Hello à tous,
 
Je débute avec Isa et je me pose une question sur les règles de stratégies systèmes par défaut.
Si j'ai bien compris ces règles permettent à certain protocoles style DNS, Dhcp, AD, de pouvoir continuer à marcher sans configuration préalable.
Le hic c'est que chez moi ça ne le fait pas.
Il faut que je crée des règles moi même pour que les protocoles passent.
Par ex j'ai du créer une règle pour laisser passer les requêtes Dns, ou autoriser le ping.
 
J'ai loupé un truc dans l'install ou dans le paramétrage d'Isa (même si j'ai pas vu grand chose niveau configuration mis à part pour les différents modèles réseaux et la plage d'adresse IP). Ou bien est-ce que ces règles par défaut font mal leur boulot ?
 
Merci d'avance.

une regle perso dont tu es sur des consequences et de l'incidence est de toute façon preferable à une regle deja presente..
 
sur ce, bon courage sur l'usine à gaz qu'est isa server

héhé oui c'est sûr qu'on est mieux servi par soi même.
D'ailleurs c'est ce que j'ai fais pour AD, mais bon si à la base il y a des règles qui permettent de ne pas se casser la tête et qu'elles ne marchent pas chez moi, j'aurai bien aimé savoir pourquoi  

 
 
ba .... toute les reglage systeme créent des regles que tu peux voir, a toi de voir ou ca bloque.  
au besoin, noubli pas la partie logging ou tu peux voir en direct le trafic et si il est passant ou bloqué, avec des filtres par protocoles...

Les journaux !!!
Merci beaucoup, je n'avais pas vu cette fonction et du coup j'utilisai Ethereal.
C'est beaucoup plus mieux sous Isa    
 
Par contre toujours pas moyen de faire avec les règles par défaut, même si je sais que c'est pas le top j'aurai bien aimé qu'elles fonctionnent.
Enfin mes règles marchent c'est le principal    
 
Sinon j'ai pu lire à différent endroits qu'il est deconseillé de mettre Isa sur le DC. Savez vous pourquoi ?

parce que le CD doit etre l'un des serveurs les plus critiques + l'un qui va gerer un max de requetes (ss compter que le CD est souvent server dns egalement)
 
Alors si tu rajoutes l'usine à gaz qu'est isa et qui est, accessoirement, un autre element des plus critiques...

 
euhhh non, nous dans notre boite on le met pas sur le DC, 1 application = 1/2 serveur, 1 serveur = 1 application (comme ca, si l un plante tout n est pas perdu)
 
ca a des avantage et des inconveignant dans les deux ca.  
 
partage de la configuration entre les ISA peut surcharger un reseau si on ajoute a ca le trafic d un DC
 
mais si tu le met dessus, tu gagne l avantage que les identification par User ne vont pas sur le reseau ...
 
enfin bon, moi je les met pas sur la meme machine.
 
 
pour ce qui est de tes regles ,.... verifie bien ce qui est INside et Outside, ca peut aussi venir de ta configuration meme de ISA : en passerelle (2 carte reseau) ou en simple cache(1 carte reseau).

 
 
pour avoir suivie une formation sur ISA, je trouve pas que ca a encors grand chose a voir avec une Usine a gaz.

 
Isa est configuré en pare feu de périmètre donc 2 cartes réseaux.
Pour le Outside/Inside il me semble n'avoir vu que je ne pouvais paramétrer que le côté Inside, pas vu pour le Outside.
 
Sinon pour l'instant je fais plus mumuse qu'autre chose avec Isa, du coup mes 2 postes Tests sont en virtuels ( oui j'aime bien me prendre la tête ).
L'Isa est aussi Dc, Dhcp et Dns mais vu que je n'ai qu'un client ca devrait pas poser trop de problèmes.

 
 
Outside est ... tout ce qui n'est pas IN    
 
si tu utilise directement ton proxy pour fair des tests alors fait attenssion, suivant les IP que tu utilise, tu peux etre Localhost est non pas Internal dans ce cas la.
 
J ai moi meme fait pas mal de test avec VMware, ca gene pas. au contraire, il est pas duir de te fair des clients pour essayer.

pour avoir egalement suivi une formation sur isa, je garantis que c'est une appli gourmande en ressources. c'est quand meme ce que l'on peut appeler un GROS machin.
je parle pas du tout de ses perfs ou des son efficacité (pour moi c'est le must je pense)

Je viens de voir que l'on peut paramètrer soit les Outsides soit les Insides suivant les règles...    
 
Pour les virtuels en fait c'est plus la machine hôte qui me limite dans le nombre surtout au niveau mémoire

J'ai une nouvelle question    
 
Après avoir bloquer Msn, j'ai voulu bloquer webmessenger mais je n'y arrive pas.
Pourtant j'ai bien crée une règle refusant l'accès http en provenance du réseau interne et de l'hôte local au site http://webmessenger.msn.com/.
J'ai essaye avec google pareil.
j'ai précisé l'@ de google et de webmessenger dans "les ensembles URL".
 
Pour info, j'ai une règle qui autorise le surf mais qui est placé après celle qui interdit l'accès aux 2 sites.
 
Il me semble pourtant bien avoir comme sur http://www.laboratoire-microsoft.o [...] 2004/4#st4 mais là je bloque...
 
Ah oui autre chose, pour les filtres d'application ou Web je ne peux rien configuré dedans à part les activer ou non.  
Est-ce normal?
 
Merci

Bon en fait j'ai du mal le vendredi aprèm.
j'ai config le proxy et d'un coup ca a marché    
 
Par contre, j'ai installé aussi le pare feu isa et j'ai config le proxy automatiquement avec l'option.
Mais j'ai l'impression que la configuration n'est prise en compte qu'après un redémarrage de Internet Explorer? ai-je juste?
 
désolé pour les questions cons mais je tatonne pas mal

 
 
Ah ça m'interesse ce détail car justement je n'arrive pas à joindre mon AD à partir d'iSA, pr par exemple faire des règles sur des users... ou est ce petit détail que j'ai omis ?
 

Euh de mémoire, je n'ai plus l'Isa sous les yeux, j'avais mis les 3 Netbios, Kerberos UDP, LDAP, et RPC client et serveur.
En fait là j'avais mis tout ce qui m'avait semblé nécessaire pour l'inscription dans un domaine et l'authentification du user.

bonne doc pour l'install d'ISA  :  
http://www.supinfo-projects.com/fr/2006/isa2004%5Ffr/
 
Moi j'aimerai savoir si ya moyen d'entrer dans la config d'ISA en interne par le reseau, quel est le niveau de sécurité de ce soft en interne ?

question interressante mais tu ouvres une porte par là même !
 
tu peux activer le bureau à distance et ajouter une règle :
autoriser rdp de interne vers hote local pour tout le monde (ou admin)

Ba oui, avec Remte desktop, c est le plus simple. il y a même une règle toute faite.

et si tu install ISA en remote, il ajoute tout seul dans ses règles l'IP de ton PC pour pouvoir y accéder apres le démarrage du Firewall