J'ai un petit soucis avec ISA... J'ai ajouté des règles de refus pour des sites pornographiques.  
Le problème, c'est que lorsque l'utilisateur éssaye d'acceder à ce site, IE lui demande 3 fois un nom d'utilisateur, un domaine et un mot de passe pour acceder au site avant de refuser. Or je ne veux même pas qu'il lui demande. Non c'est non...  
De plus j'ai aussi des comptes qui peuvent être utilisés par tous mes utilisateurs mais qui ne permettent que le pop3 et le smtp afin d'autoriser l'envoi et la reception de mail de leurs bureaux. Seulement lorsque le mail est en html et contient des liens vers internet, là c'est l'apothéose... L'utilisateur se transforme en cliqueur fou (3 fois par liens).  
J'ai regardé et changé tout un tas de paramètres dans IE et dans ISA et je ne trouve pas comment empecher cette demande d'accès réseau.  
Bref, ca 'embete' tout le monde et donc au final moi surtout... Si vous avez eu ce problème ou le connaissez... merci d'avance pour votre aide.
 
ps : Je suis en mode d'authentification intégrée et tous mes clients sont configurés pour passer par le proxy...
 
edit :  
 
Règle de site et de contenus : autoriser tout sauf règle_site_porno
 
Règle de protocole : http/https pour tous les utilisateurs

personne ne connaît ISA ?

déjà à la page 5 ??!! pas étonnant que je n'ai pas de réponses...
Allez, un pour la route...

je dirai bien quelque chose mais je vais m abstenir

 
oui je sais : linux. Seulement là, ce n'est pas moi qui décide donc
 
Si quelqu'un au cas où comme ça par hasard connaissait ISA Server... c'est fait par microsoft... ca fait proxy... firewall... pour internet quoi... voilà...

il te demande l'autorisation systématiquement lorsque tu accèdes au net ou lorsque tu accèdes à des sites pornographiques.
Tu te sers de quel surcouche pour le filtrage des sites?
Tu es en environnement AD?

 
alors c'est uniquement lorsqu'ils essayent d'acceder aux sites pornos. Sinon ils ont le droit d'aller partout.
je suis en environnement AD
la surcouche ? euh règle de site et de contenus sur des utilisateurs. et IE est configuré pour passer par le proxy ISA.
 
En fait j'ai une vingtaine de machines internet dispatchées partout et chaque utilisateur a son compte et peut se connecter  de n'importe quelle station (profils itinérants)

comment as-tu défini tes autorisations dans ISA?

Pour simplifier :
J'ai un groupe (win2K) qui regroupe tous mes utilisateurs
J'ai une règle de site et de contenus qui autorise tout sauf ma règle anti-site-porno
J'ai rajouter une règle de site et de contenu qui refuse l'ensemble des destinations contenus dans ma règle anti-site-porno
J'ai une règle de protocole qui autorise HTTP HTTPS FTP DNS pour mon groupe utilisateur
J'ai une arègle  deprotocole qui autorise SMTP POP3 NNTP
 
J'ai coché l'identification obligatoire auprès du proxy
Je suis en authentification intégrée pour tout ce qui est proxy  
J'utilise le client pare-feux lorsque les utilisateurs utilisent outlook express

avec le client pare-feu plus rien n'est loggué et tu passe par le port 80 et plus le port 8080
 
Tu es en authentification intégrée mais il te demande un nom d'utilisateur ayant le droit de se connecter à un site porno grosso modo.
Y en a t'il? le problème se pose t'il pour un utilisateur n'utilisant pas le client proxy?
Tes DNS sont bien accessibles par le proxy?

 
En fait, je n'ai pas activé la redirection des requetes 80 vers proxy... De plus je configure tous mes IE pour qu'il passe par le proxy à l'aide d'une stratégie de groupe. Donc je suis sûr que tous mes utilisateurs passent par le proxy quand il surf. (visible dans mes logs)
Le client firewall est là uniquement pour le pop3 et le smtp
 

Tout à fait alors que j'ai bien mis une règle de refus... Je ne veux pas qu'il demande une autre authentification. Si l'utilisateur n'a pas le droit, il n'a pas le droit...
 

Des sites pornos oui et des utilisateurs qui éssayent d'aller dessus aussi...
 

euh, je n'ai pas éssayé à vrai dire car je suis obligé de les faire passer par le proxy si je veux pouvoir filtrer les sites non ?
 

 
tout à fait, ça au moins ça marche

tu as un pc de test dispo?
tu peux bidouiller le serveur proxy?
 
tu as quelles informations dans les logs?
 
y a t'il des utilisateurs qui ont le droit d'accéder aux sites pornographiques?

 
euh.. oui le soir
 

WEBTEXTetc.. qui est bien remplie comme il faut
 

non personne... même pas moua !!!!

dans les logs as-tu des informations concernant l'authentification?
sur le serveur DNS et les DC?
sur le firewall?

Vu sur microsoft.public.isa :
 
"you have a destination set which is denied for everyone. When a user is denied a certain resource, ISA (like IIS) allows
the user to try to authenticate with different credentials. However, this is not always the preferred behavior, and in your case you would rather that these requests will be denied completely. for that you can add a DWORD registry key under "HKLM \ System \ CurrentControlSet \ Services \ W3Proxy \Parameters". The name of the key should be "ReturnDeniedIfAuthenticated" and its value should be 1. This should fix your problem."
 
et encore :
 
"1. Install Isa sp1
 
2. In the Properties of the array in the Outgoing Web request
    tab clear the 'Ask unauthenticated users for identification'
    checkbox and be sure that authentication is set to 'Integrated'
 
3.  Run Regedit. Locate the key:
     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3proxy\Parameters
     right click on it and select New -> DWORD value
     and then add the following values
 
        Value Name : ReturnDeniedIfAuthenticated
        Radix : Hex
        Value Data : 1
"
 
Si ça peut t'aider...

 
joli trouvaille

 
Tu es mon dieu !!!!!! merci à toi et à krapaud pour votre aide !!!!

 
drapo

drapo

 
drapal
comment as-tu défini ta règle anti-porno ?

 
j'ai tout simplement regardé où allaient certains de mes utilisateurs et j'ai rajouté la liste de leur sites préférés à ma règle de refus... De plus j'ai rajouté une liste de mot clé dans les URL qui sont interdites...

alors l est bien crashé AD ?

 
non monsieur maintenant il est remonté ! vive mes sauvegardes

oui mais pk il etait cassé ??

 
ah bah ça si je le savais !!!! à 12h06 heure locale le serveur s'est crashé pour des raisons indéterminées (en plus je mangeais) et au redémarrage AD nous avait quitté  
 
edit : même pas un petit mot de départ dans le journal d'évenement... il est parti comme ça sans dire un mot...

Ah t as eu un soucis avec ton AD..ISA etait dessus?
PAskeu nous ISA il a pas aimer nos multiple changement de paramatre...jusqu au jour ou ..ecran bleu :|
La la machine est repartis..

Y en a ici qu on des url pour monter une DMZ avec ISA server..je me renseigne pour le mettre en place eventuellement...

 
ah mais y'a longtemps que je n'ai pas changé de paramètres... Une fois le serveur installé et configuré, je n'ai plus besoin d'y toucher en général... donc ce n'est même pas un changements intempestifs de configuration qui l'a fait planté... Non, AD avait décidé de nous quitter aujourd'hui...  oude me faire bosser, l'un des 2

 
cool
.le tit moment de stress du lundi
 
Remarque: ISA n'aime pas le Lundi apparement paskeu nous aussi c est arrive un lundi

 
mais moi ISA a très bien survécu à tout ce chamboulement... AD est tombé tout seul... Comme un grand

 
donc aucun rapport avec le topic...
Open bar  

 
lol oui c vrai mais c'est tomate77 qui a commençé  

 
tu as commencé sur OSA

 
Mais justement pour un filtrage basé sur le contenu HTML à l'aide de contenu (ex filtrer les pages web qui contiennent un mot bien spécifique) tu utilises un filtre externe éditer par une autre société ou pas ?
 
Sinon, comment arriver à ce résultat avec ISA ?

 
Je ne fais pas de filtrage sur le contenu mais uniquement sur les URL qui sont déjà bien significatives...  
De plus, j'ai crée moi même les filtres dont j'avais besoin pour le firewall... On a pas voulu me donner les sous pour en acheter des tout faits

 
edit : Il est difficile de juger le contenu d'une page.. Ce n'est pas parce qu'il y'a le mot sexe que cette page est obligatoirement à bannir... Il est vrai  que pour d'autres expressions (ejaculation etc...) il est beaucoup plus probable que cette page soit celle d'un site pronographique. Cependant, les webmestres de ces sites ont vite compris l'interêt d'utiliser des raccourcis comme "éjac" par exemple pour réussir à passer les règles de filtrage...
Par contre je crois qu'il existe un filtre qui est capable d'analysé le contenu des photos... Cependant, j'ai des doutes quand à la qualité des performances à l'issue...

 
Désolé, je n'ai pas pu lire ta réponse sans désactiver ISA  
   
 
 

 
Il suffit que cette règle ne s'applique pas à ton utilisateur ou ta station de travail.
 
faut bien que tu puisses vérifier que c'est interndit !!!

ISA en tant que proxy de filtrage je ne le connais que couplé àd'autres solutions tierce comme websphere ou surfcontrol.
Sinon c'est ultra chiant à configurer