none
Muitas dúvidas sobre ISA 2006 RRS feed

  • Pergunta

  •  

    Boa tarde a todos.

     

    Olha, tenho noções básicas de Ingles e estou com muita dificuldade achar livros sobre o ISA SERVER 2006. Comprei um curso em CD com o Rodrigo imaginário mas infelizmente o conteúdo é muito básico e me deixou com muitas dúvidas sobre como implementar o ISA 2006 aqui no meu trabalho.

     

    Seguinte:

     

    Tenho uma rede com 60 máquinas.

    Todos em um grupo de trabalho.

    Tenho 2 andares.

    1 switch e 1 hub no 4º andar e 2 switch no 3º andar.

    Tenho uma LP de 512kbps.

    rede: 10.10.168.0

    máscara: 255.255.255.192

    range: 10.10.168.64 até 10.10.168.127

    Getaway: 10.10.168.65 (num roteador Cisco)

    Todas as máquinas têm Ip fixo e servidor DNS primário e secundário já configurados.

     

    Será criado um domínio usando o Server 2003 Stndard 64bits.

     

    O controlador de domínio ficara num servidor IBM e o servidor DNS também nessa máquina.

     

    Primeira dúvida:

    Como ficará o servidor DNS que será instalado no DC?

    Eu já tenho DNS primário e secundário configurado em todas as máquinas com IP fixo.

    O DNS será o IP da máquina que será o DC, certo?

    O que eu faço com os 2 DNS que me estão configurados?

     

    Segunda dúvida:

    O ISA Enterprise 2006 ficará numa máquina com 2 placas de rede.

     

    Na máquina do ISA eu tenho 2 placas de rede. Uma placa fica com o endereço da rede 10.10.168.0.

     

    Agora, como fica a configuração da segunda placa? Se eu ligar o roteador, getaway da minha rede(10.10.168.65) eu terei a segunda placa no mesmo subgrupo da primeira, já que estão na mesma rede.

     

    Como eu configuraria as redes no ISA já que os modelos que têm por lá não batem com a minha rede?

     

    Como eu integro o ISA no meu domínio? Precisa fazer isso ou quando eu instalo o mesmo com a conta de Admin do dominio o ISA já reconhece o domínio?

     

    Vixi, são tantas dúvidas. Será que Rodrigo Immaginário poderia me dá uma ajuda?

     

    Se tiverem uns links sobre o assunto eu agradeço.

     

    Desde já muito obrigado pelo tempo.

     

    Daniel

     

    [editado]

    Outra coisa, eu ativo o cache web e aí?

    Como configuro as máquinas?

     

    Tem alguma black list já atualizada com sites bloqueados?

     

    Ajudas!?

     

     

    terça-feira, 29 de abril de 2008 16:28

Respostas

  • Olá Daniel,

     

    Segue as respostas para suas perguntas:

     

    Pergunta: Como ficará o servidor DNS que será instalado no DC?
    Resposta"A recomendação é que o ISA Server só use um servidor DNS. Este sério o DNS instalado no seu DC. O que você vai fazer é configurar o DNS para usar "Fowarder" para o DNS do seu ISP. Sei que você tem o inglês básico, mas o artigo abaixo é bem quanto claro nestas recomendações:
    http://www.microsoft.com/technet/isa/2004/plan/configuring_dns.mspx
    (OBS: apesar do artigo dizer  ISA 2004, também se aplica para ISA 2006)

     

    Pergunta: Eu já tenho DNS primário e secundário configurado em todas as máquinas com IP fixo. O DNS será o IP da máquina que será o DC, certo?
    Resposta: Correto.

     

    Pergunta: O que eu faço com os 2 DNS que me estão configurados?
    Resposta: Depende de como você planeja ter sua rede. Uma opção seria você promover o segundo servidor DNS para ser um Domain Controller e com isso usar a zona integrada do AD. Com isso você teria replicação via AD e contingência de DNS e DC.


    Pergunta: Agora, como fica a configuração da segunda placa? Se eu ligar o roteador, getaway da minha rede(10.10.168.65) eu terei a segunda placa no mesmo subgrupo da primeira, já que estão na mesma rede.
    Resposta: Realmente aí não da. Uma opção seria:

     

    Rede Interna usando 10.10.168.0, máscara: 255.255.255.192, criação de uma outra subrede entre sua rede interna e o roteador, por exemplo:

     

    Rede Interna 10.10.168.0/26
    -------
    <placa interna usando um IP da rede interna>

    ISA Server

    <Placa externa usando um novo range, por exemplo 192.168.10.0/24>
    -------

    <Interface interna do roteador na rede 192.168.10.0/24>

    Roteador

    <Interface externa do roteador com IP real>

     

    Pergunta: Como eu integro o ISA no meu domínio? Precisa fazer isso ou quando eu instalo o mesmo com a conta de Admin do dominio o ISA já reconhece o domínio?
    Resposta: Siga a sequência abaixo:

    1) Instale o Windows Server 2003 (de preferência com o SP1 inicialmente)
    2) Configure esta máquina para usar na placa interna um IP da rede interna e apontar o DNS para o seu DC
    3) Configure o default gateway da placa externa para apontar para o seu roteador (não use DNS na externa) e desabilite NetBIOs na Externa
    4) Junte esta máquina ao domínio
    5) Instale o ISA server 2006
    6) Aplique o Supportability Update no ISA (faça o download do link abaixo):
    http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=6f629eac-d8c6-4437-9d20-b47b02db413a

     

    OBS: Se este for um ISA Enterprise, então aplique o SP1 do ADAM:

    http://support.microsoft.com/kb/902838/

     

    7) Instale o Service Pack 2 do Windows Server 2003.

    8) Desabilite as chaves de registro abaixo, pois elas iram lhe causar problemas no futuro com o ISA:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS to 0 (zero).
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableTCPA to 0 (zero).
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableTCPChimney to 0 (zero).

    Referências sobre estas chaves nos artigos abaixo:
    http://blogs.technet.com/isablog/archive/2007/03/27/isa-server-and-windows-server-2003-service-pack-2.aspx
    http://support.microsoft.com/kb/555958/en-us

     

    Pergunta: Outra coisa, eu ativo o cache web e aí? Como configuro as máquinas?
    Resposta: Depende Smile mas em regra geral e para facilitar a configuração dos clientes você  pode configurar eles para usar o "Automatic Discovery". O artigo abaixo explica como configurar isso:
    http://www.microsoft.com/technet/isa/2006/auto_discovery.mspx

     

    Pergunta: Tem alguma black list já atualizada com sites bloqueados?
    Resposta: Tem alguns scripts no site http://www.isatools.org que pode lhe ajudar quanto a isso.


    Bem, espero que isso lhe ajude.

     

    Abraço,

     

     

    sexta-feira, 2 de maio de 2008 01:07

Todas as Respostas

  • Post movido para área ISA Server 2006.

     

    Para você receber uma resposta mais rápida para o seu problema e facilitar a pesquisa de outros membros e a organização dos post, favor nos próximos posts postar na áreas correspondentes ao produto.

     

    O TechnetBrasil agradece a sua colaboração.

     

    Obrigado.

     

    quinta-feira, 1 de maio de 2008 11:29
  • Olá Daniel,

     

    Segue as respostas para suas perguntas:

     

    Pergunta: Como ficará o servidor DNS que será instalado no DC?
    Resposta"A recomendação é que o ISA Server só use um servidor DNS. Este sério o DNS instalado no seu DC. O que você vai fazer é configurar o DNS para usar "Fowarder" para o DNS do seu ISP. Sei que você tem o inglês básico, mas o artigo abaixo é bem quanto claro nestas recomendações:
    http://www.microsoft.com/technet/isa/2004/plan/configuring_dns.mspx
    (OBS: apesar do artigo dizer  ISA 2004, também se aplica para ISA 2006)

     

    Pergunta: Eu já tenho DNS primário e secundário configurado em todas as máquinas com IP fixo. O DNS será o IP da máquina que será o DC, certo?
    Resposta: Correto.

     

    Pergunta: O que eu faço com os 2 DNS que me estão configurados?
    Resposta: Depende de como você planeja ter sua rede. Uma opção seria você promover o segundo servidor DNS para ser um Domain Controller e com isso usar a zona integrada do AD. Com isso você teria replicação via AD e contingência de DNS e DC.


    Pergunta: Agora, como fica a configuração da segunda placa? Se eu ligar o roteador, getaway da minha rede(10.10.168.65) eu terei a segunda placa no mesmo subgrupo da primeira, já que estão na mesma rede.
    Resposta: Realmente aí não da. Uma opção seria:

     

    Rede Interna usando 10.10.168.0, máscara: 255.255.255.192, criação de uma outra subrede entre sua rede interna e o roteador, por exemplo:

     

    Rede Interna 10.10.168.0/26
    -------
    <placa interna usando um IP da rede interna>

    ISA Server

    <Placa externa usando um novo range, por exemplo 192.168.10.0/24>
    -------

    <Interface interna do roteador na rede 192.168.10.0/24>

    Roteador

    <Interface externa do roteador com IP real>

     

    Pergunta: Como eu integro o ISA no meu domínio? Precisa fazer isso ou quando eu instalo o mesmo com a conta de Admin do dominio o ISA já reconhece o domínio?
    Resposta: Siga a sequência abaixo:

    1) Instale o Windows Server 2003 (de preferência com o SP1 inicialmente)
    2) Configure esta máquina para usar na placa interna um IP da rede interna e apontar o DNS para o seu DC
    3) Configure o default gateway da placa externa para apontar para o seu roteador (não use DNS na externa) e desabilite NetBIOs na Externa
    4) Junte esta máquina ao domínio
    5) Instale o ISA server 2006
    6) Aplique o Supportability Update no ISA (faça o download do link abaixo):
    http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=6f629eac-d8c6-4437-9d20-b47b02db413a

     

    OBS: Se este for um ISA Enterprise, então aplique o SP1 do ADAM:

    http://support.microsoft.com/kb/902838/

     

    7) Instale o Service Pack 2 do Windows Server 2003.

    8) Desabilite as chaves de registro abaixo, pois elas iram lhe causar problemas no futuro com o ISA:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS to 0 (zero).
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableTCPA to 0 (zero).
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableTCPChimney to 0 (zero).

    Referências sobre estas chaves nos artigos abaixo:
    http://blogs.technet.com/isablog/archive/2007/03/27/isa-server-and-windows-server-2003-service-pack-2.aspx
    http://support.microsoft.com/kb/555958/en-us

     

    Pergunta: Outra coisa, eu ativo o cache web e aí? Como configuro as máquinas?
    Resposta: Depende Smile mas em regra geral e para facilitar a configuração dos clientes você  pode configurar eles para usar o "Automatic Discovery". O artigo abaixo explica como configurar isso:
    http://www.microsoft.com/technet/isa/2006/auto_discovery.mspx

     

    Pergunta: Tem alguma black list já atualizada com sites bloqueados?
    Resposta: Tem alguns scripts no site http://www.isatools.org que pode lhe ajudar quanto a isso.


    Bem, espero que isso lhe ajude.

     

    Abraço,

     

     

    sexta-feira, 2 de maio de 2008 01:07
  •  

    Opa!

     

    Obrigado pela generosa resposta.

     

    Deixa eu me explicar melhor:

     

    A Oi nos fornece uma LP de 512Kbps e o Modem dessa linha está ligado a um roteador da Cisco que é de administração do PRODERJ e está configurado com o DNS primário e secundário do PRODERJ.

     

    Rede: 10.10.168.0 / Máscara: 255.255.255.192

     

    As estações no grupo de trabalho atual estão configuradas assim:

     

    IP: 10.10.168.66

    Máscara: 255.255.255.192

    Gateway: 10.10.168.65

    DNS Pri: xxx.xx.xx.x

    DNS Sec: xxx.xx.xx.xx

     

    ....até IP: 10.10.168.126

     

    A reficará assim então:

     

    Modem---->Roteador----->ISA----->Switch----->Máquinas

     

    Agora:

     

    No ISA eu tenho duas NICs, uma Interna(LAN) e outra Externa(Web). Na Externa recebo o IP do Provedor e na interna fica o meu arranjo de IPs não roteáveis(ex.: rede - 192.168.0.0).

     

    Só que nesse caso a minha rede atual, grupo de trabalho, tem esse arranjo da rede 10.10.168.0 que é controlado pelo roteador vinculado ao aDNS do PRODERJ e o caminho externo é o gateway 10.10.168.65.

     

    O que tenho em mente é como fica o ISA nos arranjos de configração na hora da instalação?

     

    ISA:

     

    Rede Interna: Se eu coloco a placa Interna ele pré configura para aqueles endereços não roteáveis. Eu tenho que editar colocando o range da minha rede 10.10.168.0 ou criar uma Rede nova no próprio ISA já com esse arranjo.

     

    Agora na rede Externa(Web) eu tenho que pegar um IP dessa rede 10.10.168.0 e deixar como rede Externa porque só através de um IP dessa rede é a placa pode buscar o gateway 10.10.168.65, fazen asiim o papel de uma placa externa.

     

    Tá cero isso?

     

    Eu não sei se colocando o ISA entre o modem do ISP e o roteador Cisco do PROFERJ eu vou ter problemas já que o roteador precisa do IP do ISP par fazer o NAT para a rede interna.

     

    Tem máquinas que usam IP que não podem mudar já que estão vinculados a serviços do Estado e são controlados pelo PRODERJ.

     

    Entendeu?

     

    Eu preciso configurar a placa "Externa" do ISA com um dos IPs da rede 10.10.168.0 mas a placa da rede "Interna" também está nessa rede. Eu não tenho como mudar a rede para aqueles IP clássicos não roteáveis. Em laboratório colocando a rede Externa com uma das configurações dessa rede 10.10.168.0 e deixando as máquinas do Lab com a rede 192.168.0.0 funciona.

     

    Ufa.

     

    Obrigado.

    sábado, 3 de maio de 2008 05:08
  • Olá Daniel,

     

    Você não pode ter a rede externa no mesmo range da interna, por isso eu sugeri aquela configuração. O que você pode fazer é desabilitar o DHCP no Roteador e configurar um servidor DHCP na rede Interna. Com isso você poderá usar a configuração que eu sugeri. Este DHCP iria distribuir o IP que você já tem e apontar as estações para usar o ISA como gateway.

     

    Desta forma, durante a instalação do ISA, você só precisa configurar um IP para rede externa dentro do novo range (192.168.x.x) e na placa interna você adiciona o adaptador interno que terá um IP da rede 10.10.168.66. Essa é a melhor alternativa tendo em vista que internamente você tem máquinas que não podem mudar de IP, então com isso a única mudança seria na interface interna do roteador e na interface externa do ISA.

     

    Eu não sei se colocando o ISA entre o modem do ISP e o roteador Cisco do PROFERJ eu vou ter problemas já que o roteador precisa do IP do ISP par fazer o NAT para a rede interna.
    Vai ter problema sim. Por isso eu lhe sugeri que coloca-se o ISA entre a interface interna do roteador e a switch que vai para a rede interna. Do jeito que você desenhou agora:

    Modem---->Roteador----->ISA----->Switch----->Máquinas

     

    Eu preciso configurar a placa "Externa" do ISA com um dos IPs da rede 10.10.168.0 mas a placa da rede "Interna" também está nessa rede. Eu não tenho como mudar a rede para aqueles IP clássicos não roteáveis.

    Não funciona. Você tem que mudar a rede Externa como eu expliquei anteriormente. Lembrando, você não vai mudar a rede interna para os IPs clássicos. Você pode manter a rede interna com o IP atual. Você só precisa mudar a interface interna no roteador para usar um outro range que faça um match com o IP externo do ISA.

     

    Em fim, tudo que tem em mente é quase correto tirando a parte da configuração das interfaces externa e internas, pois elas não podem ficar no mesmo range. Você terá que criar um range IP intermediário entre o roteador e o ISA.

     

    Abraço,

     

    sábado, 3 de maio de 2008 10:51
  •  

    Então eu faria o seguinte:

     

    Instalo DHCP configurando a minha rede 10.10.168.0;

    Coloco as exclusões necessárias para a minhas máquinas que precisam de IP fixo;

    Abro um chamado no PRODERJ para reconfigurar o roteador e criar uma rede ex.: 192.168.0.0

    E finalmente configuro o ISA na placa externa para o IP ACIMA.

     

    É isso?

     

    Grande abraço!

    sábado, 3 de maio de 2008 16:20
  • Exatamente Daniel, é isso ai !!!

     

    Abraço,

     

    sábado, 3 de maio de 2008 20:13