none
Crear Isa Server en un servidor independiente RRS feed

  • Pregunta

  • Tengo una dudas a la hora de crear un Servidor Independiente de Isa Server 2004 en la DMZ (supuestamente esa es la zona mejor para crearlo???)

    Si yo lo creo en esa zona, como minimo deberia de tener 2 tarjetas una en el rango del perimetro (DMZ), que también estaria el router ADSL con acceso a intenet y la otra con rango de la red interna, donde colocaria mi DC con el AD???

    Si es independiente y no tiene AD, como puede saber el Isa Server sobre que usuarios se crean las politicas ya que solo permitiria porner a Todos los usuarios???

    O es que las politicas de este Isa Server no son tan importantes como lo serian las de un Isa Server que se colocara en la lan interna (donde si podria cojer del AD los usuarios para las politicas)???

    domingo, 28 de enero de 2007 19:30

Respuestas

Todas las respuestas

  • Hola Victor!

    Vas a necesitar esas 2 tarjetas aunque se puede hacer con una tarjeta pero es complicado.

    Como va a estar independiente puedes controlar el acceso mediante direcciones IP.

    Aca te tengo un articulo donde te da las ventajas y desventajas de tener un ISA en el dominio o fuera de este...

    http://www.isaserver.org/tutorials/Debunking-Myth-that-ISA-Firewall-Should-Not-Domain-Member.html (Ingles)

    domingo, 28 de enero de 2007 21:50
  • Gracias por contestar, tengo otra pregunta sobre el mismo tema.

    Cuando he querido publicar un puerto o un servicio de servidor tipo WEB, dentro del mismo rango de direcciones nunca he tenido problema, pero ahora no estoy muy seguro de como hacerlo ya que el servidor ISA estará en el rango del router 192.168.10.x, pero el servidor WEB estara en la lan interna con rango 172.26.0.x, y no se como se publica desde el router la dirección del servidor WEB en 172.26.0.x, creo que se deberia de hacer atraves del ISA con una regla, pero entonces que hago en el router, apunto a la IP (192.168.10.x) del Isa server con el puerto 80 y luego redirigo al servidor WEB interno con una regla de publicación de servidor WEB???

    Debe de ser facil, pero cuando se hace por primera vez  ..............

    lunes, 29 de enero de 2007 10:32
  • Hola Victor!

    Tienes que publicarlo a traves del ISA con una regla de publicacion de Servidores Web.
    Es asi mismo como lo planteas, tienes que redirigir a traves del ISA el puerto 80 a tu servidor Web interno con la regla de publicacion.

    Aca te mando unos links para que tengas mayor comprension de lo que estas haciendo.

    http://www.microsoft.com/latam/windowsserversystem/isaserver/whitepapers/Servidores.mspx (Español)

    http://www.microsoft.com/technet/isa/2004/plan/publishingwebservers.mspx (Ingles)

    lunes, 29 de enero de 2007 15:55
  • Una puntualización, los firewalls externos estan mucho mejor en dominio por aspectos relativos a la gestión y por las limitaciones en cuanto al CSS cuando funciona en workgroup, pero tambien es cierto que lo usual es ponerlos en un forest aparte, que no sea el interno.

    Los firewalls de la frontera interna si perteneceran a la AD de LAN.

    Por supuesto esto es en redes "con medios"

    En cuanto a la publicación, simplemente es cosa de publicar dos veces, una en los internos y otra en los externos.

    Las reglas que validan usuarios, siempre son en los internos, mientras que los externos solo dejan salir el trafico de los internos, las de entrada cuando pidan validación siempre son controladas por los servidores que la solicitan ya que el firewall simplemente publica.

    Los externos comunmente solo necesitaran acceso al AD de la LAN para validar las VPN, cosa que se hara por IAS.

    Este es el esquema mas seguro.

    Un saludo

    *******************************************************************************************************************

    Colabora con el foro: Si la respuesta te es de utilidad marca la pregunta como respondida.

    *******************************************************************************************************************

    Daniel Matey.

    MVP

    MCSE, MCSA, MCSD, MCDBA.

    Blog: http://geeks.ms/blogs/dmatey

     

    lunes, 29 de enero de 2007 20:13