ISA2004 FCS

w2k3sp2+isa2004sp3, AD, контроллеры находятся на отдельных машинах.

Стандартная однорангавая сеть.

Для того, что бы работали правила которые написаны не для Allusers, в сетевых настройках убрал default gateway. Правила заработали. Но, при попытке ping внешнего IP получаем результат: Заданный узел не доступен. Резолв имен - работает нормально. Вопрос, как заставить работать каманды ping, tracert?

 

EDward_78:

Для того, что бы работали правила которые написаны не для Allusers, в сетевых настройках убрал default gateway. Правила заработали.

что то не просек смысла этого действия. и где ты убрал в настройках DG?

ping как и любой другой icmp а также все протоколы ip-level будут работать ТОЛЬКО как securenat клиенты. то есть e клиентов должен быть default gateway на ису и правила должны быть all users. это элементарные сведения, и написаны они везде

DG я убрал в настройках сетевого интерфейса на рабочей станции находящейся в интрасети, на которой установлен ISA клиент. Убрал для того, что бы проходила авторизация. Т.е. есть правило: разрешить весь исходящий траффик, но только для группы ХХХ. Если оставить DG, то это правило работает как запрещающее, т.к. нет авторизации. Если убрать DG, то авторизация проходит, работает стандартный набор приложений (браузеры, почтовые клиенты), но не работает VPN, ну и всякие tracert, ping. Если я хочу, что бы у меня оставался полный функционал, нужно делать отдельную подсеть и в правиле указывать ее, оставив AllUsers. Так?

во первых не авторизация а аутенфикация

во вторых наличие DG на это никак не влияет. остальной бред комментировать уже не могу,особенно про отдельные сети :)))))
открой книжку и почитай какие бывают клиенты и как это связано с аутенфикацией. или по форуму полазь, тут такие глупости уже спрашивали неоднократно.

Собственно отключил DG по вашему же совету из одного из постов.

По поводу путаници авторизации и аутентификации - прощу прощения, действительно, запутался. Виновен, глупость сморозил, исправлюсь. Пиво с меня.

Пошел читать книжку. Но факт есть - если прописать DG, то аутентификации не происходит. :(

это не факт, это ложный вывод из неправильных наблюдений :)

Показанный монитором ISA.

Разобрался с автоматической публикацией. А вот с авторизацией пока как-то не очень. Работаю над этим.

На мой взгляд следует посмотреть порядок правил.

Сделай банальный ход, сбекапь свой конфиг, удали все правила и сделай пару правил

1. Разрешаем протокол Ping для всех пользователей из внутриней сети наружу для всех пользователей

2. Разрешаем все протоколы туда же, но для аутетнтифицированных пользователей (есно требуем принудительно аутентифицироваться)

Правило для всех пользователей должно быть выше правила для определенных пользователей

Думаю далее будет все понятно.