none
Доступ в интернет через сервер сетевых политик RRS feed

  • Вопрос

  • Добрый день!

    Windows Server 2012 - поднята роль Сервер сетевых политик. Имеет 2 сетевых интерфейса: 1 - локальная сеть (10.10.1.1.), 2 - интернет.

    Этот сервер указан шлюзом для компьютеров в локальной сети. Все в домене.

    Нужно предоставить доступ в интернет определенным пользователям.

    Так же желательно фильтровать сайты к которым имеется доступ.

    Сервер сетевых политик вижу впервые.

    26 марта 2013 г. 7:41

Ответы

  • 1) isa/tmg умеют аутентифицировать пользователей от прокси клиентов и клиентов tmg, чем выгодно отличается от многих прокси/файрволов.
    2) будет, но тогда про аутентификацию пользователей можно в принципе забыть, либо ставить клиента на машины, что не облегчает задачи. в голом виде tcp/ipv4 в принципе не поддерживает аутентификацию пользователей, так как в этом стеке протоколов такого понятия как пользователь не заложено. а в чем вообще проблема использования прокси? прокси штука удобная и полезная для браузеров.

    с политикой это чистый бред, никто не помешает пользователю самому настроить прокси в браузере. да и вообще зачем это нужно?
    делается все элементарно:
    - на tmg правилами нужным группам разрешается нужный интернет, можно хоть каждому пользователю определить свой список разрешенных или запрещенных сайтов
    - браузеры клиентов настраиваются на прокси, рекомендуется делать через автоопределение
    - левые приложения не умеющие работать или аутентифицироваться через прокси будут ходить через tmg клиента (если они поддерживают winsocks) или ходить анонимно (если юзают кривые протоколы, не входящие в tcp/udp). таких приложений в корпоративной среде обычно немного, наприме всякие кривые банк-клиенты, стоят они на ограниченном числе машин и обычно аутентифицировать их нет смысла.

    • Предложено в качестве ответа Elina Lebedeva 2 апреля 2013 г. 7:27
    • Помечено в качестве ответа Elina Lebedeva 17 апреля 2013 г. 9:36
    27 марта 2013 г. 14:24
    Отвечающий

Все ответы

  • а какое это имеет отношение к ISA/TMG? NPS это роль Windows Server и к этим продуктам отношения не имеет.

    про фильтрацию сайтов можно сразу забыть: NPS не файрвол и не прокси, это не его работа.

    26 марта 2013 г. 11:09
    Отвечающий
  • Хорошо. Давайте без NPS. Как мне решить данную задачу?

    Нужно чтобы пользователю не нужно было вписывать прокси, т.к. есть специализированное ПО не работающее через прокси.

    И желательно без впн соединений. Чтобы доступ имела группа пользователей АД

    26 марта 2013 г. 12:59
  • Скорее всего - никак. Доступ можно ограничить для всех компьютеров, кроме избранных (с помощью пакетных фильтров в RRAS), а вот использование для разграничения доступа авторизации через AD в таком раскладе не предумотрено.


    Слава России!

    26 марта 2013 г. 13:54
  • тему в любом случае переносить  другой раздел, так как этот про isa/tmg, а их поставить на windows 2012 нельзя.

    я бы рекомендовал грамотный firewall+proxy (спецпо не помеха, его можно и без проксирования пропустить), и порекомендовал бы TMG, но его уже не купить.

    26 марта 2013 г. 15:33
    Отвечающий
  • лицензии на tmg у нас есть. поставлю на 2008. проблем нет

    1) какие у tmg варианты фильтрации клиентов помимо ip и имен компьютеров?

    2) если tmg указать шлюзом для локальной сети, будет ли он выполнять свои функции? или обязательно прокси прописывать?

    мне в идеале нужно, чтобы на стороне клиента ничего настраивать не нужно было. ни прокси прописывать, ни ставить ничего типа isa-клиентов, ни статических ip адресов.

    я вижу такой вариант:

    сделать tmg прокси сервером. в AD создать групповую политику, в которой в настройках IE задать адрес прокси. и распространить эту политику на группу безопасности напр. "Пользователи интернет". плюс этого варианта в том, что предоставить доступ в интернет можно просто добавив пользователя AD в группу "Пользователи интернет". минус этого решения в том, что не все приложения работают через прокси.

    в добавок можно создать в tmg группу компьютеров и добавить туда имена компьютеров, которым я хочу предоставить интернет.

    но вот нужно, чтобы без прокси...


    27 марта 2013 г. 7:38
  • 1) isa/tmg умеют аутентифицировать пользователей от прокси клиентов и клиентов tmg, чем выгодно отличается от многих прокси/файрволов.
    2) будет, но тогда про аутентификацию пользователей можно в принципе забыть, либо ставить клиента на машины, что не облегчает задачи. в голом виде tcp/ipv4 в принципе не поддерживает аутентификацию пользователей, так как в этом стеке протоколов такого понятия как пользователь не заложено. а в чем вообще проблема использования прокси? прокси штука удобная и полезная для браузеров.

    с политикой это чистый бред, никто не помешает пользователю самому настроить прокси в браузере. да и вообще зачем это нужно?
    делается все элементарно:
    - на tmg правилами нужным группам разрешается нужный интернет, можно хоть каждому пользователю определить свой список разрешенных или запрещенных сайтов
    - браузеры клиентов настраиваются на прокси, рекомендуется делать через автоопределение
    - левые приложения не умеющие работать или аутентифицироваться через прокси будут ходить через tmg клиента (если они поддерживают winsocks) или ходить анонимно (если юзают кривые протоколы, не входящие в tcp/udp). таких приложений в корпоративной среде обычно немного, наприме всякие кривые банк-клиенты, стоят они на ограниченном числе машин и обычно аутентифицировать их нет смысла.

    • Предложено в качестве ответа Elina Lebedeva 2 апреля 2013 г. 7:27
    • Помечено в качестве ответа Elina Lebedeva 17 апреля 2013 г. 9:36
    27 марта 2013 г. 14:24
    Отвечающий