ISA server - again

si inca ce greu :)

problema...utilizatorii care se autentifica la ISA prin user si pass au urmatoarea problema in cazul aplicarii regulii noi: de fiecare data cand IE incearca sa incarce un banner li se cere autentificare. nu-i problema, dau cancel si trec mai departe, insa la un site ca www.tomshardware.com te enervezi deja....ideea e ca nu trebuie sa apara asa ceva.....ideas?

:huh: deocamdata nici o idee ....

ce fel de clienti ? WebProxy, Firewall sau SecureNAT ?

later_edit: ai reguli care ar putea sa permita anonymous outbound ?

Edited by PreTXT, 11 February 2005 - 11:30.

PreTXT, on Feb 11 2005, 11:29, said:

mda, si o idee ce poti sa incerci:
ISA Console - Server - Properties - Outgoing web requests - debifeaza Ask unauthenticated users for authentication

nu uita de un restart de servicii ...

am reguli care permit accesul anonim. ma gandeam ca pot sa fac lucrul asta fara sa ii trec printr-o astfel de regula, intrucat mi se mai cer grafice si statistici pt anumiti user... inainte de a introduce regula care blocheaza bannerele nu am mai avut astfel de probleme...

era debifata optiunea amintita de tine, insa dupa cum ziceam mai sus, as prefera sa nu-i trec printr-o regula care sa permita accesul anonymous

exact asta era ideea ... sa nu ai anonymous outbound !

dar totusi, ce tip de clienti ai ?

firewall

HTTP redirectorul activat ? adica MS Firewall Client trece prin serviciul de WebProxy ?

da

man, sincer m-ai bagat un pic in ceata :huh:  ... si iti explic de ce:

daca tu ai MS FW clients si HTTP Redirector activat atunci inseamna ca request-urile HTTP sunt preluate de FW client (exceptand cazurile cand ai adresa de proxy specificata in browser ... atunci devine WebProxy client .. zi-mi daca asta e cazul). Dar .. toate request-urile HTTP care vin de la FW clients si sunt procesate de HTTP redirector sunt pasate catre serviciul de Webproxy ca si anonymous, pentru ca redirectorul nu stie sa proceseze si credentials-urile trimise de FW client.

in concluzie, daca userii tai au browserul setat sa iasa in afara cu ajutorul FW client (adica nu au adresa de proxy specificata) inseamna ca tu ai o regula pe undeva care permite anonymous access ... altminteri nu mai aveau access deloc !

please, fa un pic de lumina cu niste detalii mai exacte apropo de reguli definite, daca se aplica per grup, per destination set, per client address set, etc... pen' ca nu-mi iese la numaratoare ;)

Edited by PreTXT, 11 February 2005 - 14:03.

ma ideea e tampita in sine, pt ca nevoia de autentificare imi apare numai cand pun regula cu bannerele...de ce imi trebuie mie autentificare daca se face o cerere catre site-urile respective, atata timp cat nu aveam regula neexistand nici o problema?

sunt de acord ca te-am bagat in ceata, pentru ca eu insumi ratacesc pe undeva pe acolo . intr-adevar, se poate accesa internetul (in teorie, nu este valabil pt toate aplicatiile) si fara clientul de firewall instalat. si da, in browser este setata adresa de proxy.

in ceea ce priveste regulile, ele sunt simple: exista o regula care permite accesul pt toti userii din AD, cu anumite exceptii....care exceptii sunt "tratate" cu alte reguli (2 la numar) ce permite accesul la internet pt un anumit client address set (deci accesul neautentificat)

mai clar acum?

Bingo ! sau Evrika, daca preferi .. ;)

Ideea este in felul urmator: problema tine de codul de eroare pe care ISA il intoarce cand face un deny datorita destination set-ului. Mai precis, ISA intoarce catre un browser un HTTP 407 (Proxy Authentication Required) pentru fiecare domain blocat ... urmarea o cunosti  (in mod normal ar trebui sa intoarca un 502 sau 403)

Exista mai multe workaround-uri:

1. pune cel putin SP1 de ISA ..ei sustin ca acolo s-ar fi rezolvat problema (SP2-ul de ISA il gasesti aici
2. in regula de deny pe destination set pune si un HTTP redirect catre o pagina chioara din LAN-ul tau
3. in documentul asta MS-ul pomeneste de un hotfix+reg hack ... eu nu am gasit hotfix-ul pe nicaieri, dar un mail la ei poate !?

te-as sfatui sa incerci in ordine (1,2,3) si sa vezi ce merge in cazul tau ...
astept vesti ;)

spor

oki...will do...but, you know what? i'm on vacation right now...one full week of relaxation :) banuiesc ca voi rezolva problema oricum inainte sa ajung la pct 3. daca nu-l pacalesc cu un sp, atunci sigur o sa vrea cu o redirectare....chiar ma gandisem la asa ceva, insa eram deja in concediu si prea departe de servere :D

enjoy, man ...  e bine sa mai stai departe de servere din cand in cand ... ;)

job done...danke mult.

inca o intrebare scurta: exista o modalitate de a monitoriza activitatea in detaliu al unui singur ip sau a unui user? report job-urile fac o analiza de ansamblu (top users, top sites) si nu prea poti configura nimic la ele. ma intereseaz spre exemplu user-ul gigi in ziua de 3 martie a accesat site-urile astea....si sa mi le dea pe toate...in principal asta ma intereseaza...daca poate da si alte informatii statistice, cu atat mai bine...

Cu ISA implicit nu,dar exista destule programe pentru monitoring & reporting pentru ISA.

poti sa ma ajuti cu un exemplu concret care sa faca ce vreau eu?

DeathRipple, on Mar 2 2005, 14:39, said:

Webspy ar fi unul (www.webspy.com).Ar mai fi si SurfControl for ISA dar este si web filter nu numai pentru reporting.
Pentru o lista mai mare uita-te aici: http://isaserver.org...porting/rating/

surf control is good...danke :) merge insa cam greu la generarea rapoartelor