none
ISA Server 2006 SP1 и странности авторизации... RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти
    Имеем сервер ISA Server 2006 SE Engl SP1, стоит на Windows 2003 Server SE Engl.
    На сервере также установлен простой ретранслятор SMTP (стороннее ПО). Сервер имеет два сетевых интерфейса.


    Первым в списке правил идет правило, разрешающее любой исходящий трафик (anywhere) для группы компьютеров доменных администраторов, авторизация - не All Users, а созданная Domain Admins (с одноименной группой из AD внутри). назовем его правилом (1).

    Далее в списке правил есть правило, разрешающее из внутренней сети SMTP протокол на LocalHost (т.е. на сервер под ISA где стоит SMTP ретранслятор). Авторизации нет - All Users. Назовем его правилом (2).

    На компьютерах администраторов стоят клиенты ISA Server.
    Для Internal сети авторизация выставлена как Integrated. В локальной сети присутствует домен.


    Наблюдаем следущее:
    Пока в правиле (1) стоит авторизация "    Domain Admins" - с компьютеров администраторов SMTP ретранслятор не виден. С любых других при заходе с учетной административной записью (в Domain Admins) - виден.
    Если авторизацию по     "Domain Admins" убрать - можно ходить на SMTP ретранслятор как угодно.

    В логах (если выставить логирование по конкретному Client IP административной машины) - ничего нету. В смысле по SMTP сессии - вообще пусто, есть только NetBios широковещалка да RPC консоли управления ИСО-ой.

    Может кто-либо прокомментировать ситуацию ?
    13 августа 2008 г. 11:57
    |

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти

    А что комментировать? Трафик администраторов домена попадает на первое правило и все. Если вместо anywhere поставите External, то они попадут и на второе правило.

    13 августа 2008 г. 13:23
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Дак а почему на сервер с ISA Server по SMTP не пускает то ? Чем аутентификация виновата ?
    Под той же учетной записью (в Domain Admins) и файловый доступ (на административные шары) и RDP - отрабатывают безукоризненно...
    13 августа 2008 г. 15:05
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Если хотите чтобы пускало чтобы пускало - добавьте в первом правиле сеть назначения LocalHost.

    13 августа 2008 г. 15:59
    |
  • Question
    Нужно войти
    0
    Нужно войти

     

    Можете воспользоваться функциональностью ISA Server "Имитатор трафика" для проверки ваших правил.
    14 августа 2008 г. 4:43
    |
  • Question
    Нужно войти
    0
    Нужно войти

     Allan Stark написано:
    Дак а почему на сервер с ISA Server по SMTP не пускает то ? Чем аутентификация виновата ?
    Под той же учетной записью (в Domain Admins) и файловый доступ (на административные шары) и RDP - отрабатывают безукоризненно...

     

    Потому что они относятся к системной политике, правила которой отрабатываются до пользовательских правил.

    14 августа 2008 г. 11:24
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Вам просто необходимо изучить статью Understanding the ISA 2004 Access Rule Processing. Информация также применима и к ISA Server 2006, так как логика обработки не изменилась.
    Потратив несколько часов сейчас, Вы исключите вопросы подобного рода в будущем. Советую блок-схему процесса обработки трафика отдельно распечатать и повесить на стеночку рядом с рабочим местом
    15 августа 2008 г. 7:39
    |