Para Ivan

15/12/2004 - 18:43 por ANGEL VICENTE | Informe spam
Hola Ivan, respecto al post de ayer :
Estamos hablando de muchas cosas, no de una sola.

"ANGEL VICENTE" <ANGELVICENTE@discussions.microsoft.com> escribió en el
mensaje news:3EB66850-B90D-442D-8847-6E3D8CE83AB6@microsoft.com...

hola ivan,
mis usuarios que tienen el proxy configurado en su IE salen a internet sin
problemas. El problema lo tengo en la gente que necesita usar el cliente
de
isa 2000, que al parecer no acaba de funcionar bien.



Imagino que el ISA esta integrado en el dominio y en los clientes, el icono
del firewall client en el systray dice que esta todo correcto, no muestra
errores de autentificacion o conexion.

[ANGEL] Efectivamente, esta integrado en el dominio, w2k con AD, y los
usuarios tienen el systray y no muestra error.


Es habitual que el firewall client este configurado para detectar
automaticamente el servidor ISA y para que esto funcione, es necesario
previamnte configurar el ISA y el servidor DHCP/DNS. Si esto no se hace, el
firewall cleint deja de funcionar, y, logicamente, o no se hace uso de esa
opcion o se configura de la forma correcta.

[ANGEL] La configuracion tanto del cliente como del proxy la tengo puesta
manualmente en cada equipo(bueno, el tema del proxy web se me aplica mediante
una politica de una OU del AD donde tengo los users





Lo que pasa es un poco raro porque por ejemplo si intento que el outlook
me
envie o reciba algun correo no lo puede hacer pero haciendo un telnet al
servidor de correo, tanto al 25 como al 110 responde.



Creo que no has mirado el articulo que te pase anteriormente (los links no
se ponen porque si):
http://www.isaserver.org/articles/2...3smtp.html

Otra cosa es que te refieras al OE, en ese caso, el articulo anterior no se
aplica.

[ANGEL] Me refiero a ISA 2000. He revisado lo del link(lo hice con el primer
post que me indicaste el link) y esta como se indica en el link. Se trata de
outlooks 2000 y XP. No uso OE.Me sigue pasando lo mismo. Incluso lo puse a 1
y luevo lo volvi a poner a 0 por si cogia algun cambio pero sigue sucediendo
lo mismo.



Igualmente pasa con la
gente que tiene que salir a internet mediante el cliente de seguridad, ya
que
con el proxy algunas paginas no van bien (vease www.delta.mtas.es) o
paginas
que tienen una aplicacion web mediante un plugin y un puerto especifico
que
esta abierto en el ISA y con los permisos necesarios asignados.



Esas paginas utilizan puertos SSL distintos del 443 y para permitirlo en
conexiones proxy debes habilitar esos puertos para conexiones SSL:
http://www.isaserver.org/articles/2...range.html
http://www.isatools.org/isa_tpr.js es independiente de la version de ISA.

[ANGEL]
Las paginas usan el 443, pero parece que son esas las unicas que fallan, ya
que si voy a cualquier otra que use el 80 entra perfectamente, y tengo el
rediretor http que envie directamente a la web, no que use el web proxy.




SI en una de las maquinas en las que tengo el cliente instalado quito el
proxy del IE y habilito el cliente de seguridad, al ir a una web me carga
el
titulo de la web, pero el resto no. Parece como si solo pudiera cargar la
cabecera.



Antes te he preguntado si al abrir el navegador tus usuarios necesitaban
autentificarse pra salir a traves del ISA, es esto asi?

[ANGEL] No, no necesitan autentificarse manualmente ya que es integrada.
Pero si te refieres si permito la navegacion anonima no, no la permito.
Aunque para probar he creado una regla que responda a cualquier peticion y
permite todo el trafico IP.

Un aprueba rapida: deshabilita todas las reglas, tanto de sitio y contenido
como de protocolo. Crea una regla de potocolo que permite todo el trafico
IP, siempre a cualquier peticion. Crea una regla de sitio y contenido que
permite todos los destinos, siempre, a cualqueir peticion y todos los
contenidos. Espera unos instantes y prueba desde un cliente, si funciona ya
sabes cual es la causa.

[Angel]Lo hice y no funciono.
Comentarte tambien que esta maquina es un server de VPNs que esta
funcionando perfectamente.




Un saludo.
Ivan
MS MVP ISA Server

Un saludo
 

Leer las respuestas

#1 Ivan [MS MVP]
16/12/2004 - 09:07 | Informe spam
Angel, creo que la configuracion del ISA no es correcta. Es posible que los
rangos de direcciones de los interfaces de red del ISA no sean distintos,
incorrecta configuracion de la LAT, incorrecta configuracion TCP/IP (el
default gateway solo debe ir sobre el interface exteno), DNS, etc
Mirate esta guia para empezar:
http://www.microsoft.com/technet/pr...2kqsg.mspx

La entrada de Outlook, debe ser disable=0 para que funcione, aqui no hay mas
opcion y es independiente de la version de Outlook.

Respecto a la pagina www.delta.mtas.es, necesitas usar un certificado de
cliente, esto no tienen relacion con ISA siempre y cunado el cliente tenga
permitido HTTPS, es configuracion del IE.

Un saludo.
Ivan
MS MVP ISA Server


"ANGEL VICENTE" escribió en el
mensaje news:
Hola Ivan, respecto al post de ayer :
> Estamos hablando de muchas cosas, no de una sola.

"ANGEL VICENTE" escribió en el
mensaje news:
hola ivan,
mis usuarios que tienen el proxy configurado en su IE salen a internet
sin
problemas. El problema lo tengo en la gente que necesita usar el cliente
de
isa 2000, que al parecer no acaba de funcionar bien.



Imagino que el ISA esta integrado en el dominio y en los clientes, el
icono
del firewall client en el systray dice que esta todo correcto, no muestra
errores de autentificacion o conexion.

[ANGEL] Efectivamente, esta integrado en el dominio, w2k con AD, y los
usuarios tienen el systray y no muestra error.


Es habitual que el firewall client este configurado para detectar
automaticamente el servidor ISA y para que esto funcione, es necesario
previamnte configurar el ISA y el servidor DHCP/DNS. Si esto no se hace,
el
firewall cleint deja de funcionar, y, logicamente, o no se hace uso de esa
opcion o se configura de la forma correcta.

[ANGEL] La configuracion tanto del cliente como del proxy la tengo puesta
manualmente en cada equipo(bueno, el tema del proxy web se me aplica
mediante
una politica de una OU del AD donde tengo los users




Lo que pasa es un poco raro porque por ejemplo si intento que el outlook
me
envie o reciba algun correo no lo puede hacer pero haciendo un telnet al
servidor de correo, tanto al 25 como al 110 responde.



Creo que no has mirado el articulo que te pase anteriormente (los links no
se ponen porque si):
http://www.isaserver.org/articles/2...3smtp.html

Otra cosa es que te refieras al OE, en ese caso, el articulo anterior no
se
aplica.

[ANGEL] Me refiero a ISA 2000. He revisado lo del link(lo hice con el
primer
post que me indicaste el link) y esta como se indica en el link. Se trata
de
outlooks 2000 y XP. No uso OE.Me sigue pasando lo mismo. Incluso lo puse a
1
y luevo lo volvi a poner a 0 por si cogia algun cambio pero sigue
sucediendo
lo mismo.


Igualmente pasa con la
gente que tiene que salir a internet mediante el cliente de seguridad, ya
que
con el proxy algunas paginas no van bien (vease www.delta.mtas.es) o
paginas
que tienen una aplicacion web mediante un plugin y un puerto especifico
que
esta abierto en el ISA y con los permisos necesarios asignados.



Esas paginas utilizan puertos SSL distintos del 443 y para permitirlo en
conexiones proxy debes habilitar esos puertos para conexiones SSL:
http://www.isaserver.org/articles/2...range.html
http://www.isatools.org/isa_tpr.js es independiente de la version de ISA.

[ANGEL]
Las paginas usan el 443, pero parece que son esas las unicas que fallan,
ya
que si voy a cualquier otra que use el 80 entra perfectamente, y tengo el
rediretor http que envie directamente a la web, no que use el web proxy.



SI en una de las maquinas en las que tengo el cliente instalado quito el
proxy del IE y habilito el cliente de seguridad, al ir a una web me carga
el
titulo de la web, pero el resto no. Parece como si solo pudiera cargar la
cabecera.



Antes te he preguntado si al abrir el navegador tus usuarios necesitaban
autentificarse pra salir a traves del ISA, es esto asi?

[ANGEL] No, no necesitan autentificarse manualmente ya que es integrada.
Pero si te refieres si permito la navegacion anonima no, no la permito.
Aunque para probar he creado una regla que responda a cualquier peticion y
permite todo el trafico IP.

Un aprueba rapida: deshabilita todas las reglas, tanto de sitio y
contenido
como de protocolo. Crea una regla de potocolo que permite todo el trafico
IP, siempre a cualquier peticion. Crea una regla de sitio y contenido que
permite todos los destinos, siempre, a cualqueir peticion y todos los
contenidos. Espera unos instantes y prueba desde un cliente, si funciona
ya
sabes cual es la causa.

[Angel]Lo hice y no funciono.
Comentarte tambien que esta maquina es un server de VPNs que esta
funcionando perfectamente.




Un saludo.
Ivan
MS MVP ISA Server
>
Un saludo

Preguntas similares