Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Dudas con una red

23/12/2004 - 12:45 por Emrro | Informe spam
Ayuda Hacer una pregunta
Hola Amigos;

Estoy montado una red y tengo algunas dudas, os cuento como esta diseñada a
ver si alguien me puede echar una mano,
Muchas gracias de antemano a todos aquellos que decidais regalarme vuestro
tiempo para leer este post.
Salu2

Internet -IsaServer (Externo)--IsaServer (Este es DC del
domino, y a partir de aqui esta el resto del dominio)
||
DMZ

bueno, pues esto es lo que esta a medio montar, os cuento mas o menos como
esta
La configuracion DNS de los dc´s es, siempre apuntan a otro dc como dns
primaria y como secundaria se apuntan asimimos, y tienen como reenviadores
la ip del IsaServer que esta en dominio, todos los clientes aputan al primer
dc (son como unos 50 clientes) exclusivamente, en su configuracion DNS, y
como puerta de enlace tienen la ip del IsaServer que esta en dominio.
Hasta creo que esta doto bien, tal vez podria poner a los clientes como DNS
secundaria otro dc del dominio, o incluso alternar por ejemplo 25 clientes
apuntan como DNS primaria a un dc y los otros 25 apuntan como primaria a
otro dc ¿Esto no se si es correcto, si me podeis orientar?

El IsaServer Externo permite todo el trafico de salida, con esto segun tengo
entendido, permito todo el trafico de salida y solo tendrian entrada las
peticiones realizadas desde dentro, es decir un cliente hace una consulta
dns, esa consulta puede salir y entrar su respuesta, pero no se aceptaria
una consulta dns desde internet hacia dentro. ¿Esto tampoco estoy muy seguro
y me gustaria que me dijeseis si es asi o no?

El IsaServer que forma parte del dominio como dc, es el que tiene todas las
reglas creadas, por ejemplo para recibir correo tiene permitido los
protocolos pop3, smtp, y dns; pero con esto solo no nos tiraba y creo que
aqui empezamos a liarla, porque lo que hicimos fue publicar un servidor de
correo apuntando contra nuestro ESP, ¿Aqui os pido toda la ayuda que me
querais brindar?

Ahora mismo el principal problema que tengo es que la navegacion es muy
lenta, da la impresion de que este cacheando, porque tarda en resolver la
pagina pero luego la muestra de un pantallazo, ninguno de los Isa esta
cacheando, y la verdad no sabemos a que puede ser debido, si nos podeis
echar una mano os lo agradeceriamos enormente.

Por otra parte lo que queremos hacer es controlar las salidas a internet de
los usuarios, para ello creo que necesitamos instalar los clientes de proxy,
pero lo hicimos en un cliente y no podia navegar ni recibir correo, ¿si nos
podeis orientar en el tema?

Por ultimo la DMZ aun no tiene nada, esta pensada para montar los servidores
Exchange (aun no estan montados), los de terminal service y la intranet,
pero he leido que tal vez el servidor de Exchange deberia estar en el
dominio, aqui os pido consejo porque aun no esta montado, pero todo lo que
me podais aconsejar os lo agradezco enormemente.

Bueno espero que se entienda, todos los comentarios seran bien recibidos.

Muchas gracias otra vez por vuestro tiempo.
Salu2
email Siga el debateRespuesta 3 respuestasRespuesta Tengo una respuesta
DRAGON AGE™: INQUISITION – Matadragones
 

Leer las respuestas

#1 Ivan [MS MVP]
23/12/2004 - 13:51 | Informe spam
Hola Enrro, hay un par de datos muy importantes que has omitido y son la
version de ISA y la configuracion TCP/IP de los interfaces del ISA.
Te contesto dentro del mensaje..

"Emrro" escribió en el mensaje
news:
Hola Amigos;

Estoy montado una red y tengo algunas dudas, os cuento como esta diseñada
a
ver si alguien me puede echar una mano,
Muchas gracias de antemano a todos aquellos que decidais regalarme vuestro
tiempo para leer este post.
Salu2

Internet -IsaServer (Externo)--IsaServer (Este es DC del
domino, y a partir de aqui esta el resto del dominio)
||
DMZ

bueno, pues esto es lo que esta a medio montar, os cuento mas o menos como
esta
La configuracion DNS de los dc´s es, siempre apuntan a otro dc como dns
primaria y como secundaria se apuntan asimimos, y tienen como reenviadores
la ip del IsaServer que esta en dominio, todos los clientes aputan al
primer
dc (son como unos 50 clientes) exclusivamente, en su configuracion DNS, y
como puerta de enlace tienen la ip del IsaServer que esta en dominio.
Hasta creo que esta doto bien, tal vez podria poner a los clientes como
DNS
secundaria otro dc del dominio, o incluso alternar por ejemplo 25 clientes
apuntan como DNS primaria a un dc y los otros 25 apuntan como primaria a
otro dc ¿Esto no se si es correcto, si me podeis orientar?



Si tus clientes utilizan DHCP, es dificil asignar un DNS a un grupo de
clientes y otro servidor DNS al resto de clientes... con clases de usaurios
no creo que puedas conseguir nada y con ambitos, seria demasiado jaleo.
50 clientes no son muchos y el protocolo DNS esta basado en UDP para evitar
sobrecarga... yo no me complicaria y asignaria el mismo servidor DNS
primario y secundario a todos los clientes. Si no utilizas DHCP y configuras
manualmente las propiedades de TCP/IP, no hay problema en distribuir la
carga de la forma que indicas.


El IsaServer Externo permite todo el trafico de salida, con esto segun
tengo
entendido, permito todo el trafico de salida y solo tendrian entrada las
peticiones realizadas desde dentro, es decir un cliente hace una consulta
dns, esa consulta puede salir y entrar su respuesta, pero no se aceptaria
una consulta dns desde internet hacia dentro. ¿Esto tampoco estoy muy
seguro
y me gustaria que me dijeseis si es asi o no?



Asi es. ISA es un cortafuegos de estado y las respuestas a peticiones
autorizadas se permiten, no es necesario crear filtros, ISA "abre" y
"cierra" puertos de forma dinamica.
De todas formas, en el ISA fontal (el que conecta con internet) deberias
permitir todo unicamente a la IP externa del ISA interno (el ISA conectado a
la red interna). El control de acceso lo realizas en el ISA interno en el
cual ademas, puedes utilizar usuarios o grupos del dominio. Si luego agregas
maquinas en la DMZ, debes intentar permitir unicamente los protocolos
necesario en el ISA frontal, nada mas. Permitir todo es una practica de
seguridad bastante mala.


El IsaServer que forma parte del dominio como dc, es el que tiene todas
las
reglas creadas, por ejemplo para recibir correo tiene permitido los
protocolos pop3, smtp, y dns; pero con esto solo no nos tiraba y creo que
aqui empezamos a liarla, porque lo que hicimos fue publicar un servidor de
correo apuntando contra nuestro ESP, ¿Aqui os pido toda la ayuda que me
querais brindar?



Si estas hablando de publicar un servidor de correo en la red interna o en
el mismo ISA, debes usar reglas de publicacion de servidor, tanto en el ISA
frontal como en el ISA interno. Aqui debes darnos mas informacion: donde
esta el servidor de correo, en el ISA o en otro servidor en la red interna ?


Ahora mismo el principal problema que tengo es que la navegacion es muy
lenta, da la impresion de que este cacheando, porque tarda en resolver la
pagina pero luego la muestra de un pantallazo, ninguno de los Isa esta
cacheando, y la verdad no sabemos a que puede ser debido, si nos podeis
echar una mano os lo agradeceriamos enormente.



Cual es la configuracion TCP/IP de los ISA ? es un dato importante
De todas formas, mirate estas guias:
ISA 2000:
http://www.microsoft.com/technet/pr...2kqsg.mspx
ISA 2004:
http://download.microsoft.com/downl...1%2003.doc
http://download.microsoft.com/downl...1%2003.doc


Por otra parte lo que queremos hacer es controlar las salidas a internet
de
los usuarios, para ello creo que necesitamos instalar los clientes de
proxy,
pero lo hicimos en un cliente y no podia navegar ni recibir correo, ¿si
nos
podeis orientar en el tema?



Lo ideal es que configures tus clientes internos como clientes firewall y
web proxy. Utiliza los clientes SecureNAT para los servidores que necesites
publicar.
Es necesario conocer un poco mas d ela configuracion de los ISA para saber
cual es el problema, pero tienen toda la pinta que las reglas de acceso no
permiten las peticiones de los clientes. Antes de decir nada, prefiero saber
que version de ISA utilizas ya que la forma de definir las reglas de acceso
es muy distinta.


Por ultimo la DMZ aun no tiene nada, esta pensada para montar los
servidores
Exchange (aun no estan montados), los de terminal service y la intranet,
pero he leido que tal vez el servidor de Exchange deberia estar en el
dominio, aqui os pido consejo porque aun no esta montado, pero todo lo que
me podais aconsejar os lo agradezco enormemente.



La idea original de las DMZ es crear redes totalmente aisaladas de las redes
internas. Si situas en la DMZ maquinas integradas en el dominio interno,
rompes con esta filosofia.
De todas formas, puedes situar un exchange perfectamente en la DMZ:
http://download.microsoft.com/downl...1%2005.doc
Mira el capitulo 12
Aqui tienes otro ejemplo:
http://www.isaserver.org/articles/2004dmzfebe.html
No importa que sea una Trihomed DMZ, en una Back-to-Back, como es tu caso,
se pueden aplicar los mismos principios.

Un saludo.
Ivan
MS MVP ISA Server

Preguntas similares

 

Busqueda sugerida :