Isa Server 2004 DMZ con NAT

04/03/2005 - 14:11 por Gargon | Informe spam
Buenos días,
Primero intento representar el esquema de red que nos han impuesto:

Internet-StoneGate-Catalyst(NAT)-red interna
|
Isa 2004
La red interna tiene direccionamiento público 100.X.X.X 150.X.X.X, por lo
que hacen un NAT de estas direcciones hacia unas 192.168.216.X. El ISA tiene
una dirección 192.168.215.X.
Necesitamos que los usuarios de la red interna no tengan que autenticarse de
nuevo para salir por los ISA, por lo que los ISA necesitamos que estén en el
dominio.
Ahora cuento la chapucilla que hemos realizado, pero que no termina de estar
fina.
En uno de los ISA hemos instalado un servidor DNS con la estructura del
dominio, y sus entradas _lda, GC. (SRV) apuntando a las direcciones que
nos hace el NAT 192.168.216.X (que el Catalyst convertira en 100.X.X.X) hacia
dos DC de la red interna.
De esta forma podemos logarnos en la máquina con un usuario del dominio en
los ISA.
El problema surge a la hora de establecer las reglas HTTP para determinados
grupos de usuarios, ya que para introducir el usuario o grupo, dentro de la
consola de ISA, ponemos el alias del usuario, y al pinchar en check, nos
salta un error de RPC, pero nos devuelve el nombre que tiene en el directorio
activo.
Cuando paramos el servicio de Firewall, e intentamos la misma operación, el
usuario es reconocido, y añadido sin problemas.
No se si esta configuración es posible, y si existe una solución o
alternativa para nuestros requerimientos del cliente con la arquitectura
dada. Pero lo que parece es que existe una comunicación con el DA, pero
alguna comunicación de respuesta no llega o es eliminada, y por eso nos da el
error.
Para terminar, comentar que para meter una de las máquinas en el dominio con
el servicio firewall arrancado, metiamos los datos del dominio así como el
usuario que añadía, y en cuanto creaba el objeto en el directorio activo, en
nuestro ISA daba el mismo error de RPC, por eso creemos que es el tráfico que
nos devuelve.

Gracias de antemano, y espero que la explicación sea lo suficientemente clara.
 

Leer las respuestas

#1 Ivan [MS MVP]
04/03/2005 - 18:22 | Informe spam
Imagino que ISA solo lo quieres usar como proxy no ? yo me plantaria quizas
esto:
Internet<-->StoneGate<-->ISA<-->Red interna

Si ISA lo integras en el dominio, puedes autentificar usando usuarios y
grupos del dominio y no tienes que rebajar tu seguridad permitiendo el
trafico de dominio entre la DMZ y la red interna. De verdad que merece la
pena este diseño. El que estais intentando implementar es mucho mas
inseguro.

Para integrar el servidor ISA en el dominio, debes permitir los protocolos
que indica esta articulo en el StoneGate desde el ISA hacia al menos un DC:
http://www.isaserver.org/articles/2...omain.html
Si el StoneGate no proporciona un filtro RCCP, tienes que hacer
modificaciones en los DCs para limitar el rango de puertos RPC. El articulo
ta indica como. Respecto a la configuracion DNS, tienes varias alternativas
en funcion del sistema operativo en el que esta instalado ISA:
1-Si se trata de ISA 2000, quizas puedes crear una zona secundaria del
dominio interno y configurar los reenviadores a los DNS del ISP. O
simplemnet instalar el servicio DNS, configurar los reenviadores a los DNS
del ISP y configurar el ISA para que apunte a los DNS internos (si los estas
publicando en el StoneGate, la IP externa de este).
2-Si se trata de Windows 2003, tienes muchas alternativas. Un montaje
similar al anterior, reenviadores condicionales o stub zones.

De verdad que esa implemenatcion no es nada buena: complicada, insegura...
merece la pena decidirse por esto:
Internet<-->StoneGate<-->ISA<-->Red interna

Un saludo.
Ivan
MS MVP ISA Server

"Gargon" escribió en el mensaje
news:
Buenos días,
Primero intento representar el esquema de red que nos han impuesto:

Internet-StoneGate-Catalyst(NAT)-red interna
|
Isa 2004
La red interna tiene direccionamiento público 100.X.X.X 150.X.X.X, por lo
que hacen un NAT de estas direcciones hacia unas 192.168.216.X. El ISA
tiene
una dirección 192.168.215.X.
Necesitamos que los usuarios de la red interna no tengan que autenticarse
de
nuevo para salir por los ISA, por lo que los ISA necesitamos que estén en
el
dominio.
Ahora cuento la chapucilla que hemos realizado, pero que no termina de
estar
fina.
En uno de los ISA hemos instalado un servidor DNS con la estructura del
dominio, y sus entradas _lda, GC. (SRV) apuntando a las direcciones
que
nos hace el NAT 192.168.216.X (que el Catalyst convertira en 100.X.X.X)
hacia
dos DC de la red interna.
De esta forma podemos logarnos en la máquina con un usuario del dominio en
los ISA.
El problema surge a la hora de establecer las reglas HTTP para
determinados
grupos de usuarios, ya que para introducir el usuario o grupo, dentro de
la
consola de ISA, ponemos el alias del usuario, y al pinchar en check, nos
salta un error de RPC, pero nos devuelve el nombre que tiene en el
directorio
activo.
Cuando paramos el servicio de Firewall, e intentamos la misma operación,
el
usuario es reconocido, y añadido sin problemas.
No se si esta configuración es posible, y si existe una solución o
alternativa para nuestros requerimientos del cliente con la arquitectura
dada. Pero lo que parece es que existe una comunicación con el DA, pero
alguna comunicación de respuesta no llega o es eliminada, y por eso nos da
el
error.
Para terminar, comentar que para meter una de las máquinas en el dominio
con
el servicio firewall arrancado, metiamos los datos del dominio así como el
usuario que añadía, y en cuanto creaba el objeto en el directorio activo,
en
nuestro ISA daba el mismo error de RPC, por eso creemos que es el tráfico
que
nos devuelve.

Gracias de antemano, y espero que la explicación sea lo suficientemente
clara.

Preguntas similares