ISA Server en una maquina y varias tarjetas de red

08/09/2004 - 11:43 por FëGoR | Informe spam
Hola.

Actualmente estamos a punto de cambiarnos de sede.

La nueva idea es poner un ordenador con SBS (solo tenémos el sbs 2000
registrado) como cortafuegos con su ISA Server 2000 y luego hacer
instalaciones con 3 servidores más como contraladores de dominio
independientes así como otro más para el Exchange Server.

Mi pregunta es:

¿Puedo tener todo esto sin muchos problemas?, ¿Puedo hacer que los usuarios
tengan que autentificarse antes de salir a internet... y si es así, tendré
que darlos de alta en su dominio y en el de la máquina del ISA Server
además?

Y otra, ¿tengo que usar una tarjeta de red para cada segmento de red que
desee usar o puedo configurarle a una tarjeta varias direcciones o alias?

Un saludo,
FëGoR

Preguntas similare

Leer las respuestas

#1 Ivan [MS MVP]
08/09/2004 - 17:17 | Informe spam
Si tu idea pasa por montar varios dominios, yo me lo pensaria dos veces. Tienes verdadera necesidad de hacer esto ? piensa que desde el punto de vista de la seguridad hay que recurrir a dominios en bosques ditintos. Subdominios y arboles dentro de un mismo bosque no proporcionan mas seguridad y si mas complejidad y carga administrativa.
Creo que SBS no soporta relaciones de confianza y por lo tanto tendras que autorizar a los usuarios del dominio SBS con lo cual te veras obligado a mantener cuentas de usuario duplicadas. No creo que esto a la larga suponga ninguna ventaja ni ahorro de nigun tipo (no hay que pensar solo en el precio de la licencia)
Respecto a instalar varias tarjetas en el ISA o configurar IPs de distintos rangos sobre el mismo interface, ambas soluciones son posibles, pero, depende cual sea la infrastuctura de tu red, pues ser una opcion valida o no tan valida, quizas con un solo interface y una unica IP puedas realizarlo si dipones de un router o switch que trabaje en la capa 3. Con un pequeño esquema de lo que quieres implementar quizas se pueda concretar mejor.

Un saludo.
Ivan
MS MVP ISA Server


"FëGoR" escribió en el mensaje news:%
Hola.

Actualmente estamos a punto de cambiarnos de sede.

La nueva idea es poner un ordenador con SBS (solo tenémos el sbs 2000
registrado) como cortafuegos con su ISA Server 2000 y luego hacer
instalaciones con 3 servidores más como contraladores de dominio
independientes así como otro más para el Exchange Server.

Mi pregunta es:

¿Puedo tener todo esto sin muchos problemas?, ¿Puedo hacer que los usuarios
tengan que autentificarse antes de salir a internet... y si es así, tendré
que darlos de alta en su dominio y en el de la máquina del ISA Server
además?

Y otra, ¿tengo que usar una tarjeta de red para cada segmento de red que
desee usar o puedo configurarle a una tarjeta varias direcciones o alias?

Un saludo,
FëGoR





Respuesta Responder a este mensaje
#2 Clancy Wiggum
08/09/2004 - 17:21 | Informe spam
Me pienso de que no.
El SBS tiene que ser controlador de dominio. No puede ser un servidor
"suelto".
Salutaciones
"FëGoR" escribió
en el mensaje news:%
Hola.

Actualmente estamos a punto de cambiarnos de sede.

La nueva idea es poner un ordenador con SBS (solo tenémos el sbs 2000
registrado) como cortafuegos con su ISA Server 2000 y luego hacer
instalaciones con 3 servidores más como contraladores de dominio
independientes así como otro más para el Exchange Server.

Mi pregunta es:

¿Puedo tener todo esto sin muchos problemas?, ¿Puedo hacer que los
usuarios
tengan que autentificarse antes de salir a internet... y si es así, tendré
que darlos de alta en su dominio y en el de la máquina del ISA Server
además?

Y otra, ¿tengo que usar una tarjeta de red para cada segmento de red que
desee usar o puedo configurarle a una tarjeta varias direcciones o alias?

Un saludo,
FëGoR





Respuesta Responder a este mensaje
#3 Ivan [MS MVP]
09/09/2004 - 10:03 | Informe spam
"FëGoR" escribió
en el mensaje news:uTZak$
Pues te comento el "escenario" que me gustaría implementar y tú ya me
dices
si te parece y no te es muy engorroso :-)

En primer lugar, no tengo posibilidades de usar un 2000 server normal
(solo
tenemos licencias de SBS2k) para establecer relaciones de confianza con lo
que tengo que montar un PDC por cada máquina... imagínate..., pero bueno,
duplicar usuarios no me preocupa demasiado.



Me parece un escenario demasiado complicado. Demasiados dominios y sin
posibilidad de establecer relaciones de confianza bufff, ya incluso con
relaciones de confianza, seria complejo, sin ellas a mi me parece una
implementacion de estas que te van a dar problemas dia si y dia tambien.
Entiendo que el dinero manda, pero... como te decia al principio, el precio
de las licencias puede ser ridiculo si te encuentras que toda la
implementacion no sirve y los usuarios experimentan muchos problemas, eso si
que te resultaria caro, muy caro. Solo es un consejo, se tambien que
casi siempre no depende de nosotros, donde manda capitan, no manda marinero.


Quiero montar dos subredes, una para las máquinas de "clientes" que
tenemos
de internet con correo electrónico y web, son 3 máquinas.



Puedes instalar en el ISA tres adaptadores de red: uno para la conexion a
internet y dos para las dos subredes internas, por supuesto en rangos de
direcciones IPs distintos. En la LAT tendrias que agregar los rangos de las
dos tarjetas internas. SI necesitas que ambas subredes internas puedan
comunicarse, en RRAS habilita el IP routing.


Luego otra subred para la empresa, pero esta también deberá tener acceso a
internet a través de un proxy y entrada a una máquina a través de NAT para
un TS en modo aplicaciones para la aplicación que tenemos a nivel de
sedes.
Además de otra máquina de correo (exchange server) interno. Serán unos 6
servidores uniendose a estos unos 25 a 30 puestos (aclaro que a un
servidor
se conectarán unos 5 puestos, a otra unos 15, etc.)



No hay problema. Para acceder a terminal server desde internet creas reglas
de publicacion, lo mismo para el correo si es necesario.


Y por último me gustaría poner una máquina con ISA Server que sirva de
cortafuegos/proxy/NAT entra internet (con unas 8 direcciones públicas) y
las
dos subredes. (una dirección IP pública para la subred de la empresa y las
demás para la subred de máquinas de internet)



Puedes configurar las 8 IPs publicas sobre el interface externo (internet) y
publicar los servicios necesarios.


¿Más o menos vés por donde voy?

¿Utilizo las 8 tarjetas de red en una máquina... creo que no tiene tantas
ranuras PCI o uso dos para las subredes y dos para las direcciones de
internet, o dos y una, o solo una tarjeta, o dos una para las direcciones
internas y otra para las públicas...?



Lo que te decia al principio: 3 tarjetas de red: 1 externa con las 8 IP
publicas y las 2 internas.


¿Para esta máquina tengo que dar de alta los usuarios que vayan a salir o
no
hace falta?



Si quieres limitar el acceso empleando usuarios o grupos si, aunque quizas
sea mejor usar client address set (direcciones IPs) para limitar el acceso.
Perdona que insista, pero, tantos dominios y sin relaciones de confianza
una locura.

Un saludo.
Ivan
MS MVP ISA Server
Respuesta Responder a este mensaje
#4 FëGoR
09/09/2004 - 10:37 | Informe spam
Pues te comento el "escenario" que me gustaría implementar y tú ya me dices
si te parece y no te es muy engorroso :-)

En primer lugar, no tengo posibilidades de usar un 2000 server normal (solo
tenemos licencias de SBS2k) para establecer relaciones de confianza con lo
que tengo que montar un PDC por cada máquina... imagínate..., pero bueno,
duplicar usuarios no me preocupa demasiado.

Quiero montar dos subredes, una para las máquinas de "clientes" que tenemos
de internet con correo electrónico y web, son 3 máquinas.

Luego otra subred para la empresa, pero esta también deberá tener acceso a
internet a través de un proxy y entrada a una máquina a través de NAT para
un TS en modo aplicaciones para la aplicación que tenemos a nivel de sedes.
Además de otra máquina de correo (exchange server) interno. Serán unos 6
servidores uniendose a estos unos 25 a 30 puestos (aclaro que a un servidor
se conectarán unos 5 puestos, a otra unos 15, etc.)

Y por último me gustaría poner una máquina con ISA Server que sirva de
cortafuegos/proxy/NAT entra internet (con unas 8 direcciones públicas) y las
dos subredes. (una dirección IP pública para la subred de la empresa y las
demás para la subred de máquinas de internet)

¿Más o menos vés por donde voy?

¿Utilizo las 8 tarjetas de red en una máquina... creo que no tiene tantas
ranuras PCI o uso dos para las subredes y dos para las direcciones de
internet, o dos y una, o solo una tarjeta, o dos una para las direcciones
internas y otra para las públicas...?

¿Para esta máquina tengo que dar de alta los usuarios que vayan a salir o no
hace falta?

Saludos,
FëGoR




"Ivan [MS MVP]" escribió en el mensaje
news:
Si tu idea pasa por montar varios dominios, yo me lo pensaria dos veces.
Tienes verdadera necesidad de hacer esto ? piensa que desde el punto de
vista de la seguridad hay que recurrir a dominios en bosques ditintos.
Subdominios y arboles dentro de un mismo bosque no proporcionan mas
seguridad y si mas complejidad y carga administrativa.
Creo que SBS no soporta relaciones de confianza y por lo tanto tendras que
autorizar a los usuarios del dominio SBS con lo cual te veras obligado a
mantener cuentas de usuario duplicadas. No creo que esto a la larga suponga
ninguna ventaja ni ahorro de nigun tipo (no hay que pensar solo en el precio
de la licencia)
Respecto a instalar varias tarjetas en el ISA o configurar IPs de distintos
rangos sobre el mismo interface, ambas soluciones son posibles, pero,
depende cual sea la infrastuctura de tu red, pues ser una opcion valida o no
tan valida, quizas con un solo interface y una unica IP puedas realizarlo si
dipones de un router o switch que trabaje en la capa 3. Con un pequeño
esquema de lo que quieres implementar quizas se pueda concretar mejor.

Un saludo.
Ivan
MS MVP ISA Server


"FëGoR" escribió
en el mensaje news:%
Hola.

Actualmente estamos a punto de cambiarnos de sede.

La nueva idea es poner un ordenador con SBS (solo tenémos el sbs 2000
registrado) como cortafuegos con su ISA Server 2000 y luego hacer
instalaciones con 3 servidores más como contraladores de dominio
independientes así como otro más para el Exchange Server.

Mi pregunta es:

¿Puedo tener todo esto sin muchos problemas?, ¿Puedo hacer que los


usuarios
tengan que autentificarse antes de salir a internet... y si es así, tendré
que darlos de alta en su dominio y en el de la máquina del ISA Server
además?

Y otra, ¿tengo que usar una tarjeta de red para cada segmento de red que
desee usar o puedo configurarle a una tarjeta varias direcciones o alias?

Un saludo,
FëGoR





Respuesta Responder a este mensaje
#5 Ivan [MS MVP]
09/09/2004 - 11:00 | Informe spam
SBS no es lo mio, pero, diria que no se pueden instalar.
Entiendo el problema, pero, SBS es para lo que es. Por lo que veo, tu idea
es montar 4 servidores con SBS y por lo tanto tendrias 4 dominios en bosques
distintos. Esto desde mi punto de vista es una locura, el tiempo lo dira,
pero yo no creo que llegues a buen puerto con esta implementacion Si
luego hay que tirar para atras y montarlo todo de nuevo con Windows
2000/2003, a cuanto asciende la broma ? un dineral..

Un saludo.
Ivan
MS MVP ISA Server


"FëGoR" escribió
en el mensaje news:
Ya, el problema es ¿que hago con los SBS?, ¿Puedo instalar el ISA Server,
SQL Server, Exchange Server, etc. de los SBS en máquinas con W2k Srv
normal?

Las licencias es que las tenemos desde hace unos 3 años y no es cuestión
de
decirles a los que tienen el dinero que ya no sirven para nada :-)

Gracias por lo del ISA, es lo que haré.


Saludos,
FëGoR

"Ivan [MS MVP]" escribió en el mensaje
news:
"FëGoR"


escribió
en el mensaje news:uTZak$
> Pues te comento el "escenario" que me gustaría implementar y tú ya me
> dices
> si te parece y no te es muy engorroso :-)
>
> En primer lugar, no tengo posibilidades de usar un 2000 server normal
> (solo
> tenemos licencias de SBS2k) para establecer relaciones de confianza con


lo
> que tengo que montar un PDC por cada máquina... imagínate..., pero


bueno,
> duplicar usuarios no me preocupa demasiado.





Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida