ISA en Remote Desktop

[anoniem]

De eerst policy die ik wil maken is een voor remote desktop, de DC en mail server worden ook met RD berijkt. (zonder ISA werk het wel) Op de ISA server heb ik een policy gemaakt die remote desktop met de ISA server mogelijk moet maken. Onder users heb ik met een secure ID een gebruiker aangewezen (ik zelf) uit users van de DC. Onder protocols: RDP (Terminal Services) en RDP (Terminal Sevices) Server toegevoegd. From: Internal. To: server IP address. Met deze instellingen krijg ik geen toegang tot de server. Als ik onder users All users en All Authenticated Users toevoeg, kom ik er wel op, en alle andere gebruikers ook. Is het zo dat allen met een Secure ID dit niet wekt? Of heeft ISA een probleem met de DC? Ik hoop weer op de vele en goede reacties van de forum gebruikers.

[anoniem]

Ten eerste moet je niet door middel van een access rule RDP toelaten op de ISA server zelf. Alles wat je met de ISA server zelf wil doen, pas je aan in de system policy. Daar vind je ook een stukje remote management van de ISA server en waarvandaan je het wilt toestaan. Wat probeer je nu precies te doen? Wil je van buitenaf met RDP inloggen op één van je servers? Dan heb je een server publishing rule nodig.

[anoniem]

Ik probeer vanaf het interne netwerk op de server te komen, dat doe ik ook met de andere servers. Die heb ik op zolder staan en kom daar verder niet bij. Ik doe dus alles met RD. De gemaakte policy kan ik dus weer weghalen als ik het goed begrijp.

[anoniem]

Kun je nu wel of niet RDP-en naar je domain controller en mail server vanaf je interne netwerk? Als je een rule aan hebt gemaakt om te kunnen RDP-en naar je ISA-server moet je die inderdaad weghalen. Al het verkeer van en naar je ISA-server regel je door middel van de system policy.

[anoniem]

Ik kan RDP-en naar de DC en Mail-server, Dat was ook al zo. Dit wil ik natuurlijk ook met de ISA server, de access rule die ik had gemaakt in firewall policy is nu weg. RDP-en naar ISA is nu niet mogelijk. Ik moet dus een rule maken in System Policy die mij en niemand anders, uit het interne netwerk toegang verllend op ISA. Extern is niet nodig.

[anoniem]

Het is niet zo dat je een rule aanmaakt in je system policy, maar de system policy bestaat uit meerdere rules die al standaard zijn aangemaakt. Je kan dan ook geen rule verwijderen of aanmaken, alleen maar enablen, of disablen, of zodanig bewerken dat ze voor bepaalde gebruikers gelden. Klik hiervoor met rechts op "Firewall Policy" en kies voor "Edit system policy". Onder het kopje "Remote Management" vind je hier "Terminal Server". Dit kun je aanzetten door het vinkje bij "Enable" aan te zetten. Op het tabblad "From" zie je als het goed is een computergroep "Remote management computers" staan. Je kan jouw computer hieraan toevoegen, door even op OK te klikken. Als je aan de linkerkant "firewall policy" hebt geselecteerd, kun je aan de rechterkant de "ttolbox" openen. Onder "Network objects" staat "computer sets". Hieronder staat de computer set "remote management computers". Dubbelklik hierop en je kan jouw computer toevoegen aan deze groep. Let op: dit gaat op basis van IP-adres. Als je IP-adres verandert, ben je dus geen lid meer van deze groep.

[anoniem]

Wat je schreef heb ik bekeken, het vinkje stond al aan en de rest is wel duidelijk. Echter ik heb niet altijd het zelfde IP adres. Moet ik, in dit geval de netwerkkaart van mijn pc een vast IP nummer geven? En dan buiten de range van de DHCP, deze loopt van x.x.x.50 t/m x.x.x.100 Ik zou de betreffende pc b.v. x.x.x.45 kunnen geven. Voor het berijken van de andere servers heeft dit geen gevolgen.

[anoniem]

De pc is voorzien van een vast IP adres, en in ISA heb ik onder Network Objects > Computers de pc toegevoegd. RDP naar ISA werkt! Alweer bedankt voor de aanwijzingen. Dit is de eerste voor mij belangrijke verbinding die moet werken. De tweede is de exchange server. Op de router wordt P25 doorgestuurd naar het IP adres van de server, dit kan er nu uit. In ISA moet dit dan geregeld worden. Doe ik dat wel onder Array Policy > Publish a Mail Server? Of hoort dit ook ergens anders ingesteld te worden?

[anoniem]

Je kan het inderdaad doen via die wizard die dan verschijnt, maar je kan ook handmatig een server publishing rule aanmaken binnen je firewall policy. Met die wizard heb je het zelf toch net niet zo goed in de hand, als wanneer je het handmatig doet. Vergeet niet op je router poort 25 door te sturen naar het externe IP-adres van je ISA-server, tenzij alle poorten gewoon open staan...

[anoniem]

Handmatig een server publishing rule aanmaken binnen de firewall policy? Deze begrijp ik niet, kun je iets duidelijker zijn? P25 op de router naar externe ISA gaat lukken.

[anoniem]

Rechtsklik op "firewall policy" --> "New" --> "Server publishing rule". De rest wijst weer vanzelf...

[anoniem]

Onder “new server publishing rule” komt de vraag select protocol, mijn keuze zou zijn SMTP Server. Maar moeten er ook nog andere geselecteerd worden? Zoals SMTPS server en of Echange RPC server? Bij de vraag IP Addresses denk ik Internal en External te moeten aanvinken, allebij “All IP addresses” (Dit zijn toch de twee NIC’s in de ISA Server?) Dan heb ik ook nog een vraag over het door sturen van P25 op de router (IP 10.0.0.1)naar de externe NIC van ISA (10.0.0.2) Alles van de router wordt nu toch naar ISA gestuurd? Of heeft dit iets te maken met het OSI model, en moet het daarom worden doorgetuurd?

[anoniem]

Het protocol waar je voor kiest is uiteraard SMTP Server. Het is immers ook een SMTP-server die op poort 25 draait. E-mail-verkeer loopt ook over poort 25 middels het SMTP-protocol. Andere protocollen zijn eigenlijk alleen nodig als je van buitenaf ook je mail wil kunnen lezen, via het Exchange RPC protocol (of POP3 of IMAP), of als je wil dat je server ook via een beveiligd kanaal benaderd wordt (SMTPS). Dit wordt eigenlijk bij Internet-email niet toegepast. Heb je in je router alle poorten opengezet naar je ISA-server? Standaard is dit namelijk niet zo, dit moet je apart instellen. Van binnen naar buiten is wel alles open, maar van buiten naar binnen is dit niet het geval, tenzij je dus alle poorten open hebt staan, of (in mijn geval) je router een transparante verbinding heeft, waarbij je publieke Internet-IP op je ISA-server staat.

[anoniem]

Het volgende probleem wat ik tegen kom is geen internet via ISA. Ik had de ISA server tussen de router en het netwerk geplaatst, maar er was geen internet mogelijk. Pingen van ISA naar interne en externe NIC werkt. Pingen naar de router ook. Ook andere servers en gebruikers zijn vanaf ISA te pingen. Naar ISA toe werkt het ook. Er zijn twee Policy's aanwezig: A. voor verkeer naar de mailserver. Op de router P25 > ext NiC van ISA B. Alles en iedereen mag het internet op. Het lijk voor mij zo dat de twee NIC's niet naar elkaar luisteren. ISA is nu weer intern met het netwerk verbonden en extern met een oude HUB waar verder niets aanhangt. :-? Onder Alerts staat: The following ranges are in the network's IP address range but are missing from the routing table 0.0.0.1-9 255.255.255,11.0.0.0-126 en dan nog veel meer.

[anoniem]

Een ISA-server draaien als je er eigenlijk niet zo heel erg veel van af weet valt nog niet mee he? :wink: Er kunnen verschillende oorzaken zijn. Welke is heel sterk afhankelijk van je situatie. Check je mail eens...