Arch hinter dem MS ISA-Server

nathanhi

nathanhi

Mitglied
Hallo,

ich habe einen Server von mir in die Schule gestellt, und hoste da ein Klassenforum drauf. (http://1chdv.ath.cx) Das Problem ist, dass unsere Schule einen ISA-Server verwendet, und ich aber vom Server aus Dateien runterladen können muss. Also z.B. mit pacman ein Update machen, oder einen IRC-Bouncer, etc. darauf laufen lassen, usw. Leider geht das nicht, weil der MS ISA-Server die Linux-Clients blockt. Habe da jetzt was von NTLM erfahren, das will aber auch nicht funktionieren. Kann ich irgendwo einen SOCKS-Server eintragen (/etc/profile ?), oder irgendwie sonst zum Zugriff auf das Internet kommen. Habe dem Schuladmin schon zu einer Linux Firewall geraten, aber der bleibt Stahlhart bei Microsoft.. Ich hoffe, ihr könnt mir helfen!

Grüsse,
Nathan

Adminedit: Thementitel durch Admin angepasst
 
Wenn ich denn mal was uppen könnte... Geht ja nicht, blockiert der ISA-Server >_<

Grüsse,
Nathan
 
Sehe ich das richtig? Die Kiste ist aus den Netz erreichbar - kann aber selbst nicht in's Netz?

Dann wende Dich an den Firewall-Admin. Alles andere ist Bastelei und Frickelkram.
 
Guten Morgen,

bitte zukünftig auf solche unnötigen Worthülsen wie "M$ ISA-Schrott " verzichten!
Darunter leidet die Sachlichkeit einer Diskussion und verleitet die Benutzer zu unsachgemäßen Argumentationen.

Bei Fragen PN an mich.

Gruß
 
Guten Morgen,

bitte zukünftig auf solche unnötigen Worthülsen wie "M$ ISA-Schrott " verzichten!
Darunter leidet die Sachlichkeit einer Diskussion und verleitet die Benutzer zu unsachgemäßen Argumentationen.

Bei Fragen PN an mich.

Gruß

Hi, alles klar, aber dass es schrott ist, kann man ja nicht leugnen, oder? :D

@marce: Ich kenne den Admin, habe mit ihm auch Kontakt, aber der weiss selber nicht weiter..

Grüsse,
Nathan
 
Hi, alles klar, aber dass es schrott ist, kann man ja nicht leugnen, oder? :D
doch, kann man.

@marce: Ich kenne den Admin, habe mit ihm auch Kontakt, aber der weiss selber nicht weiter..
... und wir sollen hier, ohne irgendwelche Konfig zu kennen die recht komplexe und vielfältige Firewall und Auth-Methoden "debuggen"?

Wenn nicht er - dann keiner. Evtl. hilft ja noch ein ein Supportcall bei MS...
 
Die ISA Server nutzen in der Regel NTLM Authentifizierung mit HTTP Basic fallback. Also sollte es reichen deinem Client Basic authentication für den Proxy einzustellen. Ansonsten gibts noch lokale Proxys, die die NTLM Auth für dich übernehmen, aber da hab ich keine guten Erfahrungen mit. Hinter einem ISA ist man einfach gekniffen.
 
doch, kann man.


... und wir sollen hier, ohne irgendwelche Konfig zu kennen die recht komplexe und vielfältige Firewall und Auth-Methoden "debuggen"?

Wenn nicht er - dann keiner. Evtl. hilft ja noch ein ein Supportcall bei MS...

Sag mir, was du von der config wissen musst, und ich sags dir ;) Das Teil ist jedenfalls in der DMZ und darf laut ISA alles..

EDIT: Der Supportcall, den man mal so ganz eben machen wird, kostet dir locker 200$, ich glaube das war aber nur für ne Stunde, ich kann die Seite ja nochmal rauskramen..
299,00 € zzgl. MwSt. pro Anfrage während der Geschäftszeiten, oder Sie können einen vorhandenen Support-Vertrag verwenden. (Informationen zur MwSt. finden Sie hier).
- http://support.microsoft.com/oas/default.aspx?ln=de&prid=10409&gprid=455442

Ach, jetzt möchte ich gerne noch mal die Vorteile vom ISA Server gegenüber einer Linux-Firewall-Lösung hören. ==D

@saeckereier: Du meinst, dass ich einfach den ISA als Proxy eintragen soll und halt den Port? Für gewöhnlich macht man das aber per SOCKS, und ich müsste dazu halt wissen, wie ich mit Arch über SOCKS ins Internet kann.

Grüsse,
Nathan
 
Zuletzt bearbeitet:
Also ich kenn den ISA als HTTP Proxy. Wenn er Socks kann, kann ich trotzdem nichts dazu sagen. Als normalen HTTP Proxy sollte man ihn aber ansprechen können und das reicht für Pacman und ähnliches aus.
 
Hm, sehr verdächtig.. Ich habe jetzt mal den Proxy in die /etc/profile eingetragen und danach natürlich . /etc/profile gemacht. Jedoch tut pacman keinen Mucks beim saugen. Die IP wird aber schön ordentlich aufgelöst?!

Grüsse,
Nathan
 
Die IP macht der DNS, das ist Proxy unabhängig. Zuerst solltest du es mal mit einem normalen Webbrowser versuchen (wenn nur Konsole -> links ) und dort im Menü den Proxy einstellen und prüfen, ob Benutzername und Kennwort abgefragt werden, bzw. vorher einmal mittels telnet <proxyIp> <port> prüfen, ob die Daten stimmen und der Proxy erreicht wird.
 
Ach, jetzt möchte ich gerne noch mal die Vorteile vom ISA Server gegenüber einer Linux-Firewall-Lösung hören. ==D
erwartest Du ernsthaft, daß ich auf einen solchen Kommentar antworte?

Anders gefragt: welche Erfahrungen hast Du denn mit dem MS-Support?
 
Welche Erfahrungen hast du denn mit dem Squid Support? Außerdem hat man ab einer bestimmten Firmengröße einen M$-Support-Plan oder ohnehin eine derartig flexible Netzstruktur, dass der entsprechende Server direkt genattet wird o.ä.
 
Garkeine, sehe ich so aus, als wäre ich ernsthaft nen Benutzer von Microsoft-Produkten? ._.

@saeckereier: Die IP vom Proxy stimmt, Userdaten werden nur bei SOCKS verlangt, und der Port ist auch OK, war grade per VPN drinnen.

Sehr komische Sache irgendwie.

Grüsse,
Nathan
 
Und was passiert wenn du es mit einem Browser testest? Probier zum Beispiel mal mittels SSH eine Portweiterleitung und dann mittels lokalem Browser den Proxy anzusprechen. Socks und HTTP Proxy sind unterschiedliche Ports. SOCKS wird glaube ich eher nicht von den Standard Tools unterstützt, aber das ist ein Gefühl, das weiss ich net..
 
Portweiterleitung kann ich hier leider keine machen. Es sind vom Admin aus nur 3 Ports freigegeben. Muss mich demnach für SSH immer per VPN zur Schule verbinden, um dann per SSH drauf zu kommen. Wenn ich den Proxy im Browser bei http eintrage, rennt alles 1a. Pacman liefert mir das da:

[root@nathanhi src]# pacman -Syu
:: Synchronisiere Paketdatenbanken...
Fehler: Konnte Datei 'core.db.tar.gz' nicht von archlinux.unixheads.org übertragen : Die Wartezeit für die Verbindung ist abgelaufen
Fehler: Konnte core nicht aktualisieren (Die Wartezeit für die Verbindung ist abgelaufen)
 
^^
klingt gut.. Also interessant wäre noch während der pacman läuft mal mit netstat -apn zu checken, wohin sich pacman verbindet, ob zum Proxy oder ob es die Einstellung ignoriert.
 
Ne, geht offensichtlich auch nicht.
Fehler: Konfigurations-Datei /etc/pacman.conf, Zeile 19: Direktive 'ProxyServer' wurde nicht erkannt.

Das mit NTLMS hab ich schon vorher mal probiert, kanns ja nochmal testen.

Grüsse,
Nathan
 

Ähnliche Themen

Windows clients können nicht mehr auf lange laufendes System zugreifen

Installations Server

Amavis & Benachrichtigungen

Zurück
Oben