none
Erro 12209 The ISA Server requires authorization to fulfill the request. RRS feed

  • Pergunta

  • Prezados amigos bom dia,

    Estou com um problema no meu ISA SERVER 2006, que funciona apenas como proxy, que apresenta o seguinte erro: 12209 The ISA Server requires authorization to fulfill the request. Fiz o monitoramento desse IP cliente e o problema ocorre quando o cliente da rede interna tenta acessar o site do banco Itau TRADE e é apresentado esse erro supracitado negando SSL 443. Mas gostaria de informar que tenho apenas uma regra onde libero todo o trafego de any para any, pois meu controle de sites é feito pelo add-on do WEBSENSE.

    Atenciosamente,

     

    André Vieira


    André Vieira Tecnólogo em Redes de Computadores Pós-graduando em Segurança de Redes de computadores MCSA/MCTS
    quarta-feira, 28 de abril de 2010 10:59

Respostas

  • David,

    Todos os clientes utilizam apenas webproxy pois todo controle de firewall é feio pelo Cisco ASA. Pelo que entendi então se eu usar all users eu teria que usar SecureNAT? E só funcionará Webproxy se eu apontar minha regra para um grpo do AD?

     


    André Vieira Tecnólogo em Redes de Computadores Pós-graduando em Segurança de Redes de computadores MCSA/MCTS


     Pelo que entendi então se eu usar all users eu teria que usar SecureNAT?

    Sim. Se liberar para all users o gateway dos clietnes devem apontar para o ISA

    E só funcionará Webproxy se eu apontar minha regra para um grpo do AD?

    Vc criar grupo no ISA e exportas usuarios do AD

    E vc pode trabalhar criando usuario local no ISA, que nao muito legal!

     Proxy necessita autenticação!!!

    Veja: http://daviddellacenta.spaces.live.com/blog/cns!83BE4515A1B1378B!242.entry

    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=099


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com

    • Marcado como Resposta Baian0 quinta-feira, 18 de novembro de 2010 19:53
    quarta-feira, 28 de abril de 2010 14:19

Todas as Respostas

  • Como esta essa sua regra???
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 28 de abril de 2010 11:49
  • Regra 1  Name: Acesso Geral  Action: Allow Prtocols: All Outbound From/Listener: Anywhere Condition: All users

    Regra 2 Regra Padrão Drop.

    Log do Cliente:

    0.0.0.0 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; InfoPath.2) No Proxy SPWISA04  bankline.itau.com.br TCP   - -  - Req ID: 09bfdec2; Compression: client=No, server=No, compress rate=0% decompress rate=0% - - - 4/27/2010 8:17:39 PM 0 1  12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.  0x0 0x0 Web Proxy Filter  1114 276 4/27/2010 5:17:39 PM 10.11.1.3 443 SSL-tunnel Denied Connection  10.11.2.14 anonymous Internal  CONNECT 

     


    André Vieira Tecnólogo em Redes de Computadores Pós-graduando em Segurança de Redes de computadores MCSA/MCTS
    quarta-feira, 28 de abril de 2010 12:30
  • Se vc esta trablhandio com proxy mude sua regra:

    Regra 1  Name: Acesso Geral  Action: Allow Prtocols: All Outbound From/Listener: Internal To:External Condition: Grupo de Usuarios


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 28 de abril de 2010 12:57
  • David,  tenho 25 servidores ISA no mesmos funcionam normalmente. Acho que não seria problemas com a regra!


    André Vieira Tecnólogo em Redes de Computadores Pós-graduando em Segurança de Redes de computadores MCSA/MCTS
    quarta-feira, 28 de abril de 2010 13:07
  • Andre,

    Quando se trabalha com proxy nao pode ser para all users!!!!!!

     

    Vc usa FC nas maquinas, nao neh???

    E pelo log:

    The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.  0x0 0x0 Web Proxy Filter  1114 276 4/27/2010 5:17:39 PM 10.11.1.3 443 SSL-tunnel Denied Connection  10.11.2.14 anonymous Internal  CONNECT 

    Eles estao saindo como anonymous!!


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 28 de abril de 2010 13:27
  • David,

    Não uso o FC uso securenat e webproxy.

    Será que se eu trocar todos usuários por todos os usuários autenticados resolveria o problema?

    Esse problema acontece quando tento acessar o site https://itautrade.itau.com.br e o mesmo faz o primeiro login como anonymous.

     


    André Vieira Tecnólogo em Redes de Computadores Pós-graduando em Segurança de Redes de computadores MCSA/MCTS
    quarta-feira, 28 de abril de 2010 13:56
  • O gateway dos clientes estao apontadno para onde?? para  o ISA??

    Se vc for trabalhar com proxy no ISA tera que criar um grupo!!! Se vc trabalha com AD crie um grupo no AD e utilize no ISA.

    Vc liberando a regra para all users estara usando SecureNat e  o gateway dos clientes devem apontar para  o ISA!!!

     

     

     


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 28 de abril de 2010 14:03
  • David,

    Todos os clientes utilizam apenas webproxy pois todo controle de firewall é feio pelo Cisco ASA. Pelo que entendi então se eu usar all users eu teria que usar SecureNAT? E só funcionará Webproxy se eu apontar minha regra para um grpo do AD?

     


    André Vieira Tecnólogo em Redes de Computadores Pós-graduando em Segurança de Redes de computadores MCSA/MCTS
    quarta-feira, 28 de abril de 2010 14:13
  • David,

    Todos os clientes utilizam apenas webproxy pois todo controle de firewall é feio pelo Cisco ASA. Pelo que entendi então se eu usar all users eu teria que usar SecureNAT? E só funcionará Webproxy se eu apontar minha regra para um grpo do AD?

     


    André Vieira Tecnólogo em Redes de Computadores Pós-graduando em Segurança de Redes de computadores MCSA/MCTS


     Pelo que entendi então se eu usar all users eu teria que usar SecureNAT?

    Sim. Se liberar para all users o gateway dos clietnes devem apontar para o ISA

    E só funcionará Webproxy se eu apontar minha regra para um grpo do AD?

    Vc criar grupo no ISA e exportas usuarios do AD

    E vc pode trabalhar criando usuario local no ISA, que nao muito legal!

     Proxy necessita autenticação!!!

    Veja: http://daviddellacenta.spaces.live.com/blog/cns!83BE4515A1B1378B!242.entry

    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=099


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com

    • Marcado como Resposta Baian0 quinta-feira, 18 de novembro de 2010 19:53
    quarta-feira, 28 de abril de 2010 14:19