ate a semana passada.
Agora tem ocorrido bloqueios de paginas (htomail/yahoo/terra) para o grupo TI.
Ele esta configurado com as regras nesta ordem:
1- Bloqueio de sites de email
2- Sites proibidos
3- Proibição de downloads
4-Grupo TI - Libera todos protocolos
5-Grupo supervisor - Libera os protocolos HTTP/IMAP4 exeto os sites das regras 1, 2 e 3
99- Regra padrão
No log aparece:
1-Cliente de Firewall da Microsoft - satatus da conexão
2- http - Conexão negada - Regra bloqueio sites de email - anonymous - 12209 O ISA Server exige autorização para preencher a solicitação - Acesso ao filtro de proxy web negado
3- SSL-Tunnel - Conexão permitida - Regra Libera HTTPS - usuario do grupo TI
4- http - Falha na tentativa de Conexão- Regra bloqueio sites de email - anonymous
5- http - Conexão negada - Regra Grupo Supervisor - usuario do grupo TI - 12217 A solicitação foi rejeitada pelo filtro HTTP.
O grupo TI tem que ter acesso total.
Grato
Paulino
Respostas
-
Cara ,
Nas suas regras de bloqueio em todas elas coloque como excessão o grupo de TI que terá permissão full.
Sobre o anonymous, segue o motivo:
http://technet.microsoft.com/en-us/library/bb984870.aspx
O primeiro pacote (client-->isa) sempre vai anonymous, por esse motivo o Isa solicita autenticação posterior..
Espero ter ajudado
No aguardo
abraços- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 21 de agosto de 2009 05:10
-
LP,
De uma olhada nas configurações que estão na guia WEB PROXY.
Va no meu esquerdo em configuraçoes, depois em rede, depois peça par aver as propriedades da rede interna, vá até a guia webproxy....verifique qual a porta que esta configurada ai....deve ser por padrao a 8080.
Os seus clients tb devem apontar para esta mesma porta..
No aguardo
abraços- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 21 de agosto de 2009 05:10
-
Olá Paulino,
Este erro que você mencionou pode ser causado devido a você ter outro serviço (como o IIS) instalado na mesma máquina do ISA. Veja no artigo abaixo como resolver:
http://support.microsoft.com/kb/888650/en-us
Abraço,
- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 21 de agosto de 2009 05:10
Todas as Respostas
-
-
Assim como o amigo de cima disse, se um grupo ou regra possui acesso total, ele deve ficar antes de todas as regras, para evitar que outras regras influenciem no acesso.Por exemplo :Na regra 01 voce diz que o todos os usuarios precisam logar no proxy para navegarNa regra 02 voce diz que o usuário teste não precisa logar para navegar , ou seja, passa anonymous.Quando o usuario teste tentar navegar, a primeira regra que o ISA encontra que serve para ele é a 01, ele implementa a regra 01 como regra de navegação, mesmo sendo o usuário teste.Isso acontece porque o ISA para de checar as regras assim que encontra uma que serve como bloqueio ou acesso, até chegar na última regra , que por padrão bloqueia tudo.Abraços.
-
Obrigado Vinicius pela dica!
Fiz a sua sugestão e testei, mas o erro continua.
Coloquei a regra do Grupo TI antes de todas a regras de bloqueio.
Eu acho que o problema esta no úsuario anonymous.
Por algum motivo o ISA não está conseguindo validar o usuario PAULINO (Grupo TI).
Primeiro ele nega a conexão para o usuario anonymous, depois falha na tentativa de conexão tb para o usuario anonymous.
-
-
Cara ,
Nas suas regras de bloqueio em todas elas coloque como excessão o grupo de TI que terá permissão full.
Sobre o anonymous, segue o motivo:
http://technet.microsoft.com/en-us/library/bb984870.aspx
O primeiro pacote (client-->isa) sempre vai anonymous, por esse motivo o Isa solicita autenticação posterior..
Espero ter ajudado
No aguardo
abraços- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 21 de agosto de 2009 05:10
-
A regra é:
Ação -> Permitir
Protocolo -> Todo trafego de Saida
De -> Interno/Host Local
Para -> Externo/Todas as Redes (e Host Local)
Condição -> Grupo TI
Conteudo -> Todo tipo de Conteudo
Obs.: Como o Hotmail era urgente eu inclui ele na lista de sites permitidos para downloads e funcionou, esta opção é ruim uma vez que o grupo TI tem acesso total. Se eu não achar outra solução vou ter que incluir todos sites bloqueados.
Grato
-
-
-
Cara, não funcionou.
A regra abaixo, Sites liberados para Downloads:
Ação -> Permitir
Protocolo -> HTTP e HTTPS
De -> Interno
Para -> Sites HTTPS e Sites Liberados para Donwloads
Condição -> Grupo TI e Usuario permitidos para Downloads
Conteudo -> Todo tipo de Conteudo
Esta regra está uma 20 posição abaixo da Regra do TI. Se eu incluir a URL bloqueada na URL Set "Sites liberado para Downloads", funciona.
Obrigado pela ajuda, mas por enquanto vou aplicar esta regra até descubrir uma solução.
Abraços
-
-
Já a regra é: "HTTP - Supervisores"
Ação -> Permitir
Protocolo -> HTTP, IMAP4 e SuperBroker
De -> Interno
Para -> Externo/Todas as Redes (e Host Local)
Exceto -> Sites proibidos
Condição -> Grupo Supervisores
Conteudo -> Todos os tipos de conteudos
Tb já fiz o teste, se eu desabilitar a regra é bloqueado na regra padrão.
-
-
Dr. assim funciona.
Eu estava olhando os eventos do Windows e tem aparecido esta mensagem.
"Falha do filtro de Proxy da Web ao ligar seu soquete à porta 80 de 127.0.0.1. Isso pode ter sido causado por outro serviço que já está usando a mesma porta ou por um adaptador de rede que não é funcional. Para resolver essa questão, reinicie o serviço de Firewall da Microsoft. O código de erro especificado na área de dados das propriedades do evento indica a causa da falha."
Cod. erro: 14148
O que voce acha?
-
LP,
De uma olhada nas configurações que estão na guia WEB PROXY.
Va no meu esquerdo em configuraçoes, depois em rede, depois peça par aver as propriedades da rede interna, vá até a guia webproxy....verifique qual a porta que esta configurada ai....deve ser por padrao a 8080.
Os seus clients tb devem apontar para esta mesma porta..
No aguardo
abraços- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 21 de agosto de 2009 05:10
-
Olá Paulino,
Este erro que você mencionou pode ser causado devido a você ter outro serviço (como o IIS) instalado na mesma máquina do ISA. Veja no artigo abaixo como resolver:
http://support.microsoft.com/kb/888650/en-us
Abraço,
- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 21 de agosto de 2009 05:10
-
-
Fala grande, rapaz to viajando (agora em Seattle) então a diferença de fuso é de 5 horas, to aqui de passagem rápida pois tenho que voltar para o treinamento.
Outra coisa: tem certeza q me adicionou? nunca recebi a notificação no MSN q vc tinha me adicionado
Abraço,
-
-
-