Terminal server door ISA

Pagina: 1
Acties:

  • Bas
  • Registratie: Juni 1999
  • Niet online

Bas

aka BannieMove

Topicstarter
Ik heb een LAN met een ISA server (mixed mode) en een TS server (allen 2k mixed domain mode). Nu wil er iemand vanaf vestiging A op de terminal server op de hoofdvestiging werken. Het verkeer gaat vanaf vestiging A, door de Router, naar de router op de hoofdvestiging, door de pix en dan door de ISA en als laatste naar de TS.

2 vragen:
Heeft de client op vestiging A een Firewall client nodig of volstaat een firewall client op de TS (vanaf daar gaan ze internetten). Internet is de enige beperking op het internet (lees aantal afgeschermde sites). Al het andere verkeer (DNS, POP, TS zijn beschikbaar voor anyone).

Als ik een firewall client installeer op een vestiging, gaat de routering naar de hoofdvestiging dan nog wel goed? Nu is de router op vestiging A de Gateway voor die vestiging.

Tjielp... een vogel.


  • brandon
  • Registratie: Oktober 2000
  • Laatst online: 31-01 17:43
Statische routering maken op je routers waar de TS server gevonden kan worden, ik ga er namelijk vanuit dat dit een private adres heeft. Verder de PIX en ISA server configureren dat hij connecties vanaf lan A accepteert.
Overigens, wat is een "firewall client".

  • Bas
  • Registratie: Juni 1999
  • Niet online

Bas

aka BannieMove

Topicstarter
De ISA client waarmee het onder andere mogelijk is om op basis van userid / groep lidmaatschap policies uit te voeren (of heb ik het nu helemaal mis?)

Tjielp... een vogel.


  • Arno
  • Registratie: Juli 2000
  • Laatst online: 09:03

Arno

PF5A

Policies niet, filters en rules wel.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson


  • brandon
  • Registratie: Oktober 2000
  • Laatst online: 31-01 17:43
op de isaserver is het voldoende om filters en rules aan te maken, op de pix ook een rule aanmaken.
Verder moet er natuurlijk goed gerouteerd worden. Isa clients zou ik niet mee werken

  • Bas
  • Registratie: Juni 1999
  • Niet online

Bas

aka BannieMove

Topicstarter
Ik wist niet dat ik zonder de firewall client ook op basis van userid restricties kon bepalen.

Tjielp... een vogel.


  • Manis
  • Registratie: Maart 2001
  • Laatst online: 25-12-2023

Manis

a4

Je moet allereerst "Access Policy" in de ISA consoletree selecteren. Daaronder kun je een nieuwe rule aanmaken in "IP Packet Filters".

In de rule dien je TCP verkeer over beide directies te laten verlopen en poort 3389 open te zetten als lokale port. (TSC verloopt over 3389). De remote port dient op "all ports" te staan.

Verder is het essentieel in het laatste tab "Remote Computer" aan te geven welk(e) IP adres(sen) toegang mogen hebben tot een TSC sessie met deze machine.

/edit:
het is nog vroeg,.. ik had het niet helemaal goed gelezen...

enne.. om op vraag 1 terug te komen, hiervoor heb je de firewall client niet nodig.

[ Voor 19% gewijzigd door Manis op 28-01-2004 08:35 ]


Verwijderd

Bas schreef op 28 januari 2004 @ 08:07:
Ik wist niet dat ik zonder de firewall client ook op basis van userid restricties kon bepalen.
Voor zover ik weet kan dat ook niet. :?

kan dat wel dan?

  • Manis
  • Registratie: Maart 2001
  • Laatst online: 25-12-2023

Manis

a4

Natuurlijk kan dat. Je kunt toch rules aanmaken met de toegang tot bepaalde delen van het internet, de prioriteit van het benaderen ervan, op welke tijdstippen dit allemaal mag gebeuren etc. Aan zo'n rule koppel je een useraccount en/of group.

  • Bas
  • Registratie: Juni 1999
  • Niet online

Bas

aka BannieMove

Topicstarter
het werkt allemaal, maar er is nu nog 1 probleem. Als gebruikers (die beperkt internet toegang hebben dmv site en content rules), dan krijgen deze een inlogscherm om het internet op te gaan.
Ik heb echter opgegeven bij Site en content rules dat als ze geredirect worden naar een intranet site gaan waar zij niet naar toe mogen

Kortom, hoe krijg ik dat inlog scherm weg?

Tjielp... een vogel.


Verwijderd

Bas schreef op 19 februari 2004 @ 11:56:
het werkt allemaal, maar er is nu nog 1 probleem. Als gebruikers (die beperkt internet toegang hebben dmv site en content rules), dan krijgen deze een inlogscherm om het internet op te gaan.
Ik heb echter opgegeven bij Site en content rules dat als ze geredirect worden naar een intranet site gaan waar zij niet naar toe mogen

Kortom, hoe krijg ik dat inlog scherm weg?
duh, niet directen naar een intranet site waar ze niet naar toe mogen

  • Bas
  • Registratie: Juni 1999
  • Niet online

Bas

aka BannieMove

Topicstarter
Misschien heb ik het niet helder uitgelegd:
Gebruiker mag niet naar site A en moet vervolgens naar site B geredirect worden. Als de gebruiker naar site A gaat dan wordt deze gevraagd om inlog gegevens in te voeren en dat wil ik dus niet.

Tjielp... een vogel.


  • Yalopa
  • Registratie: Maart 2002
  • Niet online

Yalopa

Less is more!

een rule aanmaken die destinationset A verbied en redirect naar B?

You don't need eyes to see, you need vision


Verwijderd

Manis schreef op 28 januari 2004 @ 08:38:
Natuurlijk kan dat. Je kunt toch rules aanmaken met de toegang tot bepaalde delen van het internet, de prioriteit van het benaderen ervan, op welke tijdstippen dit allemaal mag gebeuren etc. Aan zo'n rule koppel je een useraccount en/of group.
Dat geldt alleen voor HTTP,HTTPS en FTP verkeer.
Als je het overige verkeer op basis van groep lidmaatschap wilt filteren heb je de firewall client nodig.
Op basis van client ip adres filteren kan natuurlijk altijd.
Pagina: 1