Windows Terminalserver Internetzugriff für einzelne User steuern

Du kannst den Standard Proxy verwenden:

https://docs.sophos.com/nsg/sophos-firewall/19.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Authentication/HowToArticles/AuthenticationConfigurePerConnectionAuth/index.html#create-firewall-rules-for-multi-user-host-traffic 

Danke. Ich habe dies so konfiguriert wie in der Anleitung beschrieben. Leider funktioniert es nicht. Mit ist aufgefallen, dass unter "Current activities" keine Benutzer anzeigt werden. Dies sollte so nicht sein oder? Vermutlich erkennt die Sophos die user nicht richtig... Was ist zutun? Muss ich STAS konfigurieren? 

Hallo TVV,

lass doch im ersten Schritt die Benutzer weg und gucke, ob die Proxy-Regel dann funktioniert. Ich sperre hier immer eine "ungewollte" Seite global.

Geht das? Dann weiter zu den Benutzern...

Wenn es nur um Terminalserver geht, ist STAS nicht nötig/möglich.

Hast du unter Authentication / Server die AD-Authentifizierung eingerichtet?

Hast du Authentication  / WebAuthentication /Authentication settings for direct web proxy / "Use per-connection AD SSO authentication for multi-user hosts" aktiviert&konfiguriert?

Hi. 

Folgendes wurde konfiguriert:

- Authentication\Servers -> Domain Controller wurde eingebunden

- Authentication\Groups -> Alle Gruppen aus der Domäne wurden importiert. Dort gibt es eine "Internet_allow" Gruppe, in welcher einige Terminalserveruser sind. 

- Authentication\Web Authentication\Authentication settings for direct web proxy -> Hier wurde der Terminalserver hinzugefügt

- Es wurden in der Firewall 2 Regeln angelegt:

Regel Terminalserver_allow:

Regel Terminalserver_Drop:

Aktuell kann kein User auf das Internetzugreifen. Somit funktioniert die Regel Terminalserver_allow nicht.

Wo liegt der Fehler? Danke!!

Wenn du "match known users" aus der Allow-Regel nimmst (kurz zum Testen) ... dann greift die Regel?

Wenn du "match known users" aus der Allow-Regel nimmst (kurz zum Testen) ... dann greift die Regel?

Ja, dann können alle User am Terminalserver ins Internet. 

Der KBA spricht viele Dinge an. Direct Proxy (also Port 3128 muss konfiguriert werden). AD SSO muss konfiguriert werden, also Kerberos. Ist das alles aktiv und funktioniert? 

Evtl. musst du die Userfilterung aus der FW-Rule weglassen und innerhalb des Web-Filters ein "deny" für Nutzer definieren, welche nicht surfen sollen.

Aber beachte ... am terminalserver greift das nur für "Browser-Traffic" ... also nur 3128 / 443 / 80 zulassen.

Wenn im Webfilter anybody für den kompletten traffic gesperrt wird, funktioniert die Regel. Sobald ich die Gruppe "Internet_Deny" eintrage, besitzt jeder User Internetzugriff -> Ich vermute, dass die Sophos die Benutzer in der Gruppe nicht erkennt oder es ein Problem in dieser Richtung ist... Die Firewall Regeln sollten ja passen?

Es ist alles konfiguriert. Ich kann mich auch mit Domänenusern im Sophos Userportal anmelden.

Kannst du uns die AD SSO Authentifizierung über Kerberos im Logviewer zeigen? 

Reglmäßig erscheint dieser Fehler.

"KHALED" ist der Domänennamen.

Hast du spontan eine Idee, woran dies liegen könnte?

Das bedeutet, AD SSO funktioniert allgemein nicht.

Bitte das befolgen: docs.sophos.com/.../index.html

Ich konnte das Problem im Logviewer lösen. Allerdings funktioniert es weiterhin nicht. Ideen woran dies liegen könnte?

In der Device Zone vom Terminal Server, ist dort AD SSO aktiv? 
Nutzen alle Clients die Firewall als Proxy via Port 3128?
Haben die Clients eine Anmeldemaske oder Information, wenn sie aufs Internet zugreifen? Siehst du Anmeldeinformationen im Logviewer vom AD Server?