Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Microsoft Office versiune optima

Dezmenbrare teren - cedare drum l...

Zilele catalogelor Americane

Poate Rh-ul negativ afecta o viit...
 Solutie Backup pentru Server Linux

Laptop CS 2

AirGPU (cloud gaming)

KAZA Univisa
 Reciclare hard disk-uri defecte v...

Vacanta 7-10 zile auto

Procedura inmatriculare auto din UE

Pot pune faianta noua peste adezi...
 Probleme martorii de bord Opel Me...

Opel Astra K sau Skoda Octavia 3?...

Completare formular Detalii Tehni...

Investitie intro firma
 

ISA server - again

- - - - -
  • Please log in to reply
89 replies to this topic

#37
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
si inca ce greu :)

problema...utilizatorii care se autentifica la ISA prin user si pass au urmatoarea problema in cazul aplicarii regulii noi: de fiecare data cand IE incearca sa incarce un banner li se cere autentificare. nu-i problema, dau cancel si trec mai departe, insa la un site ca www.tomshardware.com te enervezi deja....ideea e ca nu trebuie sa apara asa ceva.....ideas?

#38
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
:huh: deocamdata nici o idee ....

ce fel de clienti ? WebProxy, Firewall sau SecureNAT ?

later_edit: ai reguli care ar putea sa permita anonymous outbound ?

Edited by PreTXT, 11 February 2005 - 11:30.


#39
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

PreTXT, on Feb 11 2005, 11:29, said:

:huh: deocamdata nici o idee ....

<{POST_SNAPBACK}>


mda, si o idee ce poti sa incerci:
ISA Console - Server - Properties - Outgoing web requests - debifeaza Ask unauthenticated users for authentication

nu uita de un restart de servicii ...

#40
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
am reguli care permit accesul anonim. ma gandeam ca pot sa fac lucrul asta fara sa ii trec printr-o astfel de regula, intrucat mi se mai cer grafice si statistici pt anumiti user... inainte de a introduce regula care blocheaza bannerele nu am mai avut astfel de probleme...

era debifata optiunea amintita de tine, insa dupa cum ziceam mai sus, as prefera sa nu-i trec printr-o regula care sa permita accesul anonymous

#41
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
exact asta era ideea ... sa nu ai anonymous outbound !

dar totusi, ce tip de clienti ai ?

#42
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
firewall

#43
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
HTTP redirectorul activat ? adica MS Firewall Client trece prin serviciul de WebProxy ?

#44
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
da

#45
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
man, sincer m-ai bagat un pic in ceata :huh:  ... si iti explic de ce:

daca tu ai MS FW clients si HTTP Redirector activat atunci inseamna ca request-urile HTTP sunt preluate de FW client (exceptand cazurile cand ai adresa de proxy specificata in browser ... atunci devine WebProxy client .. zi-mi daca asta e cazul). Dar .. toate request-urile HTTP care vin de la FW clients si sunt procesate de HTTP redirector sunt pasate catre serviciul de Webproxy ca si anonymous, pentru ca redirectorul nu stie sa proceseze si credentials-urile trimise de FW client.

in concluzie, daca userii tai au browserul setat sa iasa in afara cu ajutorul FW client (adica nu au adresa de proxy specificata) inseamna ca tu ai o regula pe undeva care permite anonymous access ... altminteri nu mai aveau access deloc !

please, fa un pic de lumina cu niste detalii mai exacte apropo de reguli definite, daca se aplica per grup, per destination set, per client address set, etc... pen' ca nu-mi iese la numaratoare ;)

Edited by PreTXT, 11 February 2005 - 14:03.


#46
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
ma ideea e tampita in sine, pt ca nevoia de autentificare imi apare numai cand pun regula cu bannerele...de ce imi trebuie mie autentificare daca se face o cerere catre site-urile respective, atata timp cat nu aveam regula neexistand nici o problema?

sunt de acord ca te-am bagat in ceata, pentru ca eu insumi ratacesc pe undeva pe acolo . intr-adevar, se poate accesa internetul (in teorie, nu este valabil pt toate aplicatiile) si fara clientul de firewall instalat. si da, in browser este setata adresa de proxy.

in ceea ce priveste regulile, ele sunt simple: exista o regula care permite accesul pt toti userii din AD, cu anumite exceptii....care exceptii sunt "tratate" cu alte reguli (2 la numar) ce permite accesul la internet pt un anumit client address set (deci accesul neautentificat)

mai clar acum?

#47
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
Bingo ! sau Evrika, daca preferi .. ;)

Ideea este in felul urmator: problema tine de codul de eroare pe care ISA il intoarce cand face un deny datorita destination set-ului. Mai precis, ISA intoarce catre un browser un HTTP 407 (Proxy Authentication Required) pentru fiecare domain blocat ... urmarea o cunosti  (in mod normal ar trebui sa intoarca un 502 sau 403)

Exista mai multe workaround-uri:

1. pune cel putin SP1 de ISA ..ei sustin ca acolo s-ar fi rezolvat problema (SP2-ul de ISA il gasesti aici
2. in regula de deny pe destination set pune si un HTTP redirect catre o pagina chioara din LAN-ul tau
3. in documentul asta MS-ul pomeneste de un hotfix+reg hack ... eu nu am gasit hotfix-ul pe nicaieri, dar un mail la ei poate !?

te-as sfatui sa incerci in ordine (1,2,3) si sa vezi ce merge in cazul tau ...
astept vesti ;)

spor

#48
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
oki...will do...but, you know what? i'm on vacation right now...one full week of relaxation :) banuiesc ca voi rezolva problema oricum inainte sa ajung la pct 3. daca nu-l pacalesc cu un sp, atunci sigur o sa vrea cu o redirectare....chiar ma gandisem la asa ceva, insa eram deja in concediu si prea departe de servere :D

#49
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
enjoy, man ...  e bine sa mai stai departe de servere din cand in cand ... ;)

#50
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
job done...danke mult.

inca o intrebare scurta: exista o modalitate de a monitoriza activitatea in detaliu al unui singur ip sau a unui user? report job-urile fac o analiza de ansamblu (top users, top sites) si nu prea poti configura nimic la ele. ma intereseaz spre exemplu user-ul gigi in ziua de 3 martie a accesat site-urile astea....si sa mi le dea pe toate...in principal asta ma intereseaza...daca poate da si alte informatii statistice, cu atat mai bine...

#51
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Cu ISA implicit nu,dar exista destule programe pentru monitoring & reporting pentru ISA.

#52
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
poti sa ma ajuti cu un exemplu concret care sa faca ce vreau eu?

#53
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002

DeathRipple, on Mar 2 2005, 14:39, said:

poti sa ma ajuti cu un exemplu concret care sa faca ce vreau eu?

<{POST_SNAPBACK}>


Webspy ar fi unul (www.webspy.com).Ar mai fi si SurfControl for ISA dar este si web filter nu numai pentru reporting.
Pentru o lista mai mare uita-te aici: http://isaserver.org...porting/rating/

#54
DeathRipple

DeathRipple

    communist vampire

  • Grup: Senior Members
  • Posts: 15,937
  • Înscris: 11.08.2002
surf control is good...danke :) merge insa cam greu la generarea rapoartelor

Anunturi

Second Opinion Second Opinion

Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale.

Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate