locked
利用ISA 2004 and AD控管上網的問題... RRS feed

  • 問題

  • 如題, 請問各位先進, 目前我司的架構如下:

    AD Server (也是DHCP, DNS Server) --- 192.168.0.1
    Domain Name --- sansa.com
    ISA 2004 Server (單網卡) --- 192.168.0.10

    因公司要求只有網域內的user才可以上網 (加入網域的user), 非網域內的user不可上網 (未加入網域的user, 如: 若有人帶自己的NB來, 未加入網域, 則無法上網).

    目前ISA Firewall Policy設定: Allow Internal (192.168.0.1~192.168.0.254) access External (only http, https), Condition為Domain User. 另外AD群組原則也有設定proxy (加入網域的使用者登入後會去找isa server). 但若是未加入網域的電腦來到公司後, 插入網路線一樣可以上網 (因為未登入到網域, 無法套用群組原則, 也沒有要經由ISA才能上網相關的訊息), 想請問各位先進有無解決的方法? 如: 在DHCP內發布proxy的訊息?

    請各位先進幫幫忙!

    2008年12月1日 上午 07:56

所有回覆

  • 單網卡做上網控管,就要先從Firewall上把所有能出去的通路都封鎖掉(只留isa能出去)
    然後你的External設定要確定是可以出去的
    那樣設定policy才有用
    2008年12月9日 上午 04:51
  •  Cftzeng 寫信:
    單網卡做上網控管,就要先從Firewall上把所有能出去的通路都封鎖掉(只留isa能出去)
    然後你的External設定要確定是可以出去的
    那樣設定policy才有用

     

    感謝您的回覆! 想請問是否可在dhcp server發佈proxy的位置? 也就是說, 當用戶端抓到ip時要去找isa server, 必須經由isa server才可以上網. 我有試過dhcp server不發佈gateway的位置, 但是這樣用outlook express收信會有問題. 還請各位幫忙了!

    2008年12月17日 上午 02:13
  • 單網卡做不到
    我寫了一篇文章關於如何利用ISA讓登入AD的使用者才能上網的方法
    http://itgroup.blueshop.com.tw/ufgeorge/isa?n=convew&i=22163
    MAGG Co., Ltd. 小顧
    2010年2月17日 下午 03:14
  • 网卡不是很贵,建议最好增加一个

    通过用户设置,有时增加布署的难度,而且增加用户的不便

    可以配合 思科的 DHCP /IP SNOOPING / ARP 监测

    用户特定的IP, 用IP规划就可以

    可以把用户做为一个补充

    个人建议

    2010年3月19日 上午 06:42