[ISA2000] accounts uit trusted domain krijgen geen toegang

domainA en domainB hebben een 2 way trust

ISA 2000 is geinstalleerd op DC1.DomainA (win2000)
DomainB is een win2003 DC

voor zowel domainA als voor domainB is er een rule die users uit een groep "internetUsers" toegang geeft tot internet. Gebruikers van domainB krijgen geen toegang. Op DC1.DomainA is nogtans te zien in de security logs dat deze gebruikers correct aanmelden op het domain. echter ISA geeft me geen toegang to the internet wanneer ik inlog met een gebruiker uit domainB

Wat zou de mogelijke oorzaak kunnen zijn?

had ik al geprobeerd (niet vermeld zie ik net). Het punt is dat ze weldegelijk ge-authentikeerd worden, als ik mn security logs mag geloven...

In de security log van de server waar ISA op draait DC1.DomainA

Source: security
Category: Logon/ Logoff
Type Success event ID 540
User DomainB\user
Computer DC1 (uit domainA dus)

Description
Usernamen: user
domain: domainB
Logon ID: (0X0,0x2B0BBD)
Logon Type: 3
Logon proces: NTLMSsp
Authentication package: NTLM
Workstation Name: Workstation (uit doaminB)

hier leid ik dus uit af dat de user zich correct authenticeerd. in mn browser venster krijg ik dan een melding dat het de toegang geweigerd wordt.

Ik wil gerust nog meer inf ogeven, maar ik weet ff niet wat ik nog zou moeten vertellen, ISA is nogal een blinde vlek voor mij..


ik zit net te denken: ISA draait op een DC, zou het kunnnen te maken hebben met strengere policy voor DC's?? Indien ja, welke security policy setting zou ik eens moeten herbekijken??

Bedankt

[ Voor 12% gewijzigd door Yalopa op 05-08-2006 20:38 ]

Geen SBS

groepen zien er zo uit

DOMAINA\internetusers
DOMAINB\internetusers

deze global groepen hebben dus de rechten gekregen in ISA. Beide domeinen liggen overgens in een ander forest.

Internet explorer stuurt het volledige domain naar de isa server. Ook als ik manueel DOMAINB\user invul in het proxyvenstertje wordt ik geweigerd.

zal eens zien als ik de users uit DOMANB in een groep kan krijgen uit DomainA.

Wat betreft de subnetten:
DomainA zit in 10.1.0.0/20
DomainB zit in 10.1.0.0/20, 10.2.0.0/20, 10.3.0.0...

Enkel users uit subnet 10.1.0.0/20 gebruiken overgens deze ISA server, andere sites hebben hun eigen ISA server....

Bedankt zover..

en als je nu eens 1 group aanmaakt in het domain waarin de isa server zich bevindt en daarin de beide groepen zet. dus niet expliciet de groepen in ISA zetten maar 1 group uit domainA

Om de users uit domainB in een group in domainA te krijgen moet ik in domainA een Domain Local Group aanmaken met de users van domainB. Dit is geen probleem. Echter ISA ziet de domain local goroepen niet in de AD.

Op het internet vond ik reeds meldingen dat domain local groups niet ondersteund worden door ISA?

Dat ISA groepen uit een ander domein ondersteund is duidelijk, worden er echter ook groepen uit andere forrests ondersteund??

Op de 2k DC (waar de ISA op draait)
Domain operation mode: Native mode (no pre-windows 2000 domain controllers)

trusts (2 way)
relationship: external
transitive: no

Wat jij beschrijft met domain local groups doe ik probleemloos voor het filesysteem, enkel ISA lijkt geen domain local groepen uit het eigen domain te aanvaarden.

tnx