Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Ce marca si model de DVD-RW sa cu...

Achizitie camera video auto (II)

Baza de date cu imagini pe bani

Robotul martian european, revigor...
 Geoana: „Sistemul de vot es...

Imprimare mai multe pagini intr-o...

trebuie sa depun declaratie unica...

Ruse vs Rusesti
 Le mai putem da pe brazda? tipsuri

Recomandari gips carton tavane. (...

ce fel de activitate intretinere ...

Se poate imbunatati o poza sa se ...
 Folosește cineva syncthing? ...

Închidere fereastra dupa deschidere.

Kit AC contine brate Unitatea ext...

Smart Switch fara neutru
 

ISA Server....again

- - - - -
  • Please log in to reply
40 replies to this topic

#19
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,397
  • Înscris: 29.11.2001
huh .... mai bine pui clienti curati pana sa iti dai seama ca trebe reinstall la DC ;)

#20
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

Quote

Originally posted by DeathRipple
browser-ul cerea autentificare...


Quote

Originally posted by DeathRipple
nu am bifata nici optiunea "Ask unauthenticated users for identification" la Outgoing web requests


ce intelegi prin chestia cu browser-ul cerea autentificare ? prompt din browser de user si parola? sau altceva....

in principiu situatia ar trebui sa fie ceva de genu' asta:

- ai bifa pusa la "Ask unauthenticated users for identification" la Outgoing Web Requests
- ai selectat "Digest authentication" pe listener
- ai proxy server trecut in IE catre ISA
- clientul tau incearca sa acceseze site-ul, logon pe kerberos pica din motive obscure, se face switch pe autentificare pe NTLM, e intrebat de credentials, baga user si parola si merge ....

btw: debugging-ul pe event-uri de Kerberos a mers?

#21
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
nu am facut debugging ieri ca nu am avut timp. azi insa o sa fac....cat de curand.

deci: browser-ul cere username si pass si domeniu, da' poti sa i le dai mult si bine ca tot nu-i convine. o sa fac acum setarile pt NTLM si sa vad daca merge asa....insa e o solutie care sincer nu-mi convine :)

#22
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
Tyby: nu merge cu nici un client nou....nu vrea si pace :)

#23
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
:confused:  cam ciudat daca nu iti merge nici cu un client nou ... in cazul asta nu inteleg prin ce difera calculatoarele pe care merge !?

#24
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
mesajele de la kerberos pe local:

Event Type: Error
Event Source: Kerberos
Event Category: None
Event ID: 4
Date: 5/20/2004
Time: 10:11:45 AM
User: N/A
Computer: SPECTRUM
Description:
The function InitializeSecurityContext received a Kerberos Error Message:
         on logon session
Client Time:
Server Time: 7:8:38.0000 5/20/2004 (null)
Error Code: 0x12 KDC_ERR_CLIENT_REVOKED
Client Realm:
Client Name:
Server Realm: WORLDNET
Server Name: krbtgt/WORLDNET
Target Name: host/spectrum.worldnet@WORLDNET
Error Text:
File:
Line:
Error Data is in record data.



Event Type: Error
Event Source: Kerberos
Event Category: None
Event ID: 4
Date: 5/20/2004
Time: 10:11:47 AM
User: N/A
Computer: SPECTRUM
Description:
The function LogonUser received a Kerberos Error Message:
         on logon session WORLDNETspectrum$
Client Time:
Server Time: 7:8:40.0000 5/20/2004 (null)
Error Code: 0x12 KDC_ERR_CLIENT_REVOKED
Client Realm:
Client Name:
Server Realm: WORLDNET
Server Name: krbtgt/WORLDNET
Target Name: krbtgt/WORLDNET@WORLDNET
Error Text:
File:
Line:
Error Data is in record data.
Data:
0000: 30 15 a1 03 02 01 03 a2   0.¡....¢
0008: 0e 04 0c 72 00 00 c0 00   ...r..À.
0010: 00 00 00 01 00 00 00      .......


nici eu nu inteleg de ce nu merge cu un client nou

am pus bifele necesare al Outgoing web requests - cu acelasi rezultat.
acum am vazut insa in logurile de security de pe masina ISA/DC ca user-ul este autentificat cu succes (event 538)

#25
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
nici eu nu inteleg si e posibil ca deja sa fi inclus TOATE adresele de IP la exceptii....desi am numarat si mai sunt calculatoare care se autentifica. sau probabil nu au fost deschise. sugestii? DC down?

#26
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
uita-te pe ISA dupa event 540 .. Care este Logon Process si Authentication Package ?

#27
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
Logon Process: NtLmSsp
Authentication Package: NTLM

asta pt cazu' in care aveam bifele de mai sus....altfel e Kerberos peste tot

#28
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
Atunci nu cred ca autentificarea este o problema in cazul asta (pentru ca nu merge nici atunci cand folosesti NTLM).... caz in care revin la rules & protocols ... Ai incercat pe un calc fara client de firewall, numai cu browser-ul setat pe proxy ?

#29
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
wow....that's a new one....am scos clientu' de pe unu', i-am lasat ip-ul in regula respectiva, si merge! :) i-am scos ip-ul de la ISA, revine la aceeasi autentificare pe baza de username, passwd si domeniu..

#30
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
we're getting somewhere ;) ...

OK, ideea este ca tu ai trecut acum calculatorul respectiv de pe Firewall client pe WebProxy client. Doua chestii ar fi interesant de verificat:

1. Pentru clientii cu firewall client activ: aplicatiile care merg pe alte porturi functioneaza? numai pe HTTP au probleme?
2. Daca iti configurezi HTTP Redirector filter sa trimita request-uri de la Firewall si SecureNat catre serviciul de WebProxy local, iti merge si de pe un client cu firewall client?

P.S. Ptr. browsing nu ai nevoie de firewall client ... clientii tai sunt web proxy clients atat vreme cat e setat in browser ...

#31
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
sunt un bou si nu mi-e rusine s-o spun.....una dintre reguli avea setarile EXACT invers. acum nu stiu daca a fost facuta de mine sau de altcineva, dar avea setat sa functioneze pt toti userii din domeniu care se autentificau, pe toate porturile mai putin cele bifate. evident ca oricine se autentifica nu-l lasa sa intre pe http, https, smtp etc :) si trecea la urmatoarea regula, pe baza IP-urilor. imi fac mea culpa ca v-am supus la un chin inutil din pct vostru de vedere. eu am invatat destule cu ocazia asta si chiar nu-mi pare rau.

ideea e ca nu prea am avut eu timp sa stau ieri, fiind prins cu alte treburi, altfel probabil acum discutam despre vara de vine :) danke mult de tot si o sa imi permit sa mai apelez aici, ca tare mult mi-au placut raspunsurile

p.s: venind de pe linux, ma enerveaza inca mult sistemul click dreapta -> properties, check button, radio button :)

#32
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
:D okie, nu prinde rau un exercitiu de genu' asta din cand in cand ... ne mai amintim cu totzii ... bine ca nu ai ajuns la kestii mai grele, reinstall, etc. :)

anyway, ca shi idee: cred ca e mai ushor sa foloseshti clientul de firewall numai pentru aplicatii, iar pentru browsing sa ii faci clienti de WebProxy .. la mine, cel putin, aplic regula asta cu succes

bafta ! :oK:

#33
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
aham.....s-a notat. ce am eu aici este o "mostenire" si deci nu-mi apartine. chiar nu am avut timp sa o iau la puricat, insa se pare ca in perioada urmatoare o sa am timp de asa ceva. SPER sa am timp. un pic am stat sapt trecute pe checkpoint si am gasit ceva redundanta pe acolo, asa ca ma astept sa pot imbunatati in continuare "scurgerea" in si din internet. multa bafta si danke inca o data :D

#34
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,397
  • Înscris: 29.11.2001
brava ... las, ca asa mai invatam si noi, mai dam un oki pe documentatie, pe technet, prin cartzi ;) ...

Oricum, era ciudata rau problema ... ma bucur ca i-ai dat de cap! :oK:

#35
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
revin cu o intrebare: vreau sa dau drumu' la DC++ pt un anumit IP din interior sa zicem. folosesc oDC. activ pe IP-ul extern al ISA, portul 6969...sa zicem. pt asta am lasat IP-ul respectiv sa treaca nestingherit cu tot traficul prin ISA. in plus am setat 2 packet filters (tcp si udp) sa faca forward pe portu' 6969 pt ce vine din exterior catre IP-ul respectiv. problema e asta: intru pe hub, pot scrie texte p-acolo etc, da' nu pot face un get file list sau un search....unde gresesc?

ps: firewallu' extern (cel care filtreaza traficul in si dinspre internet) are lasat liber portu' 6969 in ambele sensuri.

#36
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,397
  • Înscris: 29.11.2001
pentru search / get - trebuie sa deschizi si catvea porturi UDP (plus cel de baza si pe UDP) - both ways ... eu le-am gasit la mine din logurile firewall-ului ... erau la blocked :drac:

nu le mai stiu, dar cred ca le gasesti si pe google ... uite, da un oki aici:

http://dcplusplus.so...?prog=1&lang=en

si google powah ... o sa ma uit mai tarziu in firewall, sa vad ce si cum ...

Anunturi

Chirurgia cranio-cerebrală minim invazivă Chirurgia cranio-cerebrală minim invazivă

Tehnicile minim invazive impun utilizarea unei tehnologii ultramoderne.

Endoscoapele operatorii de diverse tipuri, microscopul operator dedicat, neuronavigația, neuroelectrofiziologia, tehnicile avansate de anestezie, chirurgia cu pacientul treaz reprezintă armamentarium fără de care neurochirurgia prin "gaura cheii" nu ar fi posibilă. Folosind tehnicile de mai sus, tratăm un spectru larg de patologii cranio-cerebrale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate