ISA User Group - Serversoftware en clouddiensten

dinsdag 17 februari 2009 19:01

Acties:

Topicstarter

Ik zit met een klein maar vervelend probleempje. ISA is geinstalleerd en werkt opzich naar behoren. Echter een vervelend probleem komt naar voren bij de firewall rules (HTTP rule in dit geval). Ik heb een groep gemaakt in AD waar ik wat accounts in heb gestopt die via de ISA proxy HTTP mogen babbelen. In ISA heb ik een groep gemaakt die ik vervolgens link naar die security group (deze ISA groep heb ik een allow gegeven voor HTTP). Hier onstaan de problemen als ik namelijk enkel

als ik mijzelf in die groep zet krijg ik een error 502 en mag niet naar buiten (terwijl ik lid ben van de gelinkte AD groep). Als ik mijzelf als los als user in de ISA groep zet dan mag ik wel naar buiten ???? Vreemd toch ? Alsof ISA dus eigenlijk de ad lidmaatschap van de groep niet goed uitleest of wellicht is het wel een soort nesting probleem (volgens mijn collega) mijn user account kom namelijk wel in meer groepen voor.
Heeft iemand soort gelijke ervaringen ik kan er erg weinig over vinden namelijk.

**MCSA**MCSE**CCNA**VCP4**VCP5&CCNP in progress

dinsdag 17 februari 2009 19:05

Acties:

Vorkie

Paar vragen welke wel handig kunnen zijn:

Hoe is ISA geconfigureerd?

Welke rules heb je allemaal ingesteld?
En heb je als laatste nog steeds de "Last Default Rule" staan.

dinsdag 17 februari 2009 19:06

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Welke isa versie praten we over?

Ik weet dat er een issue bekend is met ISA en AD-groups. De workaround was om de AD-groepen in lokaal aangemaakte groepen op de isa-server te plaatsen en deze lokale groepen rechten binnen ISA geven. Dat was overigens wel met ISA 2000.

Let wel: ik heb dit ooit eens ergens meegekregen en weet het niet zeker.

[ Voor 5% gewijzigd door Question Mark op 17-02-2009 19:07 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 17 februari 2009 20:11

Acties:

Rotty

Topicstarter

Deze isa (2006) doet enkel proxy/chaching (heeft ook maar een NIC en dat zou gewoon moeten werken) en momenteel heb ik er alleen een regel die HTTP allowed en daaronder de default deny all. Ik ga er echter vanuit dat net als bij bv access list in cisco de regeltjes van boven naar beneden afgehandeld worden en zodra er een overeenkomst gevonden wordt, dat er voor die connectie niet meer verder gekeken wordt. Dit lijkt ook zo te zijn gezien het feit dat als ik mijn account los in de ISA groep hang wel toegelaten wordt... Het lijkt er dus niet op dat ik op basis van een bepaalde AD groepslidmaatschap denied wordt door de default deny rule.

Overigens lijkt het mij toch ook vrij normaal dat de implicit deny regel onderaan de lijst moet laten staan dat is toch je sluitpost al het ware. Je allowed bepaalde groepen en alles wat je niet allowed (de rest) wordt opbasis van die regel denied. Weg halen van die regel lijkt me dus wat vreemd... (of bedoelde je dat ook niet?)

**MCSA**MCSE**CCNA**VCP4**VCP5&CCNP in progress

dinsdag 17 februari 2009 20:28

Acties:

Verwijderd

Loop eens een log querie en kijk wat er precies aan verkeer binnenkomt en wat er vervolgens mee gedaan wordt.

dinsdag 17 februari 2009 20:42

Acties:

Vorkie

Rotty schreef op dinsdag 17 februari 2009 @ 20:11:
Deze isa (2006) doet enkel proxy/chaching (heeft ook maar een NIC en dat zou gewoon moeten werken) en momenteel heb ik er alleen een regel die HTTP allowed en daaronder de default deny all. Ik ga er echter vanuit dat net als bij bv access list in cisco de regeltjes van boven naar beneden afgehandeld worden en zodra er een overeenkomst gevonden wordt, dat er voor die connectie niet meer verder gekeken wordt. Dit lijkt ook zo te zijn gezien het feit dat als ik mijn account los in de ISA groep hang wel toegelaten wordt... Het lijkt er dus niet op dat ik op basis van een bepaalde AD groepslidmaatschap denied wordt door de default deny rule.

Overigens lijkt het mij toch ook vrij normaal dat de implicit deny regel onderaan de lijst moet laten staan dat is toch je sluitpost al het ware. Je allowed bepaalde groepen en alles wat je niet allowed (de rest) wordt opbasis van die regel denied. Weg halen van die regel lijkt me dus wat vreemd... (of bedoelde je dat ook niet?)

Oke, op het bedrijf waar ik nu zit gebruiken we ook een ISA als proxy/Caching en hangt maar met 1 poot in het netwerk.

En het klopt wat ik bedoelde, die last default rule moet blijven bestaan

just checking.

Wat ik vooral raar vind is dat die koppeling niet helemaal lekker gaat.

Maak anders eens een test gebruiker en zet deze in die groep. Wat gebeurt er dan? Kan deze wel internetten?

En doe ook, zoals aangegeven, eens een Live Logging, zonder filters e.d.
Dan zie je een wat er allemaal gebeurt en welke policy de aanvraag krijgt.

donderdag 19 februari 2009 09:48

Acties:

Rotty

Topicstarter

Question Mark schreef op dinsdag 17 februari 2009 @ 19:06:
Welke isa versie praten we over?

Ik weet dat er een issue bekend is met ISA en AD-groups. De workaround was om de AD-groepen in lokaal aangemaakte groepen op de isa-server te plaatsen en deze lokale groepen rechten binnen ISA geven. Dat was overigens wel met ISA 2000.

Let wel: ik heb dit ooit eens ergens meegekregen en weet het niet zeker.

Check dat is inderdaad een oplossing zo niet DE oplossing... Opzich gewoon een microsoft-ish- thing to do ik bedoel ..domain global in domain local groups nesten voor het geven van rechten op local resources ...

Anyways ... fixed... and thnks

**MCSA**MCSE**CCNA**VCP4**VCP5&CCNP in progress