none
ISA Server 2006 SP1 и странности авторизации... RRS feed

  • Вопрос

  • Имеем сервер ISA Server 2006 SE Engl SP1, стоит на Windows 2003 Server SE Engl.
    На сервере также установлен простой ретранслятор SMTP (стороннее ПО). Сервер имеет два сетевых интерфейса.


    Первым в списке правил идет правило, разрешающее любой исходящий трафик (anywhere) для группы компьютеров доменных администраторов, авторизация - не All Users, а созданная Domain Admins (с одноименной группой из AD внутри). назовем его правилом (1).

    Далее в списке правил есть правило, разрешающее из внутренней сети SMTP протокол на LocalHost (т.е. на сервер под ISA где стоит SMTP ретранслятор). Авторизации нет - All Users. Назовем его правилом (2).

    На компьютерах администраторов стоят клиенты ISA Server.
    Для Internal сети авторизация выставлена как Integrated. В локальной сети присутствует домен.


    Наблюдаем следущее:
    Пока в правиле (1) стоит авторизация "
    Domain Admins" - с компьютеров администраторов SMTP ретранслятор не виден. С любых других при заходе с учетной административной записью (в Domain Admins) - виден.
    Если авторизацию по
    "Domain Admins" убрать - можно ходить на SMTP ретранслятор как угодно.

    В логах (если выставить логирование по конкретному Client IP административной машины) - ничего нету. В смысле по SMTP сессии - вообще пусто, есть только NetBios широковещалка да RPC консоли управления ИСО-ой.

    Может кто-либо прокомментировать ситуацию ?
    13 августа 2008 г. 11:57

Все ответы

  • А что комментировать? Трафик администраторов домена попадает на первое правило и все. Если вместо anywhere поставите External, то они попадут и на второе правило.

    13 августа 2008 г. 13:23
    Модератор
  • Дак а почему на сервер с ISA Server по SMTP не пускает то ? Чем аутентификация виновата ?
    Под той же учетной записью (в Domain Admins) и файловый доступ (на административные шары) и RDP - отрабатывают безукоризненно...
    13 августа 2008 г. 15:05
  • Если хотите чтобы пускало чтобы пускало - добавьте в первом правиле сеть назначения LocalHost.

    13 августа 2008 г. 15:59
  •  

    Можете воспользоваться функциональностью ISA Server "Имитатор трафика" для проверки ваших правил.
    14 августа 2008 г. 4:43
  •  Allan Stark написано:
    Дак а почему на сервер с ISA Server по SMTP не пускает то ? Чем аутентификация виновата ?
    Под той же учетной записью (в Domain Admins) и файловый доступ (на административные шары) и RDP - отрабатывают безукоризненно...

     

    Потому что они относятся к системной политике, правила которой отрабатываются до пользовательских правил.

    14 августа 2008 г. 11:24
    Модератор
  • Вам просто необходимо изучить статью Understanding the ISA 2004 Access Rule Processing. Информация также применима и к ISA Server 2006, так как логика обработки не изменилась.
    Потратив несколько часов сейчас, Вы исключите вопросы подобного рода в будущем. Советую блок-схему процесса обработки трафика отдельно распечатать и повесить на стеночку рядом с рабочим местом
    15 августа 2008 г. 7:39