none
Cliente Firewall en un escenario de dos dominios con una relación de confianza unidireccional. RRS feed

  • Pregunta

  • Hola a todos.

    Quería plantearos un problema que me tiene loco y que no se como resolver. le llevo dado muchas vueltas y no acabo de ver el problema ni la solución.

    Tengo una implementación de ISA Server donde el ISA Server 2004 lo tengo instalado en un dominio separado del de producción y al que lo uno mediante una relación de confianza de una sola dirección, es decir, donde el dominio del ISA Server confía en el dominio de producción.

    Todo funciona perfectamente. El servidor es un servidor VPN y utilizar RADIUS para autenticar a los clientes VPN. Los usuarios desde dentro de la red si son clientes Proxy o SecureNat se le aplican correctamente las políticas de acceso a internet y las publicaciones de dos servidores Web y un servidor FTP van de maravilla.

    El problema comienza cuando necesito instalar el cliente firewall en algunas máquinas. No hay forma de que se pueda autenticar con el servidor ISA. En el area de notificaciones me indica que el cliente firewall no puede autenticarse con el servidor ISA. En el visor de eventos me dice que revise a ver si el usuario dispone de los permisos y autorizaciones adecuadas..., en fin, que me estoy volviendo loco porque ya no se me ocurre nada más que mirar.

    Concretamente las pruebas las estoy haciendo con el live messenger, pero necesito que salgan más aplicaciones además de esta. El caso es que mientras mantenga en la regla la restricción de uso a un grupo determinado no es posible usar el programa. Pero en cuanto cambio la configuración a All Users pues entonces se puede usar, lo cual es lógico porque entonces el acceso es anónimo.

    No entiendo el porqué el ISA Server no reconoce a los usuarios del dominio de producción para autenticarlos con el cliente Firewall y si lo hace cuando son clientes Proxy.

    ¿Alguien me puede echar una manito para ver por donde y como puedo tratar de resolver este entuerto? ¿Alguien utiliza escenarios similares? ¿Os pasa algo parecido?

    Gracias por anticipado.

    miércoles, 22 de noviembre de 2006 14:48

Respuestas

  • Es muy diferente como funcionan la validación en un caso u otro, tu escenario no es muy normal, por que normalmente solo los firewalls externos no pertenecen al dominio.

    Los firewalls internos que estan de cara al usuario suelen estar en el forest interno.

    Aun asi no veo razon para que no fucione siempre y cuando el ISA vea bien la relación de confianza, los logs te podran dar alguna pista.

    Un saludo.

    *******************************************************************************************************************

    Colabora con el foro: Si la respuesta te es de utilidad marca la pregunta como respondida.

    *******************************************************************************************************************

    Daniel Matey.

    MCSE, MCSA, MCSD, MCDBA.

    Blog: http://dmatey.spaces.live.com

     

    • Marcado como respuesta Ismael Borche martes, 24 de mayo de 2011 19:47
    jueves, 23 de noviembre de 2006 6:37

Todas las respuestas

  • Es muy diferente como funcionan la validación en un caso u otro, tu escenario no es muy normal, por que normalmente solo los firewalls externos no pertenecen al dominio.

    Los firewalls internos que estan de cara al usuario suelen estar en el forest interno.

    Aun asi no veo razon para que no fucione siempre y cuando el ISA vea bien la relación de confianza, los logs te podran dar alguna pista.

    Un saludo.

    *******************************************************************************************************************

    Colabora con el foro: Si la respuesta te es de utilidad marca la pregunta como respondida.

    *******************************************************************************************************************

    Daniel Matey.

    MCSE, MCSA, MCSD, MCDBA.

    Blog: http://dmatey.spaces.live.com

     

    • Marcado como respuesta Ismael Borche martes, 24 de mayo de 2011 19:47
    jueves, 23 de noviembre de 2006 6:37
  • Hola Daniel. Gracias por tu respuesta.

    Por supuesto que cuando cuentas con dos firewalls en una implementación Back-to-Back todo es más simple porque el servidor ISA Interno ya lo tienes dentro del dominio de producción, pero este no es el caso.

    Creo que de todas formas debo de aclarar de que no dispongo de dos firewalls, sino de uno nada más, el que está en el dominio externo. Es decir, que el servidor ISA es la única máquina que existe en el dominio externo y por lo tanto también es el controlador de dominio de ese dominio. Luego el resto de las máquinas pertenecen al dominio interno.

    Tanto me lleva mareado, que ayer mediante el uso de Virtual PC recree un escenario similar y pasa exactamente lo mismo. Instalé dos controladores de dominio e instalé un ISA en uno de ellos. Establecí la relación de confianza y en el dominio interno instalé un Windows XP donde puse el cliente Firewall y pasa exactamente lo mismo, cuando el ISA Server está en un dominio diferente el cliente Firewall no consigue autenticarse con él. Todas las peticiones que aparecen en el log generedas por el cliente firewall carecen del nombre de usuario, mientras que cualquier otra petición desde el navegador si figura el nombre de usuario. Yo creo que está tratando todas las peticiones del cliente Firewall como anónimas dada la imposibilidad de autenticarse el cliente. Bueno, no es que lo crea, es que es así, porque todas las peticiones las rechaza la regla por defecto por desconocer quien las está realizando. ¿No se si me explico?

    Además el visor de eventos del cliente XP es muy clarito también en cuanto a las entradas del Microsoft Firewall Client 2004: Application [app.exe]. Authentication failed. Verify that the user account running this application has the required permissions....  Pues claro que los tiene.... pero el cliente no se autentica

    Cualquier ayuda será bien recibida y agradecida.

    Saludos a todos y gracias de nuevo.

     

    jueves, 23 de noviembre de 2006 10:10
  • Hola Juan

     

    Tengo la misma situaciòn que planteas en tu error a diferencia que solo tengo un DC y un ISA miembro de un solo dominio pero la misma situaciòn se me presenta cuando estoy autenticando un grupo en particular del dominio,  simplemente el cliente de ISA se desconecta y deja de navegar o aplicar cualquier regla definida,  solo me permite usuario anonimos (all users) en mis reglas, esta situaciòn llevo dìas tratando de resolverlas pero no llego a ninguna soluciòn disponible.

     

    Si pudiste resolver este inconveniente me gustaria saber como pudistes escapar de este enrredo.

     

    Saludos...

    miércoles, 26 de diciembre de 2007 20:05