Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Ruse vs Rusesti

Le mai putem da pe brazda? tipsuri

Recomandari gips carton tavane. (...

ce fel de activitate intretinere ...
 Se poate imbunatati o poza sa se ...

Folosește cineva syncthing? ...

Închidere fereastra dupa deschidere.

Kit AC contine brate Unitatea ext...
 smart switch fara neutru

Ierbicid pentru parul porcului.

Smecher de talie grea

PH apa plata
 Recomandare Mocheta -pe suport pa...

ram upgrade asus rog strix

Alegere memorie USB

Manere clasice mobila sau push to...
 

Cum sa evit trecerea peste proxy?

- - - - -
  • Please log in to reply
34 replies to this topic

#1
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Salut,

am un server Windows 2003 si ISA 2004 .Am setat regurile din firewall sa dea acces doar celor autentificati.Internal Network este configurat sa accepte atat firewall clients cat si web proxy clients.
Pe calc utilizatorilor este instalat clientul de firewall si configurat in IE sa foloseasca proxy-ul.
Pe ISA am un HTTP Filter pentru a filtra adresele de web nedorite.
Problema este ca daca utilizatorii scot setarile de proxy din browser pot sa treaca de proxy si implicit sa aceseze acele adrese (autentificarea facand-o clientul de firewall ) .
Ce este de facut in aceasta situatie ? Se poate face ceva prin group policies ?
Si daca tot am postat mai am o intrebare destul de generica si anume daca se pot face anumite restrictii clare (de exemplu sa nu mai apara tabul de Network Identification,sau sa nu se poate da disable la retea) chiar si atunci cand utilizatorul este administrator pe masina ?
Cat de flexibile sunt scripturile de administrare ?
Se pot programa prin scripturi care ruleaza la logare diverse chestii pe care doresc sa le fac ( de exemplu ce era mai sus)?

Am citit ceva legat de HTTP Redirector care sa redirectioneze toate cererile prin proxy,dar nu l-am gasit in ISA 2004 plus ca am inteles ca se pierd datele de autentificare.

Multumesc.

#2
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

muntos, on Dec 8 2004, 12:42, said:

Salut,

am un server Windows 2003 si ISA 2004 .Am setat regurile din firewall sa dea acces doar celor autentificati.Internal Network este configurat sa accepte atat firewall clients cat si web proxy clients.
Pe calc utilizatorilor este instalat clientul de firewall si configurat in IE sa foloseasca proxy-ul.
Pe ISA am un HTTP Filter pentru a filtra adresele de web nedorite.
Problema este ca daca utilizatorii scot setarile de proxy din browser pot sa treaca de proxy si implicit sa aceseze acele adrese (autentificarea facand-o clientul de firewall ) .
Ce este de facut in aceasta situatie ? Se poate face ceva prin group policies ?
pe ISA 2000 exista intr-adevar acel HTTP redirector care iti rezolva problema ... uite statement-ul din readme-ul de ISA 2004:

Quote

ISA Server 2000 included an HTTP redirector filter, which could be configured by the user. However, none of the configuration settings are migrated to ISA Server 2004. To configure ISA Server 2004 with the ISA Server 2000 settings, do the following:

    * If you configured the HTTP redirector to Send to requested Web server, in ISA Server 2004, do not apply the Web Proxy filter to the HTTP protocol. To do so, in ISA Server Management, click Firewall Policy. On the Toolbox tab, click Protocols, expand Common Protocols, select HTTP, and then click Edit on the toolbar beneath Protocols. On the Parameters tab, in Application Filters, verify that the Web Proxy Filter checkbox is not selected.
    * If you configured the HTTP redirector to Reject HTTP requests from Firewall and SecureNAT clients, in ISA Server 2004, create a new protocol definition that uses port 80. Then, create an access rule that denies use of the protocol.

By default on ISA Server 2004, all requests are directed to the Web Proxy filter
eu ti-as recomanda si o alta solutie: restrictioneaza din GPO accesul la setarile de proxy din IE ... asta nu ii va impiedica insa sa foloseasca browsere alternative, dar daca nu sunt admini pe statie ar trebui sa nu poata sa instaleze (eventual filtrezi si niste executabile prin GPO a.i. sa faci prevent run)

Quote

Si daca tot am postat mai am o intrebare destul de generica si anume daca se pot face anumite restrictii clare (de exemplu sa nu mai apara tabul de Network Identification,sau sa nu se poate da disable la retea) chiar si atunci cand utilizatorul este administrator pe masina ?
Cat de flexibile sunt scripturile de administrare ?
Se pot programa prin scripturi care ruleaza la logare diverse chestii pe care doresc sa le fac ( de exemplu ce era mai sus)?

<{POST_SNAPBACK}>


da, toate se fac prin GPOs (Group Policy Object) ... insa ai nevoie de un domeniu de Active Directory ... incepe si citeste aici:
http://www.microsoft...ep/default.mspx
in ceea ce priveste scripturile: da, poti asigna scripturi de logare (enforced) ..combinate cu VBS/WMI scripting reprezinta o unealta buna. In ceea ce priveste setarile de care ai intrebat, acestea sunt disponibile pentru configurare in GPO, deci nu ai nevoie de scripting explicit pentru ele.

daca ai nelamuriri, revino cu intrebari.
spor ;)

#3
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Ok,am inceput sa citesc de la linkul dat ,am facut un OU am mutat userul meu in acel OU ,am creat un GPO (un script din exemplul de pe site care ruleaza la login) si pentru userul meu a mers.Apoi am mai mutat un user in acel OU dar pentru el nu functioneaza.Am gresit cu ceva,imi scapa ceva ?

#4
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
M-am uitat in Event Log pe calc cu pricina si vad urmatoarele mesaje de eroare

Windows cannot query for the list of Group Policy objects. A message that describes the reason for this was previously logged by the policy engine.

Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=B18,DC=local. The file must be present at the location <\\B18.local\sysvol\B18.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (The network path was not found. ). Group Policy processing aborted.


Stie cineva de unde vine eroarea aceasta ?

#5
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Din pacate am gasit atatea variante de raspuns la aceasta intrebare incat o sa-mi ia ceva timp pana le incerc pe toate.
Daca totusi este cineva care a intalnit aceasta eroare rog sa raspunda aici cum a rezolvat problema.
Remarca: Aceste 2 event errors apar pe client (WinXp) nu si pe DC.Si apare doar la unul (sau cel putin asa cred) nu la toti.
Remarca2: DC-ul are 2 placi de retea (este si proxy/gateway)

#6
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
cel mai probabil in cazul tau este o eroare de DNS ... daca apare doar la unul verifica ce setari de DNS are ... in cazul tau, ar trebui sa ai urmatoarea configuratie:

- pe DC (care este si cu ISA, nu ?) trebuie sa ai la TCP/IP setat numai adresa DNS catre self
- pe DC, configurezi serverul de DNS cu forwarders catre DNS-ul ISP-ului
- pe DC, te asiguri ca nu ai zona root "." in Forward Zones la DNS
- pe clienti te asiguri ca DNS-ul lor este DC-ul tau

ca sa verifici: tu ar trebui sa fii in stare de pe un client sa accesezi \\nume_dns_domeniu\sysvol\nume_dns_domeniu\policies ... verifica daca ai probleme pe toate compurile sau numai pe unul.

spor

#7
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Nu stiu daca am inteles bine ce ma intrebi asa ca atasez si cateva screenshoturi de la Properties de la DNS Server.

1.Da,DC-ul este si ISA si daca te referi la ce setari de DNS sunt puse pe cele 2 interfete (cea externa si cea cu reteua) atunci e pus doar IP-ul catre sine .
2.cred ca asa este,sunt si screen-uri cu respectiva pagina
3.din pacate aici nu stiu,sper ca am surprins si acest aspect in screen
4.da,este DC-ul

Momentan nu pot verifica exact de pe calc cu pricina,dar de pe un calc la care se aplica GPO-ul pot acesa toate directoarele din SYSVOL ( \\server\SYSVOL )

Multumesc

#8
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

muntos, on Dec 9 2004, 14:17, said:

Momentan nu pot verifica exact de pe calc cu pricina,dar de pe un calc la care se aplica GPO-ul pot acesa toate directoarele din SYSVOL ( \\server\SYSVOL )

<{POST_SNAPBACK}>

verifica DNS-ul pe compul respectiv .. e posibil sa fie pus direct catre ISP si atunci nu mai rezolva domeniul local.

spor

#9
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Ops,scuze,am uitat sa pun si screnshoturile :)

Attached Files

  • Attached File  img1.jpg   110.91K   76 downloads
  • Attached File  img2.jpg   112.99K   45 downloads


#10
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
si restul...

Attached Files



#11
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Nu cred ca e pus direct catre ISP dar o sa verific.
Ceea ce ma duce la urmatoarea intrebare ...
Aceste GPO-uri nu se pot forta ? Adica ceva de genul " Scuze user X dar nu s-au putut incarca policies-urile pentru tine.Nu te poti loga ( nu ai voie) !" sau ceva de genul asta ? Sau despre asta e vorba in enforced policies (daca exista asa ceva? ) ?
Adica,la ce ar mai fi bune aceste policies daca ele nu pot fi aplicate din diverse motive,dar userul se poate loga normal si totul merge ok ?

Edited by muntos, 09 December 2004 - 14:39.


#12
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

muntos, on Dec 9 2004, 14:28, said:

Ops,scuze,am uitat sa pun si screnshoturile :)

<{POST_SNAPBACK}>


e OK .. am inteles ideea ;)
root zone "." o gasesti cand expandezi Forward Lookups Zone, in stanga consolei ... daca exista ar trebui stearsa (cand faci forwarding catre alte servere de DNS); la tine e in regula.
verifica ce ti-am spus; cel mai probabil e o problema izolata, doar pe compul respectiv.

Edited by PreTXT, 09 December 2004 - 14:42.


#13
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

muntos, on Dec 9 2004, 14:38, said:

Nu cred ca e pus direct catre ISP dar o sa verific.
Ceea ce ma duce la urmatoarea intrebare ...
Aceste GPO-uri nu se pot forta ? Adica ceva de genul " Scuze user X dar nu s-au putut incarca policies-urile pentru tine.Nu te poti loga ( nu ai voie) !" sau ceva de genul asta ? Sau despre asta e vorba in enforced policies (daca exista asa ceva? ) ?
Adica,la ce ar mai fi bune aceste policies daca ele nu pot fi aplicate din diverse motive,dar userul se poate loga normal si totul merge ok ?

<{POST_SNAPBACK}>

ideea este ca trebuie sa functioneze cel putin o singura data, cand se aplica prima ora GPO-ul .. dupa aceea, chiar daca comunicatia cu server-ul e intrerupta setarile vor ramane.
Cum sa fortezi GPO-ul? well, evident ca nu printr-o setare de GPO, pentru ca ne-am invarti intr-un cerc vicios. Poti sa incerci urmatoare combinatie:
- asignezi pe useri un script de logoff care face Deny logon locally pentru grupul Useri din care fac parte userii tai.
- configurezi un GPO care se aplica pe computer accounts in care reconfigurezi optiunea de  Deny logon locally a.i. grupul Useri sa aiba acces
astfel, odata delogat, un user se va mai putea loga doar daca GPO-ul de comp a fost procesat (ceea ce inseamna ca si celelalte GPO-uri ar trebui sa se proceseze)
in principiu iti ramane aceeasi problema: pentru a configura totul ai nevoie ca acel comp sa fie conectat la o retea functionala sau sa ii faci setarile manual.

ca si o paranteza, GPO-urile te ajuta f. mult in administrare ... ca nu te ajuta in momentul in care reteaua ta nu mai e functionala  :rolleyes: e cam mult (desi ar fi ideal ...)

spor

#14
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Am verificat pe calc respectiv si ce am constatat:

pot accesa \\server\sysvol
NU pot acesa B18.local\sysvol  (unde B18 este numele domeniului. Intrebare : numele acestea sunt case senzitive ?)

Pe screenshotul atasat se poate observa ca cel cu pricina apare altfel cu netscanul (nu mai are b18.local in coada).Nu stiu daca are legatura.
Stiu ca daca il scot din domeniu si in bag apoi va fi ok,dar SINCER vreau sa cred ca pot sa rezolv si altfel problema.

Multumesc mult.

Attached Files

  • Attached File  img7.jpg   154.22K   32 downloads


#15
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,397
  • Înscris: 29.11.2001
am avut aceeasi problema de curand pe 2 servere diferite ... PreTXT stie (  :peacefingers:  ).

Pe unul am rezolvat-o din DNS & SYSVOL (se busise SYSVOL, iar DNSurile erau setate aiurea).

Pe celalalt nu am rezolvat inca DNSul (cel mai probabil trebuie refacuta toata structura AD, si deocamdata nu am timp fizic). Si am rezolvat-o cu o inregistrare in hosts

IP_DC     b1.local         # (nu e case sensitive, AFAIK).

(stiu, NU e corect in contexul AD, dar macar pentru a aplica GPO ajuta).

Oricum, din ce am citit si vazut in cazurile personale, in 90% din cazuri e o buba de DNS.

Succes!

PS: man, off-topic: de ce nu folosesti TS?! RemotelyAnywhere e OK, dar pentru remote desktop e incet al draq ...

Edited by Tyby, 09 December 2004 - 22:45.


#16
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Am incercat si varianta cu hosts-ul dar nu s-a schimbat nimic.Mai incerc.
Folosesc Remotely Anywhere pentru remote desktop prin Internet si TS cand sunt in retea.

#17
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,397
  • Înscris: 29.11.2001

muntos, on Dec 9 2004, 23:17, said:

Am incercat si varianta cu hosts-ul dar nu s-a schimbat nimic.Mai incerc.
Folosesc Remotely Anywhere pentru remote desktop prin Internet si TS cand sunt in retea.

<{POST_SNAPBACK}>


1. merge de pe computerul cu oroarea \\domain.name\sysvol ?!

2. de ce?! Ti se pare ca e mai secure?! :o ... ca la rapiditate nu se compara (AFAIK, TS merge OK in minim 19200, pe cand RA foloseste mult mai multe resurse de banda)

#18
muntos

muntos

    Member

  • Grup: Members
  • Posts: 549
  • Înscris: 03.08.2002
Hmm,ciudat...
a pus in hosts 10.1.1.240    b18.local
daca ii da \\b18.local\sysvol ii da error.path not found
daca ii da ping b18.local ii raspunde de la 10.1.1.240


Nu,doar ca nu pot iesi decat pe HTTP/HTTPS.

Anunturi

Bun venit pe Forumul Softpedia!

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate