Remove From My Forums

Isa Server está dando um erro tosto

Pergunta
0

Entrar para Votar
Olá a todos,
Eu sou nova no forum e recente como administradora de redes..
bom sobre o meu problema,
Hoje na minha empresa eu possuo um servidor com isa server em uma zona DMZ, todo mundo que precisa acessar internet tem que passar pelo servidor isa..
só que sinceramente nao sei o que pode ter acontecido que quando os usuários trocam as configurações em
opções de internet>ferramentas>conexões>configurações de lan e trocam o proxy a internet continua funcionando :O
eu sei que deve ser alguma coisa muito idiota que eu fiz..mas já fucei em tudo e nao acho o problema. Gostaria muito da ajuda de vcs :D
agradeço desde já..
- Movido Hengzhe Li quarta-feira, 28 de março de 2012 01:14 (De:ISA Server 2004)
terça-feira, 29 de setembro de 2009 13:41

Responder

|

Citação

Respostas

1

Entrar para Votar
Ana,

Ajustamos o seu ambiente.

As configurações foram a seguintes:

1 - Criação de uma GPO para configurar o proxy automaticamente nas estações de trabalho, utilizando o FQDN para o nome do servidor (http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=7).

2- Ajuste da regra de internet para liberar o acesso somente para usuários autenticados, fazendo assim utilização do WEB PROXY e nao secure NAT.

Recomendo tb a leitura e ajuste do ambiente seguindo este tutorial: http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=19

Qualquer dúvida me avise...
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
- Marcado como Resposta Ana.Vargas terça-feira, 29 de setembro de 2009 18:59
terça-feira, 29 de setembro de 2009 18:38

Responder

|

Citação

Moderador
0

Entrar para Votar
Ana,

Provavelmente você deve ter alterado a configuração na sua regra de liberação de internet....deve ter colocado ALL USERS..
OU ter criado alguma outra regra que contem HTTP e HTTPS acima da regra de internet que esta liberando esse acesso..

O modo adequado para vc verificar esse problema é monitorar os acessos.
Vai em monitoring, depois em log....configure uma query para o IP de uma maquina cliente..Altere o proxy como vc citou e tente o acesso...

Ai vc vai ver por qual regra o acesso esta sendo liberado...com isso vc consegue consertar o furo....

espero ter ajudado.

se util nao esqueça de marcar como resposta.

Abraços
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
- Marcado como Resposta Luiz Fernando DiasModerator terça-feira, 29 de setembro de 2009 19:11
terça-feira, 29 de setembro de 2009 13:48

Responder

|

Citação

Moderador
0

Entrar para Votar
Ana,

Se você retirar as configurações de proxy e o gateway das estações estiverem apontando para o IP do ISA, você estará passando pelo ISA porém como SecureNat, ou seja o acesso não esta sendo validado...esta sendo auditado porém não filtrado. Agora se o gateway das estações for algum outro roteador (depende da sua infra), se for diferente do ISA ai o acesso não estará passando pelo ISA e sim indo diretamente para o roteador e internet consequentemente.

Em logging coloca Filtrar por: IP DO CLIENTE. Condition: Equal e depois vc digita o IP da estação que vc esta testando.

Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
- Marcado como Resposta Luiz Fernando DiasModerator terça-feira, 29 de setembro de 2009 19:11
terça-feira, 29 de setembro de 2009 14:06

Responder

|

Citação

Moderador

Todas as Respostas

0

Entrar para Votar
Ana,

Provavelmente você deve ter alterado a configuração na sua regra de liberação de internet....deve ter colocado ALL USERS..
OU ter criado alguma outra regra que contem HTTP e HTTPS acima da regra de internet que esta liberando esse acesso..

O modo adequado para vc verificar esse problema é monitorar os acessos.
Vai em monitoring, depois em log....configure uma query para o IP de uma maquina cliente..Altere o proxy como vc citou e tente o acesso...

Ai vc vai ver por qual regra o acesso esta sendo liberado...com isso vc consegue consertar o furo....

espero ter ajudado.

se util nao esqueça de marcar como resposta.

Abraços
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
- Marcado como Resposta Luiz Fernando DiasModerator terça-feira, 29 de setembro de 2009 19:11
terça-feira, 29 de setembro de 2009 13:48

Responder

|

Citação

Moderador
0

Entrar para Votar

Obrigada Luiz,
vou verificar em minitoring e ver por qual regra está passando
depois posto meus resultados aqui.
Beijos

terça-feira, 29 de setembro de 2009 13:57

Responder

|

Citação
0

Entrar para Votar

Ok, fico no aguardo.

Qualquer duvida é só falar.

Bjos
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

terça-feira, 29 de setembro de 2009 13:58

Responder

|

Citação

Moderador
0

Entrar para Votar

Luiz,
vou te fazer mais uma pergunta..
se eu tirar as configurações do proxy, significa que eu nao vou estar passando pelo isa?
e outra..quais configurações eu coloco em logging?
por exemplo destination ip/equals/xxx.xxx.xxx.xxx(ip cliente)?

terça-feira, 29 de setembro de 2009 14:03

Responder

|

Citação
0

Entrar para Votar
Ana,

Se você retirar as configurações de proxy e o gateway das estações estiverem apontando para o IP do ISA, você estará passando pelo ISA porém como SecureNat, ou seja o acesso não esta sendo validado...esta sendo auditado porém não filtrado. Agora se o gateway das estações for algum outro roteador (depende da sua infra), se for diferente do ISA ai o acesso não estará passando pelo ISA e sim indo diretamente para o roteador e internet consequentemente.

Em logging coloca Filtrar por: IP DO CLIENTE. Condition: Equal e depois vc digita o IP da estação que vc esta testando.

Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
- Marcado como Resposta Luiz Fernando DiasModerator terça-feira, 29 de setembro de 2009 19:11
terça-feira, 29 de setembro de 2009 14:06

Responder

|

Citação

Moderador
0

Entrar para Votar

ok
o gateway da máquina que estou testando é o ip do isa server
ao tirar as configurações de proxy e navegar pela internet
nao passa nada pelo logging do isa..
tens mais alguma idéia do que pode ser?

terça-feira, 29 de setembro de 2009 14:13

Responder

|

Citação
0

Entrar para Votar

Tem que passar...

Se o gateway é o IP do ISA ele tem que registrar....
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

terça-feira, 29 de setembro de 2009 14:21

Responder

|

Citação

Moderador
0

Entrar para Votar

o servidor do isa tem duas placas de rede
a interna (LAN) que no caso é o gateway dos PCs clientes e a externa que o ip é o gateway do roteador
o problema pode estar ai?

terça-feira, 29 de setembro de 2009 14:24

Responder

|

Citação
0

Entrar para Votar

Não.

Esta correto isso.
Voce colocou o IP da estação corretamente?

Ele tem que te mostrar os acessos como anonymous.
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

terça-feira, 29 de setembro de 2009 14:36

Responder

|

Citação

Moderador
0

Entrar para Votar

Sim,
fiz como tu me falou.
fiquei navegando pela internet
so que nao passou nada pelo filtro
ele fica em fetching results por muito tempo e nao mostra nada, nenhuma regra qeu possa ter passado..

em firewall policy em cima da regra da internet eu tenho outras duas regras que seriam:
liberar o acesso do site/ protocolo http/ da porta 80/ para servidor do isa.domínio da empresa/ para todos os usuários
e a outra regra:
liberar acesso ao exchange para esse mesmo esquema da regra acima.
será que pode ser a porta 80 que está dando acesso irrestrito?
afinal essa regra está acima da regra da internet

terça-feira, 29 de setembro de 2009 14:49

Responder

|

Citação
0

Entrar para Votar

Provavelmente essa sua regra de HTTP que vc citou no inicio seja a vilã do ambiente.

Desative essa regra e tente acesso...

qual aintenção dessa regra?
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

terça-feira, 29 de setembro de 2009 14:55

Responder

|

Citação

Moderador
0

Entrar para Votar

ela significa permitir o que o site da empresa pelo protocolo http seja acessado da porta 80 para servidor isa/domínio para todos os usuários

e a outra regra significa permitir que o exchange faça a mesma coisa só que nao seria o servidor isa e sim outro servidor que no caso seria onde este está configurado sendo servidor exchange porque dentro das configurações do exchange tem um conversão que passa da porta 80 para a 8080 que seria a do proxy.
só nao sei porque no isa essas regras foram configuradas assim e porque estão sobre a regra da internet.
tem alguma idéia?

terça-feira, 29 de setembro de 2009 15:06

Responder

|

Citação
0

Entrar para Votar

seria uma regra de publicação

a imagem que aparece é a de um computador..
mesmo assim tu achas que resolve se eu desabilitar?

terça-feira, 29 de setembro de 2009 15:08

Responder

|

Citação
0

Entrar para Votar

é uma publicação de servidor?
Ou regra de firewall?
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

terça-feira, 29 de setembro de 2009 15:15

Responder

|

Citação

Moderador
0

Entrar para Votar

publicação de servidor

terça-feira, 29 de setembro de 2009 15:19

Responder

|

Citação
0

Entrar para Votar

Então não desative.

Precisava fazer o monitoramento aparecer para descobrir qual a regra...que esta liberando isso..
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

terça-feira, 29 de setembro de 2009 15:38

Responder

|

Citação

Moderador
0

Entrar para Votar

bom Luiz
eu desativei todas as regras do firewall e desliguei o telefone da TI hehehe
enfim caiu tudo e mesmo assim continuei navegando na internet..
nao parece ser regras de firewall
agora me pergunto existe mais algum tipo de configuração que se faz no isa para que autentique os usuários fazendo com que eles acessem a internet so sob o proxy de rede?

porque quanto a infra da rede parece normalizado

o modem conecta direto na placa de rede do servidor isa e a placa de LAN deste sevidor conecta direto na tomada rj45
acredito que o problema nao esteja ai tbm..

terça-feira, 29 de setembro de 2009 15:52

Responder

|

Citação
0

Entrar para Votar

Muito estranho...

Tem como fazer acesso remoto ao seu ambiente?
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

terça-feira, 29 de setembro de 2009 15:54

Responder

|

Citação

Moderador
0

Entrar para Votar

sim
eu uso o team viewer

terça-feira, 29 de setembro de 2009 15:56

Responder

|

Citação
0

Entrar para Votar

me mande as informações no luizfernando.dias@gmail.

Tento dar uma verificada rapida no seu ambiente.
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

terça-feira, 29 de setembro de 2009 15:57

Responder

|

Citação

Moderador
0

Entrar para Votar

faça o seguinte me adicione no msn
anacarolina_vm@yahoo.com.br

terça-feira, 29 de setembro de 2009 15:59

Responder

|

Citação
0

Entrar para Votar

pronto...
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

terça-feira, 29 de setembro de 2009 16:01

Responder

|

Citação

Moderador
1

Entrar para Votar
Ana,

Ajustamos o seu ambiente.

As configurações foram a seguintes:

1 - Criação de uma GPO para configurar o proxy automaticamente nas estações de trabalho, utilizando o FQDN para o nome do servidor (http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=7).

2- Ajuste da regra de internet para liberar o acesso somente para usuários autenticados, fazendo assim utilização do WEB PROXY e nao secure NAT.

Recomendo tb a leitura e ajuste do ambiente seguindo este tutorial: http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=19

Qualquer dúvida me avise...
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
- Marcado como Resposta Ana.Vargas terça-feira, 29 de setembro de 2009 18:59
terça-feira, 29 de setembro de 2009 18:38

Responder

|

Citação

Moderador

Produtos

Resources

Solutions

Atualizações

Avaliações

Sites relacionados

Treinamento

Certificações

Outros recursos

Por produtos

Outros links

Não é um IT Pro?

Usuário com melhor resposta

Isa Server está dando um erro tosto

Pergunta

Respostas

Todas as Respostas