none
Isa Server está dando um erro tosto RRS feed

  • Pergunta

  • Olá a todos,
    Eu sou nova no forum e recente como administradora de redes..
    bom sobre o meu problema,
    Hoje na minha empresa eu possuo um servidor com isa server em uma zona DMZ, todo mundo que precisa acessar internet tem que passar pelo servidor isa..
    só que sinceramente nao sei o que pode ter acontecido que quando os usuários trocam as configurações em
    opções de internet>ferramentas>conexões>configurações de lan e trocam o proxy a internet continua funcionando :O
    eu sei que deve ser alguma coisa muito idiota que eu fiz..mas já fucei em tudo e nao acho o problema. Gostaria muito da ajuda de vcs :D
    agradeço desde já..
    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 01:14 (De:ISA Server 2004)
    terça-feira, 29 de setembro de 2009 13:41

Respostas

  • Ana,

    Ajustamos o seu ambiente.

    As configurações foram a seguintes:

    1 - Criação de uma GPO para configurar o proxy automaticamente nas estações de trabalho, utilizando o FQDN para o nome do servidor (http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=7).

    2- Ajuste da regra de internet para liberar o acesso somente para usuários autenticados, fazendo assim utilização do WEB PROXY e nao secure NAT.


    Recomendo tb a leitura e ajuste do ambiente seguindo este tutorial: http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=19

    Qualquer dúvida me avise...
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta Ana.Vargas terça-feira, 29 de setembro de 2009 18:59
    terça-feira, 29 de setembro de 2009 18:38
    Moderador
  • Ana,

    Provavelmente você deve ter alterado a configuração na sua regra de liberação de internet....deve ter colocado ALL USERS..
    OU ter criado alguma outra regra que contem HTTP e HTTPS acima da regra de internet que esta liberando esse acesso..

    O modo adequado para vc verificar esse problema é monitorar os acessos.
    Vai em monitoring, depois em log....configure uma query para o IP de uma maquina cliente..Altere o proxy como vc citou e tente o acesso...

    Ai vc vai ver por qual regra o acesso esta sendo liberado...com isso vc consegue consertar o furo....

    espero ter ajudado.

    se util nao esqueça de marcar como resposta.

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 13:48
    Moderador
  • Ana,

    Se você retirar as configurações de proxy e o gateway das estações estiverem apontando para o IP do ISA, você estará passando pelo ISA porém como SecureNat, ou seja o acesso não esta sendo validado...esta sendo auditado porém não filtrado. Agora se o gateway das estações for algum outro roteador (depende da sua infra), se for diferente do ISA ai o acesso não estará passando pelo ISA e sim indo diretamente para o roteador e internet consequentemente.

    Em logging coloca Filtrar por: IP DO CLIENTE. Condition: Equal e depois vc digita o IP da estação que vc esta testando.


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 14:06
    Moderador

Todas as Respostas

  • Ana,

    Provavelmente você deve ter alterado a configuração na sua regra de liberação de internet....deve ter colocado ALL USERS..
    OU ter criado alguma outra regra que contem HTTP e HTTPS acima da regra de internet que esta liberando esse acesso..

    O modo adequado para vc verificar esse problema é monitorar os acessos.
    Vai em monitoring, depois em log....configure uma query para o IP de uma maquina cliente..Altere o proxy como vc citou e tente o acesso...

    Ai vc vai ver por qual regra o acesso esta sendo liberado...com isso vc consegue consertar o furo....

    espero ter ajudado.

    se util nao esqueça de marcar como resposta.

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 13:48
    Moderador
  • Obrigada Luiz,
    vou verificar em minitoring e ver por qual regra está passando
    depois posto meus resultados aqui.
    Beijos
    terça-feira, 29 de setembro de 2009 13:57
  • Ok, fico no aguardo.

    Qualquer duvida é só falar.

    Bjos
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 13:58
    Moderador
  • Luiz,
    vou te fazer mais uma pergunta..
    se eu tirar as configurações do proxy, significa que eu nao vou estar passando pelo isa?
    e outra..quais configurações eu coloco em logging?
    por exemplo destination ip/equals/xxx.xxx.xxx.xxx(ip cliente)?
    terça-feira, 29 de setembro de 2009 14:03
  • Ana,

    Se você retirar as configurações de proxy e o gateway das estações estiverem apontando para o IP do ISA, você estará passando pelo ISA porém como SecureNat, ou seja o acesso não esta sendo validado...esta sendo auditado porém não filtrado. Agora se o gateway das estações for algum outro roteador (depende da sua infra), se for diferente do ISA ai o acesso não estará passando pelo ISA e sim indo diretamente para o roteador e internet consequentemente.

    Em logging coloca Filtrar por: IP DO CLIENTE. Condition: Equal e depois vc digita o IP da estação que vc esta testando.


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 14:06
    Moderador
  • ok
    o gateway da máquina que estou testando é o ip do isa server
    ao tirar as configurações de proxy e navegar pela internet
    nao passa nada pelo logging do isa..
    tens mais alguma idéia do que pode ser?

    terça-feira, 29 de setembro de 2009 14:13
  • Tem que passar...

    Se o gateway é o IP do ISA ele tem que registrar....
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 14:21
    Moderador
  • o servidor do isa tem duas placas de rede
    a interna (LAN) que no caso é o gateway dos PCs clientes e a externa que o ip é o gateway do roteador
    o problema pode estar ai?
    terça-feira, 29 de setembro de 2009 14:24
  • Não.

    Esta correto isso.
    Voce colocou o IP da estação corretamente?

    Ele tem que te mostrar os acessos como anonymous.
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 14:36
    Moderador
  • Sim,
    fiz como tu me falou.
    fiquei navegando pela internet
    so que nao passou nada pelo filtro
     ele fica em fetching results por muito tempo e nao mostra nada, nenhuma regra qeu possa ter passado..

    em firewall policy em cima da regra da internet eu tenho outras duas regras que seriam:
    liberar o acesso do site/ protocolo http/ da porta 80/ para servidor do isa.domínio da empresa/ para todos os usuários
    e a outra regra:
    liberar acesso ao exchange para esse mesmo esquema da regra acima.
    será que pode ser a porta 80 que está dando acesso irrestrito?
    afinal essa regra está acima da regra da internet
    terça-feira, 29 de setembro de 2009 14:49
  • Provavelmente essa sua regra de HTTP que vc citou no inicio seja a vilã do ambiente.

    Desative essa regra e tente acesso...

    qual aintenção dessa regra?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 14:55
    Moderador
  • ela significa permitir o que o site da empresa pelo protocolo http seja acessado da porta 80 para servidor isa/domínio para todos os usuários

    e a outra regra significa permitir que o exchange faça a mesma coisa só que nao seria o servidor isa e sim outro servidor que no caso seria onde este está configurado sendo servidor exchange porque dentro das configurações do exchange tem um conversão que passa da porta 80 para a 8080 que seria a do proxy.
    só nao sei porque no isa essas regras foram configuradas assim e porque estão sobre a regra da internet.
    tem alguma idéia?

    terça-feira, 29 de setembro de 2009 15:06
  • seria uma regra de publicação

    a imagem que aparece é a de um computador..
    mesmo assim tu achas que resolve se eu desabilitar?

    terça-feira, 29 de setembro de 2009 15:08
  • é uma publicação de servidor?
    Ou regra de firewall?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 15:15
    Moderador
  • publicação de servidor
    terça-feira, 29 de setembro de 2009 15:19
  • Então não desative.

    Precisava fazer o monitoramento aparecer para descobrir qual a regra...que esta liberando isso..
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 15:38
    Moderador
  • bom Luiz
    eu desativei todas as regras do firewall e desliguei o telefone da TI hehehe
    enfim caiu tudo e mesmo assim continuei navegando na internet..
    nao parece ser regras de firewall
    agora me pergunto existe mais algum tipo de configuração que se faz no isa para que autentique os usuários fazendo com que eles acessem a internet so sob o proxy de rede?

    porque quanto a infra da rede parece normalizado

    o modem conecta direto na placa de rede do servidor isa e a placa de LAN deste sevidor conecta direto na tomada rj45
    acredito que o problema nao esteja ai tbm..
    terça-feira, 29 de setembro de 2009 15:52
  • Muito estranho...

    Tem como fazer acesso remoto ao seu ambiente?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 15:54
    Moderador
  • sim
    eu uso o team viewer
    terça-feira, 29 de setembro de 2009 15:56
  • me mande as informações no luizfernando.dias@gmail.

    Tento dar uma verificada rapida no seu ambiente.
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 15:57
    Moderador
  • faça o seguinte me adicione no msn
    anacarolina_vm@yahoo.com.br

    terça-feira, 29 de setembro de 2009 15:59
  • pronto...
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 29 de setembro de 2009 16:01
    Moderador
  • Ana,

    Ajustamos o seu ambiente.

    As configurações foram a seguintes:

    1 - Criação de uma GPO para configurar o proxy automaticamente nas estações de trabalho, utilizando o FQDN para o nome do servidor (http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=7).

    2- Ajuste da regra de internet para liberar o acesso somente para usuários autenticados, fazendo assim utilização do WEB PROXY e nao secure NAT.


    Recomendo tb a leitura e ajuste do ambiente seguindo este tutorial: http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=19

    Qualquer dúvida me avise...
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta Ana.Vargas terça-feira, 29 de setembro de 2009 18:59
    terça-feira, 29 de setembro de 2009 18:38
    Moderador