none
Informes ISA 2006 muestra la IP i no el nombre netbios RRS feed

  • Pregunta

  • Hola,

     

    Cual es la causa por la cual los informes que genera el ISA 2006 muestran la ip del usuario en lugar del nombre que tiene asignado en Active Directory. Lo mismo pasa con las paginas visitadas, me muestran la ip de la pagina pero no la url. Es como si el DNS no funcionara correctamente.

     

    Grácias de antemano.

    jueves, 14 de agosto de 2008 7:31

Respuestas

  • Antemano grácias a todos los que han contestado y dedicar un poco de su tiempo a este tema.

     

    Al final he podido solucionar el problema, y lo he hecho de la siguiente manera:

     

    He cambiado la configuración de los navegadores asignando en Internet Explorer -> Herramientas -> Conexiones -> Configuración LAN, he marcado la opción Usar un proxu para la LAN una vez marcado este check, he informado de la dirección de mi servidor ISA isa2.midominio.com y el puerto el 8080.

     

    Para cambiar estos parametros de los navegadores de los ordenadores usuario, he ido al Active Directory y he confeccionado una Directiva para que todos los navegadores usen los parametros que he descrito, y he obligado a reiniciar las máquinas para asegurarme que habian recibido la nueva directiva.

     

    Una vez echo esto he cambiado los parametros de la regla que tengo configurada para que solo permita Usuarios autentificados.

     

    Si vais al Registro del ISA vereis que efectivamente como ha dicho Jose la primera conexión la intenta hacer como anonymous y si miramos en el registro de sesion veremos que lo hace como SecureNAT, pero luego conecta mediante Proxy web y con el DOMINIO\nombredeusuario que esta intentando acceder a internet.

     

    Lo que he podido comprovar es que aunque tengas configurado tanto por DHCP como por DNS el WPAD y por tanto en los navegadores tengas marcada la opción de "Detectar la configuración automaticamente", sinó tienes marcada la opción de "Usar un proxy para la LAN" e informas de la dirección de tu servidor ISA y el puerto, no funciona.

     

    Añado que la configuración de la targeta de red de los ordenadores cliente esta asignada a Obtener una Direccion IP automaticamente igual que la del DNS ya que dispongo de un servidor DNS y DHCP.

     

    Ahora solo me falta comprovar que los informes salen con los nombres de los usuarios y las páginas web consultadas en lugar de sus ip's.

     

    Grácias a todos. Espero haber ayudado.

     

    Saludos

     

    viernes, 5 de septiembre de 2008 13:36

Todas las respuestas

  • He estado investigando y la causa por la cual en los informes creados por el ISA 2006 sale la ip del sitio web que se visitó o la ip del usuario de mi red interna es porque estoy usando SecureNAT, es decir acceso anonimo. Según he estado leyendo, si lo que quiero es que solo se puedan conectar a internet a través de mi ISA 2006 los usuarios de mi red, debo configurar su acceso para que accedan como web proxy y no como SecureNAT, además evitaré que cualquier persona que enchufe su ordenador a mi red pueda tener acceso a internet a través del ISA Server, a no ser que cree una regla de acceso para usuarios no autentificados. Lo que no sé aún como configurar mis usuarios como web proxy en lugar de SecureNAT.

     

    He descartado el acceso de mis usuarios como Firewall client porque así me ahorro instalar el software cliente en cada máquina.

     

    Alguien me puede ayudar?.

     

    Grácias.

    miércoles, 20 de agosto de 2008 13:47
  • Puedes hacerlo en forma manual o en forma automatica.

    En forma manual, es explicitando en las propiedades de coneccion del internet explorer:

    (tools, internet options, connections, lan settings, use a proxy server for your lan...) En este campo poner la IP y el puerto usado como proxy, por defecto el 8080.  Esto tambien lo puedes setear de una sola vez a travez de una GPO a una OU especifica del dominio.

     

    Esta configuracion trae como complicacion que los notebook que se conecten desde otras redes no podran navegar y tendran que deshabilitar este registro cada vez, ya que ovbiamente no estaran con el firewall de proxy en otras redes.

     

    En este caso es mejor usar la opcion 2, es decir automatica y esto se hace usando el registro WPAD.

    Este registro permite que los exploradores tomen en forma automatica desde el servidor la configuracion. Para ellos en el ISA debes habilitarlo dentro de las propiedades de la red "intenal", en el grupo networks.

    Ademas de lo anterior debes crear el registro ya sea via DNS o via DHCP. Para ello haz lo indicado en este articulo:

     

    http://support.microsoft.com/kb/934864/es

     

     

    Saludos,

    Emerson Gonzalez

    http://forefrontmvp.spaces.live.com/

    sábado, 23 de agosto de 2008 6:45
  • Antes de todo grácias por tu respuesta, me ha dado el camino a seguir.

     

    Me gustaria que me dieses tu opinión sobre este articulo que trata de como configurar el soporte WPAD para ISA web proxy y clientes firewall, creo que es bastante completo ya que abarca la parte cliente y parte servidor.

     

    Pero me ha entrado la duda ya que difiere un poco del link que me has adjuntado.

     

    Te adjunto el link a este tutorial:

     

    http://www.isaserver.org/tutorials/Configuring-WPAD-Support-ISA-Firewall-Web-Proxy-Firewall-Clients.html

     

    Esperando tu opinion.

     

    Saludos.

     

    Albert Gassó

     

     

    lunes, 25 de agosto de 2008 16:04
  • Después de efectuar lo que dice el tutorial para activar el WPAD, i crear una GPO para que todos los usuarios de Active Directory usen la propiedad de deteccion atuomática en el Internet Explorer. Ayer cree un informe diario para observar si mostraba los usuarios en lugar de la ip de la máquina, y además me mostraba la página web en lugar de la ip de la misma, pues bien, sigue mostrandome la ip. He ido a supervisar las sesiones para monitorizar las sesiones que se abren en el ISA y he observado que aunque utilizen proxy web siguen con el nombre de usuario "anonymous". Otra cosa que he observado es que siguen también con SecureNAT y logicamente como nombre de usuario en blanco.

    Que estoy haciendo mal?, que falta configurar para que mis usuarios no conecten como anonymous si utilizan proxy web?. Supongo que si no conectan como anonymous, cuando cree el informe se vera el usuario y no la ip?.

     

    Grácias por vuestra atención.

    miércoles, 27 de agosto de 2008 9:15
  • Haz la prueba colocando en el IE la direccion del proxy y el puerto y revisa el log para que veas que te dice.

     

    Debes fijarte tambien que cuando crees las reglas en la seccion usuarios indiques usuarios autenticados en vez de todos los usuarios.

     

    Finalmente siempre es recomendable usar el firewall client (que viene en el CD).

     

    Por un tema del funcionamiento del protocolo tcp en general cuando se presentan entre si los paquetes se produce una comunicacion anonima por lo que de todas maneras deberias ver 1 conexion de este tipo, pero una vez que se presentan y el servidor exige la autenticacion, el cliente presenta sus credenciales (ya sean integradas via AD,  basicas, con certificado o radius)

     

    Tanto para el uso del WPAD, del Firewall cliente o web proxy, deben estar habilitados del lado del servidor. Esto lo puedes revisar en configuration->networks->internal->Autodiscovery (para el wpad. Debe ser en el puerto 80, ojo), firewall client tal como lo indica su nombre y web proxy

     

    Importante es que debes llenar bien cuales son tus redes internas en la vileta adresses y el (o los) dominio active directory en la viñeta domains. Esto para que no mandes al ISA a buscar paquetes a internet, cuando en realidad son internos.

     

     

    viernes, 29 de agosto de 2008 6:11
  • Hola Emerson,

     

    Reitero mi agradecimiento al tiempo que me estas dedicando.

     

    Pues bien, he revisado todos los parametros y segun lo que me comentas són correctos. Te explico... es verdad que siempre inicia la conexion con SecureNAT i luego veo que intenta con proxy web conectar con "anonymous". Luego he revisado los parametros de mi red interna, efectivamente tengo habilitado el WPAD en el puerto 80 que puedo confirmar que funciona correctamente ya que el log me muestra que se realiza la conexion y el ISA lo permite. En la viñeta de adresses tengo asigando un rango de ips que va 192.168.0.0 a la 192.168.0.255 i en la viñeta de domains tengo asignado *.midominio.com.

     

    Mi duda viene cuando en la viñeta de proxy Web, boton Authentication solo tengo marcada la opcion integrada, y tengo que añadir que no tengo servidores RADIUS.

     

    En Supervision --> comprobadores de conectividad tengo:

     Active Directory    TCP    puerto 389

     DNS     Ping

     

    I en directivas de firewall tengo lo siguiente:

    En ultimo lugar una regla predeterminada que deniega todo el trafico a no ser que otra regla en posición superior lo permita.

    Una regla que permite todo el trafico saliente desde (host Local, Interna) a (Externa) de los protocolos FTP, HTTP, HTTPS, Servidor FTP, Servidor HTTPS a Todos los Usuarios Autenticados.

     

    Pero esta regla en lugar de permitir acceder a internet a los usuarios de mi Active Directory lo que hace es bloquearme el acceso a internet ya que segun el registro se conectan como anonymous i por tanto no son usuarios autenticados. En cambio si pongo Todos los usuarios no tengo problemas de acceso a internet.

     

    No veo como puedo solucionarlo, hay algun parametro que no debo estar configurando correctamente.

    He probado de crear un grupo dentro del active directory con todos los usuarios de mi red, y luego creo un grupo de usuarios dentro del ISA que contiene este grupo del active directory, y en el registro me aparece que intentan conectarse usando su DOMINIO\nombre pero en cambio el ISA dice que no les permite acceder a internet. Además sé que es tesa regla ya que el registro indica que es esta regla la que deniega el acceso.

     

    Espero haberte dado mas pistas.

     

    Grácias otra vez por tu ayuda.

     

    Saludos

    viernes, 29 de agosto de 2008 12:14
  • Pues nada, no hay manera. Si voy al registro me indica que "El servidor ISA denegó una solicitud porque la regla de directiva Web Access authenticated Users requiere autenticación para permitir el tráfico.", es decir que es la regla que esta ejecutando bien su trabajo que es no permitir que un usuario que no este autenticado puede acceder a internet a través del ISA, pero aunque ya he configurado los navegadores web (IExplorer 7.0) para que realize detección automàtica y los ordenadores de mi dominio utilizan "Obtener una dirección IP automaticamente" la conexion con el ISA la realizan con "Anonymous".

     

    Alguien me puede echar una mano?.

     

    Grácias.

    miércoles, 3 de septiembre de 2008 7:45
  •  

    Hola,

     

     

    Tienes que tener en cuenta que estas permitiendo la regla solo a los usuarios autenticados, y si esta maquina no pertenece al dominio es probable que los clientes que si pertenezcan tengan este problema, por lo tanto debes proporcionar unas credenciales validas para el isa.

     

    Si el ISA esta en el dominio trata de crear un grupo en AD y luego lo creas en ISA, de esta forma solo los users que pertenzcan a este grupo van a poder navegar o inlcuso te deberia dejar navegar con usuarios autenticados, pero si el ISA no esta en el dominio deberas crear una conexion LDAP a tu Domain Controller y asi poder decirle que usuarios tienen derecho.

     

     

    En la opcion Configuracion - General encuentras "Especificar servidores LDPA y RADIUS"

    miércoles, 3 de septiembre de 2008 17:20
  • Hola Jose,

     

    Pues despues de revisar todo lo que me comentas. Te indico que el servidor ISA pertenece al dominio, y ya cree el grupo dentro de Active Directory y dentro del servidor ISA. Cuando ya habia hecho todo esto procedi a conectarme desde el internet explorer de un usuario y observe que en el registro aparece lo siguiente:

     

    1. Conexion iniciada en el puerto 8080 Protocolo Proxy HTTP de la ip cliente 192.168.0.70 a la ip del ISA la 192.168.0.2

    2. Conexion denegada en el puerto 8080 Protocolo http de la ip cliente 192.168.0.70 a la ip del ISA la 192.168.0.2 usuario anonymous

    3. Intento de conexio erróneo en el puerto 80 Protocolo http de la ip cliente 192.168.0.70 a la ip del ISA la 192.168.0.2 usuario DOMINIO\nombreusuario

    4. Conexión cerrada en el puerto 8080 Protocolo Proxy HTTP de la ip cliente 192.168.0.70 a la ip del ISA la 192.168.0.2

     

    Adjunto la descripcion del error en el punto 3:

     

    Intento de conexión erróneo ISA2 04/09/2008 13:41:40
    Tipo de registro: Proxy web (directo)
    Estado: 11001 Host desconocido.
    Regla: Acceso web Usuarios autentificados
    Origen: Interna (192.168.0.70)
    Destino: Externa (192.168.0.2:80)
    Petición: GET http://www.google.es/
    Información de filtro: Req ID: 0db4aeda; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protocolo: http
    Usuario: DOMINIO\nombreusuario

     

    Espero haber dado mas pistas.

     

    Grácias por tu atención.

     

    jueves, 4 de septiembre de 2008 11:52
  • Antemano grácias a todos los que han contestado y dedicar un poco de su tiempo a este tema.

     

    Al final he podido solucionar el problema, y lo he hecho de la siguiente manera:

     

    He cambiado la configuración de los navegadores asignando en Internet Explorer -> Herramientas -> Conexiones -> Configuración LAN, he marcado la opción Usar un proxu para la LAN una vez marcado este check, he informado de la dirección de mi servidor ISA isa2.midominio.com y el puerto el 8080.

     

    Para cambiar estos parametros de los navegadores de los ordenadores usuario, he ido al Active Directory y he confeccionado una Directiva para que todos los navegadores usen los parametros que he descrito, y he obligado a reiniciar las máquinas para asegurarme que habian recibido la nueva directiva.

     

    Una vez echo esto he cambiado los parametros de la regla que tengo configurada para que solo permita Usuarios autentificados.

     

    Si vais al Registro del ISA vereis que efectivamente como ha dicho Jose la primera conexión la intenta hacer como anonymous y si miramos en el registro de sesion veremos que lo hace como SecureNAT, pero luego conecta mediante Proxy web y con el DOMINIO\nombredeusuario que esta intentando acceder a internet.

     

    Lo que he podido comprovar es que aunque tengas configurado tanto por DHCP como por DNS el WPAD y por tanto en los navegadores tengas marcada la opción de "Detectar la configuración automaticamente", sinó tienes marcada la opción de "Usar un proxy para la LAN" e informas de la dirección de tu servidor ISA y el puerto, no funciona.

     

    Añado que la configuración de la targeta de red de los ordenadores cliente esta asignada a Obtener una Direccion IP automaticamente igual que la del DNS ya que dispongo de un servidor DNS y DHCP.

     

    Ahora solo me falta comprovar que los informes salen con los nombres de los usuarios y las páginas web consultadas en lugar de sus ip's.

     

    Grácias a todos. Espero haber ayudado.

     

    Saludos

     

    viernes, 5 de septiembre de 2008 13:36