Cum sa evit trecerea peste proxy?

si daca dai \\10.1.1.240\sysvol ?!

Tyby, on Dec 9 2004, 23:53, said:

Asa merge

drepturi pe SYSVOL ?

muntos, on Dec 9 2004, 23:59, said:

e eroare de DNS SIGUR !

Tyby, on Dec 10 2004, 00:27, said:

daca ii merge cand incearca cu \\IP addr\sysvol inseamna ca permisiunile sunt OK.
incearca un ipconfig /flushdns pe compul cu pricina .. scoate inregistrarea aia din fisierul hosts; tie trebuie sa il rezolve DNS-ul.
pe urma da un ping catre b18.local (numele de DNS al domeniului) ... intai trebuie sa il rezolva pe asta corect.

spor

Edited by PreTXT, 10 December 2004 - 09:22.

acu' am vazut ca Tyby ti-a zis de poveste cu inregistrarea in hosts ;)... personal, nu prea sunt adeptul combinatiilor astea (chiar daca uneori rezolva problema) pentru ca pot sa mascheze o problema mai serioasa in DNS (care e critic !) ... dar e kestie de "gust", right ? :naughty:

PreTXT, on Dec 10 2004, 09:34, said:

man, agree. Numai ca i-am zis omului sa bage in hosts pentru TEST (remember, mie mi-a rezolvat problema! Si asa am descoperit si buba! ;) ). Nu, nu e chestie de gust, dar debugingu' pe AD s-a dovedit anevoios cateodata  :death:  :deadtongue:

a, muntos, apropo' ... poti schimba TS Server port pe 80 / 443 ;) (asta daca nu ai si un server web pe masina / IPul ala)

Tyby, on Dec 10 2004, 11:27, said:

yeap, I remember  ^_^

Tyby, on Dec 10 2004, 11:28, said:

porturile 80 si 443 = Universal Firewall Ports, nu ?  :naughty: .... traiasca tunelarea HTTP ;)
mai degraba as publica serverul in afara pe un port nonstandard:
http://www.isaserver.../2004pubts.html

da, numai ca eu am inteles ca nu are acces decat pe http/https

Tyby, on Dec 10 2004, 11:47, said:

my bad  :peacefingers: ... nu am citit cu atentie

ping -t b18.local

Pinging b18.local [10.1.1.240] with 32 bytes of data:

Reply from 10.1.1.240: bytes=32 time=5ms TTL=128
Reply from 10.1.1.240: bytes=32 time=5ms TTL=128
Reply from 10.1.1.240: bytes=32 time=2ms TTL=128
Reply from 10.1.1.240: bytes=32 time=5ms TTL=128
Reply from 10.1.1.240: bytes=32 time=2ms TTL=128
Reply from 10.1.1.240: bytes=32 time<1ms TTL=128

A scos din hosts linia,si a dat si flushdns.
Nici o schimbare :(

Edited by muntos, 10 December 2004 - 21:19.

in log-ul de Security de pe server inregistrezi ceva "failure audit" in momentul in care incearca sa acceseze? daca incearca sa intre pe alt sharing pe server (unde ai pus Everyone cu Read de exemplu, ptr. teste) ii merge?

Nu n-am nici un failure audit,doar succesful audit.
Da poate intra pe orice share pe server,si acolo unde este doar read si acolo unde e dat drept de write doar la anumiti utilizatori (inclusiv el)

Ok,sa mai dezgropam putin acest thread.
Nu s-a rezolvat pana acum problema cu GPO-ul,dar sa revenim la subiectul thread-ului.
Intrebarea pusa si pe forum la isa server:

So we are using ISA 2004 on Win 2003 Server.
ISA is configured to allow Internet access only to authentificated users and is configured to allow both Firewall clients and Web Proxy clients.
We also use SurfControl to restrict access to certains sites.
The problem is that if the users remove web proxy settings in LAN connections on IE they can gain access to restricted sites since the authentification is made by firewall client.
So,how we can prevent this behavior ?



Raspuns:

Hi Muntos,

All connections made by the Firewall client are passed to the Web Proxy filter when the Web Proxy filter is bound to the HTTP protocol, so they cannot bypass the Web Proxy when configured as Firewall clients.

Also, make sure your access rules require authentication, so that they cannot use the SecureNAT client config.

HTH,
Tom


Stie cineva cum/de unde/ce inseamna "when the Web Proxy filter is bound to the HTTP protocol" caci eu mi-am stricat ochii cautand asa ceva in ISA 2004,sau poate este ceva implicit ,ideea este ca mi-e mi se intampla asa cum am explicat mai sus.

Multumesc.

Protocolul HTTP trece prin filtrul de WebProxy implicit ... nu este ceva ce se seteaza (unlike ISA 2000, cand aveai HTTP redirector).
Inclin sa cred ca in cazul tau alta este problema ... cred ca acesti clienti devin SecureNAT clienti si nu FW clienti ...

Incearca un experiment ...scoate proxy-ul din IE, dezactiveaza clientul de FW si vezi daca merge ... daca da, atunci ai clienti de SecureNAT si trebuie sa verifici regulile de filtrare.

PreTXT, on Dec 29 2004, 10:20, said:

Am mai cautat si am aflat unde este aceea setare prin care HTTP-ul este legat de Web Proxy Filter (este la properties la HTTP Protocol).Problema e ca este legat asa cum trebuie sa fie.
Daca scot si proxy-ul si clientul de firewall PA PA Internet,nu sunt reguli care sa nu necesite autentificare.
Ca observatie,atunci cand proxy-ul este activat in browser la logging vad adresa siturilor pe care se navigheaza (ex. google.com) pe cand fara proxy vad IP-ul sitului respectiv.Nu stiu daca inseamna ceva,poate asa este normal.
Eu inclin sa cred ca este ceva legat de configuratie in care ruleaza ISA (poate pentru ca DNS-ul,DC-ul sunt pe acelasi calculator?)

Am rezolvat ambele probleme :)

1.Windows cannot query for the list of Group Policy objects. A message that describes the reason for this was previously logged by the policy engine.

Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=B18,DC=local. The file must be present at the location <\\B18.local\sysvol\B18.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (The network path was not found. ). Group Policy processing aborted.

Nu era pornit serviciul "TCP/IP netbios helper"

Intrebare aici:
Se poate forta prin GPO ce servicii sa porneasca pe un calc din retea ? Daca da,cum ?


2.Legat de trecerea peste proxy in ISA ,problema e de la SurfControl.Confirmat si cu alti utilizatori