Cum sa evit trecerea peste proxy?

Salut,

am un server Windows 2003 si ISA 2004 .Am setat regurile din firewall sa dea acces doar celor autentificati.Internal Network este configurat sa accepte atat firewall clients cat si web proxy clients.
Pe calc utilizatorilor este instalat clientul de firewall si configurat in IE sa foloseasca proxy-ul.
Pe ISA am un HTTP Filter pentru a filtra adresele de web nedorite.
Problema este ca daca utilizatorii scot setarile de proxy din browser pot sa treaca de proxy si implicit sa aceseze acele adrese (autentificarea facand-o clientul de firewall ) .
Ce este de facut in aceasta situatie ? Se poate face ceva prin group policies ?
Si daca tot am postat mai am o intrebare destul de generica si anume daca se pot face anumite restrictii clare (de exemplu sa nu mai apara tabul de Network Identification,sau sa nu se poate da disable la retea) chiar si atunci cand utilizatorul este administrator pe masina ?
Cat de flexibile sunt scripturile de administrare ?
Se pot programa prin scripturi care ruleaza la logare diverse chestii pe care doresc sa le fac ( de exemplu ce era mai sus)?

Am citit ceva legat de HTTP Redirector care sa redirectioneze toate cererile prin proxy,dar nu l-am gasit in ISA 2004 plus ca am inteles ca se pierd datele de autentificare.

Multumesc.

muntos, on Dec 8 2004, 12:42, said:

pe ISA 2000 exista intr-adevar acel HTTP redirector care iti rezolva problema ... uite statement-ul din readme-ul de ISA 2004:

Quote

eu ti-as recomanda si o alta solutie: restrictioneaza din GPO accesul la setarile de proxy din IE ... asta nu ii va impiedica insa sa foloseasca browsere alternative, dar daca nu sunt admini pe statie ar trebui sa nu poata sa instaleze (eventual filtrezi si niste executabile prin GPO a.i. sa faci prevent run)

Quote

da, toate se fac prin GPOs (Group Policy Object) ... insa ai nevoie de un domeniu de Active Directory ... incepe si citeste aici:
http://www.microsoft...ep/default.mspx
in ceea ce priveste scripturile: da, poti asigna scripturi de logare (enforced) ..combinate cu VBS/WMI scripting reprezinta o unealta buna. In ceea ce priveste setarile de care ai intrebat, acestea sunt disponibile pentru configurare in GPO, deci nu ai nevoie de scripting explicit pentru ele.

daca ai nelamuriri, revino cu intrebari.
spor ;)

Ok,am inceput sa citesc de la linkul dat ,am facut un OU am mutat userul meu in acel OU ,am creat un GPO (un script din exemplul de pe site care ruleaza la login) si pentru userul meu a mers.Apoi am mai mutat un user in acel OU dar pentru el nu functioneaza.Am gresit cu ceva,imi scapa ceva ?

M-am uitat in Event Log pe calc cu pricina si vad urmatoarele mesaje de eroare

Windows cannot query for the list of Group Policy objects. A message that describes the reason for this was previously logged by the policy engine.

Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=B18,DC=local. The file must be present at the location <\\B18.local\sysvol\B18.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (The network path was not found. ). Group Policy processing aborted.


Stie cineva de unde vine eroarea aceasta ?

Din pacate am gasit atatea variante de raspuns la aceasta intrebare incat o sa-mi ia ceva timp pana le incerc pe toate.
Daca totusi este cineva care a intalnit aceasta eroare rog sa raspunda aici cum a rezolvat problema.
Remarca: Aceste 2 event errors apar pe client (WinXp) nu si pe DC.Si apare doar la unul (sau cel putin asa cred) nu la toti.
Remarca2: DC-ul are 2 placi de retea (este si proxy/gateway)

cel mai probabil in cazul tau este o eroare de DNS ... daca apare doar la unul verifica ce setari de DNS are ... in cazul tau, ar trebui sa ai urmatoarea configuratie:

- pe DC (care este si cu ISA, nu ?) trebuie sa ai la TCP/IP setat numai adresa DNS catre self
- pe DC, configurezi serverul de DNS cu forwarders catre DNS-ul ISP-ului
- pe DC, te asiguri ca nu ai zona root "." in Forward Zones la DNS
- pe clienti te asiguri ca DNS-ul lor este DC-ul tau

ca sa verifici: tu ar trebui sa fii in stare de pe un client sa accesezi \\nume_dns_domeniu\sysvol\nume_dns_domeniu\policies ... verifica daca ai probleme pe toate compurile sau numai pe unul.

spor

Nu stiu daca am inteles bine ce ma intrebi asa ca atasez si cateva screenshoturi de la Properties de la DNS Server.

1.Da,DC-ul este si ISA si daca te referi la ce setari de DNS sunt puse pe cele 2 interfete (cea externa si cea cu reteua) atunci e pus doar IP-ul catre sine .
2.cred ca asa este,sunt si screen-uri cu respectiva pagina
3.din pacate aici nu stiu,sper ca am surprins si acest aspect in screen
4.da,este DC-ul

Momentan nu pot verifica exact de pe calc cu pricina,dar de pe un calc la care se aplica GPO-ul pot acesa toate directoarele din SYSVOL ( \\server\SYSVOL )

Multumesc

muntos, on Dec 9 2004, 14:17, said:

verifica DNS-ul pe compul respectiv .. e posibil sa fie pus direct catre ISP si atunci nu mai rezolva domeniul local.

spor

Ops,scuze,am uitat sa pun si screnshoturile :)

si restul...

Nu cred ca e pus direct catre ISP dar o sa verific.
Ceea ce ma duce la urmatoarea intrebare ...
Aceste GPO-uri nu se pot forta ? Adica ceva de genul " Scuze user X dar nu s-au putut incarca policies-urile pentru tine.Nu te poti loga ( nu ai voie) !" sau ceva de genul asta ? Sau despre asta e vorba in enforced policies (daca exista asa ceva? ) ?
Adica,la ce ar mai fi bune aceste policies daca ele nu pot fi aplicate din diverse motive,dar userul se poate loga normal si totul merge ok ?

Edited by muntos, 09 December 2004 - 14:39.

muntos, on Dec 9 2004, 14:28, said:

e OK .. am inteles ideea ;)
root zone "." o gasesti cand expandezi Forward Lookups Zone, in stanga consolei ... daca exista ar trebui stearsa (cand faci forwarding catre alte servere de DNS); la tine e in regula.
verifica ce ti-am spus; cel mai probabil e o problema izolata, doar pe compul respectiv.

Edited by PreTXT, 09 December 2004 - 14:42.

muntos, on Dec 9 2004, 14:38, said:

ideea este ca trebuie sa functioneze cel putin o singura data, cand se aplica prima ora GPO-ul .. dupa aceea, chiar daca comunicatia cu server-ul e intrerupta setarile vor ramane.
Cum sa fortezi GPO-ul? well, evident ca nu printr-o setare de GPO, pentru ca ne-am invarti intr-un cerc vicios. Poti sa incerci urmatoare combinatie:
- asignezi pe useri un script de logoff care face Deny logon locally pentru grupul Useri din care fac parte userii tai.
- configurezi un GPO care se aplica pe computer accounts in care reconfigurezi optiunea de  Deny logon locally a.i. grupul Useri sa aiba acces
astfel, odata delogat, un user se va mai putea loga doar daca GPO-ul de comp a fost procesat (ceea ce inseamna ca si celelalte GPO-uri ar trebui sa se proceseze)
in principiu iti ramane aceeasi problema: pentru a configura totul ai nevoie ca acel comp sa fie conectat la o retea functionala sau sa ii faci setarile manual.

ca si o paranteza, GPO-urile te ajuta f. mult in administrare ... ca nu te ajuta in momentul in care reteaua ta nu mai e functionala  :rolleyes: e cam mult (desi ar fi ideal ...)

spor

Am verificat pe calc respectiv si ce am constatat:

pot accesa \\server\sysvol
NU pot acesa B18.local\sysvol  (unde B18 este numele domeniului. Intrebare : numele acestea sunt case senzitive ?)

Pe screenshotul atasat se poate observa ca cel cu pricina apare altfel cu netscanul (nu mai are b18.local in coada).Nu stiu daca are legatura.
Stiu ca daca il scot din domeniu si in bag apoi va fi ok,dar SINCER vreau sa cred ca pot sa rezolv si altfel problema.

Multumesc mult.

am avut aceeasi problema de curand pe 2 servere diferite ... PreTXT stie (  :peacefingers:  ).

Pe unul am rezolvat-o din DNS & SYSVOL (se busise SYSVOL, iar DNSurile erau setate aiurea).

Pe celalalt nu am rezolvat inca DNSul (cel mai probabil trebuie refacuta toata structura AD, si deocamdata nu am timp fizic). Si am rezolvat-o cu o inregistrare in hosts

IP_DC     b1.local         # (nu e case sensitive, AFAIK).

(stiu, NU e corect in contexul AD, dar macar pentru a aplica GPO ajuta).

Oricum, din ce am citit si vazut in cazurile personale, in 90% din cazuri e o buba de DNS.

Succes!

PS: man, off-topic: de ce nu folosesti TS?! RemotelyAnywhere e OK, dar pentru remote desktop e incet al draq ...

Edited by Tyby, 09 December 2004 - 22:45.

Am incercat si varianta cu hosts-ul dar nu s-a schimbat nimic.Mai incerc.
Folosesc Remotely Anywhere pentru remote desktop prin Internet si TS cand sunt in retea.

muntos, on Dec 9 2004, 23:17, said:

1. merge de pe computerul cu oroarea \\domain.name\sysvol ?!

2. de ce?! Ti se pare ca e mai secure?! :o ... ca la rapiditate nu se compara (AFAIK, TS merge OK in minim 19200, pe cand RA foloseste mult mai multe resurse de banda)

Hmm,ciudat...
a pus in hosts 10.1.1.240    b18.local
daca ii da \\b18.local\sysvol ii da error.path not found
daca ii da ping b18.local ii raspunde de la 10.1.1.240


Nu,doar ca nu pot iesi decat pe HTTP/HTTPS.