ISA Server - Firewall
 

Ich hab mir im Laufe des Tages einen Windows Server 2003 aufgesetzt und darauf einen ISA Server als Firewall installiert (also nur die Firewall vom ISA)

Jetzt hab ich mal den ISA komplett "auf gemacht" um zu sehen obs funktioniert oder nicht:
Zugriffsrichtlinien
Site- und Inhaltsregeln:
Protokollregeln:
IP-Paketfilter:
Nur leider funktionierts nicht so wie ich es gerne hätte:
Als "SecureNAT" Client (also der ISA spielt NAT-Server) funkts von den Clients nicht. Nur direkt am ISA Server kann ich surfen.
Wenn ich jedoch am Client den ISA als Proxy eintrage, kann ich zumindest mal Internetsurfen.
Ich will aber, dass sich der ISA wie ein NAT Router verhällt.

Internet-Connection ist ADSL von AON. Das hab ich als einfache VPN Verbindung in den Network Connections konfiguriert.

Weiters is bei ISA Server die AON-Verbindung unter Netzwerkkonfiguration als DFÜ Verbindung eingetragen.
Bei den Eigenschaften der Netzwerkkonfig am ISA ist "DFÜ-Eintrag verwenden" angehakt, genauso wie in den Eigenschaften der einzigen Routingregel unter Aktion: "DFÜ-Eintrag für Primärroute verwenden" ist auch angehakt.

Der Routing and Remote Access Dienst läuft NICHT! Genauso ist ICS deaktiviert (lässt sich auch nicht aktivieren)

Die ganzen Konfigurationseinstellungen die ich da gepostet hab, hab ich von isaserver.org (das ist der genau Artikel

Vielleicht habts ja einen Vorschlag was da falsch läuft und was ich noch probieren kann.
Weil ich weiß im Moment nicht, was ich noch probieren könnte.

Hallo!

Schau Dir mal die Seite http://www.msisafaq.de da an! Da ist alles ganz genau beschrieben!

Für die ersten Schritte mit ISA (fast) unentbehrlich ...

LG
Jörg

herzlichen Dank - werd ich mir gleich anschaun.

Die Infos auf www.isaserver.org sind find ich auch ganz ok. Nur so wie dort beschrieben funkt die Konfiguration nicht.

Bzw. das einzige was mir bis jetzt unklar ist, ist sind die Einstellungen zu Netzwerkumgebung am ISA. Mal schaun was ich dort dazu finde.

Danke! :)

ich glaub standardmässig dürfen nur benutzer mit der internetberechtigung ohne proxy surfen, ich glaub du musst in den protokollfiltern bei allow all auch allow all users angeben oder so. Hab mich schon länger nicht mit dem isa server beschäftigt, weil der einfach von der administration her ein mist ist.

Ich denk nicht, dass es daran liegt.

Weil es gibt 1) keine Internet Users Gruppe (die müsst ich mir selber anlegen, wenn ich es darauf beschränken möchte) und 2) schau dir meinen Screenshot an - da gibts keine Limitierung.
Oder hab ich irgendwo was übersehen? :rolleyes:

Ich hab jetzt weiterhin die Filter offen wie oben beschrieben und die Netzwerkkonfig wie unter folgendem Link: http://www.msisafaq.de/Anleitungen/I...t/ISA_Tdsl.htm
Nur es will einfach nicht funktionieren. Weil im Prinzip hab ichs schon vorher so konfiguriert gehabt. ;)

Weiters wählt sich der ISA auch nicht automatisch mit der Verbindung ein - obwohls so konfiguriert ist wie auf der Website von msisafaq.de beschrieben.

hast du den ISA Firewall Client auf den Clients installiert ?

http://www.isaserver.org/tutorials/M...ll_client.html

Hier noch als Anhang, die entscheidenden Zugriffsrichtlinien.

hm ...

würde vorschlagen du installierst (vorausgesetzt du hast Zeit und Lust dazu) die ganze Kiste inkl. W2K Server noch einmal neu, und gehst alles step by step durch ...

hab das vor ca. 1 Jahr glaub ich 10 mal gemacht, bis alles gepasst hat. Jetzt läuft das Ding sehr gut und ohne Probleme ...

LG
Jörg

Ich will den nicht installieren.

Ich will die Clients als "SecureNAT" Clients betreiben. Da trägt man einfach die lokale IP des ISAs als Default-Gateway ein. So wie ich das vorher auch schon hatte, nur halt über Win2k Routing and Remote Access.

Auf dieser Seite - unten ist die "Konfiguration" der Clients.

auf die Idee bin ich auch schon gekommen.

Aja ISA SP1 ein zusätzliches Update die für die Benutzung mit Windows Server 2003 notwendig sind - sind natürlich installiert. (siehe da )

Naja, es läuft auf der gleichen Maschine noch ein Win2k Server ohne ISA und einfach mit Routing and Remote Access. Der wird heut am Abend auch wieder aktiviert - weil mein Vater will heute sicher noch ins Internet. ;)

Und wenn, ich will Win2k3 Server haben. Der daugt mir irgendwie mehr. (und man kann ein bissl herumprobieren)

@LouCypher
is zwar jetzt nicht das Thema, aber wenns mal wieder vorbei schaust: Hast dir jetzt schon Win2k3 Server am Notebook installiert - wie du es einmal ins Software Forum geschrieben hast? (wollt dir deshalb schon eine PM schicken)
Wenn ja, wie läufts?

hab ich nicht, war mir zu mühsam, weil du bei einem server os auch server taugliche tools brauchst, also antiviren schutz für server usw.


btw, das mit dem screenshot hab ich gemeint, kenn den isa nur von small business server aus und die ist schon etliches vorkonfiguriert.

Hau mich jetzt nicht aber wenn ich mich recht erinnere musst du für nat das rras von windows verwenden, der isa kann dass nicht. Der isa dient als addon eben als firewall, portfilter und proxy, aber nat muss weiterhin der rras dienst machen. Ein secure nat client ist doch nur ein stinknormaler rras-nat client der secure ist weil am rras server auch der isa server läuft. Würde sogar fast darauf wetten :D .

das es nur ein secureNAT Client ist weil der ISA drauf läuft ist mir klar. Ist halt ein schöner Name den sich MS da hat einfallen lassen.

Und das der ISA wegen den Routing Funktionen auf dem RRAS basiert hab ich mir auch schon gedacht. :hammer:
Nur glaub ich, ich hab irgendwo auf www.isaserver.org gelesen, dass man ihn deaktivieren soll (ich hoff ich hab mich da nicht verlesen)
Btw.: ich habs auch schon mit aktiviertem RRAS probiert. Da komm ich schon gar nicht ins Netz.

Und es gibt ja einen eigenen Punkt "Routing" in der Netzkonfig vom ISA. Also ich denk schon, dass er seine eigene Routing-Funktionen hat. Weil im Prinzip macht ein Proxy-Server ja nicht viel anderes, außer dass er halt die Ergebnisse cached.
Und diesen Cache hat halt der ISA nicht, wenn er nur als Firewall installiert ist.

Meiner Meinung nach bedeutet SecureNat-Client nur, dass der Client die interne IP des ISA's als default-gateway eingetragen haben muss ...

bitte um korrektur falls ich irre ...

Gute n8

Jörg

@Jörg

yepp... so is es... was den SecureNAT-Client betrifft!

Hi!

Verstehe ich Dich richtig: Du willst mit den Clients über den ISA *OHNE* Proxy in's Internet?

Nachdem ich die Informationen in Deinen Postings vermisse:

. Du hast doch hoffentlich den Windows Server 2003 Patch für den ISA 2000 installiert? Ohne dem wird der ISA auf dem 2003er nicht sonderlich viel tun.

. Hast Du Dir einen Clientadresssatz eingerichtet? Wenn nein, dann leg' in der Managementkonsole vom ISA unter "Richtlininenobjekte" -> "Clientadresssätze" einen an. Der IP-Bereich des Clientadresssatz sollte natürlich die von Dir in Verwendung befindliche IP-Range Deiner Clients abdecken (z.B. von 10.0.1.1 bis 10.0.1.254). Von irgendwoher muss der ISA ja immerhin wissen wie Dein internes Netz aussieht.

Probier' mal folgendes als Lösungsansatz:

. In den "Site- und Inhaltsregeln" sollte es bereits eine entsprechende, vorkonfigurierte, Zulassungsregel geben die den gesamten IP-Verkehr zulässt.

. Schau mal in die Protokollregeln und leg' Dir, falls nicht bereits vorhanden, eine neue Regel an die ebenfalls den gesamten IP-Verkehr aus dem internen Netzwerk zulässt.

. Mit dem Dial-Up kann ich Dir leider nicht weiterhelfen.

Funktioniert's jetzt ... ?

Apropos: In den Tiefen der Microsoft Knowlegebase steht's irgendwo:

. Den RRAS vom Windows darfst Du nicht verwenden da dies der ISA bereits selber erledigt; sofern das IP-Forwarding aktiviert ist.

. Genausowenig darf am ISA-Server ein IIS installiert sein - das kann auch zu einem Konflikt werden.

Ich vergass gestern noch zu sagen, dass Du auch die LAT (Netzwerkkonfiguration -> lokale Adresstabelle) kontrollieren solltest!

Kann auch ein Fehlerchen versteckt sein!

LG
Jörg

so ist es! Das ist der "Secure-NAT" Client.

steht schon in einem Posting weiter oben! Habe ich natürlich. ;)

ist fürs Netz 192.168.0.0 - 192.168.0.255 angelegt. Ich verwend Adressen aus dem 192.168.0.x-Netz. ;)

Die Regeln sind komplett offen - siehe angehängten Screenshot weiter oben (rules.jpg)

Das hab ich eben auch auf isaserver.org gelesen.

Hmm, das funkt sicher. Weil sonst könnte ich a) nicht direkt den ISA als Firewall für einen Webserver betreiben (ein Webserver läuft schon länger in der Konfiguration - wo der ISA die Firewall für den Webserver bildet)
Und ja, ich hab einen IIS installiert.


So und jetzt alle mal festhalten: ES FUNKTIONIERT! Fragts mich nicht warum, aber es geht.
Heute den Server wieder aufgedreht - Browser gestartet (IE - mit dem Proxy eingetragen - ISA macht automaitsch die Verbindung)
Naja, denk ich mir, startest mal den Mozilla (ohne Proxy konfiguriert) - und zack - WCM funkt.
Mail funktioniert auch. Das einzige was noch nicht geht, von den Standardprogrammen is ICQ. Aber ich denk das werd ich auch noch hinbekommen.

Soweit ich das richtig verstanden habe, konfiguriert man die Anwendungen die dahinter laufen sollen über Richtlinienobjekt/Protokolldefinitionen.

Und nochwas is mir aufgefallen - was nicht funktioniert:

Muss jetzt immer jemand am Server angemeldet sein, damit die Verbindung automatisch hergestellt werden kann?
Weil irgendwie befürchte ich das, da die VPN Verbindung ja für einen bestimmten Benutzer ist (wobei sie eigentlich für jeden Benutzer angelegt wurde).

Weil mit RRAS braucht man die Kiste ja nur aufdrehen und der Dienst läuft - und somit wird auch automatisch die Verbindung hergestellt.

EDIT: ICQ geht auch schon - ich hab nur noch nicht connected - weil es am Anfang wie ich den Rechner gestartet hab nicht funktioniert hat (da war noch keine Inet-Connection

Hi, LLR!

Entschuldige, ich hab' mir die Bilder nicht so wirklich angesehen.

. Wenn ich das mit dem Dial-Up, laut Online-Hilfe, richtig verstehe, dann musst Du diese in der ISA Verwaltung unter "Richtlininenobjekte" -> "DFÜ-Einträge" konfigurieren. Wenn die Verbindung eingerichtet ist sollte sich der ISA, sobald ein client auf eine exteren URL zugreift, einwählen.

Damit die Einwahl funktioniert solltest Du nicht extra angemeldet sein müssen.

. Das mit der "Warnung" über den IIS und ISA ist unter folgenden Link zu lesen:
http://www.microsoft.com/technet/tre...cs/cmt_iis.asp

Die wichtige Zeile daran ist:
In this case, IIS must be configured not to use the ports that ISA Server uses for outgoing Web requests (by default, port 8080) and for incoming Web requests (by default, port 80). For example, you can change IIS to listen on port 81.

. Über "Richtlinienobjekte" -> "Protokolldefinitionen" erstellt Du den Regelsatz für die Protokolle welche dem ISA bekannt sein sollen. Wenn Du irgendetwas benötigst das sich noch nicht in der Liste befindet musst Du es anlegen. Mir fällt jetzt leider kein geeignetes Beispiel ein.

Die somit erstellten Protokolldefinitionen können dann u.a. unter "Zugriffsrichtlinie" -> "Protokollregeln" dazu verwendet werden um für die Clients einzelne Protokolle zuzulassen oder zu sperren. Du benötigst die Protokolldefinitionen auch wenn Du einen Serverdienst veröffentlichen möchtest.

. Die Erfahrung mit dem "es funktioniert" hab' ich auch schon gemacht: nach einem Reboot des Server hat der Internetzugriff plötzlich einwandfrei funktioniert.

wegen dem nicht Gelesenen - no Problem - hab ja auch sehr viel geschrieben. ;) :D

Gestern wars dann anscheinend ein Reboot zu wenig. Ich hab auch schon wieder vergessen, dass man am besten für jede Änderung den Dienst neu starten soll. Ich woll mal testen ob man mich pingen kann, habs eingerichtet und es hat nicht funktioniert.
Und ein paar Minuten später is dann gegangen.

Den Port für die eingehenden Web-Anfragen hab ich schon umgedreht. Er hat aber auch keine "Mucken" gemacht, wie IIS und dieser Port auf 80 war (der IIS hat gewonnen und hat die Webseiten angezeigt... :lol: )

Mit den Protokolldefinitionen spiel ich mich grad herum. Ich muss noch Kazaa und eMule zum laufen bringen. (Kazaa geht scho)
Leider findet man immer so wenige Infors dazu, welche Ports jetzt wirklich in welche Richtung offen sein müssen (bei Kazaa hab ich jetzt mal 1214 eingehend und ausgehend auf gemacht)

Die "Serververöffentlichung" ist ja im Prinzip nix anders als ein Port-Forwarding - oder?
Weil es kommt eine Anfrage auf einem gewissen Port - und die wird dann auf einen internen Port bzw. auf einem anderen Rechner im lokalen Netz umgeleitet.
Gibts jetzt eine Möglichkeit die Liste mit den Protokollen die verfügbar sind zu bearbeiten? Weil da gibts nur eine Standardliste, mit FTP, DNS, HTTP und sonstigen div. Standardprotokollen. Ich will aber eigene eintragen (z.B. für die File-Send Funktion von ICQ....)

PS: ich mach mal wieder eine Reboot und schau was alles nachher noch funktioniert. ;) (wegen dem erstellen der Dial-up Verbindung ohne, dass jemand angemeldet ist)

also er wählt sich automatisch ein egal ob ein Benutzer angemeldet ist oder nicht. Jedoch unter einer bestimmten ("beschissenen") Voraussetzung:
Man muss den Aufruf "direkt" an den ISA senden. Sprich, man möchte z.B. eine Webseite ansurfen und der ISA ist als Proxy eingetragen.
Ist er nicht als Proxy eingetragen passiert gar nicht.

Das ist einerseits net so umständlich (wozu hat man den IE - den verwend ich einfach um die Inet-Verbindung zu erstellen) - andererseits wärs mir wenn er das immer macht schon lieber.

Mal schaun, vielleicht find ich noch was, mit dem man das ganze angenehmer machen kann.

Hi, LLR!

Wie war nochmal gleich das Motto vom W95 Lauch ... ? Start me up and shut me down ... ? :lol:

NEIN - das soll kein Aufruf zum Flamewar gewesen sein ... :rolleyes:

Ich hatte irrtümlich eine Web-Mail Oberfläche auf Port 80 liegen. Der ISA hat zwar keine wesentlichen Mucken g'macht, allerdings wurden aufgerufene Seiten nur sehr langsam geladen. Seit ich's aufgrund des MS-KNB Artikel auf einen anderen Port verschoben habe funktioniert der Seitenaufbau einwandfrei.

. Betreffend Dial-Up

Hast Du's so gemacht wie unter msisafaq.de beschrieben ... ?

Siehe: http://www.msisafaq.de/Anleitungen/Internet/DialUp.htm

Ich hab' zwar den Kazaa nie verwendet, aber ich vermute mal das dieser so ähnlich funktioniert wie der alte Morpheus. Da bist Du über Port 80 rausgegangen und über Port 1214 ist wieder alles zurückgekommen.

Für den eMule (Donkey) wirst Du dir ein Forwaring auf Deine Workstation einrichten müssen, ansonsten wird Dein Download-ID immer unter aller Sau sein. Steht irgendwo auf der Donkey2000 Seite wie's zu konfigurieren ist.

Ähm, jein. Normalerweise sollte die Serveröffentlichung ein Dienst sein der am lokalen Server läuft (z.B.: IIS, Exchange, ...). Die Funktion lässt sich jedoch auch als Port-Forwarder verwenden wenn der Server der Veröffentlicht werden soll sich in einer DMZ oder im internen Netz befindet.

Ja, Du klickst in der ISA Verwaltungskonsole bei den Protokolldefinitionen einfach auf "Protokolldefinition erstellen" und legst an was auch immer Du haben möchtest.

natürlich! ;)
Es gibt sogar ein eigenes Tut für DSL - ist aber im Prinzip das gleiche (http://www.msisafaq.de/Anleitungen/I...t/ISA_Tdsl.htm)

hmm, danke. Werd mal das ausgehen auf 1214 wieder raus nehmen und schaun obs noch immer funkt. Ja, Kazaa ist wie Morpheus früher - beides das FastTrack Network (Morpheus is jetzt bei was anderem)

eMule funkt auch schon, nur eben nur mit einer LowID. Das Portforwarding hab ich auch schon eingerichtet gehabt wie ich nur RRAS verwendet hab.
Drum is auch die Frage mit dem Serververöffentlichen gewesen.

Das hab ich mir eh schon gedacht. Nur hab ich kein definiertes Protokoll gefunden.

Aber jetzt hab ichs schon - in der Liste kann man nur Protokolle wählen, die den Typ "eingehend" haben. Drum hab ich z.B. mein konfiguriertes eDonkey nicht gefunden - weil hier das primäre auf "ausgehend" war - und die anderen Ports als sekundäre Verbindungen eingetragen sind.

Gleich eine Frage dazu: weiß du, wenn ich eine Serververöffentlichung konfigurier, werden dann die sekundären Verbindungen (sprich, die weteren Ports dieses Protokolls) auch weitergeleitet?

Und nochmals danke, jetzt läuft so langsam schon alles. Bis auf das automatische Herstellen der Verbindung wenn man nicht direkt den Proxy anspricht. :)

Ich stehe irgendwie auf der Leitung ?-| Was meinst Du mit sekundäre Verbindungen? Die Retourverbindung zum Client ... ?

Ein kurzes Beispiel: Du veröffentlichst einen Mail-Server (POP3 und SMTP).

Wenn ein Rechner von außen nun POP3 auf neue Mail abfrägt, dann kommt die Verbindung von einem High-Port (1023 - 65535) auf den Low-Port 110 deines Server. Die Retourverbindung vom Server zum Client läuft dann genau auf den Ports retour.

Bei Verbindungen von Hi- zu Hi-Port (Terminalserver, ...) läuft die Kommunikation genauso ab - nur ist der Serverport eben jenseits von 1023 angesiedelt.

Da der ISA-Server ein Stateful Inspection durchführt, dürfen prinzipiell Retourverbindugen welche mit einer zuvor aufgebauten ausgehenden Verbindung in zusammenhang stehen auch wieder rein.

Bei FTP darf also neben Port 21 auch Port 20 durch die Firewall. Ansonsten würde FTP nicht wirklich funktionieren.

Hab' ich Deine Frage damit beantwortet, oder ist's zu unverständlich ... ?

[EDIT]

Jetzt hab' ich's geschnallt:

Wenn Du einen Serverdienst veröffentlichst welcher mehr als einen Port benötigt (wie z.B. FTP) dann sollte der ISA das berücksichtigen; sofern es im Rahmen eines Standard-Protokoll liegt oder es entsprechend Benutzerdefiniert wurde.

[/EDIT]

jein! ;)

Das was du geschrieben hast ist mir klar.

Und ich denke, ich hab auch die Antwort auf meine Frage schon in der ISA-Hilfe gefunden; bzw. deckt sich das mit dem was du gerade gesagt hast.

Man kann am ISA ja bei benutzerdefinierten Protokolldefinitionen sekundäre Verbindungen angeben.
z.B. läuft der Emule-Client über die Ports 4662 und 4661 (ich weiß das is der Server, aber wurscht...)
od. lass ich ICQ auf einem Rechner auf den Port 5050-5054 auf einkommende File-Transfers lauschen.

Jetzt wollt ich wissen, ob, wenn man z.B 5050 als eingehend konfiguriert und die ports 5051-5054 als sekundäre Ports für eingehende Kommunikation definiert diese dann auch gleich bei der Serververöffentlichung gemappt werden.
Sprich die Ports 5050-5054 werden weiter geleitet.

Aber jetzt bin ich schon drauf gekommen, dass zuerst Kommunikation auf Port 5050 statt finden muss, damit weiters Kommunikation auf den "sekundären Ports" durch die Firewall kommt.

Also hab ich jeden Port als "eigenes" Protokoll definiert.

Detto bei eMule - und das funkt auch schon mit einer Hi-ID.

Das einzige Problem was ich bei der Serververöffentlichung hab ist, dass hier als externe IP immer die gleiche eingetragen bleibt.
Sobald ich mich aber neu einwähle hab ich eine neue IP und ich denk mir, dass dann die Veröffentlichung nimmer funken wird.
Habs noch nicht getestet, werd ich aber gleich machen.

So gerade getestet (drum hast posten ein wenig länger gedauert): und meine Befürchtung ist wahr.
Der ISA wird dann einfach die Packeln ignorieren, weil sie nicht mit der eingetragenen IP übereinstimmen und somit nicht mehr weiter leiten.
Mahh..... (da muss doch was geben, was das behebt - oder :rolleyes: ;))

Ok, war etwas dumm erklärt aber es war genau das richtige Gemeint.

Hätte allerdings noch dazuschreiben können das zuerst die Kommunkation auf dem Primären Port stattfinden muss bevor die Sekundären zum Zuge kommen können.

Kann ich mir allerdings nicht so wirklich vorstellen das der ISA mit einer dynamischen IP-Konfiguration nicht umgehen kann.

Ich hab' zwar keinen Schimmer von den T-DSL Zugängen in .de, aber ich denke mal das die auch immer eine dynamische IP zugeordnet bekommen werden. Würde es der ISA nicht können, müsste es doch irgendwo dokumentiert sein.

Ich werde mal versuchen dem Thema auf den Grund zu gehen und Dir wieder ein paar Zeilen zukommen lassen ... mal sehen was sich so an Info aus dem Netz ausgraben läßt; bisher hatte ich es noch nicht mit einer sich ändernden Verbindung zu tun.

Mich würde es auch wundern.

Und T-DSL in Deutschland wird denke ich nciht viel anders sein als ADSL von Post und Co.

Denn es ist zwar keine 100%ig professionelle Lösung, wenn man eine dynamische IP Adresse hat.
Aber ich denke, dass der ISA genauso auf kleine Firmen abzielt, die genau sowas haben.

Weil bis jetzt hat ers nicht überissen. (eingetragen x.x.148.151, die aktuelle die ich hab is x.x.156.91)

Ich werd auch noch danach suchen - weil so kanns das ja nicht sein. ;)

Ich dank dir schon mal im voraus. :hallo:

Wegen dem dial-Up Problem ist mir auch schon was eingefallen: ich will mir eine Exe basteln die eine Webseite aufruft, wenn die Verbindung fallen gelassen wird. Und dann macht der ISA wieder eine neue Verbindung.
Das einzige Problem was ich dabei hab ist, dass ich das Ding irgendwie als Service starten muss, aber das wird schon irgendwie hinhaun.

Aja, wo ich grad beim Thema programmieren bin: weißt du welche bzw. ob es überhaupt Möglichkeiten gibt auf Objekte/Eigenschaften vom ISA via VB Script bzw. mit WMI zuzugreifen? Vielleicht lässt sich darüber ja auch noch was rauskitzeln.... ;)

Ich hatte recht! Unsere Nachbarn in .de bekommen bei der Einwahl auch immer nur eine dynamische IP zugewiesen.

Schau Dir das mal an:

http://www.piepers.de/toolz/ip_detect.htm

die webveröfffentlichung über dsl bzw dynamische IP mit einem server, der sich hinter dem isa-server befindet, führt zu dem problem, dass der isa-server die änderung der externen ip, an der er lauschen soll, nicht mitbekommt. abhilfe schafft ein kleines tool, dass die IP der externen schnittstelle (dsl-modem) überprüft und bei änderung des isa stoppt & wieder neu startet.

das ging ja schnell.

Na hui, das würd ich auch noch zusammenbekommen, zu programmieren. ;)
Naja, aber da sind eh auch die Sources dabei.

Weil was mir nicht gefällt ist, dass man vorher schon die Internetverbindung machen muss.
Hmm, das is aber Käse mit meiner gewünschten Lösung, dass sich der ISA wieder automatisch einwählt: wird nämlich die Internetverbindung vom ISA hergestellt, wird diese auch beendet wenn man den ISA neu startet. Naja, jetzt mach ich automatisch eine neue Verbindung, und das Tool dreht mir den ISA wieder ab und auf, und die Verbindung muss ich wieder aufs neue machen.

Naja, vielleicht kann ich mir eine kombinierte Lösung basteln. :lol:

Weil das Problem welches ich habe ist, dass ich nach 8 Stunden aus dem Netz fliege. Das haben die deutschen glaub ich nicht (scheiß Aon ;))

Google ist so gut wie man ihn füttert :ja:

Auch wenn das jetzt Offtopic sein mag, aber es stellt sich tatsächlich die Frage wielange noch Sources mit dabei sein werden wenn dieses dämliche EU-Copyright durchgeht.

Wird hoffentlich nicht allzu schwer.

Das mit den 8 Stunden ist mir bekannt - an dem Problem hab' ich unter Linux schon mal "herumgedoktort" (Verbindung neu aufbauen wenn getrennt wird) - bis ich ein passenden Script fand das genau das Problem effizient erledigt.

naja, ich könnts mir einfach machen, indem ich einfach immer einen Benutzer beim Hochfahren anmelde.
Ist da nicht weiter schlimm, ist nur ein Testserver der die Verbindung ins Internet herstellt.

Und beim Anmelden wird automatisch von mir die Internetverbindung hergestellt. Dann brauch ich nur noch ein Programm welches mir die Connection überprüft - wird sie getrennt wird die Verbindung neu aufgebaut.
Und danach der ISA neu gestartet.

Hmm, muss mir überlegen was ich mach.

Aber irgendwie ist alles ein wenig eine gepfuschte Lösung.
Dass MS da nix gscheites gemacht hat - wär ja nicht so schwer gewesen.

Zum Thema "Wie installiere ich ein *.exe als Service":

Dazu gibt's doch tatsächlich einen Knowledge Base Artikel von Microsoft. Bezieht sich zwar auf Windows NT und Windows 2000, sollte meiner Meinung nach aber auch auf den 2003er anwendbar sein.

http://support.microsoft.com/default...NoWebContent=1

Nachdem ich bei Deinem Dial-Up Problem auch passen muss, wie wär's wenn Du eine der Microsoft Newsgroups zu diesem Thema bemühst ... ? Die deutsche Newsgroup, so Englisch ein Problem darstellen sollte, findest Du unter:

microsoft.public.de.german.isaserver

Die Englischen wären da:

microsoft.public.isa - allgemeine Fragen rund um den ISA Server
microsoft.public.isaserver - englische Newsgroup
microsoft.public.isa.edu - englische Newsgroup
microsoft.public.isa.configuration - für Fragen rund um die Konfiguration
microsoft.public.isa.publishing - für Fragen zu Serververöffentlichungen
microsoft.public.isa.vpn - für VPN Angelegenheiten
microsoft.public.isa.clients - für Fragen zu Clientzugriffen etc.

Vielleicht gibt's da einen freundlichen User der Dir da weiterhelfen kann.

dank dir!

Ich werd mal in eine Newsgroup posten.

Wegen dem Programm als exe - das hab ich auch schon von wem gehört.
Siehe dort: http://www.wcm.at/forum/showthread.php?threadid=110124 (ich bin das ganze ja gleich voll angegangen.... ;))

Naja, mal schaun, was mir so einfällt und was ich zusammenbring.

Wenn sich was neues von mir ergibt werd ichs in den Thread posten. :)

im reskit gibts ein tool mit dem du exes als services installieren kannst

i know i know....

Das is das was man mir auch in dem anderen Thread aus dem Programmierforum geschrieben hat (das is der Link den ich gepostet hab)

Bzw. is es auch das, was stormbringer aus der KB gepostet hat. ;)

Ich war nur so beschäftigt, mit den "17" Dingen die ich grad probiere zu machen, dass ich gar nicht auf die Idee gekommen bin, dass es sowas einfaches gibt.

kann mir jemand von euch (mit einfachen worten ;)) erklären, was genau der ISA server zusätzlich zum win2k3 RRAS + Basisfirewall bringt :confused:

a bissl mehr Konfigurationsmöglichkeiten!

Der ISA is a bissl mehr als a stupide Firewall.
Man kann den ISA in 3 Arten installieren: als einfachen WebProxy (kaum Firewallfunktionen), als Firewall (das hab ich gemacht, hat fast alle Funktionen ohne Cache) und im integrierten Modus - das is die Kombination aus beidem.

Weiters hat der ISA einen Intrusion Detection Filter der gewisse "Angriffsszenarien" erkennt und dich dadurch schützt.

Wobei ich den von Windows eigentlich auch hätte verwenden können. An das hab ich gar net gedacht, dass das bei Windows Server 2003 schon dabei is.

Naja, wurscht - jetzt kenn ich mich zumindest schon mal mit der Basic-Konfiguration vom ISA aus. :D

Wobei ich jetzt am Überlegen bin, ob nicht evt. den ISA wieder deinstallier und nur die Windows Server 2003 Firewall nehm... :rolleyes:

und ich erspar mir eine SW, mit der ich mich wieder nicht auskenne :D