[ISA 2006] problemen met veranderd ip adres bij computers - Serversoftware en clouddiensten

dinsdag 1 juli 2008 13:16

Acties:

Topicstarter

We maken sindskort gebruik van ISA 2006 met Windows 2003 R2 als OS.

Op zich bevalt dit perfect.

Nu staat standaard bijna alles dicht van binnen naar buiten, maar voor bepaalde applicatie's (rabobank / mail dingetjes / etc) heb ik policy's aangemaakt.

Aan die policy's koppel ik dan computers welke allowed worden voor desbetreffend protocol.

Als ik een computer toevoeg dan gebruik ik dmv de find knop de computernaam, en ISA vindt automatisch het IP adres.

Het probleem ontstaat op het moment dat een computer een ander ip adres krijgt van de DHCP server.

Dan moet ik in ISA opnieuw de computer opzoeken, zodat het IP adres weer klopt.

Is hier iets aan te doen

En dan bedoel ik niet statische ip adressen aanmaken, of reservations maken in de DHCP.

Alvast bedankt voor jullie hulp.

PVOUPUT - 13.400WP - Twente

dinsdag 1 juli 2008 14:13

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Ik zou de rule niet op basis van IP doen. Dit is namelijk ook niet veilig: als ik mijn pc dat ip-adres geef kan ik ook ineens naar buiten!

Ik zou de rule op basis van username doen. Dan kun je per gebruiker bepalen wat ze wel of niet mogen. Dan kunnen ze zelfs op een andere pc gaan zitten en alsnog hun werk doen.

Vicariously I live while the whole world dies

dinsdag 1 juli 2008 15:57

Acties:

Grolsch

Topicstarter

maar dan moet ik op alle pc's de firewall client op gaan installeren volgens mij

PVOUPUT - 13.400WP - Twente

dinsdag 1 juli 2008 16:03

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Dat lijkt me sowieso verstandig als je met ISA werkt. Dan kun je namelijk AL het verkeer naar buiten via je ISA regelen. Op je daadwerkelijke firewall heb je dan maar 1 regel nodig: al het verkeer van de ISA naar buiten toestaan.

Zo ben je het meest flexibel: op je ISA de rules instellen op basis van useraccounts en op alle pc's een firewall client.

Overigens kun je natuurlijk iets verzinnen voor de uitrol van die ISA firewall clients. Volgens mij is het een .msi, die kun je op afstand wel uitrollen...

Vicariously I live while the whole world dies

dinsdag 1 juli 2008 16:05

Acties:

remco_k

een cassettebandje was genoeg

Grolsch schreef op dinsdag 01 juli 2008 @ 13:16:
Is hier iets aan te doen

Naast de reeds gegeven oplossingen:
Maak de DHCP lease gewoon heel lang?
Ik noem maar wat, 365 dagen. Kans dat een computer dan spontaan een ander IPje krijgt is niet erg groot meer.

Alles kan stuk.

dinsdag 1 juli 2008 16:07

Acties:

Vicarious

☑Rekt | ☐ Not rekt

remco_k schreef op dinsdag 01 juli 2008 @ 16:05:
[...]

Naast de reeds gegeven oplossingen:
Maak de DHCP lease gewoon heel lang?
Ik noem maar wat, 365 dagen. Kans dat een computer dan spontaan een ander IPje krijgt is niet erg groot meer.

Niet zo netjes, maar het werkt op zich wel... hou dan wel je DHCP pool in de gaten, die zal zo een stuk sneller vollopen.

Vicariously I live while the whole world dies

dinsdag 1 juli 2008 16:15

Acties:

remco_k

een cassettebandje was genoeg

Vicarious schreef op dinsdag 01 juli 2008 @ 16:07:
[...]

Niet zo netjes, maar het werkt op zich wel... hou dan wel je DHCP pool in de gaten, die zal zo een stuk sneller vollopen.

Zolang je binnen een jaar niet meer dan 254 (afhankelijk van de pool size tuurlijk) computers / printers / andere ethernet devices vervangt (en vergeet mobiele laptops niet), loopt die pool ook weer gewoon leeg.

Dit truukje pas ik thuis en op wat andere plekken toe, mensen met laptops komen langs, krijgen 'altijd' dezelfde IP. Nooit pool vol ofzo.
Pas als ze langer dan 1 jaar niet zijn geweest, krijgen ze een nieuw IPje.

Voor de devices die echt 100% zeker een vast IP adres moeten krijgen, stel je uiteraard gewoon het MAC adres even in op de DHCP server, of je geeft ze gewoon een vast IP.

[ Voor 13% gewijzigd door remco_k op 01-07-2008 16:17 ]

Alles kan stuk.

dinsdag 1 juli 2008 16:23

Acties:

Grolsch

Topicstarter

* Grolsch heeft maar een zootje reservations op MAC adres aangemaakt, "quick and dirty" oplossing

PVOUPUT - 13.400WP - Twente

dinsdag 1 juli 2008 19:13

Acties:

Vicarious

☑Rekt | ☐ Not rekt

remco_k schreef op dinsdag 01 juli 2008 @ 16:15:
[...]

Zolang je binnen een jaar niet meer dan 254 (afhankelijk van de pool size tuurlijk) computers / printers / andere ethernet devices vervangt (en vergeet mobiele laptops niet), loopt die pool ook weer gewoon leeg.

Dit truukje pas ik thuis en op wat andere plekken toe, mensen met laptops komen langs, krijgen 'altijd' dezelfde IP. Nooit pool vol ofzo.
Pas als ze langer dan 1 jaar niet zijn geweest, krijgen ze een nieuw IPje.

Voor de devices die echt 100% zeker een vast IP adres moeten krijgen, stel je uiteraard gewoon het MAC adres even in op de DHCP server, of je geeft ze gewoon een vast IP.

Hangt van je poolgrootte af. Die is vaak kleiner omdat servers vaak in dezelfde range als clients worden gezet, vooral bij kleine netwerkjes. Als je een pool van 100 hebt, waarvan je er nu 80 gebruikt, heb je er maar 20 te gaan voor nieuwe devices en vervangingen. Maargoed... dat is allemaal situatieafhankelijk en volledig speculatief.

Blijft voor mij over dat ik gewoon jouw ip kan pakken (Wellicht een beheerdersIP! Met alle poorten open naar buiten!

) door je netwerkkabel eruit te trekken en zelf statisch dat IP in te stellen, om zo lekker via alle poorten naar buiten te kunnen $_/-\o_$

Vicariously I live while the whole world dies

dinsdag 1 juli 2008 19:52

Acties:

alt-92

ye olde farte

Vicarious schreef op dinsdag 01 juli 2008 @ 19:13:
Blijft voor mij over dat ik gewoon jouw ip kan pakken (Wellicht een beheerdersIP! Met alle poorten open naar buiten! ) door je netwerkkabel eruit te trekken en zelf statisch dat IP in te stellen, om zo lekker via alle poorten naar buiten te kunnen $_/-\o_$

offtopic:
Leuk, een DoS waarbij je gelijk de beheerder in kwestie alarmeert.
Nog afgezien van het punt dat je fysiek ook nog bij switches/PCs moet zien te geraken.
En als ik al zover kom ga ik echt niet zoiets stoms uithalen dat een beheerder gelijk weet dát er een probleem is

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 2 juli 2008 01:09

Acties:

Vicarious

☑Rekt | ☐ Not rekt

alt-92 schreef op dinsdag 01 juli 2008 @ 19:52:
[...]

offtopic:
Leuk, een DoS waarbij je gelijk de beheerder in kwestie alarmeert.
Nog afgezien van het punt dat je fysiek ook nog bij switches/PCs moet zien te geraken.
En als ik al zover kom ga ik echt niet zoiets stoms uithalen dat een beheerder gelijk weet dát er een probleem is

Nog meer offtopic: iemands pc kan ook gewoon uitstaan natuurlijk (bijv. omdat ie niet aanwezig is). Dan hoef je alleen nog maar te weten wat iemands IP-adres is. Tuurlijk, het is niet heel waarschijnlijk dat iemand hier gebruik van gaat maken, maar het kan wel. En waarom zou je dat risico lopen als je met je ISA gewoon de regel zo kunt instellen dat hij de regels op basis van de users toepast?

Vicariously I live while the whole world dies

woensdag 2 juli 2008 10:18

Acties:

Grolsch

Topicstarter

ok, toch maar de firewall client uitgerold dmv GPO

Maar ik kan geen adm file vinden om de client te configureren

PVOUPUT - 13.400WP - Twente

woensdag 2 juli 2008 13:12

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Als het goed is heb je hem uitgerold met een of andere /autodetect optie erbij. Dan zou hij na de installatie automatisch je ISA server moeten discoveren.

Vicariously I live while the whole world dies

woensdag 2 juli 2008 13:19

Acties:

Grolsch

Topicstarter

Vicarious schreef op woensdag 02 juli 2008 @ 13:12:
Als het goed is heb je hem uitgerold met een of andere /autodetect optie erbij. Dan zou hij na de installatie automatisch je ISA server moeten discoveren.

nee, ik heb hem uitgerold dmv Group Policy (de MSI file).
Ik kan hier geen parameters aan meegeven

PVOUPUT - 13.400WP - Twente

woensdag 2 juli 2008 13:53

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Hmm... ik heb geen ervaring met publicatie op die manier. Via deze link kun je wat andere mogelijkheden vinden, waarbij je ook die automatische detectie aan kan zetten:

http://www.isaserver.org/...soft-Firewall-client.html

Vicariously I live while the whole world dies

woensdag 2 juli 2008 13:57

Acties:

alt-92

ye olde farte

Kies dan wel eerst even voor uninstall via dezelfde GPO als waar deze mee geinstalleerd is, want anders kom je later weer in de problemen.

Volgens mij staat standaard autodetect aan toch? De verdere parameters zijn juist als je van de defaults af wilt wijken.

offtopic:
Persoonlijke tip: ga eens kijken naar een DFS share voor je software deployments, scheelt een boel gezeik als de install share eens van server moet wisselen.

[ Voor 24% gewijzigd door alt-92 op 02-07-2008 13:59 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 2 juli 2008 14:07

Acties:

Grolsch

Topicstarter

alt-92 schreef op woensdag 02 juli 2008 @ 13:57:
Kies dan wel eerst even voor uninstall via dezelfde GPO als waar deze mee geinstalleerd is, want anders kom je later weer in de problemen.

Volgens mij staat standaard autodetect aan toch? De verdere parameters zijn juist als je van de defaults af wilt wijken.

offtopic:
Persoonlijke tip: ga eens kijken naar een DFS share voor je software deployments, scheelt een boel gezeik als de install share eens van server moet wisselen.

ik gebruik al een DFS share voor m'n Software Deployment.

Toch vreemd dat er geen .mst file te maken valt, of een adm template te downloaden is

PVOUPUT - 13.400WP - Twente

woensdag 2 juli 2008 15:37

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Als automagische detectie standaard al aan staat in die dingen kun je hier vinden hoe je die automatische discovery ook werkend krijgt (met WPAD)

http://technet.microsoft.com/en-us/library/cc713344.aspx

Vicariously I live while the whole world dies