ISA 2006 AD-Gruppen funktionieren nicht

29/05/2009 - 11:16 von Roger Hungerbuehler | Report spam
Hi

Ich hab wohl mal wieder ein Brett vorm Kopf :-)

Ich habe einen ISA 2006 (Memberserver im Internen AD )als Edge-
Firewall mit 4 NICs.

NIC1 = Internes Netzwerk mit AD-Integration (172.19.25.0/24)
NIC2 = Externes Netzwerk (Internet)
NIC3 = Externes Netzwerk (Standleitung zu einem Kunden)
NIC4 = DMZ (10.0.36.0/24)

In der DMZ (NIC4) steht ein Webserver auf dem derzeit ca. 230 lokale
Benutzerkonten liegen, diese dienen zur Vorauthentifizierung (ueber
SSL) am Webserver und muessen gepflegt werden.

Dazu habe ich im AD des internen Netzwerks einen Sicherheistgruppe mit
Namen Webadmins erstellt und einen Benutzer testweise dort
eingetragen.

Auf dem SIA habe ich eine neue Benutzergruppe mit Namen Webadmins (AD)
erstellt und diese mit der entsprechenden Gruppe Webadmins im AD des
internen Netzwerks verbunden.

Ausserdem habe ich auf dem ISA folgende Firewall Zugriffsregel
erstellt:

Von: Intern (NIC1= 172.19.25.0/24)
Nach: DMZ (NIC4 = 10.0.36.0/24)
Allgemein: Aktivieren
Aktion: Zulassen
Protokolle: RDP (3389)
Benutzer: Webadmins (AD)
Zeitplan: Immer
Inhaltstypen: Alle Inhaltstypen

Der RDP-Zugriff klappt aber nicht, auch nicht mit der Gruppe Domaenen.
Nur, wenn ich der Regel die integrierte Gruppe Alle Benutzer eintrage
geht es.

In der Überwachung werden die Zurgiffsversuche dann auch prompt als
verweigert aufgelistet.

Lustigerweise habe ich andere Zugriffsregeln, in denen die Gruppe
Domaenen Admins wndernar funktioniert...

Hab ich was vergessen oder habe ich einen Fehler in der ISA Konfig?

Danke und Gruss
Roger Hungerbuehler
 

Lesen sie die antworten

#1 Jens Baier
29/05/2009 - 11:29 | Warnen spam
Hi,

Allgemein: Aktivieren
Aktion: Zulassen
Protokolle: RDP (3389)
Benutzer: Webadmins (AD)



damit das funktioniert, muessen die Clients, welche RDP aufrufen, Firewall
Client sein (ISA Software). Nur der FWC unterstuetzt Authentifizierung in
Firewall Regeln.

Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/p...Marc.Grote
http://blog.it-training-grote.de

Ähnliche fragen