|
|
|
|
| Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Proxy/NAT - Подключение к ISA с компьютера, не входящего в домен |
|
|
Proxy/NAT - Подключение к ISA с компьютера, не входящего в домен
|
|
Пользователь Сообщения: 116 |
Возможно, проблема тривиальна, но гугление мне внятного ответа не дало.
Ситуация: есть домен, в домене - ISA Server 2006, через который ходят в Интернет машины из домена. Возникла необходимость пустить в Интернет ноутбук с Windows 7 Home, который в домен не включишь (подразумевается, что пользователь будет работать на нём и в офисе, и дома). Ноутбук получил IP-адрес по DHCP (зарезервированный за ним), в нашу сеть ходит от имени своего локального пользователя (имя и пароль которого совпадают с созданными в домене для такого случая). На ISA создан объект типа "компьютер" с IP-адресом этого компьютера, с которого во внешнюю сеть разрешено ходить всем пользователям ("All users") по протоколам DNS, HTTP, HTTPS, POP3, SMTP и на всякий случай Ping (правило назвал "nodomain"). На сам клиентский компьютер установлен соответствующий "Клиент межсетевого экрана". Проблема следующая. Если в "свойствах обозревателя" прямо указать адрес прокси-сервера, он в Интернет ходит. Но если попытаться подключиться через "Клиент" (скажем, скачать почту "Аутлуком") - доступа нет. "Клиент" выдаёт ошибку: "Отключен:не удается проверить подлинность сервера ISA Server". Просмотр логов на ISA даёт следующее: когда в Интернет идёт IE с прописанным адресом прокси-сервера, выдаются сообщения с честно указанным протоколом HTTP, правилом "nodomain" и пользователем почему-то "anonimous". Но если до сервера пытается достучаться "Клиент", протокол указывается "Клиент межсетевого экрана Microsoft (TCP)", поле "имя пользователя" пусто, правило тоже пусто (т.е., как я понимаю, ни одному правилу соответствия не нашлось?) - и, соответственно, получается "Закрытое соединение". Пробовал явно разрешить в правиле "nodomain" протокол "Клиент межсетевого экрана Microsoft (TCP)" - ничего не изменилось. Задал на клиентском ноутбуке в "Диспетчере учетных данных" в явном виде имя и пароль пользователя, под которым надо подключаться к машине с ISA-сервером - ничего не изменилось, всё равно "anonimous" или пусто. Что с этим делать? |
|
|
------- Отправлено: 20:41, 22-11-2012 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать FWC удалите.
и поставьте правило nodomain над любыми другими в которых есть явное указание пользотелей или групп. |
|
------- Отправлено: 21:14, 22-11-2012 | #2 |
|
Пользователь Сообщения: 116
|
Профиль | Отправить PM | Цитировать cameron, правило, конечно, стоит выше всех с явно указанными пользователями. Без FWC он может, конечно, выбраться во внешний мир, но только если адрес ISA-сервера указан на нём как шлюз по умолчанию. Если нет - он просто не догадается, куда обращаться. Проблема в том, что в нашей сети ISA-сервер не является шлюзом по умолчанию, потому что она состоит из нескольких подсетей, и маршрутизирует их роутер CISCO, а не машина с ISA-сервером.
Нетрудно было бы руками прописать на ноутбуке ISA-сервер шлюзом по умолчанию; но задача в том, чтобы пользователю ни дома, ни на работе не приходилось ничего самому прописывать (в компьютерах он категорически не спец). Так что единственный вариант - DHCP, а оно выдаёт шлюзом по умолчанию адрес циски, а не исы. ...В конце концов решил принять половинчатое решение: прописать нужный адрес шлюза (и DNS-сервера Интернета, а не внутренней нашей сети) в настройках сервера DHCP индивидуально для резервации IP-адреса этого ноутбука. Ну не сможет он, будучи на работе, попасть в подсеть бухгалтерии - но ему это, надеюсь, и не надо. Но всё-таки вопрос решённым не считаю. Вдруг кто-нибудь знает, как достичь полного решения, т. е. и в Интернет машину пустить, и внутренние подсети оставить ей доступными? |
|
------- Отправлено: 10:01, 23-11-2012 | #3 |
|
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата IksSafonsky:
Цитата IksSafonsky:
если уж кошка не может сделать source NAT для этого IP. Цитата IksSafonsky:
|
|||
|
------- Отправлено: 10:25, 23-11-2012 | #4 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| PowerShell - Удаленное добавление компьютера в домен | Baggurd | Скриптовые языки администрирования Windows | 1 | 01-02-2012 18:29 | |
| добавление компьютера в домен | жаба | Автоматическая установка Windows 2000/XP/2003 | 9 | 09-04-2009 09:53 | |
| [Решено] Ввод компьютера в домен | Tyran | Microsoft Windows NT/2000/2003 | 12 | 20-11-2008 21:16 | |
| DFS - возможно ли подключение к ней ПК, не входящего в домен? | Loki3D | Microsoft Windows NT/2000/2003 | 13 | 08-06-2007 09:53 | |
| Добавление компьютера в домен | kas84 | Автоматическая установка Windows 2000/XP/2003 | 4 | 18-03-2007 13:35 | |
|
|
Время: 00:42. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
