none
ISA 2006 и доменные группы RRS feed

  • Вопрос

  • Такая проблема: В user set исы добавлена глобальная группа и доменная локальная группа.
    пользователей в доменной локальной группе иса не видит напрочь,
    пользователей в глобальной видит, но на изменения в группе никак не реагирует
    если только не сделать на сервере какое либо изменение и не нажать кнопку Apply.
    Что нужно сделать чтобы чтобы иса перестала тупить?
    13 августа 2007 г. 14:30

Все ответы

  • А что такое доменная локальная группа?

    14 августа 2007 г. 8:30
  • Domain Local Group, насколько я понимаю. Один из нескольких scopes в AD 2003.

     

    14 августа 2007 г. 8:37
    Модератор
  • да все верно. но как с моим вопросом? почему иса не реагирует на изменения в группах? очень неудобно каждый раз по рдп вносить изменения. и при создании нового пользователя весьма удобно его сразу добавить в нужные группы, и все.
    14 августа 2007 г. 11:16
  • Это, насколько я понимаю, by design. Почитайте тут: http://forums.isaserver.org/m_20857200/mpage_1/key_/tm.htm#20857213

    Там как раз есть workaround - создать на ISA локальную группу и в нее поместить domain local. Может сработать.

    14 августа 2007 г. 11:23
    Модератор
  • сделал так, потестирую скажу что вышло
    14 августа 2007 г. 11:51
  •  

    Безобразный вариант нарушает все что только возможно^ и назначение типов групп, и принципы безопасности, и идеологию ISA.
    17 августа 2007 г. 13:37
    Модератор
  • Я в курсе, но если человек не может позволить себе использование global group, то кто я такой, чтобы мешать ему делать глупости? =)

    17 августа 2007 г. 13:44
    Модератор
  •  

    А помахать полосатой палочкой модератора?

    17 августа 2007 г. 13:45
    Модератор
  • Помахал в одной теме - получил наезд. Так что пока больше нет настроения =)

    17 августа 2007 г. 13:53
    Модератор
  • я не совсем понял о чем этот ваш диалог, но вариант global group -> local group -> user set нифига не работает. как впрочем все возможные вариации global group -> user set и так далее... точнее работает только один раз. Далее при внесении изменений в группы иса нифига на это не реагирует. Немедленная реакция возможна только при добавлении пользователя в user set, но это КРАЙНЕ неудобно.
    и если этот вариант безобразен и нарушает идеологию isa, значит есть вариант прекрасный внешне и по сути своей целиком отвечающий идеологии isa и принципам безопасности.
    как все таки можно сделать так чтобы не лезть отдельно в остнастку isa  чтобы просто добавить/убрать/изменить доступ в инет для пользователя ???
    30 августа 2007 г. 11:23
  •  

    У меня в ISA 2004/2006 прописана обычная глобальная группа. (Аутентификация идет по Kerberos.) Изменения на ISA вступают в силу сразу. Есть только один момент: пользователь должен перелогиниться, чтобы обновить свой дескриптор безопасности.
    31 августа 2007 г. 5:06
    Модератор
  • Возможно у меня с isa не все в порядке, но вообще то я именно с этого варианта и начинал, когда в user set прописал глобальную группу. Это потом уже начал эксперементировать с доменными локальными и прочие извращения. Я попробовал перелогонивать юзера после внесения изменений, но воз и поныне там... Sad Только после нажатия кнопки Apply в оснастке isa изменения вступают в силу...  Где можно поискать грабли, в каких настройках?
    5 сентября 2007 г. 6:01
  •  

    Можно еще посмотреть какой вид аутентификации задан Kerberos или NTLM.
    5 сентября 2007 г. 6:59
    Модератор
  • Я нашел authentication method для внутренней сети. Включены галки Integrated и  Require all users to authenticate...
    5 сентября 2007 г. 8:02
  • У вас стандартная версия сервера ISA?

     

    Раз Integrated, то проведите диагностику Kerberos на ISA сервере. В логах нет сообщений по этому поводу?

    5 сентября 2007 г. 11:02
    Модератор
  • Да, версия стандарт.
    В Security логах часто встречаются вот такие вот записи...
    Но насколько я понимаю это имеет отношение microsoft firewall клиенту.

    Logon Failure:
         Reason:    The user has not been granted the requested
             logon type at this machine
         User Name:    COMPUTERNAME$
         Domain:        DOMAIN
         Logon Type:    3
         Logon Process:    Kerberos
         Authentication Package:    Kerberos
         Workstation Name:    -
         Caller User Name:    -
         Caller Domain:    -
         Caller Logon ID:    -
         Caller Process ID:    -
         Transited Services:    -
         Source Network Address:    -
         Source Port:    -
    И судя по логам некоторые юзеры логонятся с помощью NTLM другие, Kerberos

    7 сентября 2007 г. 7:09
  • Возможно есть проблемы с доступом к AD из ISA. Можно проверить мониторингом. Соответственно поправить системную политику.

    14 сентября 2007 г. 2:25
    Модератор
  • Не побоюсь показаться назойливым Smile
    Какую именно системную политику нужно смотреть и что именно  нужно искать в логах.

    З.Ы.
    На контроллере домена периодически появляется сообщение, что  Иса сервер объявил себя мастер-браузером.
    Может быть это связано с моей проблемой?
    17 сентября 2007 г. 13:26
  • Надо смотреть политики доступа к AD.

    В мониторинге аналогично: LDAP, Kerberos и т.п. или проще поставить фильтр на ip-адреса DC и посмотреть какой трафик режеться.

    21 сентября 2007 г. 5:14
    Модератор