|
|
 |
|
| Author |
 Topic  |
|
|
madissimo
Starting Member
4 Posts |
 Posted - 29/07/2010 : 17:40:34
|
Ciao,
innanziutto complimenti per il sito e per la passione con cui lo portate avanti e date preziosi consigli!
Ho un isa server 2006 standard in modalità edge firewall.
Mi sono accorto di un problema che ritengo quanto meno singolare.
Non ho alcun problema sui pc del dominio che tramite single-sign-on ricevono automaticamente le configurazioni del proxy tramite wpad/dns e anche script di configurazione automatica via gpo. Browser ie8 in modalità configurazione automatica.
Non ho problemi con consulenti esterni che si collegano in lan, in quanto ie8 gli mostra una maschera di log-on dell'isa che richiede autenticazione alla navigazione.
Il bello viene quando un consulente ha il suo pc membro di un altro dominio: utilizzando ie e abilitando la configurazione automatica, non viene proposta la maschera di log-on di isa per la richiesta delle credenziali e non navigano. Se specifico i parametri dello script di configurazione automatica che normalmente assegno via gpo ai miei membri di dominio, come sopra. Se inserisco i parametri i del proxy manualmente, stessa cosa. Non c'è verso di fare uscire le macchine.
Ancora più bello è se faccio questa cosa: se la stessa macchina ha Firefox installato, gli dico di rilevare le impostazioni automaticamente, non faccio in tempo a dare l'ok, che ho già lì la maschera di log-on di isa che mi chiede le credenziali di accesso e, una volta autenticato, funziona perfettamente.
Questo mi succede solo se tali macchine sono membri di altri domini e non del mio. Per macchine in workgroup è tutto ok, con richiesta di autenticazione!
Ho fatto alcuni test e ho visto che isa segnala il rilascio di wpad al client, ma al primo tentativo di browsing di un sito qualsiasi, in basso a sx del browser (ie8) vedo che da dnserror. Su isa da il seguente log in riferimento al sito che si tentava di navigare:
Log type: Web Proxy (Forward)
Status: 12209 The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.
Rule: Internet Full Access
Source: Internal (x.x.x.x)
Destination: External (x.x.x.x:8080)
Request: GET http://www.lenovo.com/it/it
Filter information: Req ID: 08c7fd2c; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Protocol: http
User: anonymous
Dalle casistiche che ho constatato mi sembra più qualcosa legato ad ie8 e isa ma purtroppo non ho potuto testare una versione precedente di ie.
Qualche idea??? Onestamente non mi viene in mente cos'altro posso provare...
Grazie mille del supporto...tecnico e morale! :) |
|
|
IsaCab
Moderator
3814 Posts |
Posted - 29/07/2010 : 19:20:11
|
Ciao,
grazie a te per i complimenti, fanno sempre piacere.
Probabilmente stai usando il flag "Richiedi a tutti di autenticarsi" ....
Direi che potresti procedere in due/tre modi :
1) Sposti l'autenticazione a livello di access rule ed elimini il flsg su citato. Fatto questo abiliti la modalità di richiesta delle credenziali alternative http://www.isaserver.it/articoli/20061122-GM03.asp
2) Fai avviare il PC del consulente con le credenziali workgroup e non quelle di dominio
3) Fai avviare IE con RUN AS e fornisci delle credenziali valide per il tuo dominio
I tre punti non sono sequenziali ma sono metodi diversi per cercare di risolvere lo stesso problema.
Ciao Giulio
________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post |
Edited by - IsaCab on 29/07/2010 19:21:32 |
 |
|
|
madissimo
Starting Member
4 Posts |
Posted - 30/07/2010 : 13:50:49
|
Ciao Giulio,
grazie mille per la pronta risposta!
Rispondo ai tuoi punti:
1)scusami tanto ma avevo dimenticato di dire nel mio post precedente che NON richiedo l'autenticazione di tutti gli utenti e che uso già l'autenticazione integrata;
2)i consulenti, spesso non hanno i permessi per modificare da dominio a workgroup. Ad ogni modo ho provato su un pc membro di un altro dominio che ho qui, ad autenticarmi con l'utente admin locale di quella macchina, ma ugulamente non mi viene presentata la maschera di richiesta credenziali di isa.
3)ho provato ad avviare con runas sia da riga di comando che da gui ma non parte e mi restituisce una finestra di errore "c:\programmi\internet explorer\iexplore.exe Nessun server di accesso è attualmente disponibile per soddisfare la richiesta di accesso". Ho provato immediatamente e con la finestra di errore ancora visualizzata ad utilizzare Firefox e con la semplice opzione di configurazione automatica mi presenta la maschera di richiesta credenziali di isa.
Ho provato anche il workaround relativamente allo script RequestAuth.vbs, che mi ha confermato l'abilitazione ma ancora non funziona e mi logga l'errore che avevo precedentemente postato.
Firefox funziona sempre invece che è una meraviglia 
Una cosa non capisco di tutto questo: macchine del mio dominio, nessun problema (single sign on); macchine non appartenenti a nessun dominio, nessun problema (richiede l'autenticazione; macchine appartenenti ad un dominio esterno, ie non richiede autenticazione ma firefox con solo configurazione automatica sì...BEL MISTERO!!!
Ti viene in mente qualcosaltro?  
In ogni caso ti ringrazio molto per l'interessamento alla causa!
|
|
|
|
IsaCab
Moderator
3814 Posts |
Posted - 30/07/2010 : 15:08:45
|
Ciao,
quote:
Ti viene in mente qualcosaltro?
Aspetta...aspetta.... Se puoi fai quesata prova :
Metti un sito qualsiasi (anche isaserver.it :-)) tra i siti attendibili e livello di protezione basso e fai la prova ....
Ciao Giulio
________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post |
|
|
|
IsaCab
Moderator
3814 Posts |
Posted - 30/07/2010 : 15:13:45
|
..... inoltre ( e scusami se ti rispondo a pezzi) fai questa prova :
nelle impostazioni proxy di IE8 metti l'ip di ISA al posto dell'FQDN eleiminado rileva automaticamente le impostazioni.
In questo modo forzi IE8 a comportarsi come IE6 per l'autenticazione e cioè a usare NTLM al posto di kerberos.
CIao Giulio
________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post |
|
|
|
madissimo
Starting Member
4 Posts |
Posted - 02/08/2010 : 13:33:45
|
Ciao Giulio,
ho provato entrambi i test...ma purtroppo sono negativi entrambi...
Non so che dire...non riesco a capire quale possa essere il problema!
Grazie!
Ciao
|
|
|
|
IsaCab
Moderator
3814 Posts |
Posted - 02/08/2010 : 14:41:04
|
Ciao,
direi che mi hai disarmato .... :-)
Purtroppo via forum non riesco a fare di più.
Ciao Giulio
________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post |
|
|
|
madissimo
Starting Member
4 Posts |
Posted - 03/08/2010 : 10:30:50
|
Ok, grazie lo stesso!
Se ti viene in mente qualcosa, aggiornami.
Ciao ciao e buone vacanze |
|
|
| |
Topic |
|
|
|
| ISAserver.it Forum |
© 2004-2008 Luca Conte - Tutti i diritti riservati |
|
|
|
|
ISA NON CHIEDE AUTENTICAZIONE!
