Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2493 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS/WINS Problem within AD

anhe-ib
Hi,

guess what, I've got a little probleme to resolve IPs of my machines [[:D]]

SSO over Win2k3 AD is working properly and I can connect to the machines via IP-adress and via FQDN but not via WINS
I need it to get on my vmware server webadmin interface:

https://192.168.1.3:4333 - connection possible
https://pc1.mynet.local:4333 - connectoin possible
https://pc1:4333 - connection not possible

Anyone any idea? [8-)]

Second problem but not that annoying:
"Users->Authentication->Active Directory->Prefetch directory users" does not list my AD structure to select the OUs I want to add to my ASG. But I can add AD groups manually like "CN=Internet_Users,OU=User_Defined,DC=mynet,DC=com"
any ideas for that to? [[:D]]

ASG running on VMware Server 2.0
Firmware version: 7.304
Patterm version: 8612

Thanks in advance...
anhe


This thread was automatically locked due to age.
Parents
  • 0
    Ahne, In AD Authentication, your Base DN is too precise.  The Astaro can see only beneath the Base DN, not above it.  Try something like "OU=User_Defined,DC=mynet,DC=com".

    If you are using Astaro for DHCP, have you made sure you have WINS configured there?  Or, are you trying to access PC1 via a VPN through the Astaro?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi BAlfson,

    currently we are testing Astaro. Default Proxy is MS ISA on Win 2003 SBS. So our DHCP and DNS is under MS controle [;)]
    ASG is for testing purpose only @ the moment. So it does not host any services like internal DNS or DHCP, the problem is, tha WINS is configured to the right machine on the client. But every http request via browser is redirected to the ASG. So local WINS works fine, only the ASG does not know our WINS. Is it possible to tell the ASG which machine has WINS running?

    The AD is not under my controle, is there another way? or is it just impossible?

    Next question, is it possible to do SNAT on AD User base in stead of IP base? We're looking to get an alternative to the Microsoft ISA Firewall Client.

    Thanks in Advance
    anhe
  • 0 in reply to anhe-ib
    If the WINS problem is only with the HTTP Proxy, then go to the 'Advanced' tab and add your servers to the 'Transparent mode skiplist'.

    I don't mean that you need to change the AD.  I mean that you should change the 'Base DN' in the Astaro on the 'Active Directory' tab of 'Users >> Authentication'.

    Next question, is it possible to do SNAT on AD User base in stead of IP base? We're looking to get an alternative to the Microsoft ISA Firewall Client.
     Can you tell us what problem(s) you are trying to solve? 

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,

    I don't mean that you need to change the AD. I mean that you should change the 'Base DN' in the Astaro on the 'Active Directory' tab of 'Users >> Authentication'.


    the AD Problem is solved, I cleared the Base DN entry^^


    Quote:
    Next question, is it possible to do SNAT on AD User base in stead of IP base? We're looking to get an alternative to the Microsoft ISA Firewall Client.

    Can you tell us what problem(s) you are trying to solve? 


    The Problem is, if one User needs a specific protocol (for example some homebanking), if we SNAT the IP, every user could use the SNATed port. So if we could bind it to an AD User only the User would be allowed to use that port. Also we don't need to change anything if he get's a new PC and the old one is used for other purposes without new installation...
    The Microsoft ISA Client works with the AD User authentication, so we can create an AD Group with allowed Users which are allowed to use that specific protocol... omg, hope you understand what I'm trying to describe.

    @the moment we use MS ISA with ISA Client for those problems, but we're trying ASG if it fits the needs of my boss^^

    many thanks in advance
    AnHe
  • 0 in reply to anhe-ib
    I don't understand.  Why would you use SNAT to facilitate connecting to a public IP outside your network?  If all you want is granular control over HTTP traffic, why doesn't the HTTP Proxy do what you need?

    I haven't used the Microsoft ISA Client, but I wonder if it's at all like the Astaro SOCKS Proxy.  From the Astaro users' guide: 
    Those clients behind a firewall wanting to access exterior servers connect to a SOCKS proxy server instead. This proxy server controls the eligibility of the client to access the external server and passes the request on to the server.

    Cheers - Bob
  • 0 in reply to BAlfson
    Is the WINS problem still an issue?
  • 0 in reply to BAlfson
    Yes, WINS is still an issue...

    My config:

    Web Security >> Proxy >> Global
     Allowed networks: Internal (Network)
     Operation Mode: Active Directory SSO 
     User/Groups: AD_InetUser

    Web Security >> Proxy >> Advanced
     Streaming settings: Bypass content scanning for streaming content
     Transparent mode skiplist: server-xx.domain.local
     [v] Allow HTTP traffic for listed hosts/nets

    Anything wrong here?
    I've also configured reverse DNS...


    The ISA Client issue:
    The HTTP Proxy works the way it should. The AD_InetUser Group is allowed to browse the web via http and https. But we need to allow "special" services only for selected machines based on the logged in User.

    Any idea how to realise this without SNAT (maybe I got it wrong from articles in the bulletin board or the manual)


    thanks in advance
    AnHe
Reply
  • 0 in reply to BAlfson
    Yes, WINS is still an issue...

    My config:

    Web Security >> Proxy >> Global
     Allowed networks: Internal (Network)
     Operation Mode: Active Directory SSO 
     User/Groups: AD_InetUser

    Web Security >> Proxy >> Advanced
     Streaming settings: Bypass content scanning for streaming content
     Transparent mode skiplist: server-xx.domain.local
     [v] Allow HTTP traffic for listed hosts/nets

    Anything wrong here?
    I've also configured reverse DNS...


    The ISA Client issue:
    The HTTP Proxy works the way it should. The AD_InetUser Group is allowed to browse the web via http and https. But we need to allow "special" services only for selected machines based on the logged in User.

    Any idea how to realise this without SNAT (maybe I got it wrong from articles in the bulletin board or the manual)


    thanks in advance
    AnHe
Children
  • 0 in reply to anhe-ib
    I still don't understand.  If all you want to do is allow access to specific sites for specific users or groups, you can do that from the Exceptions tab.  Or, by special services, do you mean opening a specific port?

    I'm lost on the WINS issue.  If this is two different network segments connected to two different interfaces of the Astaro, then you do need to configure the 'Relay' tab of 'Network >> DHCP'*.  If this is through a VPN, then you need to indicate your WINS server on 'Remote Access >> Advanced'.  The only other thing I might try would be to configure 'Network >> DNS'* by adding only 'Internal (Network)' on the 'Global' tab and completing the 'Forwarders' tab; leave the other tabs empty.  If it's anything else, then you should submit a support request to Astaro.

    Cheers - Bob
  • 0 in reply to BAlfson
    We got it now... solution was a combination of Masquerading AND Packet Filter... *doh*

    WINS still an issue, but not that important.

    thx for the help