none
12209 O ISA Server exige autorização para preencher a solicitação - Acesso ao filtro de proxy web negado RRS feed

  • Pergunta

  • Bom dia! Alguem pode me ajudar?

    O nosso ISA 2006 estava funcionando corretamente ate a semana passada.

    Agora tem ocorrido bloqueios de paginas (htomail/yahoo/terra) para o grupo TI.

    Ele esta configurado com as regras nesta ordem:

    1- Bloqueio de sites de email

    2- Sites proibidos

    3- Proibição de downloads

    4-Grupo TI - Libera todos protocolos

    5-Grupo supervisor - Libera os protocolos HTTP/IMAP4 exeto os sites das regras 1, 2 e 3

    99- Regra padrão

     

    No log aparece:

    1-Cliente de Firewall da Microsoft - satatus da conexão

    2- http - Conexão negada - Regra bloqueio sites de email - anonymous - 12209 O ISA Server exige autorização para preencher a solicitação - Acesso ao filtro de proxy web negado

    3- SSL-Tunnel - Conexão permitida - Regra Libera HTTPS - usuario do grupo TI

    4- http - Falha na tentativa de Conexão- Regra bloqueio sites de email - anonymous

    5- http - Conexão negada - Regra Grupo Supervisor - usuario do grupo TI - 12217 A solicitação foi rejeitada pelo filtro HTTP.

     

    O grupo TI tem que ter acesso total.

     

    Grato

     

    Paulino

    quarta-feira, 5 de novembro de 2008 11:55

Respostas

Todas as Respostas

  • Olá Paulino,

     

    Se o grupo de TI tem tudo liberado, por que você não coloca a regra antes das outras?

     

    Até mais!

    quarta-feira, 5 de novembro de 2008 12:04
  • Assim como o amigo de cima disse, se um grupo ou regra possui acesso total, ele deve ficar antes de todas as regras, para evitar que outras regras influenciem no acesso.

    Por exemplo :

    Na regra 01 voce diz que o todos os usuarios precisam logar no proxy para navegar
    Na regra 02 voce diz que o usuário teste não precisa logar para navegar , ou seja, passa anonymous.

    Quando o usuario teste tentar navegar, a primeira regra que o ISA encontra que serve para ele é a 01, ele implementa a regra 01 como regra de navegação, mesmo sendo o usuário teste.

    Isso acontece porque o ISA para de checar as regras assim que encontra uma que serve como bloqueio ou acesso, até chegar na última regra , que por padrão bloqueia tudo.

    Abraços.
    quarta-feira, 5 de novembro de 2008 12:45
  • Obrigado Vinicius pela dica!

     

     

    Fiz a sua sugestão e testei, mas o erro continua.

    Coloquei a regra do Grupo TI antes de todas a regras de bloqueio.

    Eu acho que o problema esta no úsuario anonymous.

    Por algum motivo o ISA não está conseguindo validar o usuario PAULINO (Grupo TI).

     

    Primeiro ele nega a conexão para o usuario anonymous, depois falha na tentativa de conexão tb para o usuario anonymous.

     

     

     

     

    quarta-feira, 5 de novembro de 2008 12:53
  • Olá Paulino,

     

    É normal ele bloquear primeiro o Anonymous. Mas deveria aceitar depois o seu usuário..

    Detalhe melhor como está essa regra de liberação para o pessoal de TI.

     

    Até mais!

    quarta-feira, 5 de novembro de 2008 12:59
  • Cara ,

    Nas suas regras de bloqueio em todas elas coloque como excessão o grupo de TI que terá permissão full.

    Sobre o anonymous, segue o motivo:
    http://technet.microsoft.com/en-us/library/bb984870.aspx

    O primeiro pacote (client-->isa) sempre vai anonymous, por esse motivo o Isa solicita autenticação posterior..

    Espero ter ajudado

    No aguardo

    abraços
    quarta-feira, 5 de novembro de 2008 14:05
    Moderador
  • A regra é:

    Ação -> Permitir

    Protocolo -> Todo trafego de Saida

    De -> Interno/Host Local

    Para -> Externo/Todas as Redes (e Host Local)

    Condição -> Grupo TI

    Conteudo -> Todo tipo de Conteudo

     

    Obs.: Como o Hotmail era urgente eu inclui ele na lista de sites permitidos para downloads e funcionou, esta opção é ruim uma vez que o grupo TI tem acesso total. Se eu não achar outra solução vou ter que incluir todos sites bloqueados.

     

    Grato

     

    quarta-feira, 5 de novembro de 2008 16:59
  • Olá Paulino,

     

    Essa regra que você colocou é 1ª da lista? Cara, com essa regra, tem que funcionar tudo para o pessoal de TI. Tente colocar no "De", um Computer Set das máquinas do pessoal de TI, veja se funciona.

     

    Até mais!

    quarta-feira, 5 de novembro de 2008 17:06
  • LP,

    volta as suas regras como estavam antes e coloque as excessoes nas mesmas, vai funcionar.

    no aguardo

    abraços
    quarta-feira, 5 de novembro de 2008 17:06
    Moderador
  • Cara, não funcionou.

     

     A regra abaixo, Sites liberados para Downloads:

    Ação -> Permitir

    Protocolo -> HTTP e HTTPS

    De -> Interno

    Para -> Sites HTTPS e Sites Liberados para Donwloads

    Condição -> Grupo TI e Usuario permitidos para Downloads

    Conteudo -> Todo tipo de Conteudo

     

    Esta regra está uma 20 posição abaixo da Regra do TI. Se eu incluir a URL bloqueada na URL Set "Sites liberado para Downloads", funciona.

     

    Obrigado pela ajuda, mas por enquanto vou aplicar esta regra até descubrir uma solução.

     

    Abraços

    quarta-feira, 5 de novembro de 2008 17:55
  • Se ele esta chegando na 20 posição é pq esta passando pelas outras regras sem valida-las...
    Vc ja monitorou e viu onde que o acesso para?
    quarta-feira, 5 de novembro de 2008 18:10
    Moderador
  • Já a regra é: "HTTP - Supervisores"

    Ação -> Permitir

    Protocolo -> HTTP, IMAP4 e SuperBroker

    De -> Interno

    Para -> Externo/Todas as Redes (e Host Local)

    Exceto -> Sites proibidos

    Condição -> Grupo Supervisores

    Conteudo -> Todos os tipos de conteudos

     

    Tb já fiz o teste, se eu desabilitar a regra é bloqueado na regra padrão.

     

     

    quarta-feira, 5 de novembro de 2008 19:31
  • COm essa regra ai ele passa? é ela que esta autorizando o trafego?
    quarta-feira, 5 de novembro de 2008 19:34
    Moderador
  • Dr. assim funciona.

    Eu estava olhando os eventos do Windows e tem aparecido esta mensagem.

     

    "Falha do filtro de Proxy da Web ao ligar seu soquete à porta 80 de 127.0.0.1. Isso pode ter sido causado por outro serviço que já está usando a mesma porta ou por um adaptador de rede que não é funcional. Para resolver essa questão, reinicie o serviço de Firewall da Microsoft. O código de erro especificado na área de dados das propriedades do evento indica a causa da falha."

    Cod. erro: 14148

     

    O que voce acha?

     

     

    quinta-feira, 6 de novembro de 2008 12:10
  • LP,

    De uma olhada nas configurações que estão na guia WEB PROXY.

    Va no meu esquerdo em configuraçoes, depois em rede, depois peça par aver as propriedades da rede interna, vá até a guia webproxy....verifique qual a porta que esta configurada ai....deve ser por padrao a 8080.

    Os seus clients tb devem apontar para esta mesma porta..


    No aguardo

    abraços
    quinta-feira, 6 de novembro de 2008 14:06
    Moderador
  • Olá Paulino,

     

    Este erro que você mencionou pode ser causado devido a você ter outro serviço (como o IIS) instalado na mesma máquina do ISA. Veja no artigo abaixo como resolver:

    http://support.microsoft.com/kb/888650/en-us

     

    Abraço,

     

     

    quinta-feira, 6 de novembro de 2008 15:05
  • Fala Yuri,

    tudo bem por ai ?Nao entra nunca no MSN po..

    voltando ao topico, justamente por isso que pedi pra ele conferir la no webproxy.

    Aparece po.

    Forte Abraço
    quinta-feira, 6 de novembro de 2008 15:13
    Moderador
  • Fala grande, rapaz to viajando (agora em Seattle) então a diferença de fuso é de 5 horas, to aqui de passagem rápida pois tenho que voltar para o treinamento.

     

    Outra coisa: tem certeza q me adicionou? nunca recebi a notificação no MSN q vc tinha me adicionado

     

    Abraço,

     

    quinta-feira, 6 de novembro de 2008 15:30
  • Gente chique é outra coisa né? viajando e viajando...ja os peoes...rssss

    Adicionei sim, em todo caso vou te mandar um e-mail com o meu MSN ai vc me adiciona tb...

    Abraços se cuida
    quinta-feira, 6 de novembro de 2008 15:32
    Moderador
  • Luiz Fernando,

     

    O Web Proxy esta configurado para a porta 3128

     

    Grato

     

    quinta-feira, 6 de novembro de 2008 15:37
  • Então vc tem algum site no IIS dessa maquina que responde na porta 80 (padrao)...

    certo?
    quinta-feira, 6 de novembro de 2008 17:15
    Moderador