none
Users RRS feed

  • Pergunta

  • Companheiros,
      estou instalando um ISA2006(3leg) do zero, mas estou encontrando um problema. Mesmo com a autenticação integrada habilitada nas configurações de network, toda regra de Allow que eu crio, tem que ser configurada para AllUsers, caso contrário não deixa trafegar. Minha intenção é trabalhar com os grupos do AD.
      Não estou utilizado o ISA Client , apenas a configuração de gateway diretamente na interface de rede e nos browsers das estações.

      Alguma dica?
    quarta-feira, 1 de julho de 2009 16:21

Respostas

Todas as Respostas

  • Henrique,

    Quando vc poe usuarios autenticados ou qualquer outro grupo diferente de ALL USERS , vc necessita ter configurado o proxy nos navegadores clientes apontando para o IP do ISA e porta no caso default 8080. O IP nos clientes, esta correto?

    Vc esta com essa configuração?

    No aguardo
    Abraços

    Luiz Fernando Dias - MVP
    quarta-feira, 1 de julho de 2009 16:24
    Moderador
  • Olá Luiz, sim, a configuração esta exatamente assim.
    No browser o IP+porta do ISA e nas configurações TCP/IP o ip do ISA como default gateway.  Não sei mais o que checar.
    Não gostaria de usar o client porque minha rede passa de 200 estações, com previsão de crescimento de 35% para o próximo ano.
    Se tiver alguma idéia, ficarei muito grato!
    quarta-feira, 1 de julho de 2009 16:42
  • Vc esta usando autenticação basic e integrated.

    A maquina q vc esta testando está no dominio?

    de uma olhada direitinho na sua regra. Como vc está fazendo teste em uma maquina instala o firewall client somente nesta e ve se funciona liberando usuarios autenticados. tente amenizar os problemas.


    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    quarta-feira, 1 de julho de 2009 16:52
  • Estou usando apenas integrated, e sim, a maquina onde estou fazendo os testes está no domínio.
    Instalando o client, QUASE tudo funciona sem que a regra precise estar para all users. Uma regra liberando os serviços de email, por exemplo, não funciona, dá um deny no POP3.

    quarta-feira, 1 de julho de 2009 17:25
  • Vamos fazer um teste.

    deve haver algum conflito de regras.

    Vá na opção monitoring, depois em log..
    configure uma query para o IP da maquina q vc esta testando.
    Depois vc tente o acesso e veja oque será logado no ISA...veja em qual regra o acesso esta sendo barrado..

    No aguardo.

    abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 1 de julho de 2009 17:35
    Moderador
  • Como luiz disse verifique as posições da suas rules aí....
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    quarta-feira, 1 de julho de 2009 17:38
  • Bom Henrique.
    Vamos revisar as configurações do seu ISA pra saber o que está acontecendo de errado.

    Host ISA

    Placa de rede Interna

    IP
    MASC
    Gateway
    DNS

    Placa de Rede Externa
    IP
    MASC
    Gateway
    DNS

    Placa de rede DMZ
    IP
    MASC
    Gateway
    DNS

    Como esta conguradado o Range da sua rede nas propriedade de objeto network Internal?

    Como esta as regras no ISA??

    Os clientes estão configurados de qual forma? "ordem das regras e quais regras"

    Responde ae pra gente




    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 2 de julho de 2009 04:11
  • Senhores,
      com o FW Client instalado a regra de allow para pop3 e smtp, configurada para authenticated users, não funciona.  Todas as outras, como http, ftp, etc, todas funcionaram beleza.
      Ja testei vários posicionamentos dessa regra dentro da lista de regras e nada, sempre o mesmo erro:

    > Denied Connection PXY2 7/2/2009 8:13:15 AM
    Log type: Firewall service
    Status: 
    Rule: Allow Mail Services
    Source: Internal (10.0.1.1:1401)
    Destination: External (mail.meudominio.com.br  200.x.x.x:110)
    Protocol: POP3
    User: 

    Additional information
    Number of bytes sent: 0 Number of bytes received: 0
    Processing time: 0 ms Original Client IP: 10.0.1.1
    Client agent: 

    quinta-feira, 2 de julho de 2009 11:42
  • Chegou a colocar ela no topo, na primeira posição... Se for questapo de regra ela estando em primeiro tem que funcionar!!!!


    Verifique se as portas de POP e SMTP do seu provedor são a padrão mesmo.

    As maquinas estão com Gateway apontando para o isa?

    Como que está essa sua regra?
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    quinta-feira, 2 de julho de 2009 11:48
  • Sim , ja testei com ela na posição 1.
    As portas do servidor de email são as padrões(110 e 25).
    Sim, a maquina esta com gateway apontado para o ISA.
    A regra é um allow para NNTP, SMTP e POP3, da rede interna para externa.
    quinta-feira, 2 de julho de 2009 12:27
  • Amigo,

    Vc precisa configurar o firewall client para isso, veja:

    http://www.isaserver.org/articles/2004olpop3smtp.html

    No aguardo.

    Abraços
    Luiz Fernando Dias - MVP
    quinta-feira, 2 de julho de 2009 12:49
    Moderador
  • Alguma novidade?
    Luiz Fernando Dias - MVP
    sábado, 4 de julho de 2009 00:18
    Moderador
  • Boa tarde Luiz. Desculpe a demora no retorno.
    Fiz vários testes, com N configurações diferentes, o problema com o Outlook ja esta OK, após ter sido ajustada a configuração conforme matéria do 'isaserver.org'. VALEU a dica!!! 

    Mas estou ainda numa dúvida cruel. Eu preciso utilizar regras baseadas em grupos do AD(autenticando) e quero poder monitorar os logs do ISA tendo o nome do usuário que fez o respectivo acesso. Assim sendo, qual o melhor método de acesso? FirewallClient ou WebProxy + SecureNAT ?
    (se for preciso abrir outro tópico, favor informar).
    terça-feira, 7 de julho de 2009 19:05
  • WebProxy autentica somente usuario cujo solicitação são para  HTTP e HTTPS e FTP over HTTP (FTP por Browser).

    SecureNAT nunca autentica nada...


    Firewall Client autentica qualquer solicitação. 






    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 7 de julho de 2009 22:50
  • não se esqueça de marcar como resposta os post que foram uteis.
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 7 de julho de 2009 22:50
  • O ideal é vc utilizar o WEB proxy como o Felipe Falou...
    todos os usuarios deverao ter as configuraçoes de proxys em seus navegadores, pois somente assim o acesso poderá ser auditado.

    As regras que vc for criar vc deverá na guia de usuários deixar grupos do seu AD diferentes de ALL USERS ok?
    Caso contrario vc estará utilizando SECUE NAT....


    é isso ai...

    Abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 8 de julho de 2009 01:51
    Moderador