ISA Server....again

huh .... mai bine pui clienti curati pana sa iti dai seama ca trebe reinstall la DC ;)

Quote

Quote

ce intelegi prin chestia cu browser-ul cerea autentificare ? prompt din browser de user si parola? sau altceva....

in principiu situatia ar trebui sa fie ceva de genu' asta:

- ai bifa pusa la "Ask unauthenticated users for identification" la Outgoing Web Requests
- ai selectat "Digest authentication" pe listener
- ai proxy server trecut in IE catre ISA
- clientul tau incearca sa acceseze site-ul, logon pe kerberos pica din motive obscure, se face switch pe autentificare pe NTLM, e intrebat de credentials, baga user si parola si merge ....

btw: debugging-ul pe event-uri de Kerberos a mers?

nu am facut debugging ieri ca nu am avut timp. azi insa o sa fac....cat de curand.

deci: browser-ul cere username si pass si domeniu, da' poti sa i le dai mult si bine ca tot nu-i convine. o sa fac acum setarile pt NTLM si sa vad daca merge asa....insa e o solutie care sincer nu-mi convine :)

Tyby: nu merge cu nici un client nou....nu vrea si pace :)

:confused:  cam ciudat daca nu iti merge nici cu un client nou ... in cazul asta nu inteleg prin ce difera calculatoarele pe care merge !?

mesajele de la kerberos pe local:

Event Type: Error
Event Source: Kerberos
Event Category: None
Event ID: 4
Date: 5/20/2004
Time: 10:11:45 AM
User: N/A
Computer: SPECTRUM
Description:
The function InitializeSecurityContext received a Kerberos Error Message:
         on logon session
Client Time:
Server Time: 7:8:38.0000 5/20/2004 (null)
Error Code: 0x12 KDC_ERR_CLIENT_REVOKED
Client Realm:
Client Name:
Server Realm: WORLDNET
Server Name: krbtgt/WORLDNET
Target Name: host/[email protected]
Error Text:
File:
Line:
Error Data is in record data.



Event Type: Error
Event Source: Kerberos
Event Category: None
Event ID: 4
Date: 5/20/2004
Time: 10:11:47 AM
User: N/A
Computer: SPECTRUM
Description:
The function LogonUser received a Kerberos Error Message:
         on logon session WORLDNETspectrum$
Client Time:
Server Time: 7:8:40.0000 5/20/2004 (null)
Error Code: 0x12 KDC_ERR_CLIENT_REVOKED
Client Realm:
Client Name:
Server Realm: WORLDNET
Server Name: krbtgt/WORLDNET
Target Name: krbtgt/[email protected]
Error Text:
File:
Line:
Error Data is in record data.
Data:
0000: 30 15 a1 03 02 01 03 a2   0.¡....¢
0008: 0e 04 0c 72 00 00 c0 00   ...r..À.
0010: 00 00 00 01 00 00 00      .......


nici eu nu inteleg de ce nu merge cu un client nou

am pus bifele necesare al Outgoing web requests - cu acelasi rezultat.
acum am vazut insa in logurile de security de pe masina ISA/DC ca user-ul este autentificat cu succes (event 538)

nici eu nu inteleg si e posibil ca deja sa fi inclus TOATE adresele de IP la exceptii....desi am numarat si mai sunt calculatoare care se autentifica. sau probabil nu au fost deschise. sugestii? DC down?

uita-te pe ISA dupa event 540 .. Care este Logon Process si Authentication Package ?

Logon Process: NtLmSsp
Authentication Package: NTLM

asta pt cazu' in care aveam bifele de mai sus....altfel e Kerberos peste tot

Atunci nu cred ca autentificarea este o problema in cazul asta (pentru ca nu merge nici atunci cand folosesti NTLM).... caz in care revin la rules & protocols ... Ai incercat pe un calc fara client de firewall, numai cu browser-ul setat pe proxy ?

wow....that's a new one....am scos clientu' de pe unu', i-am lasat ip-ul in regula respectiva, si merge! :) i-am scos ip-ul de la ISA, revine la aceeasi autentificare pe baza de username, passwd si domeniu..

we're getting somewhere ;) ...

OK, ideea este ca tu ai trecut acum calculatorul respectiv de pe Firewall client pe WebProxy client. Doua chestii ar fi interesant de verificat:

1. Pentru clientii cu firewall client activ: aplicatiile care merg pe alte porturi functioneaza? numai pe HTTP au probleme?
2. Daca iti configurezi HTTP Redirector filter sa trimita request-uri de la Firewall si SecureNat catre serviciul de WebProxy local, iti merge si de pe un client cu firewall client?

P.S. Ptr. browsing nu ai nevoie de firewall client ... clientii tai sunt web proxy clients atat vreme cat e setat in browser ...

sunt un bou si nu mi-e rusine s-o spun.....una dintre reguli avea setarile EXACT invers. acum nu stiu daca a fost facuta de mine sau de altcineva, dar avea setat sa functioneze pt toti userii din domeniu care se autentificau, pe toate porturile mai putin cele bifate. evident ca oricine se autentifica nu-l lasa sa intre pe http, https, smtp etc :) si trecea la urmatoarea regula, pe baza IP-urilor. imi fac mea culpa ca v-am supus la un chin inutil din pct vostru de vedere. eu am invatat destule cu ocazia asta si chiar nu-mi pare rau.

ideea e ca nu prea am avut eu timp sa stau ieri, fiind prins cu alte treburi, altfel probabil acum discutam despre vara de vine :) danke mult de tot si o sa imi permit sa mai apelez aici, ca tare mult mi-au placut raspunsurile

p.s: venind de pe linux, ma enerveaza inca mult sistemul click dreapta -> properties, check button, radio button :)

:D okie, nu prinde rau un exercitiu de genu' asta din cand in cand ... ne mai amintim cu totzii ... bine ca nu ai ajuns la kestii mai grele, reinstall, etc. :)

anyway, ca shi idee: cred ca e mai ushor sa foloseshti clientul de firewall numai pentru aplicatii, iar pentru browsing sa ii faci clienti de WebProxy .. la mine, cel putin, aplic regula asta cu succes

bafta ! :oK:

aham.....s-a notat. ce am eu aici este o "mostenire" si deci nu-mi apartine. chiar nu am avut timp sa o iau la puricat, insa se pare ca in perioada urmatoare o sa am timp de asa ceva. SPER sa am timp. un pic am stat sapt trecute pe checkpoint si am gasit ceva redundanta pe acolo, asa ca ma astept sa pot imbunatati in continuare "scurgerea" in si din internet. multa bafta si danke inca o data :D

brava ... las, ca asa mai invatam si noi, mai dam un oki pe documentatie, pe technet, prin cartzi ;) ...

Oricum, era ciudata rau problema ... ma bucur ca i-ai dat de cap! :oK:

revin cu o intrebare: vreau sa dau drumu' la DC++ pt un anumit IP din interior sa zicem. folosesc oDC. activ pe IP-ul extern al ISA, portul 6969...sa zicem. pt asta am lasat IP-ul respectiv sa treaca nestingherit cu tot traficul prin ISA. in plus am setat 2 packet filters (tcp si udp) sa faca forward pe portu' 6969 pt ce vine din exterior catre IP-ul respectiv. problema e asta: intru pe hub, pot scrie texte p-acolo etc, da' nu pot face un get file list sau un search....unde gresesc?

ps: firewallu' extern (cel care filtreaza traficul in si dinspre internet) are lasat liber portu' 6969 in ambele sensuri.

pentru search / get - trebuie sa deschizi si catvea porturi UDP (plus cel de baza si pe UDP) - both ways ... eu le-am gasit la mine din logurile firewall-ului ... erau la blocked :drac:

nu le mai stiu, dar cred ca le gasesti si pe google ... uite, da un oki aici:

http://dcplusplus.so...?prog=1&lang=en

si google powah ... o sa ma uit mai tarziu in firewall, sa vad ce si cum ...