Buenos días,
Primero intento representar el esquema de red que nos han impuesto:
Internet-StoneGate-Catalyst(NAT)-red interna
|
Isa 2004
La red interna tiene direccionamiento público 100.X.X.X 150.X.X.X, por lo
que hacen un NAT de estas direcciones hacia unas 192.168.216.X. El ISA tiene
una dirección 192.168.215.X.
Necesitamos que los usuarios de la red interna no tengan que autenticarse de
nuevo para salir por los ISA, por lo que los ISA necesitamos que estén en el
dominio.
Ahora cuento la chapucilla que hemos realizado, pero que no termina de estar
fina.
En uno de los ISA hemos instalado un servidor DNS con la estructura del
dominio, y sus entradas _lda, GC. (SRV) apuntando a las direcciones que
nos hace el NAT 192.168.216.X (que el Catalyst convertira en 100.X.X.X) hacia
dos DC de la red interna.
De esta forma podemos logarnos en la máquina con un usuario del dominio en
los ISA.
El problema surge a la hora de establecer las reglas HTTP para determinados
grupos de usuarios, ya que para introducir el usuario o grupo, dentro de la
consola de ISA, ponemos el alias del usuario, y al pinchar en check, nos
salta un error de RPC, pero nos devuelve el nombre que tiene en el directorio
activo.
Cuando paramos el servicio de Firewall, e intentamos la misma operación, el
usuario es reconocido, y añadido sin problemas.
No se si esta configuración es posible, y si existe una solución o
alternativa para nuestros requerimientos del cliente con la arquitectura
dada. Pero lo que parece es que existe una comunicación con el DA, pero
alguna comunicación de respuesta no llega o es eliminada, y por eso nos da el
error.
Para terminar, comentar que para meter una de las máquinas en el dominio con
el servicio firewall arrancado, metiamos los datos del dominio así como el
usuario que añadía, y en cuanto creaba el objeto en el directorio activo, en
nuestro ISA daba el mismo error de RPC, por eso creemos que es el tráfico que
nos devuelve.
Gracias de antemano, y espero que la explicación sea lo suficientemente clara.
Leer las respuestas