ISA Server 2006发布一个网站; ISA对Active Directory域(ISA本身join的)进行基于表单的身份validation,然后,如果用户被授权,则ISA使用HTTP身份validation将用户的凭据发送到发布的网站。 问题:发送到发布的网站的凭据格式为“DOMAIN \ UserName”,而网站期望它们仅包含用户名。 在我们要求开发人员修改他们的网站以从用户名剥离“DOMAIN”部分之前,有没有办法让ISA发送这些凭证,而不需要在域名前面添加? 我已经尝试了以下内容: 不在侦听器属性中设置默认域:ISA将AD域的FQDN预先设置为用户名。 在侦听器属性中设置默认域:ISA将AD域的NetBIOS名称预先设置为用户名。 我们需要的只是发送到发布的网站只有用户名 。 如果ISA Server 2006无法完成,但可以通过TMG 2010完成,请告诉我。
我知道这是另一个关于如何设置networking的问题,但是我希望你对这样的问题还没有感到厌烦。 该网站也是一个办公室,所以它包括Windows DC,Windows广告,交换,SQL,文件共享,开发应用程序服务器和其他电脑。 除了办公室(内部)之外,testing环境和产品环境都由Web服务器 – 应用程序服务器 – SQL堆栈组成。 还有向公众开放的ftp服务。 我认为: dmz1 – web服务器 – 交换边缘 – ftp dmz2 – 应用程序服务器 – 应用程序服务器的SQL 内部直stream和广告交换集线器和传输内部文件共享内部使用的SQL内部使用的应用程序服务器 public – > dmz1,只有web,ftp和smtp public – > dmz2不可能public – > internal不可能 dmz1 – > dmz2是可能的从networking服务器到应用程序服务器通过使用http或ajp dmz1 – >内部只能用于交换,否则不可能 dmz2 – >内部不可能 这听起来不错吗? 任何其他build议? 它将使用MS ISA或Jupiter SSG进行configuration。 谢谢。
如何在networking中使用端口80和443时阻止SKYPE。 (更好的是,如果我可以做到这一点,使用ISA 2006,而不禁用networking)我知道,如果用户不能安装Skype,他们将无法使用它。 没有那个?
我目前正在使用ISA 2000运行Windows SBS 2003,并将迁移到包含Windows SBS 2008 Standard Edition的新服务器。 由于SBS 2008的内部防火墙不应该被看作是任何外部防火墙的替代品,所以我正在寻找反馈意见,指出如何在现有的硬件和软件configuration下实施单独的防火墙来保护我的networking。 注意:一旦旧的Windows Small Business Server从域控制器降级后,我计划通过安装新的操作系统重新使用旧硬件。 假设,在Forefront Threat Management Gateway 2010出现的时候,甚至试图在networking边缘运行ISA也是明智之举吗? 我应该看哪些硬件或软件(或其组合)解决scheme? 如果select分别购买ISA 2006的新副本和第二个服务器许可证,我可以看到情况变得相当昂贵。 任何见解或可能的解决scheme将不胜感激!
我要把这个问题扔到野外。 我们刚刚开始使用代理login用户login名称的互联网使用情况。 这是在ISA Server 2004(位于我们的Internet网关服务器上)上设置的。 启用集成的和基本的authenticationforms,同时让所有用户进行authentication。 我勾选并在ISA上启用了一组设置,以便忽略内部地址和域。 为了将用户指向我们的代理服务器,我们在DHCP服务器上使用了DHCPINFORM检测function,将客户端指向proxy.pac文件的networking位置(如下所述)。 我也已经在与proxy.pac相同的区域设置了wpad.dat(两个文件都是相同的)。 当前的proxy.pac文件我正在玩: function FindProxyForURL(url, host) { // Trying to save localhost if (localHostOrDomainIs(host, "localhost")) return "DIRECT"; if shExpMatch (url, "http://localhost*") return "DIRECT"; // If specific URL needs to bypass proxy, send traffic direct. var resolved_ip = dnsResolve(host); if (isInNet(resolved_ip, "172.22.145.0", "255.255.255.0") || isInNet(resolved_ip, "192.168.1.0", "255.255.255.0") || isInNet(resolved_ip, […]
我被要求在我们的networking中隔离testing环境来提高我们的安全性。 我们的结构包括: 1个交换机Dell Power Connect 3448 1个交换机Dell Power Connect 2748 less数5个端口的Star Tech交换机(为扩展我们的布线结构而工作) 1 ISA Server 2006防火墙 为了完成这个任务,我打算做以下事情: 为testing环境创build一个VLAN,并在该VLAN中包含必要的端口 让所有其他端口在默认VLAN 1中(保留数据包未标记),除了插入ISA Server的端口 将ISA服务器插入的端口configuration为中继 在ISA Server网卡上configuration一个虚拟接口,以允许其与VLAN进行通信 在ISA Server上configuration防火墙规则,只允许LAN,Internet和VPN客户端之间的所需stream量。 我所计划的是做我所要求的最好的方法吗?
我有一个WSDL背后的ISA服务器。 WSDL包含一个模式<xsd:include schemaLocation="myschema.xsd"/> 但是,通过ISA访问时,某些隐式映射会将服务器名称更改为应用程序“TEST”的名称,如下面的xsd:include行所示 <xsd:include schemaLocation="http://TEST:8345/myservice?xsd=myschema.xsd"/> 可以使用URL – https://services.mycompany.com/myservice?wsdl访问WSDL 模式可以使用URL访问 – https://services.mycompany.com/myservice?xsd=myschema.xsd 问题是WSDL中模式的翻译的URL不正确。 它需要 <xsd:include schemaLocation="https://services.mycompany.com/myservice?xsd=myschema.xsd"/> 代替 <xsd:include schemaLocation="http://TEST:8345/myservice?xsd=myschema.xsd"/> ISA人是否需要为此设置一些ISA规则(用于replaceWSDL中的URL)? 他需要创造/改变什么规则?
问题 我在Linux服务器(Ubuntu 12.04)上configurationOpenSWAN以连接到ISA Server 2004 IPSec VPN相当困难。 在configuration上显然有些问题阻碍了隧道的工作。 看起来我的一些数据包在某处丢了? 我不确定。 对方说他们身边的日志没有错。 我身边没有防火墙。 下面是/var/log/auth.log的冒犯部分(下面的更长的版本)。 Jan 29 17:28:11 P-INV-SD07 pluto[5821]: "myconn" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3 Jan 29 17:28:11 P-INV-SD07 pluto[5821]: "myconn" #1: STATE_MAIN_I3: sent MI3, expecting MR3 Jan 29 17:28:12 P-INV-SD07 pluto[5821]: "myconn" #1: discarding duplicate packet; already STATE_MAIN_I3 Jan 29 17:28:34 pluto[5821]: […]
第三方安全专业人员build议我们在Web服务器(全部在DMZ中托pipe)之前运行反向代理,作为最佳实践安全措施。 我知道这是一个典型的推荐架构,因为它在Web应用程序前面提供了另一种安全级别来防止黑客入侵。 但是,由于反向代理正在用户和内部Web服务器之间来回穿梭HTTP,所以它不会提供任何防止对Web服务器本身进行黑客攻击的措施。 换句话说,如果您的Web应用程序存在安全漏洞,则代理不会提供任何有意义的安全性。 考虑到Web应用程序攻击的风险远高于对代理的攻击风险,中间是否增加了一个额外的框,是否真的获得了很多? 我们不会使用反向代理的任何cachingfunction – 只是一个愚蠢的工具来回穿梭数据包。 还有什么我在这里失踪? 有反向代理HTTP数据包检查得到如此好,它可以检测到有意义的攻击没有主要的性能瓶颈,或者这只是安全剧场的另一个例子? 反向代理是MS ISA fwiw。