none
TMG no está sincronizado con AD LDS RRS feed

  • Pregunta

  • Hola a tod@s.

     

    Soy nuevo en este foro, por lo que de ante mano dar las gracias por las posibles soluciones que déis, dicho esto paso a exponer mi problema:

     

    Tengo instalado en un Xenserver dos windows 2008 server R2, en el primero (A) tengo el AD y en segundo(B) el AD LDS con un TMG 2010, además he instalado el Bandwith Splitter para controlar las decargas.

    Cabe señalar que instalé el role active directory lighweigh  el servidor B, necesario para el funcionamiento del TMG 2010, también instalé el role Enrutamiento y acceso remoto, para permitir que los usuarios autenticados del servidor A puedan salir a internet a través del servidor B, ya me diréis si esta parte me sobra, ya que quizás con el TMG pueda hacer lo mismo sin falta de instalar este role de enrutamiento. Espero vuestra opinión.

     

    El problema surgió hace unos días,  cuando accedo al Bandwith Splitter, me doy cuenta que en el monitoring no aparece ningún  usuarios autentificados, no queda constancia de que están  saliendo a internet, más que nada porque tengo una polítca de cuotas y se la están saltando o mejor dicho no es capaz de reconocerlos. Mi problema creo que viene del AD LDS del servidor B que no está sincronizado con mi AD del servidor A, s posible que se desincronice? Y tenga que volver a sincronizarlo?

     

    Debo decir que me el AD LDS me está dando un error en un servicio, pero si os digo la verdad no me atrevo a tocar nada hasta que me orientéis, ya que tengo varias ideas en mente :

     

    1.- Volver a Configurar la autenticación LDAP en AD LDS.

    2.- Desistalar el AD LDS y volver a instalarlo. Lo que me obligará seguro a hacerlo mismo con el TMG 2010.

    3.- Eliminar el role Enrutamiento y acceso remotodel servidor B e intentar configurarlo desde el TMG 2010.

     

    No sé que hacer.

     

    Espero vuestras opiniones.

     

    Un saludo y gracias.

    Rubén.

     


    Rubén
    viernes, 14 de octubre de 2011 15:13

Respuestas

Todas las respuestas

  • Hola Ruben acá hay varios temas:

    1. Efectivamente AD LDS es un requisito de instlación pero no precisamente funciona para Autenticar usuarios (aunque si se puede configurar para hacerlo)... El objetivo principal de este rol para TMG es almacenar la configuración del servidor. Mira esta información: http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-Storage-101.html

    2. No necesariamente el rol de RRAS es necesario para que los usuarios salgan a Internet (este servicio se enfoca mas hacia VPN) lo único que necesitas para que tus usuarios salgan a Internet es una relación de NAT entre tu red Interna y la Externa y obviamente una regla que lo permita.

    3. Para que ISA / TMG validen tus usuarios contra AD tienes que cumplir 2 requisitos: 1- Que TMG sea un Member Server (osea forme parte del dominio) 2- Que tu regla de navegación (la que permite la salida a Internet aplique para un grupo de usuarios). Y los valida de esta forma: http://tmgblog.richardhicks.com/2011/08/29/access-to-the-web-proxy-filter-on-forefront-tmg-2010-is-denied/

    Con respecto a lo que mecionas de Bandwith Splitter no puedo decir mucho ya que es la primera vez que escucho ese nombre :)

    Mucha Suerte y Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    

    viernes, 14 de octubre de 2011 15:52
    Moderador
  • Hola Jimcesse.

    Gracias por contestar tan pronto.

    Ok.

    Lo que haré será remover el role RRAS, e intentar hacerlo con una relación NAT, podrías indicarme dónde puedo documentarme de cómo hcerlo.

    Respecto al Bandwith Splitter, es una aplicación que se instala en el TMG 2010 y permite gestionar las descargas de los usuarios autenticados, el problema es que el Bandwith Splitter no detecta ningún usuario autenticado (de hay viene todo mi problema), aunque los hay. Podrías indicarme otro gestor de descarga para el TMG?

    Un saludo y gracias de nuevo.

    Rubén
    Rubén
    viernes, 14 de octubre de 2011 16:10
  • Hola Rubén

    NAT es una regla que se crea por defecto cuando instalas TMG para verificar que exista abres la consola de TMG te vas a la pestaña Networking > Network Rules y ahi deberias de ver una que se llame Internet Access si existe ya con eso es suficiente.

    Respecto a los reportes con el SP2 de TMG se mejora bastante ese tema has probado con ellos !? Generalmente es lo que yo uso y no conozco otra aplicación.

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    
    viernes, 14 de octubre de 2011 16:39
    Moderador
  • Hola Jimcesse.

     

    Gracias de nuevo por tu rápida respuesta.

     

    Te refieres al servipack 2 de TMG 2010? Este servi me ofrece un nuevo control de descargas?

     

    Respecto al role  RRAS, me da en la nariz que no tengo la regla NAT  creada en el TMG 2010, ya que cuando está caido en el sw2k8 server R2 , los usuarios autentificados no tienen salida a internet a través del TMG 2010. O si está creada está mal configurada. Por que según me cuentas si la regla NAT está bien no haría falta para nada el role RRAS?

    Otra pregunta, cómo puedo ver si el TMG 2010 está dando paso a los usuarios autentificados, existe algún log donde quede registrado el acceso de los usuarios ?, ya que si lo está haciendo bien, quiere decir que el TMG 2010 funciona y aplica las reglas, mi único problema sería el Bandwith, que si con SP2 se solucionaría.

    Rubén.


    Rubén
    viernes, 14 de octubre de 2011 17:03
  • Hola Rubén

    Efectivamente no hace falta RRAS para que los usuarios salgan a Internet, una pregunta mas tus usuarios usan como gateway la IP interna de TMG y tienen el cliente TMG instalado !? Verificastas de estuviera la regla NAT creada !?

    Con respecto a lo del service pack 2 (y a lo que me referia anteriormente) es a nivel de reportes, sin embargo hasta donde yo conozco ISA / TMG no hay alguna opción que me permita limitar o crear una couta de descargas para los usuarios....

    El filtro de sesiones autenticadas lo puedes ver aqui: Monitoring > Sessions 

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    
    viernes, 14 de octubre de 2011 17:24
    Moderador
  • Hola  Jimcesse.

     

    Me has comentado: " NAT es una regla que se crea por defecto cuando instalas TMG para verificar que exista abres la consola de TMG te vas a la pestaña Networking > Network Rules y ahi deberias de ver una que se llame Internet Access si existe ya con eso es suficiente. "

    Te comento lo que me aparece dentro del TMG 2010 en  Networking. DEntro de la pestaña Reglas de Red existe una llamada Acceso a internet relacion:NAT. Dentro de sus propiedades en la pestaña de Reglas de origen tengo: Clientes VPN en cuarentena, Clientes VPN e interna. En la pestaña reglas de destino:Externa. En la pestaña de Selección de dirección NAT tengo usar la direccion IP predeterminada y en relación de redes : Traducción de direcciones de redes (NAT). Ya me dirás si está bien configurada o no.

     

    En cuanto al Active directory LightWeight DS tengo dos errores:

    El servidor de directorio no ha podido actualizar automaticamente la cuenta de servicio,el nombre DNS y/o la informacion de  puerto.

     

    Valor de error:1789  Error en la relacion de confianza entre la estación de trabajo y el dominio principal

    Origen:  ADAM [instancia ISP] GEneral

    Id.Evento:2527

    Usuario: ANONYMOUS LOGON

     

    Este es el error que me marca el AD LDS, y creo que es lo que está evitando que el Bandwith controle a los usuarios.

     

    Un saludo y gracias de antemano.

     

    Rubén.


    Rubén
    lunes, 17 de octubre de 2011 10:33
  • Hola Rubén

    Ya probastes esto: http://technet.microsoft.com/en-us/library/cc756516(WS.10).aspx

     

    Saludos,

     


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    
    • Propuesto como respuesta Ismael Borche miércoles, 19 de octubre de 2011 14:23
    • Marcado como respuesta Ismael Borche jueves, 20 de octubre de 2011 13:09
    martes, 18 de octubre de 2011 15:29
    Moderador
  • Hola.

     

    Antes de nada dar las gracais por leer el correo y por su tiempo.

    Hacía tiempo que no entraba en el foro pero es que no esta ahroa no había tenido más problemas con el TMG 2010. Paso a contar mi problema:

     

    Tengo instalado dos windows server 2008 R2. En uno el A tengo instalado un AD y otros roles  y el segundo servidor el B, el TMG 2010. El servidor B forma parte del dominio AD del servidor A, instalé el TMG 2010 logueándome en él como administrador del AD. La instalación no da ningún error. La relación de "confianza" funciona. Pero pasado un tiempo cada vez que un usuario autenticado del AD del servidor A pasa a través del TMG para acceder a internet, le pide contraseña de administrador del AD del servidor de A (creo que es porque se pierde la confianza entre ellos), impidiéndoles navegar por internet.

     

    La solución que me planteo es la de desistalar el TMG 2010, crear un nuevo dominio AD en el servidor B , instalo  de nuevo el TMG 2010 como Servies and Management , lo sincronizo con el AD del servidor A?????  Creo una relación de confianza entre ambos AD del servidor A y del B. Con esto puede que mi problema desaparezca??

     

    La otra y última opción es (aunque no sé si es lo que necesito) es instalar el TMG como Servies and Management y luego como Enterprise Management  Services (es posible ??? o sólo puedo una de ellas?? Siento mi ignorancia)  realizando la integración en un dominio estableciendo una relación de confianza de verdad.

    Gracias por su atención y espero que alguien me ilumine.

     

    Un saludo y gracias.

     

    Rubén.

     

     

     


    Rubén
    lunes, 14 de noviembre de 2011 23:01