Discussione:
ISA Server e firewall client Microsoft
(troppo vecchio per rispondere)
Gianni
2006-10-26 08:46:02 UTC
Permalink
Salve
In un ambiente W2k 2003 per accedere ad un Dominio di Test posto su una rete
diversa da quella di produzione, per accederci usiamo da tempo il firewall
client Microsoft.
Ora, alcuni utienti Utilizzano Client Linux e non riescono ad accedere a
tale rete di Test non potendo istallare il Firewall Microsoft.....
Come si puo' risolvere il problema???
Questi utenti ci chiedevano come mai è possibile dalle macchine microsoft
accedere in file sharing senza Fi client attivato, mentre serve, se ci si
accede in remote desktop.... Da questo traggono la conclusione che si
potrebbe configurare ISA in modo che permetta il remote desktop anche da un
client senza che abbiano istallato il FI client.....
è fantanscenza??
:(
Gianni
Stefano (Wok) Marsani
2006-10-26 08:51:00 UTC
Permalink
Post by Gianni
Salve
In un ambiente W2k 2003 per accedere ad un Dominio di Test posto su una rete
diversa da quella di produzione, per accederci usiamo da tempo il firewall
client Microsoft.
Ora, alcuni utienti Utilizzano Client Linux e non riescono ad accedere a
tale rete di Test non potendo istallare il Firewall Microsoft.....
Come si puo' risolvere il problema???
Questi utenti ci chiedevano come mai è possibile dalle macchine microsoft
accedere in file sharing senza Fi client attivato, mentre serve, se ci si
accede in remote desktop....
il problema del filesharing o del terminal server dipende dalle regole
impostate sull'ISA.
Post by Gianni
Da questo traggono la conclusione che si
potrebbe configurare ISA in modo che permetta il remote desktop anche da un
client senza che abbiano istallato il FI client.....
se ho capito la domanda la risposta è si, basta che apri la porta TCP 3389
per il traffico dalla rete delle machine linux verso la rete di test

Ciao
Stefano
Gianni
2006-10-26 09:13:02 UTC
Permalink
La porta tcp 3389 è aperta! Il problema in fatti non si pone se accedo
all'interno della stessa rete, ma se accedo dalla rete di Produzione a quella
di Test (reti diverse) senza client FI non riesco a fare remote desktop o se
lo faccio mi si impalla!! Devo perforza attivare il client Fi... O è
possibile configurare ISA in maniera appropriata?
:(
Post by Stefano (Wok) Marsani
Post by Gianni
Salve
In un ambiente W2k 2003 per accedere ad un Dominio di Test posto su una rete
diversa da quella di produzione, per accederci usiamo da tempo il firewall
client Microsoft.
Ora, alcuni utienti Utilizzano Client Linux e non riescono ad accedere a
tale rete di Test non potendo istallare il Firewall Microsoft.....
Come si puo' risolvere il problema???
Questi utenti ci chiedevano come mai è possibile dalle macchine microsoft
accedere in file sharing senza Fi client attivato, mentre serve, se ci si
accede in remote desktop....
il problema del filesharing o del terminal server dipende dalle regole
impostate sull'ISA.
Post by Gianni
Da questo traggono la conclusione che si
potrebbe configurare ISA in modo che permetta il remote desktop anche da un
client senza che abbiano istallato il FI client.....
se ho capito la domanda la risposta è si, basta che apri la porta TCP 3389
per il traffico dalla rete delle machine linux verso la rete di test
Ciao
Stefano
Stefano (Wok) Marsani
2006-10-26 09:19:51 UTC
Permalink
Post by Gianni
La porta tcp 3389 è aperta! Il problema in fatti non si pone se accedo
all'interno della stessa rete, ma se accedo dalla rete di Produzione a quella
di Test (reti diverse) senza client FI non riesco a fare remote desktop o se
lo faccio mi si impalla!! Devo perforza attivare il client Fi... O è
possibile configurare ISA in maniera appropriata?
:(
quota bene scrivi in fondo!!

la 3389 è aperta sul server e questo mi era chiaro....

se l'ISA sta tra le due reti probabilmente non è aperta sull'ISA

Stefano
Gianni
2006-10-26 09:41:01 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Gianni
La porta tcp 3389 è aperta! Il problema in fatti non si pone se accedo
all'interno della stessa rete, ma se accedo dalla rete di Produzione a quella
di Test (reti diverse) senza client FI non riesco a fare remote desktop o se
lo faccio mi si impalla!! Devo perforza attivare il client Fi... O è
possibile configurare ISA in maniera appropriata?
:(
quota bene scrivi in fondo!!
la 3389 è aperta sul server e questo mi era chiaro....
se l'ISA sta tra le due reti probabilmente non è aperta sull'ISA
Stefano
Innanzitutto la porta che noi utilizziamo per accesso al Remote Desktop non
è quella di default ma un altra... Comunque le porte TCP sia di default
(30796) che la porta da noi abilitata sui server (30XXX) sono abilitate su
ISA server sotto "Protocol Definition"... Deve essere abilitato da qualche
altra parte?
La cosa strana è poi che ora le macchine senza Fi Client riescono ad
accedere ai server dell'altra rete ma dopo pochi minuti si impallano e
chiudono la sessone remota.
:(
Gianni
Stefano (Wok) Marsani
2006-10-26 10:20:22 UTC
Permalink
Post by Gianni
Post by Stefano (Wok) Marsani
Post by Gianni
La porta tcp 3389 è aperta! Il problema in fatti non si pone se accedo
all'interno della stessa rete, ma se accedo dalla rete di Produzione a quella
di Test (reti diverse) senza client FI non riesco a fare remote desktop
o
se
lo faccio mi si impalla!! Devo perforza attivare il client Fi... O è
possibile configurare ISA in maniera appropriata?
:(
quota bene scrivi in fondo!!
la 3389 è aperta sul server e questo mi era chiaro....
se l'ISA sta tra le due reti probabilmente non è aperta sull'ISA
Stefano
Innanzitutto la porta che noi utilizziamo per accesso al Remote Desktop non
è quella di default ma un altra... Comunque le porte TCP sia di default
(30796) che la porta da noi abilitata sui server (30XXX) sono abilitate su
ISA server sotto "Protocol Definition"... Deve essere abilitato da qualche
altra parte?
La cosa strana è poi che ora le macchine senza Fi Client riescono ad
accedere ai server dell'altra rete ma dopo pochi minuti si impallano e
chiudono la sessone remota.
:(
Gianni
A parer mio dovrebbe bastare (anche se non capisco la 30796 :-O)

guarda qui anche se il titolo è diverso il problema potrebbe essere simile:
http://support.microsoft.com/kb/828053/en-us

Stefano
Gianni
2006-10-26 10:48:01 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Gianni
Post by Stefano (Wok) Marsani
Post by Gianni
La porta tcp 3389 è aperta! Il problema in fatti non si pone se accedo
all'interno della stessa rete, ma se accedo dalla rete di Produzione a quella
di Test (reti diverse) senza client FI non riesco a fare remote desktop
o
se
lo faccio mi si impalla!! Devo perforza attivare il client Fi... O è
possibile configurare ISA in maniera appropriata?
:(
quota bene scrivi in fondo!!
la 3389 è aperta sul server e questo mi era chiaro....
se l'ISA sta tra le due reti probabilmente non è aperta sull'ISA
Stefano
Innanzitutto la porta che noi utilizziamo per accesso al Remote Desktop non
è quella di default ma un altra... Comunque le porte TCP sia di default
(30796) che la porta da noi abilitata sui server (30XXX) sono abilitate su
ISA server sotto "Protocol Definition"... Deve essere abilitato da qualche
altra parte?
La cosa strana è poi che ora le macchine senza Fi Client riescono ad
accedere ai server dell'altra rete ma dopo pochi minuti si impallano e
chiudono la sessone remota.
:(
Gianni
A parer mio dovrebbe bastare (anche se non capisco la 30796 :-O)
http://support.microsoft.com/kb/828053/en-us
Stefano
Scusami il refuso volevo dire che sia la porta di default 3389 che la porta usata da noi 30xxx sono abilitate su ISA sotto Protocol Definition... Ma se non abilito il client FI sui client, questo anche sulle macchine Microsoft non riesco ad accedere in Remote Desktop.....
:(
Edoardo Benussi [MVP]
2006-10-26 11:27:42 UTC
Permalink
Post by Stefano (Wok) Marsani
Scusami il refuso volevo dire che sia la porta di default 3389 che
la porta usata da noi 30xxx sono abilitate su ISA sotto Protocol
Definition... Ma se non abilito il client FI sui client, questo
anche sulle macchine Microsoft non riesco ad accedere in Remote
Desktop..... :(
ed è ovvio che sia così
se isa non usa securenat.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Stefano (Wok) Marsani
2006-10-26 11:50:27 UTC
Permalink
Post by Stefano (Wok) Marsani
Scusami il refuso volevo dire che sia la porta di default 3389 che la
porta usata da noi 30xxx sono abilitate su ISA sotto Protocol
Definition... Ma se non abilito il client FI sui client, questo anche
sulle macchine Microsoft non riesco ad accedere in Remote Desktop.....
:(
così è più chiaro :-) quindi non passa nessuno senza client!!

Verifica se le reti sono in routing o in nat
Vai qui:
http://www.isaserver.org/tutorials/The_SecureNAT_Client.html

Ciao
Stefano
Gianni
2006-10-26 13:16:03 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Stefano (Wok) Marsani
Scusami il refuso volevo dire che sia la porta di default 3389 che la
porta usata da noi 30xxx sono abilitate su ISA sotto Protocol
Definition... Ma se non abilito il client FI sui client, questo anche
sulle macchine Microsoft non riesco ad accedere in Remote Desktop.....
:(
così è più chiaro :-) quindi non passa nessuno senza client!!
Verifica se le reti sono in routing o in nat
http://www.isaserver.org/tutorials/The_SecureNAT_Client.html
Ciao
Stefano
Bè grazie della documentazione non so se ho capito bene!! Ma per far accedere i client non Windows o comunque per accedere a questa rete di Test senza utilizzare il Client FI dovrei configurare i client nella "modalità ISA", SecureNat ?
La configurazione di questa modalità si limiterebbe a cambiare il gateway
con l'idirizzo IP interno dell ISA Server..????
Probabilmente ho semplificato troppo... ma almeno sto sulla strada giusta???
:)
Stefano (Wok) Marsani
2006-10-26 13:33:30 UTC
Permalink
Post by Gianni
Post by Stefano (Wok) Marsani
Post by Stefano (Wok) Marsani
Scusami il refuso volevo dire che sia la porta di default 3389 che la
porta usata da noi 30xxx sono abilitate su ISA sotto Protocol
Definition... Ma se non abilito il client FI sui client, questo anche
sulle macchine Microsoft non riesco ad accedere in Remote Desktop.....
:(
così è più chiaro :-) quindi non passa nessuno senza client!!
Verifica se le reti sono in routing o in nat
http://www.isaserver.org/tutorials/The_SecureNAT_Client.html
Ciao
Stefano
Bè grazie della documentazione non so se ho capito bene!! Ma per far
accedere i client non Windows o comunque per accedere a questa rete di
Test senza utilizzare il Client FI dovrei configurare i client nella
"modalità ISA", SecureNat ?
La configurazione di questa modalità si limiterebbe a cambiare il gateway
con l'idirizzo IP interno dell ISA Server..????
Probabilmente ho semplificato troppo... ma almeno sto sulla strada giusta???
:)
fondamentalmente devi dare come GW ai client l'ISA (o devi mettere nelle
rotte del default GW il fatto che la rete remota è dall'altra parte
dell'ISA) ma questo sembra sia già così.
Il securenat (simile al NAT dei router e/o FW) fa si che gli IP interni
nattati arrivino sulla rete dall'altra parte dell'ISA.

Importante è che o hai fatto un port forwarding della porta 30xxx verso la
3389 del TS dall'interfaccia di rete dell'ISA verso il server o che tu
faccia passare le richieste verso la 30xxx del TS.

Ora con un FW hardware io lo trovo più facile, scrivo una regolina di permit
e via.
Con isa puoi anche pubblicare i servizi ossia portare il servizio terminal
sull'interfaccia di rete dell'ISA.

Per questo Edoardo è sicuramente più preparato di me che uso ISA molto di
rado.

Edo mi dai una mano a dare uan mano?? :-)

Stefano
Gianni
2006-10-26 13:48:01 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Gianni
Post by Stefano (Wok) Marsani
Post by Stefano (Wok) Marsani
Scusami il refuso volevo dire che sia la porta di default 3389 che la
porta usata da noi 30xxx sono abilitate su ISA sotto Protocol
Definition... Ma se non abilito il client FI sui client, questo anche
sulle macchine Microsoft non riesco ad accedere in Remote Desktop.....
:(
così è più chiaro :-) quindi non passa nessuno senza client!!
Verifica se le reti sono in routing o in nat
http://www.isaserver.org/tutorials/The_SecureNAT_Client.html
Ciao
Stefano
Bè grazie della documentazione non so se ho capito bene!! Ma per far
accedere i client non Windows o comunque per accedere a questa rete di
Test senza utilizzare il Client FI dovrei configurare i client nella
"modalità ISA", SecureNat ?
La configurazione di questa modalità si limiterebbe a cambiare il gateway
con l'idirizzo IP interno dell ISA Server..????
Probabilmente ho semplificato troppo... ma almeno sto sulla strada giusta???
:)
fondamentalmente devi dare come GW ai client l'ISA (o devi mettere nelle
rotte del default GW il fatto che la rete remota è dall'altra parte
dell'ISA) ma questo sembra sia già così.
Il securenat (simile al NAT dei router e/o FW) fa si che gli IP interni
nattati arrivino sulla rete dall'altra parte dell'ISA.
Importante è che o hai fatto un port forwarding della porta 30xxx verso la
3389 del TS dall'interfaccia di rete dell'ISA verso il server o che tu
faccia passare le richieste verso la 30xxx del TS.
Ora con un FW hardware io lo trovo più facile, scrivo una regolina di permit
e via.
Con isa puoi anche pubblicare i servizi ossia portare il servizio terminal
sull'interfaccia di rete dell'ISA.
Per questo Edoardo è sicuramente più preparato di me che uso ISA molto di
rado.
Edo mi dai una mano a dare uan mano?? :-)
Stefano
Grazie Edo "Illuminami" così faccio bella figura co i " linuxiani..."
:) grazie.
Edoardo Benussi [MVP]
2006-10-26 14:53:37 UTC
Permalink
Post by Stefano (Wok) Marsani
Grazie Edo "Illuminami" così faccio bella figura co i " linuxiani..."
non so se sono in grado: io sono solo un autodidatta.

provo a riepilogare la situazione, tu hai

client microsoft e linux -> server isa -> server terminal

è questo lo schema ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Edoardo Benussi [MVP]
2006-10-26 14:50:26 UTC
Permalink
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Stefano (Wok) Marsani
2006-10-26 14:59:25 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
allora torniamo a bomba prova a verificare i passaggi (lascia perdere quelli
del DHCP o del default gw ch epenso che tu abbia verificato) per quello che
riguarda il NAT.

Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.

Crea una regola che permetta a un IP (magari quello della tua macchina) di
fare tutto sulla rete di test e verifica che il TS si apra correttamente.

Edo vado bene?? :-D

Stefano
Gianni
2006-10-26 15:35:02 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Edoardo Benussi [MVP]
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
allora torniamo a bomba prova a verificare i passaggi (lascia perdere quelli
del DHCP o del default gw ch epenso che tu abbia verificato) per quello che
riguarda il NAT.
Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.
Crea una regola che permetta a un IP (magari quello della tua macchina) di
fare tutto sulla rete di test e verifica che il TS si apra correttamente.
Edo vado bene?? :-D
Stefano
Ho fatto una regola su ISA che abilita il mio IP ad accedere alla rete di Test.
Ci sarebbe da dire che la configurazione del nostro ISA non è
particolarmente sofisticata... Vi è una regola sola che in pratica autorizza
tutto a tutti :)
Ora non ho potuto riavvire i servizi ISA per fargli prendere la nuova regola
devo aspettare che la digerisca dasolo..... Per il momento ho provato ad
accedere in remoto dal mio client su la rete di Test e "per ora" non mi c..ga
:(
Ma dove vogliamo arrivare??
:-((((((((((
Edoardo Benussi [MVP]
2006-10-26 19:20:58 UTC
Permalink
Post by Gianni
Ci sarebbe da dire che la configurazione del nostro ISA non è
particolarmente sofisticata... Vi è una regola sola che in pratica
autorizza tutto a tutti :)
azz... allora si poteva non comprarlo :-D
Post by Gianni
Ora non ho potuto riavvire i servizi ISA per fargli prendere la nuova
regola devo aspettare che la digerisca dasolo.....
non ci mette un anno, basta il riavvio ;-)
Post by Gianni
Per il momento ho
provato ad accedere in remoto dal mio client su la rete di Test e
"per ora" non mi c..ga :(
Ma dove vogliamo arrivare??
a farlo funzionare,
ci sentiamo domani.
ora mangio qualcosa e dormo.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Stefano (Wok) Marsani
2006-10-27 07:03:18 UTC
Permalink
Post by Gianni
Ma dove vogliamo arrivare??
:-((((((((((
siccome non abbiamo davanti il server cerchiamo di fare qualche cosa che
funzioni e poi restingiamo i diritti a chi lo deve fare

Stefano
Edoardo Benussi [MVP]
2006-10-26 19:17:42 UTC
Permalink
Post by Stefano (Wok) Marsani
Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.
Crea una regola che permetta a un IP (magari quello della tua
macchina) di fare tutto sulla rete di test e verifica che il TS si
apra correttamente.
Edo vado bene?? :-D
a parte il "retihai" che mi sembra molto
"manga" vai benissimo, continua ...
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Stefano (Wok) Marsani
2006-10-26 19:55:44 UTC
Permalink
Post by Edoardo Benussi [MVP]
a parte il "retihai" che mi sembra molto
"manga" vai benissimo, continua ...
ma pensa scritto da uno chiamato "wok" .... :-)
notte
Stefano
Gianni
2006-10-27 08:08:02 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Edoardo Benussi [MVP]
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
allora torniamo a bomba prova a verificare i passaggi (lascia perdere quelli
del DHCP o del default gw ch epenso che tu abbia verificato) per quello che
riguarda il NAT.
Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.
Crea una regola che permetta a un IP (magari quello della tua macchina) di
fare tutto sulla rete di test e verifica che il TS si apra correttamente.
Edo vado bene?? :-D
Stefano
BUONGIORNO!!
Spero di non incasinarmi pure con i post....
Come vi divevo ieri ho fatto su ISA una regola per il mio client e lho
abilitato alla rete di TEST. Il risultato è che senza il FI Client non
accedo. Al massimo faccio In remoto un logon ma mi chiude subito la sessione!
:(
Stefano (Wok) Marsani
2006-10-27 08:32:09 UTC
Permalink
Post by Gianni
BUONGIORNO!!
Spero di non incasinarmi pure con i post....
Come vi divevo ieri ho fatto su ISA una regola per il mio client e lho
abilitato alla rete di TEST. Il risultato è che senza il FI Client non
accedo. Al massimo faccio In remoto un logon ma mi chiude subito la sessione!
:(
anche a te!

questo forse fa il caso tuo:
http://www.isaserver.org/tutorials/Publishing_Windows_2000_Terminal_Services_to_a_NonStandard_Port_.html
Edoardo Benussi [MVP]
2006-10-27 08:38:30 UTC
Permalink
Post by Gianni
BUONGIORNO!!
ciao.
Post by Gianni
Spero di non incasinarmi pure con i post....
Come vi divevo ieri ho fatto su ISA una regola per il mio client e lho
abilitato alla rete di TEST. Il risultato è che senza il FI Client non
accedo. Al massimo faccio In remoto un logon ma mi chiude subito la
sessione! :(
ed io torno a ripeterti che devi
passare a securenat per non usare
il firewall client.
l'unica pecca è che non potrai
discriminare gli utenti perchè la regola dovrà
essere all users.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Gianni
2006-10-27 10:13:02 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Edoardo Benussi [MVP]
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
allora torniamo a bomba prova a verificare i passaggi (lascia perdere quelli
del DHCP o del default gw ch epenso che tu abbia verificato) per quello che
riguarda il NAT.
Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.
Crea una regola che permetta a un IP (magari quello della tua macchina) di
fare tutto sulla rete di test e verifica che il TS si apra correttamente.
Edo vado bene?? :-D
Stefano
Grazie ancora per la pazienza con la quale state seguendo...
Per quanto riguarda il link che mi ha seganalato Stefano mi pare di aver
fatto tutto come indicato:
-cambiato la porta di assegnazione R. Desktop in regedit sui server
-assegnato in Protocol Definition su ISA la nuova porta in Outbaund
-creata una regola che autolizza il mio client ad accedere alla rete Test
Ma il problema sussiste...
Per Quanto riguarda la SecurNat vorrei avere se possibile qualche
chiarificazione ulteriore... Dalla documentazione che mi avete segnalato mi
pareva di aver capito che "basterebbe" cambiare il gateway del client
nell'indirizzio ip interno di ISA...
Oppure configurare questa cosa su Isa stesso?? ma in che modo?
Scusate se semplifico molto.... :)
Il mio problema rimane quello di fare accedere un paio di client Linux in
Desktop Remoto sulla rete di Test.
:(
Gianni
Stefano (Wok) Marsani
2006-10-27 15:47:12 UTC
Permalink
Post by Gianni
Post by Stefano (Wok) Marsani
Post by Edoardo Benussi [MVP]
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
allora torniamo a bomba prova a verificare i passaggi (lascia perdere quelli
del DHCP o del default gw ch epenso che tu abbia verificato) per quello che
riguarda il NAT.
Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.
Crea una regola che permetta a un IP (magari quello della tua macchina) di
fare tutto sulla rete di test e verifica che il TS si apra correttamente.
Edo vado bene?? :-D
Stefano
Grazie ancora per la pazienza con la quale state seguendo...
Per quanto riguarda il link che mi ha seganalato Stefano mi pare di aver
-cambiato la porta di assegnazione R. Desktop in regedit sui server
-assegnato in Protocol Definition su ISA la nuova porta in Outbaund
-creata una regola che autolizza il mio client ad accedere alla rete Test
Ma il problema sussiste...
Per Quanto riguarda la SecurNat vorrei avere se possibile qualche
chiarificazione ulteriore... Dalla documentazione che mi avete segnalato mi
pareva di aver capito che "basterebbe" cambiare il gateway del client
nell'indirizzio ip interno di ISA...
Oppure configurare questa cosa su Isa stesso?? ma in che modo?
Scusate se semplifico molto.... :)
Il mio problema rimane quello di fare accedere un paio di client Linux in
Desktop Remoto sulla rete di Test.
:(
ciao,

allora verso internet vai sicuramente con il nat, le due reti (LAN e test)
sono in nat o sono in routed?.

Stefano
Gianni
2006-10-30 10:26:01 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Edoardo Benussi [MVP]
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
allora torniamo a bomba prova a verificare i passaggi (lascia perdere quelli
del DHCP o del default gw ch epenso che tu abbia verificato) per quello che
riguarda il NAT.
Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.
Crea una regola che permetta a un IP (magari quello della tua macchina) di
fare tutto sulla rete di test e verifica che il TS si apra correttamente.
Edo vado bene?? :-D
Stefano
Le due reti sono in Routed tra loro non sono Nattate.
:(
Gianni
Stefano (Wok) Marsani
2006-10-30 10:46:28 UTC
Permalink
Post by Gianni
Post by Gianni
Le due reti sono in Routed tra loro non sono Nattate.
:(
Gianni
e con la KB 828053
non funziona?

Stefano
Gianni
2006-10-30 13:53:01 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Edoardo Benussi [MVP]
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
allora torniamo a bomba prova a verificare i passaggi (lascia perdere quelli
del DHCP o del default gw ch epenso che tu abbia verificato) per quello che
riguarda il NAT.
Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.
Crea una regola che permetta a un IP (magari quello della tua macchina) di
fare tutto sulla rete di test e verifica che il TS si apra correttamente.
Edo vado bene?? :-D
Stefano
Sto seguendo le istruzioni della KB che mi hai sugerito spero di fare le
configurazioni giuste.. per il momento non è cambiato molto!
:(
Gianni
2006-10-31 11:04:02 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Edoardo Benussi [MVP]
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
allora torniamo a bomba prova a verificare i passaggi (lascia perdere quelli
del DHCP o del default gw ch epenso che tu abbia verificato) per quello che
riguarda il NAT.
Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.
Crea una regola che permetta a un IP (magari quello della tua macchina) di
fare tutto sulla rete di test e verifica che il TS si apra correttamente.
Edo vado bene?? :-D
Stefano
RIASSUMENDO!! :(
Ho Tentato di configurare questa SecurNat su ISA:
HO FATTO:
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 4125
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 30XXX

POI HO FATTO UNA REGOLA:
DOVE AUTORIZZO IL MIO CLIENT (IP) AD ACCEDERE ALLA RETE DI TEST..

POI IN PROTOCOL DEFINITION HO VERIFICATO LA CONFIGURAZIONE DELLE SUDETTE
PORTE CIè LA DEFAULT 3389 - LA PORTA CREATAD A NOI LA 30XXX
E LA PORTA 4125 CHE HOLETTO NELLE SPECFICHE CHE MI AVETE PASSATO.

A MENO CHE NON ABBIA SBAGLIATO IN QUESTA CONFIGURAZIONE DAL MIO CLIENT NON
RIESCO AD ACCEDERE ALLA RETE DI TEST SENZA FI. CLIENT...
:(
GIANNI
Stefano (Wok)
2006-10-31 11:10:28 UTC
Permalink
"Gianni" <***@discussions.microsoft.com> ha scritto nel messaggio news:71C7DD58-8F85-4491-B8FA-***@microsoft.com...
ma se tu dal terminal server fai un tracert verso l'IP del tuo PC i
pacchetti vanno verso la tua rete LAN??

e viceversa?

Stefano
Gianni
2006-10-31 12:40:02 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Edoardo Benussi [MVP]
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
allora torniamo a bomba prova a verificare i passaggi (lascia perdere quelli
del DHCP o del default gw ch epenso che tu abbia verificato) per quello che
riguarda il NAT.
Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.
Crea una regola che permetta a un IP (magari quello della tua macchina) di
fare tutto sulla rete di test e verifica che il TS si apra correttamente.
Edo vado bene?? :-D
Stefano
NO!! non funziona ne i tracert ne il ping credo siano filtrati perchè non funzionano nemmeno con il FI client aperto e la connesione remota funzionante!
Gianni
Stefano (Wok)
2006-10-31 12:50:06 UTC
Permalink
Post by Gianni
Post by Stefano (Wok) Marsani
NO!! non funziona ne i tracert ne il ping credo siano filtrati perchè non
funzionano nemmeno con il FI client aperto e la connesione remota
funzionante!
Gianni
beh per farli funzionare basta che tu crei una regola per il passaggio del
protocollo ICMP...

non capisco più se ti fa loggare su TS e poi cade o se non lo raggiungi
proprio, in che situazione sei ora?
Stefano
Gianni
2006-10-31 13:17:02 UTC
Permalink
Post by Stefano (Wok) Marsani
Post by Edoardo Benussi [MVP]
Post by Stefano (Wok) Marsani
Edo mi dai una mano a dare uan mano?? :-)
ma se stai andando benissimo anche da solo ;-)
allora torniamo a bomba prova a verificare i passaggi (lascia perdere quelli
del DHCP o del default gw ch epenso che tu abbia verificato) per quello che
riguarda il NAT.
Quante retihai sull'ISA?
immagino 3 l'interna, l'esterna e quella di test che equivale ad una DMZ.
Crea una regola che permetta a un IP (magari quello della tua macchina) di
fare tutto sulla rete di test e verifica che il TS si apra correttamente.
Edo vado bene?? :-D
Stefano
DIrei una situazione di M....a!!
:)
No! quando lancio il remote desktop mi apre la finestra ma poi tutto il
resto è grigio e dopo qualche minuto mi butta fuori la sessione.... non mi fa
più manco loggare come faceva prima!
:(
Stefano (Wok)
2006-10-31 13:29:41 UTC
Permalink
Post by Gianni
:)
No! quando lancio il remote desktop mi apre la finestra ma poi tutto il
resto è grigio e dopo qualche minuto mi butta fuori la sessione.... non mi fa
più manco loggare come faceva prima!
:(
ma scusa se tu hai publicato il TS su ISA cosa succede se tu al client T S
dai come IP di destinazione del server l'IP dell'ISA??

Stefano
Gianni
2006-11-03 09:22:01 UTC
Permalink
Post by Stefano (Wok)
Post by Gianni
:)
No! quando lancio il remote desktop mi apre la finestra ma poi tutto il
resto è grigio e dopo qualche minuto mi butta fuori la sessione.... non mi fa
più manco loggare come faceva prima!
:(
ma scusa se tu hai publicato il TS su ISA cosa succede se tu al client T S
dai come IP di destinazione del server l'IP dell'ISA??
Stefano
Non so se posso ancora approfittare del Vostro aiuto...
Spero di aver capito bene la domanda! Il server Isa sta sulla rete "Lan" la
stessa rete dei client quindi ci posso accedere normalmente con Remote
Desktop....
Il problema sussiste se tento di accedere all'altra rete "TEST" e non uso il
FI Client.
Gianni
Stefano (Wok)
2006-11-03 09:34:32 UTC
Permalink
Post by Gianni
Non so se posso ancora approfittare del Vostro aiuto...
Spero di aver capito bene la domanda! Il server Isa sta sulla rete
"Lan" la stessa rete dei client quindi ci posso accedere normalmente
con Remote Desktop....
Il problema sussiste se tento di accedere all'altra rete "TEST" e non
uso il FI Client.
Gianni
questo mi sta bene, ma tra le mille modifiche che hai fatto hai anche
pubblicato il remote desktop del server che sta nella rete test
sull'interfaccia di LAN dell'ISA??

qui hai scritto così:
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 4125
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 30XXX

a questo punto se tu apri un client RD e gli dai come destinazione l'IP
dell'ISA server e come porta 30796 oppure 4125 ( es 192.168.1.254:30796)

che fa?
Stefano
Gianni
2006-11-03 10:56:02 UTC
Permalink
Post by Stefano (Wok)
Post by Gianni
Non so se posso ancora approfittare del Vostro aiuto...
Spero di aver capito bene la domanda! Il server Isa sta sulla rete
"Lan" la stessa rete dei client quindi ci posso accedere normalmente
con Remote Desktop....
Il problema sussiste se tento di accedere all'altra rete "TEST" e non
uso il FI Client.
Gianni
questo mi sta bene, ma tra le mille modifiche che hai fatto hai anche
pubblicato il remote desktop del server che sta nella rete test
sull'interfaccia di LAN dell'ISA??
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 4125
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 30XXX
a questo punto se tu apri un client RD e gli dai come destinazione l'IP
dell'ISA server e come porta 30796 oppure 4125 ( es 192.168.1.254:30796)
che fa?
Stefano
Si ok... tra le varie regole che ho messo su ISA ne ho fatte due sotto Accesso Policy /IP packet FIlter.. dove disso la porta 3079xx prima alla porta di default 3389 e poi alla 4125...
Se faccio una connessione remota dal client, se uso la porta 3079x funziona
come sempre, ma se uso la porta 4125 non funziona!
:(
Stefano (Wok)
2006-11-03 11:20:01 UTC
Permalink
Post by Gianni
Post by Stefano (Wok)
Si ok... tra le varie regole che ho messo su ISA ne ho fatte due sotto
Accesso Policy /IP packet FIlter.. dove disso la porta 3079xx prima alla
porta di default 3389 e poi alla 4125...
Se faccio una connessione remota dal client, se uso la porta 3079x funziona
come sempre, ma se uso la porta 4125 non funziona!
:(
cosa vuole dire "se uso la porta 3079x funziona "??

Stefano
Gianni
2006-11-03 11:41:02 UTC
Permalink
Post by Stefano (Wok)
Post by Gianni
Post by Stefano (Wok)
Si ok... tra le varie regole che ho messo su ISA ne ho fatte due sotto
Accesso Policy /IP packet FIlter.. dove disso la porta 3079xx prima alla
porta di default 3389 e poi alla 4125...
Se faccio una connessione remota dal client, se uso la porta 3079x funziona
come sempre, ma se uso la porta 4125 non funziona!
:(
cosa vuole dire "se uso la porta 3079x funziona "??
Stefano
Ma no era per non scrivere tutto il umero della porta per una questione di
privacy..
:) anche se mi è scappato scriverlo in precedenza...
Volevo dire che ho fatto le prove che mi chedevi e cioè dal client
connettermi al server ISA (stessa rete) se tento una connessione es
192.168.1.250:30796 (cioe uso la porta creata da noi funziona la connessione
come ha sempre fatto.
Se tento la connessione usando la prota 4125 no!
:)
grazie
Stefano (Wok)
2006-11-03 12:29:46 UTC
Permalink
Post by Gianni
Ma no era per non scrivere tutto il umero della porta per una
questione di privacy..
:) anche se mi è scappato scriverlo in precedenza...
Volevo dire che ho fatto le prove che mi chedevi e cioè dal client
connettermi al server ISA (stessa rete) se tento una connessione es
192.168.1.250:30796 (cioe uso la porta creata da noi funziona la
connessione come ha sempre fatto.
Se tento la connessione usando la prota 4125 no!
la X l'avevo capita :-D

quindi la publicazion edel TS verso la LAN sull'ISA funziona.
(192.168.1.250:30796)..non è questo che volevi??


Mi sono veramente perso..

Stefano
Gianni
2006-11-03 11:35:01 UTC
Permalink
Da qualche tempo in un Dominio w2k 2003 su un server particolramente
sensibile (ci gira sopra IBM websphere) accade che il server si blocchi cioè
si pinga ma rimane inaccessibile, anche da consolle si presenta con schermo
grigeto... e deve essere resettata...
Nelle log di sistema non ci trovomai nulla di interessante per capire che
cavolo sia successo apparte il classico eventlog id 6008. Ho poi trovato un
Worning event id 0 source PNPMEM CHE MI SEGNALA PROBLEMI DI MEMORIA dynamic
memory operations, ma dopo il reset del sistema! Puo' essere questo che mi
blocca il server??
grazie
:(
Gianni
Post by Stefano (Wok)
Post by Gianni
Non so se posso ancora approfittare del Vostro aiuto...
Spero di aver capito bene la domanda! Il server Isa sta sulla rete
"Lan" la stessa rete dei client quindi ci posso accedere normalmente
con Remote Desktop....
Il problema sussiste se tento di accedere all'altra rete "TEST" e non
uso il FI Client.
Gianni
questo mi sta bene, ma tra le mille modifiche che hai fatto hai anche
pubblicato il remote desktop del server che sta nella rete test
sull'interfaccia di LAN dell'ISA??
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 4125
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 30XXX
a questo punto se tu apri un client RD e gli dai come destinazione l'IP
dell'ISA server e come porta 30796 oppure 4125 ( es 192.168.1.254:30796)
che fa?
Stefano
Edoardo Benussi [MVP]
2006-11-03 11:56:44 UTC
Permalink
Gianni <***@discussions.microsoft.com> wrote in message,
CC794861-85FF-4F35-8A93-***@microsoft.com
[cut all]

???
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Gianni
2006-11-03 12:25:02 UTC
Permalink
Post by Edoardo Benussi [MVP]
[cut all]
???
--
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
SCUSATE!!! NON tenete conto dell'utimo post... doveva essere un nuovo
quesito mi sono sbagliato!! Rimando al penultimo post pertinente!
Grazie scusate ancora!
:)
Stefano (Wok)
2006-11-03 12:27:54 UTC
Permalink
Post by Gianni
Da qualche tempo in un Dominio w2k 2003 su un server particolramente
sensibile (ci gira sopra IBM websphere) accade che il server si
blocchi cioè si pinga ma rimane inaccessibile, anche da consolle si
presenta con schermo grigeto... e deve essere resettata...
Nelle log di sistema non ci trovomai nulla di interessante per capire
che cavolo sia successo apparte il classico eventlog id 6008. Ho poi
trovato un Worning event id 0 source PNPMEM CHE MI SEGNALA PROBLEMI
DI MEMORIA dynamic memory operations, ma dopo il reset del sistema!
Puo' essere questo che mi blocca il server??
grazie
:(
Gianni
mi sfugge il contesto :-D
Stefano
Gianni
2006-11-03 13:42:02 UTC
Permalink
Post by Stefano (Wok)
Post by Gianni
Da qualche tempo in un Dominio w2k 2003 su un server particolramente
sensibile (ci gira sopra IBM websphere) accade che il server si
blocchi cioè si pinga ma rimane inaccessibile, anche da consolle si
presenta con schermo grigeto... e deve essere resettata...
Nelle log di sistema non ci trovomai nulla di interessante per capire
che cavolo sia successo apparte il classico eventlog id 6008. Ho poi
trovato un Worning event id 0 source PNPMEM CHE MI SEGNALA PROBLEMI
DI MEMORIA dynamic memory operations, ma dopo il reset del sistema!
Puo' essere questo che mi blocca il server??
grazie
:(
Gianni
mi sfugge il contesto :-D
Stefano
==> RICAPITOLANDO (MI SCUSO ANCORA per il post sbagliato)
HO fatto su ISA le regole che mi avete suggerito anche dalla documentazione
che mi avete seganalato in precedenza
(http://support.microsoft.com/kb/828053/it).
come dicevo in precedenza. ho fatto:
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 4125
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 3389
POI HO FATTO UNA REGOLA:
DOVE AUTORIZZO IL MIO CLIENT (IP) AD ACCEDERE ALLA RETE DI TEST.
POI IN PROTOCOL DEFINITION HO VERIFICATO LA CONFIGURAZIONE DELLE SUDETTE
PORTE, CIOè LA DEFAULT 3389, LA PORTA CREATA DA NOI LA 30796
E LA PORTA 4125, CHE HO LETTO NELLE SPECiFICHE CHE MI AVETE PASSATO.
Ma nulla da fare... dal client non passo sull'altra rete a meno che non
attivi il FI Client.
Ho poi tentato dal client una connessione sul Server ISA (stessa rete) e se
uso la porta 30796 funziona come sempre, se uso invece la porta 4125 non
funge!!!

Gianni
Stefano (Wok)
2006-11-03 14:25:04 UTC
Permalink
Post by Gianni
==> RICAPITOLANDO (MI SCUSO ANCORA per il post sbagliato)
HO fatto su ISA le regole che mi avete suggerito anche dalla
documentazione che mi avete seganalato in precedenza
(http://support.microsoft.com/kb/828053/it).
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 4125
UN FILTRO DOVE FISSO LA PORTA LOCALE 30796 ALLA PORTA "REMOTA" 3389
DOVE AUTORIZZO IL MIO CLIENT (IP) AD ACCEDERE ALLA RETE DI TEST.
POI IN PROTOCOL DEFINITION HO VERIFICATO LA CONFIGURAZIONE DELLE
SUDETTE PORTE, CIOè LA DEFAULT 3389, LA PORTA CREATA DA NOI LA 30796
E LA PORTA 4125, CHE HO LETTO NELLE SPECiFICHE CHE MI AVETE PASSATO.
Ma nulla da fare... dal client non passo sull'altra rete a meno che
non attivi il FI Client.
Ho poi tentato dal client una connessione sul Server ISA (stessa
rete) e se uso la porta 30796 funziona come sempre, se uso invece la
porta 4125 non funge!!!
ho capito ancora meno :-0

se tu hai fissato la porta locale 30796 verso la remota 4125 (e non capisco
come fai ad averla fissata due volte perchè o te la manda verso la 4125 o te
la manda verso la 3389) cmq in ogni caso a parer mio ora l'ISA server se tu
metti come detto prima 192.168.1.250:30796 su un pc della rete lan (immagino
che 192.168.1.250 sia l'ISA) l'ISA non fa altro che girare la tua richiesta
al server TS che sta nella rete di test.

quindi la regola in cui autorizzi il tuo client (in base all'IP) ad andare
verso la rete di test in realtà non serve neanche più perchè il tuo terminal
server è pubblicato sull'interfaccia 192.168.1.250 dell'ISA.

Stefano

Continua a leggere su narkive:
Loading...