none
Logueo de usuarios en dominio, en una red controlada con ISA 2006 RRS feed

  • Pregunta

  • hola.

     

    Estoy en el proceso de configuracion del ISA en mi servidor. Hasta ahora he configurado las reglas de acceso que me permiten el DHCP, acceso remoto y DNS, pero no doy con la regla que me permita el logueo de los usuarios en el dominio.

     

    Actualmente puedo accesar en mis maquinas clientes solo con los usuarios con los que he ingresado con anterioridad (teniendo la permisologia total en el ISA), pero cuando deshabilito la regla de acceso total y quedan solo DHCP, RDP y DNS habilitadas, no me permite el acceso de usuarios nuevos en las maquinas clientes. Y accesando con usuarios previamente logueados, me restringe el acceso a las demas maquinas del dominio.

     

    ¿Cual seria la regla de acceso en el ISA para que me permita esto que describo?

     

    Pense que permitiendo el protocolo "LDAP" de "todas las redes" a "todas las redes" para "todos los usuarios" lo lograria, pero ya hice la prueba y sigo igual.

     

    Gracias por su tiempo.

    miércoles, 7 de enero de 2009 21:34

Respuestas

  • He leí las reglas, y en ninguna veo que des acceso a los protocolos de Kerberos que son los de autenticación, los encuentras dentro de los protocolos de: Authentication en el ISA Server, crea una nueva regla:

    (Habilitada)

    Nombre:  Usuarios

    Accion:    Permitir

    Protocolos:  Kerberos (seleccionalos todos)

    De / escucha: Todas las redes (y host local)

    A: Todas las redes (y host local)

    Condicion: Todos los usuarios

    • Marcado como respuesta Ismael Borche lunes, 4 de abril de 2011 21:01
    sábado, 21 de febrero de 2009 0:22

Todas las respuestas

  • Compañero podrías explicarte un poco mejor tu escenario para entender bien cual es tu problema porque por ejemplo indicas que estas configurando el ISA en tu Servidor.

     

    Que versión del Isa estás configurando?, El servidor donde ínstalaste el Isa comparte otros Servicios?, donde tienes ubicado el controlador de dominio?

     

    Por regla general el Isa debe ser instalado en un equipo independiente por tanto sería importante tener la información mas clara.

     

    Saludos

    jueves, 8 de enero de 2009 16:42
  • Que tal Amigo

     

    ISA Server te restringe el acceso la dominio? desde donde estas intentando accesar al dominio? desde la red local o desde una VPN de ISA Server? podrias ser mas especifico? no se entiende muy bien lo que estas intentando llevar acabo.

     

     

    jueves, 8 de enero de 2009 23:21
  • ok, intentare explicarme mejor.

     

    Jo, el ISA es 2006 Standard Edition.  Tiene configurado el Active Directory, enrutamiento y acceso remoto, DNS, DHCP. Ademas esta instalado el Symentec Endpoint Protection 11.0 y tambien me esta filtrando el internet.

    Desconocia que por regla el ISA deberia estar instalado en un equipo diferente. Pero supongo que es posible, porque asi lo estoy configurando y va bien hasta ahora (exceptando las reglas que estoy necesitando).

     

    Martinez, fijate, el ISA me esta restringiendo el acceso a mi red. si, diria que a mi dominio. estoy intentando entrar a mi dominio desde mis maquinas clientes (en la red local).

     

    Estas son las reglas configuradas actualmente:

     

    1.- (Deshabilitada)

    Nombre: Acceso total

    Accion: Permitir

    Protocolos: Todo el trafico saliente

    De / escucha: Todas las redes (y host local)

    A: Todas las redes (y host local)

    Condicion: Todos los usuarios

     

    2.- (Habilitada)

    Nombre: Internet

    Accion: Permitir

    Protocolos: HTTP, HTTPS

    De / escucha: Todas las redes (y host local)

    A: Todas las redes (y host local)

    Condicion: Todos los usuarios

     

    3.- (Habilitada)

    Nombre: DNS

    Accion: Permitir

    Protocolos: DNS

    De / escucha: Todas las redes (y host local)

    A: Todas las redes (y host local)

    Condicion: Todos los usuarios

     

    4.- (Habilitada)

    Nombre: Acceso remoto

    Accion: Permitir

    Protocolos: RDP (Servicios de Terminal Server)

    De / escucha: Todas las redes (y host local)

    A: Todas las redes (y host local)

    Condicion: Todos los usuarios

     

    5.- (Habilitada)

    Nombre: DHCP

    Accion: Permitir

    Protocolos: DHCP (peticion), DHCP (respuesta)

    De / escucha: Todas las redes (y host local)

    A: Todas las redes (y host local)

    Condicion: Todos los usuarios

     

    6.- (Habilitada)

    Nombre: Regla predeterminada

    Accion: Denegar

    Protocolos: Todo el trafico

    De / escucha: Todas las redes (y host local)

    A: Todas las redes (y host local)

    Condicion: Todos los usuarios

     

    (Me hubiese gustado pegar la imagen, pero no encontre como)

     

    Actualmente esta configurado asi como lo transcribi.

    - La regla 5 me da direcciones ip a mis cliente de la red local

    - La regla 4 me permite el acceso remoto a traves del escritorio remoto

    - La regla 3... bueno, supongo que es necesaria para que me navegue en internet

    - Y la regla 2 me permiten la navegacion por HTTP y HTTPS

     

    Digamos que tengo mi servidor y 3 PC clientes en la red local. Y los usuarios Pedro, Juan y Maria

    - Pedro es un usuario antiguo que ya se ha logueado en las maquinas cilentes con anterioridad.

    - Juan y Maria son usuarios nuevos que hasta ahora no se han logueado en ninguna maquina.

     

    Como esta configurado actualmente el ISA, pasa lo siguiente:

    - Si intento loguearme como Pedro en una maquina cliente, me lo permite, pero no puedo usar los recursos compartidos de las otras maquinas clientes ni del servidor. Me muestra las maquina del dominio por "Mis sitios de red", pero al intentar acceder me pide clave o simplemente me lanza un error y no accesa.

    - Si intento loguearme como Juan o Maria en una maquina cliente, no me lo permite. Me emite el siguiente mensaje: "El sistema no puede iniciar su sesion en este momento porque el dominio <nombre del dominio> no esta disponible".

     

    Al Habilitar la regla 1, pasa lo siguiente:

    - Al loguearme  como Pedro, puedo hacer uso de todos los recursos compartidos de todas las maquinas del dominio. Y por "Mis sitios de red" puedo accesar a cualquier maquina del dominio sin problema.

    - Al loguearme como Juan o Maria, lo hace sin problema.

     

    Señores, lo que necesito saber es que protocolos (especificos) del listado del ISA me solucionan mi problema actual. Si es posible, textualicen como deberia ser la regla. Sino voy a tener que darles el acceso remoto para que me ayuuden! jeje. es que llevo de atraso 3 semanas en esta configuracion (es la primera vez que instalo el ISA).

     

    Gracias por su tiempo... DE VERDAD!

    viernes, 9 de enero de 2009 3:55
  • Cuantas tarjetas de red tiene tu servidor ISA/DC? es probable que tengas que regenerar la LAT (Local Adddres Table) para que apunte u nicamente a tu tarjeta de Red Local (interna). o en su defecto generar una nueva  RED en donde especifiques unicamente a tu NIC interna, y en el arreglo generado tienes que deshabilitar el packet filtering para posteriormente el servidor pueda dar acceso a ese arreglo a los usuarios.

    Te comento que esta no es una de las mejores practicas, ya que en el mejor de los casos deberias tener el servidor ISA en un equipo aislado del dominio para qu no comprometas la seguridad interna, por otro lado en caso de un ataque externo creo que es mejor que los usuarios se queden sin acceso a internet en vez de quedarse sin acceso a sus recursos internos del dominio.

     

    viernes, 9 de enero de 2009 15:41
  • Martinez, tengo dos tarjetas de red. Una que recibe la conexion de internet de mi proveedor (la cual he nombrado WAN) y otra que sale al switch de mi red local (con nombre LAN). Cuando instalé el ISA, el instalador me dió opcion de elegir a cual de las tarjetas de red le aplicaría el filtrado. Yo seleccioné la LAN.

    sábado, 10 de enero de 2009 22:32
  • Te aconsejo que cambies el orden de los bindings en las configuraciones avanzadas de red para que la tarjeta de red local este en primer lugar, vuelves a probar y comentas los resultados..

     

    lunes, 12 de enero de 2009 18:54
  • Martinez, la LAN simpre ha estado por encima de la WAN. En "Conexiones de red/Opciones avanzadas/Configuracion avanzada/Adaptadores y enlaces" la LAN esta en primer lugar y la WAN en segundo (si es a eso a lo que te refieres).

    martes, 13 de enero de 2009 13:08
  • He leí las reglas, y en ninguna veo que des acceso a los protocolos de Kerberos que son los de autenticación, los encuentras dentro de los protocolos de: Authentication en el ISA Server, crea una nueva regla:

    (Habilitada)

    Nombre:  Usuarios

    Accion:    Permitir

    Protocolos:  Kerberos (seleccionalos todos)

    De / escucha: Todas las redes (y host local)

    A: Todas las redes (y host local)

    Condicion: Todos los usuarios

    • Marcado como respuesta Ismael Borche lunes, 4 de abril de 2011 21:01
    sábado, 21 de febrero de 2009 0:22