درخواست آموزش اتصال Active Directory به ISA Server

**mrsamsum** · 2012-06-13, 12:35 PM

سلام به اساتید
می خواستم بدونم چه جوری می تونم یوزرهای اکتیو دایرکتوری به ISA اضافه کنم ؟ یعنی یوزرهای اکتیو بتونن به وسیله Isa به اینترنت متصل بشن؟

موضوعات مشابه:

**imannami** · 2012-06-13, 01:11 PM

سامان جان میخای یوزرها رو تو ایزا اضافه کنی یا اینکه کلاینت ها با باز کردن اینترنت اکسپلور ازشون یوزر پسورد یوزر رو بپورسه؟؟؟؟

**msafari** · 2012-06-13, 01:14 PM

ایزا رو عضو دامینت کن مشکلت حل میشه ولی از لحاظ امنیتی توصیه نمیشه

**mrsamsum** · 2012-06-13, 01:47 PM

نوشته اصلی توسط imannami

سامان جان میخای یوزرها رو تو ایزا اضافه کنی یا اینکه کلاینت ها با باز کردن اینترنت اکسپلور ازشون یوزر پسورد یوزر رو بپورسه؟؟؟؟

ایمان جان می خوام با بازکردن اینترنت اکسپلورر ازشون یوزر و پسوردی رو بخواد که توی Active Directory ست شده

- - - Updated - - -

نوشته اصلی توسط msafari

ایزا رو عضو دامینت کن مشکلت حل میشه ولی از لحاظ امنیتی توصیه نمیشه

یه سرور 2003 نصب کردم عضو دومینش کردم و بعد روش آیزا نصب کردم منظورتون همین بود ؟

**msafari** · 2012-06-13, 01:57 PM

برو تو قسمت configuration بعد برو network بعد برو روی internal دوبار کلیک کن برو تو تب webproxy سپس authentication رو بزن requir all user to authentication رو تیکشو بزن مشکلت حل میشه

**halvaei** · 2012-06-13, 02:08 PM

نوشته اصلی توسط msafari

ایزا رو عضو دامینت کن مشکلت حل میشه ولی از لحاظ امنیتی توصیه نمیشه

می تونید بگید چرا از لحاظ امنیتی توصیه نمیشه ؟؟؟؟

- - - Updated - - -

نوشته اصلی توسط mrsamsum

سلام به اساتید
می خواستم بدونم چه جوری می تونم یوزرهای اکتیو دایرکتوری به ISA اضافه کنم ؟ یعنی یوزرهای اکتیو بتونن به وسیله Isa به اینترنت متصل بشن؟

دوست عزیز لازم نیست کاربرا رو به ISA اضافه کنی ، فقط ISA را عضو دامین کن .بعد در ایزا میتونی گزوه تعریف کنی و کاربران و یا گروههای Active رو عضو اونا کنی .

**th95** · 2012-06-13, 02:47 PM

Advantages of Domain Membership:
Granular user/group access controls for all protocols
Don’t need to create array accounts for intra-array communications

Results in more secure deployment

Full support for user certificate authentication for publishing
Full support for the Firewall client
Full support for Microsoft Operations Manager (MOM)
Full support for Group Policy management
Array admins can log in from any Active Directory managed machine with remote admin permissions
MUCH easier to deploy and maintain

Disadvantages of Domain Membership:
If someone compromises the Active Directory they can own the firewall

However, they’ll own everything else too, with the Firewall being the least of your problems

If the Firewall is owned, the Active Directory may become accessibile

The ISA firewall has never been compromised to the extent of being owned
Attackers don’t try to own firewalls, they try to own services protected by the firewall

Domain Admins can admin the Firewall

If you can’t trust your domain admins, you have bigger problems

Advantages of workgroup membership:
If firewall is compromised, attacker might not be able to get to Active Directory

If an attacker can own the firewall, he’ll be able to access the Active Directory whether or not the firewall is a domain member

Domain admins can’t admin the array

If you don’t trust your domain admins, you have bigger problems than this

If the Active Directory is “owned” the firewall won’t be effected

ISA will be the last man standing, while the entire business has gone up in flames – does it really matter at this point?

Disadvantages of workgroup membership:
Requires server certificate on CSS
Requires CA certificates on array members
Must track certificate status
Must use RADIUS authentication (slow) or RSA SecurID (expensive)
On-box accounts required for intra-array communication and management
No centralized password policy
Could become a security or access issue
Can’t use user certificate authentication for VPN or Web Publishing
No support for VPN user mapping when users connect from non-Windows VPN clients
ONLY ONE CSS SUPPORTED IN A WORKGROUP!
HTH,
Tom
Thomas W Shinder, M.D.

Debunking the Myth that the ISA Firewall Should Not be a Domain Member
Deb Shinder Blog

**msafari** · 2012-06-13, 02:56 PM

اگه هکری بتونه وارد ایزا شما بشه اونموقع دسترسی به که دامینت واسش خیلی راحته

**th95** · 2012-06-13, 03:07 PM

نوشته اصلی توسط msafari

اگه هکری بتونه وارد ایزا شما بشه اونموقع دسترسی به که دامینت واسش خیلی راحته

If the Firewall is owned, the Active Directory may become accessibile

The ISA firewall has never been compromised to the extent of being owned
Attackers don’t try to own firewalls, they try to own services protected by the firewall

Domain Admins can admin the Firewall

If you can’t trust your domain admins, you have bigger problems

**mehdi.g** · 2012-06-13, 03:26 PM

من با این قضیه که عضو کردن آیزا یا tmg از لحاظ امنیتی توصیه نمیشه مخالفم. اگر سرور فایروال شما بدرستی config and hardening شده باشه ، چطور میشه به این آسونی ها وارد آیزا شد که از طریق اون به دامین دسترسی پیدا کرد ؟
همونطور که کاملا مشخصه ، سرور دامین کنترلر در برابر سرور tune شده آیزا از لحاظ امنیتی کاملا بی دفاع هست. حالا کی پیدا میشه بیاد لقمه رو دور سرش بچرخونه بره سراغ آیزا نمیدونم !!!

**mavrick** · 2012-06-13, 08:25 PM

نوشته اصلی توسط mehdi.g

چطور میشه به این آسونی ها وارد آیزا شد که از طریق اون به دامین دسترسی پیدا کرد ؟
همونطور که کاملا مشخصه ، سرور دامین کنترلر در برابر سرور tune شده آیزا از لحاظ امنیتی کاملا بی دفاع هست. حالا کی پیدا میشه بیاد لقمه رو دور سرش بچرخونه بره سراغ آیزا نمیدونم !!!

حضرت استاد حرف شما کاملا صحیح که فرمودید
اما معمولا توی شبکه های کوچیک و متوسط سرور دامین کنترلر پشت ایزا قرار میگیره و بالاخره هکر برای نفوذ اول باید از ISA رد بشه پس نیاز به چرخوندن لقمه نداره مجبوره از ایزا رد بشه
حالا اگه ایزا عضو دامین باشه در صورت نفوذ ( که به همین اسونی ها و این که فرتی بگیم هک میشه هم نیست , اینا بیشتر قصه است ) چون ایزا جوین دومینه دسترسی راحت تری به دامین ما داره
اما اگه جوین نباشه و تازه هکر باس بگرده دنبال دامین کنترلر و پیدا کردن بقیه سرورها و بقیه ماجرا

**mrsamsum** · 2012-06-13, 11:33 PM

نوشته اصلی توسط halvaei

می تونید بگید چرا از لحاظ امنیتی توصیه نمیشه ؟؟؟؟

- - - Updated - - -

دوست عزیز لازم نیست کاربرا رو به ISA اضافه کنی ، فقط ISA را عضو دامین کن .بعد در ایزا میتونی گزوه تعریف کنی و کاربران و یا گروههای Active رو عضو اونا کنی .

آیا همین که سرور آیزای من عضو دومین باشه کافیه ؟ میشه بهم بگی دقیقاً کجای آیزا باید گروه تعریف بکنم؟

**mrsamsum** · 2012-06-14, 01:57 PM

سروری که روش آیزا نصب کردم قبلاً عضو دومین شده و تا قسمت web proxy/authentication رفتم تیک requir all user to authentication رو هم زدم
ولی یوزرهام بر اساس یوزرهای لوکال سرور آیزا autheniticate میشن نه بر اساس یوزرهای Active Directero
لطفاً بگین چی کار کنم ؟

**mrsamsum** · 2012-06-16, 08:26 AM

چرا هیچکی جواب نمیده ؟

**mrsamsum** · 2012-06-18, 06:04 PM

یعنی جواب سوال منو هیچکی نمیدونه !

موضوع: درخواست آموزش اتصال Active Directory به ISA Server

پیوند

ابزارهای موضوع

نمایش

درخواست آموزش اتصال Active Directory به ISA Server

کلمات کلیدی در جستجوها:

اتصال اکتیو دایرکتوری به رادیوس

isa server 2010 آموزش

اموزش اوردن کاربران اکتیو دایرکتوری در ISA SERVER

دسترسی به اینترنت از طریق active directory

طریقه تعریف یوزر در سرور

آموزش نصب isa server 2010

اتصال isa به

طریقه نصب isa server 2010

افزودن کاربران isa server 2006

اضافه کردن network در isa server2006

معایب اکتیو دایرکتوری

مشکل در افزودن کاربران به ايزا

اتصال isa به active directory

نصب ISA server 2006 به عنوان عضو دامین

آموزش آیزا سرور

افزودن کاربر دامنه به آیزا

راهنمای اتصال شبکه اینترنت تلو

طریقه اتصال isa به domain

آموزش اضافه کردن یوزر در isa server 2006

آموزش اتصال دامنه به vcp

آموزش نصب آیزا سرور روی دومین کنترولر

اضافه کردن یوز isa

استفاده از یوزر های active directory در isa server 2006

اتصال active directory در isa

نحوه تعریف یوزر ها در ISA

برچسب برای این موضوع

مجوز های ارسال و ویرایش