Terminal server door ISA - Serversoftware en clouddiensten

dinsdag 27 januari 2004 19:08

Acties:

aka BannieMove

Topicstarter

Ik heb een LAN met een ISA server (mixed mode) en een TS server (allen 2k mixed domain mode). Nu wil er iemand vanaf vestiging A op de terminal server op de hoofdvestiging werken. Het verkeer gaat vanaf vestiging A, door de Router, naar de router op de hoofdvestiging, door de pix en dan door de ISA en als laatste naar de TS.

2 vragen:
Heeft de client op vestiging A een Firewall client nodig of volstaat een firewall client op de TS (vanaf daar gaan ze internetten). Internet is de enige beperking op het internet (lees aantal afgeschermde sites). Al het andere verkeer (DNS, POP, TS zijn beschikbaar voor anyone).

Als ik een firewall client installeer op een vestiging, gaat de routering naar de hoofdvestiging dan nog wel goed? Nu is de router op vestiging A de Gateway voor die vestiging.

Tjielp... een vogel.

dinsdag 27 januari 2004 19:13

Acties:

brandon

Statische routering maken op je routers waar de TS server gevonden kan worden, ik ga er namelijk vanuit dat dit een private adres heeft. Verder de PIX en ISA server configureren dat hij connecties vanaf lan A accepteert.
Overigens, wat is een "firewall client".

dinsdag 27 januari 2004 19:17

Acties:

Bas

aka BannieMove

Topicstarter

De ISA client waarmee het onder andere mogelijk is om op basis van userid / groep lidmaatschap policies uit te voeren (of heb ik het nu helemaal mis?)

Tjielp... een vogel.

dinsdag 27 januari 2004 19:21

Acties:

Arno

PF5A

Policies niet, filters en rules wel.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

dinsdag 27 januari 2004 19:32

Acties:

brandon

op de isaserver is het voldoende om filters en rules aan te maken, op de pix ook een rule aanmaken.
Verder moet er natuurlijk goed gerouteerd worden. Isa clients zou ik niet mee werken

woensdag 28 januari 2004 08:07

Acties:

Bas

aka BannieMove

Topicstarter

Ik wist niet dat ik zonder de firewall client ook op basis van userid restricties kon bepalen.

Tjielp... een vogel.

woensdag 28 januari 2004 08:29

Acties:

Manis

a4

Je moet allereerst "Access Policy" in de ISA consoletree selecteren. Daaronder kun je een nieuwe rule aanmaken in "IP Packet Filters".

In de rule dien je TCP verkeer over beide directies te laten verlopen en poort 3389 open te zetten als lokale port. (TSC verloopt over 3389). De remote port dient op "all ports" te staan.

Verder is het essentieel in het laatste tab "Remote Computer" aan te geven welk(e) IP adres(sen) toegang mogen hebben tot een TSC sessie met deze machine.

/edit:
het is nog vroeg,.. ik had het niet helemaal goed gelezen...

enne.. om op vraag 1 terug te komen, hiervoor heb je de firewall client niet nodig.

[ Voor 19% gewijzigd door Manis op 28-01-2004 08:35 ]

woensdag 28 januari 2004 08:35

Acties:

Verwijderd

Bas schreef op 28 januari 2004 @ 08:07:
Ik wist niet dat ik zonder de firewall client ook op basis van userid restricties kon bepalen.

Voor zover ik weet kan dat ook niet.

kan dat wel dan?

woensdag 28 januari 2004 08:38

Acties:

Manis

a4

Natuurlijk kan dat. Je kunt toch rules aanmaken met de toegang tot bepaalde delen van het internet, de prioriteit van het benaderen ervan, op welke tijdstippen dit allemaal mag gebeuren etc. Aan zo'n rule koppel je een useraccount en/of group.

donderdag 19 februari 2004 11:56

Acties:

Bas

aka BannieMove

Topicstarter

het werkt allemaal, maar er is nu nog 1 probleem. Als gebruikers (die beperkt internet toegang hebben dmv site en content rules), dan krijgen deze een inlogscherm om het internet op te gaan.
Ik heb echter opgegeven bij Site en content rules dat als ze geredirect worden naar een intranet site gaan waar zij niet naar toe mogen

Kortom, hoe krijg ik dat inlog scherm weg?

Tjielp... een vogel.

donderdag 19 februari 2004 14:37

Acties:

Verwijderd

Bas schreef op 19 februari 2004 @ 11:56:
het werkt allemaal, maar er is nu nog 1 probleem. Als gebruikers (die beperkt internet toegang hebben dmv site en content rules), dan krijgen deze een inlogscherm om het internet op te gaan.
Ik heb echter opgegeven bij Site en content rules dat als ze geredirect worden naar een intranet site gaan waar zij niet naar toe mogen

Kortom, hoe krijg ik dat inlog scherm weg?

duh, niet directen naar een intranet site waar ze niet naar toe mogen

donderdag 19 februari 2004 15:59

Acties:

Bas

aka BannieMove

Topicstarter

Misschien heb ik het niet helder uitgelegd:
Gebruiker mag niet naar site A en moet vervolgens naar site B geredirect worden. Als de gebruiker naar site A gaat dan wordt deze gevraagd om inlog gegevens in te voeren en dat wil ik dus niet.

Tjielp... een vogel.

zaterdag 21 februari 2004 09:42

Acties:

Yalopa

Less is more!

een rule aanmaken die destinationset A verbied en redirect naar B?

You don't need eyes to see, you need vision

zaterdag 21 februari 2004 13:33

Acties:

Verwijderd

Manis schreef op 28 januari 2004 @ 08:38:
Natuurlijk kan dat. Je kunt toch rules aanmaken met de toegang tot bepaalde delen van het internet, de prioriteit van het benaderen ervan, op welke tijdstippen dit allemaal mag gebeuren etc. Aan zo'n rule koppel je een useraccount en/of group.

Dat geldt alleen voor HTTP,HTTPS en FTP verkeer.
Als je het overige verkeer op basis van groep lidmaatschap wilt filteren heb je de firewall client nodig.
Op basis van client ip adres filteren kan natuurlijk altijd.