Zugriff auf Windowsupdate V5 durch den ISA 2004 - Von Christian Gröbner
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Aufgrund von NTLM Autentifizierungsproblemen am Proxy schlägt das Windowsupdate V5 fehl. Damit der Zugriff reibungslos funktioniert, muss eine Firewallregel erstellt werden, die anonymen Zugriff auf die Windowsupdate Seiten erlaubt.
Hinweis: Dieses Problem tritt nur auf, falls Sie Authentifizierung am ISA für ausgehende Webanfragen fordern!
Wie Sie den ISA 2004 dafür konfigurieren, damit Ihre Konfiguration trotz anonymen Zugriff sicher bleibt, erfahren Sie in dieser Anleitung.
1. Deaktivierung der Webproxy Authentifizierung
Gehen Sie in die Eigenschaften des Netzwerkes, über das auf die Windowsupdate Seiten zugegriffen werden muss.
Öffnen Sie unter dem Karteireiter Webproxy die Authentifizierungsmethoden, über den Button Authentifizierung.
Entfernen Sie den Haken bei Authentifizierung ist für alle Benutzer erforderlich, um die generelle Authentifizierung
auf Benutzerebene zu deaktivieren. Falls Sie Authentifizierung für den Webzugriff fordern wollen, müssen Sie die
entsprechenden Benutzer bzw. Gruppen direkt in der Firewallrichtlinie für den Webzugriff angeben.
2. Erstellen einer Firwallrichtlinie für den anonymen Zugriff
Erstellen Sie über Firewallrichtlinien -> Neu -> Zugriffsregel eine neue Firewallrichtlinie. Es öffnet sich der Assistent zur Erstellung einer neuen Firewallrichtlinie. Vergeben Sie zunächst einen Namen für die Regel.
Als Aktion wählen Sie Zulassen aus, um den Zugriff zu gewähren.
Ändern Sie unter Regel wird angewendet für die Auswahl auf Ausgewählte Protokolle ab und fügen diese über den
Button Hinzufügen hinzu. Für den Zugriff auf das Windowsupdate V5 werden die Protokolle HTTP und HTTPS, unter der Kategorie
Web, benötigt
Nachdem Sie die Protokolle ausgewählt haben, sollte die Auswahl der Protokolle wie oben abgebildet aussehen.
werke, die Zugriff benötigen, der Regel hinzu. Wählen Sie unter der Kategorie Netzwerke die Netzwerke aus, die Sie der
Regel hinzufügen wollen.
Anschließend sollten als Zugriffsquellen nur die Netzwerke ausgewählt sein, die Zugriff benötigen.
Fügen Sie über den Button Hinzufügen das Ziel der Regel hinzu. Erstellen Sie über Neu -> Domänennamensatz ein neues Regelelement um den Zugriff auf bestimmte externe Ziele zu beschränken.
Vergeben Sie einen Namen und fügen Sie über Neu folgend angegebene Domänen hinzu und wählen Sie den eben erstellten Domänennamensatz unter der Kategorie Domänennamensätze aus.
Benötigte Domänen für Windowsupdate V5:
Als externes Zugriffsziel sollte nur der Domänennamensatz ausgewählt sein.
Diese Regel muss für alle Benutzer gelten, da ein anonymer Zugriff benötigt wird. Deshalb wurde der Zugriff durch einen Domänennamensatz beschränkt um nicht den gesamten Zugriff auf das Internet anonym zu gewähren.
Abschließend bekommen Sie alle Einstellungen als Zusammenfassung angezeigt.
Setzten Sie die Regel für den Zugriff auf die Windowsupdate Seiten in der Reihenfolge vor die Regel die den Internetzzugriff
erlaubt. Ansonsten hätte diese Regel Vorrang und somit wäre kein anonymer Zugriff möglich, da in der Regel für den Internet-
zugriff Authentifizierung auf Benutzerebene gefordert wird.
Stand: Friday, 28. August 2009/CG.
