ISA设置如下:
按IP和时间设置有规则。
在ACCESS POLICY->site and content中设有两条,两条都为全部允许,只是一条应用为域用户验证,另一条应用为指定的IP段。两条设定目的是让有的IP可以通过SNAT方式上网,另外的就要用用户验证。
但现在发现在指定IP段内的用户装FWC出现上面的问题,不知道有没有解决方法。可不可以使用用户验证又不用客户端登录域?98下为什么可以而2K下不行?如果在ISA下建用户能解决吗?ISA SERVER已经加入域,域用户是否也可以认为是ISA本机的用户?谢谢!
看了半天没看懂问题,不过所要告诉您的是如果使用ISAFWC则WIN2K必需使用域用户帐号登陆!98如果是在域是则本身系统已经登陆域了,注意登陆域与加入域不同!ISA里验证用户是以AD里用户来识别的也就是说以域用户身份
不好意思,提问水平太差了,简单说就是如果不使用用户验证那2K也不用登录域了是吗?我那两条规则对这有影响吗?怎么说98本身系统已经登录域了呢?
我对我设的两条规则的理解是这样的:
1、如果符合应用到IP地址那条规则的应当是不用用户验证的。为什么FWC还是提示出错呢?
2、这两条规则怎么调整先后顺序呢?
98登陆域的验证很简单
而2K登陆域在安全性上要求就高很多
DC可以识别2K机器是否登陆域作为域成员客户端
但是DC无法对98客户端做此要求
可以这么说,WIN2K域中如果存在98就变得不安全了
经过实验,结果很不好,现在只想问一个问题:
ISA怎么设置才能实现对内网的某部份用户使用用户验证,而对另一部份客户不用用户验证。
再装一台isa server.设置ip 验证
要对不同用户设置不同的访问规则 可以设置客户地址集:
2K用户可以用域规划,前提是ISA必须加入域,在“外出访问”设置里要求用户认证访问;
98用户可以用IP规划,设成SNAT,可以作到不用验证。
2K域中存在98系统并不意味不安全,完全可以避免不安全因素。
如果想全都使用FWC模式,楼上的做法就不行了,如果不使用域用户,只使用ISA本机用户是不是可以解决一定要登录域这个问题呢?谢谢!
2K的域环境设计的初衷就是加强对2K系统的管理,对9X系统根本没有意义。
