none
SecureNat não sai pra internet RRS feed

  • Pergunta

  • Caros amigos de TI,

    Estou implantando o isa na empresa que trabalho e venho tendo difculdade nos clientes securenat, eles não esta navegando. Eu consigo ping pra internet mas nao navego.

    Aguem podriam me dar uma luz ??

    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 02:01 (De:ISA Server 2004)
    quarta-feira, 13 de maio de 2009 14:44

Respostas

  • Vc tem que configurar o seu DNS interno para encaminhar consultas para o seu DNS do seu provedor entende?

    Como configurar os encaminhadores

    O Windows Server 2003 pode tirar vantagem dos encaminhadores DNS. Esse recurso encaminha as solicitações de DNS para os servidores externos. Se um servidor DNS não pode encontrar um registro de recurso em suas zonas, ele pode enviar a solicitação a outro servidor DNS para uma tentativa adicional na resolução. Um cenário comum deve ser configurar os encaminhadores aos seus servidores DNS do seu provedor.
    1. Clique em Iniciar, aponte para Ferramentas administrativas e clique em DNS.
    2. Clique com o botão direito do mouse em Nome_do_servidor, no qual Nome_do_servidor é o nome do servidor e clique na guia Encaminhadores.
    3. Clique em um domínio DNS na lista Domínios DNS. Ou clique em Novo, digite o nome do domínio DNS para o qual você deseja encaminhar as solicitações na caixa Domínio DNS e clique em OK.
    4. Na caixa Lista de endereços IP de encaminhadores do domínio selecionado digite o endereço IP do primeiro servidor DNS para o qual você deseja encaminhar e clique em Adicionar.
    5. Repita a etapa 4 para adicionar servidores DNS para os quais você deseja encaminhar.
    6. Clique em OK.

    Como configurar as dicas de raiz

    O Windows pode usar dicas raiz. Os registros de recurso de dicas de raiz podem ser armazenados tanto no Active Directory como em um arquivo de texto (%SystemRoot%\System32\DNS\Cache.dns). O Windows usa um servidor raiz Internic padrão. Também, quando um servidor executando o Windows Server 2003 solicita um servidor raiz, ele se atualiza com a lista mais recente de servidores raiz.
    1. Clique em Iniciar, aponte para Ferramentas administrativas e clique em DNS.
    2. Clique com o botão direito do mouse em Nome_do_servidor, no qual Nome_do_servidor é o nome do servidor e clique em Propriedades.
    3. Clique na guia Dicas de raiz. Os servidores raiz do servidor DNS estão relacionados na lista Nome dos servidores.

      Se a guia Dicas de raiz não estiver disponível, seu servidor pode estar configurado ainda como um servidor raiz. Consulte a seção Como remover a zona DNS raiz anteriormente neste artigo. Você pode ter que usar dicas de raiz personalizadas diferentes das que são padrão. Contudo, uma configuração que aponta para o mesmo servidor para as dicas de raiz está sempre incorreto. Não modifique as dicas de raiz. Se suas dicas de raiz estiverem incorretas e precisarem ser substituídas, clique no seguinte número para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
      237675  (http://support.microsoft.com/kb/237675/ ) Configurando o DNS para o Active Directory

    Como configurar um DNS atrás de um firewall

    Os dispositivos de Proxy e NAT (Network Address Translation) podem restringir o acesso às portas. O DNS usa a UDP porta 53 e TCP porta 53. O console de Gerenciamento dos serviço de DNS usa também a RCP. A RCP usa a porta 135. Esses são problemas em potencial que podem ocorrer ao configurar o DNS e os firewalls.

    Luiz Fernando Dias - MVP
    quarta-feira, 13 de maio de 2009 22:15
    Moderador
  • Sim o secure nat para de funcionar.
    O SecureNAt nao valida usuarios entendeu? Esta correto a regra que eu descrevi é WEB PROXY.
    Para deixar secure nat vc vai ter que monta-la diferente, criar objetos computers de cada maquina ou um grupo que terá esse acesso e liberar a origem como sendo essas maquinas e destino o url set ou domain name criado para ALL USERS....ai sim ele funcionará securenat...


    Luiz Fernando Dias - MVP
    sexta-feira, 15 de maio de 2009 14:44
    Moderador
  • Esta correto isso.

    SecureNAT é para ALL USERS pois ele não valida usuários, credenciais entende?
    Sempre que vc solicitar autenticação, ou seja que vc queira que seja validado quem esta acessando será webproxy....

    Sem strtess, pode perguntar.

    Qualquer coisa é só voltar.

    Se util nao esqueça de marcar como resposta os posts uteis.

    Abraços
    Luiz Fernando Dias - MVP
    sexta-feira, 15 de maio de 2009 14:45
    Moderador
  • Cara essas suas quatro linhas abrangeram bastante coisa.

    Edge é o padrão..Tudo depende do seu ambiente..da sua infra...
    Nao entendi sua pergunta sobre uma maquina no dominio ou DC no dominio???

    As regras vc tem que manter TUDO fechado e somente liberar oque for necessário tanto para dentro quanto para fora.
    As placas de rede na sua interna deve ter apenas IP interno e mascara, a placa externa deverá conter IP, Mascara e gateway apenas.
    O seu DNS interno deverpa estar ocnfigurado para encaminhar ocnsultas que ele nao possa resolver.

    Cache existem ferramentas para isso, e tb vc pode criar regras para nao armazenar cache de determiando site.

    Abraços
    Luiz Fernando Dias - MVP
    sexta-feira, 15 de maio de 2009 15:27
    Moderador
  • Ele pode estar ou nao no dominio.Se estiver legal, se nao estiver vc terá que implementar RADIUS para as autenticações.

    Cara sobre o DNS é interessante desvuincularmos daqui do forum de ISA e joga rum post la na area de windows Server 2003.

    http://support.microsoft.com/default.aspx/kb/323380

    abraços


    Luiz Fernando Dias - MVP
    sexta-feira, 15 de maio de 2009 17:32
    Moderador
  • Exatamente isso, as requisições vao para o seu DNS interno se ele nao for capaz de conclui-las ele encaminhará para fora nos IPs configirados ou root hints.

    O IP que vc tem que colcoa rno seu DNS é o IP do seu DNS Externo...fornecido pelo seu provedor.

    Centro de treinamento ai no RJ

    http://www.microsoft.com/brasil/certifique/ofertas/offerspage.aspx

    Abraços
    Luiz Fernando Dias - MVP
    sexta-feira, 15 de maio de 2009 19:34
    Moderador
  • Obrigado pelas palavras.

    Precisando é só falar :-)

    Neste site temos as ferramentas de ISA inclsuive as de cache
    http://technet.microsoft.com/en-us/forefront/edgesecurity/bb734830.aspx

    Para tirar relatórios por usuários vc precisa de aplicações de terceiros, eu por ex utilizo o Internet Access Monitor.

    Abraços cara se cuida e boa sorte.
    Luiz Fernando Dias - MVP
    • Marcado como Resposta Rafaeljr sexta-feira, 15 de maio de 2009 20:22
    sexta-feira, 15 de maio de 2009 20:19
    Moderador

Todas as Respostas

  • Se vc consegue ping e nao navega é pq falta DNS.

    De uma olhada se o DNS esta OK...
    Se o seu gateway aponta para o ISA.
    Se a sua regra no ISA esta com ALL USERS (só assim é securenat).

    No aguardo

    abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 13 de maio de 2009 19:40
    Moderador
  • Boa Tarde

    Luiz

    Esta correto sim.... 

    ip 192.168.0.12
    mask 255.255.255.0
    gt 192.168.0.5
    dns 192.168.0.2 ( dc )
    dns 192.168.0.5 ( isa )

    obs : ja coloquei o isa como primario, mas nao adiantou ...

    quarta-feira, 13 de maio de 2009 20:41
  • Vc tem uma zona DNS no ISA?

     

    No seu DNS vc tem os encaminhadores corretamente configurados? ou root hints?


    Luiz Fernando Dias - MVP
    quarta-feira, 13 de maio de 2009 20:42
    Moderador
  • Perdoe a minha flata de conhecimento..


    o meu isa e uma maquina no dominio , sem dns.


    o que root hints ?

    abraços
    quarta-feira, 13 de maio de 2009 20:55
  • A maquina do ISA nao deve estar configuirada em DNS de maquina cliente.
    Afinal ela nao possui esse tipo de serviço.

    Root hints são endereços raizes padroes do DNS.
    Vc tem os Fowarders configurados?
    Luiz Fernando Dias - MVP
    quarta-feira, 13 de maio de 2009 20:59
    Moderador
  • Desculpe mais uma vez pela flata de conhecimento....


    Nao devo ter.... pois tb nao sei o que ..

    como verifico , e o que é ?

    quarta-feira, 13 de maio de 2009 21:04
  • Calma..

    Vamos por partes.

    Como estao configuradas as placas de rede do seu ISA server?

    Pelo servidor do ISA vc consegue navegar?
    Luiz Fernando Dias - MVP
    quarta-feira, 13 de maio de 2009 21:07
    Moderador
  • rede interna

    192.168.0.5
    255.255.255.0

    dns 192.168.0.2 (dc)


    rede externa

    192.168.2.100
    255.255.255.0
    192.168.2.1  ( roteador velox )
    192.168.2.1 dns
    200.149.55.140 dns velox
    quarta-feira, 13 de maio de 2009 21:17
  • A sua rede externa vc deve ter apenas...

    IP
    MASK
    e gateway

    Nao deve ter DNS....
    Luiz Fernando Dias - MVP
    quarta-feira, 13 de maio de 2009 21:29
    Moderador
  • Luiz ,

    acabei de tirar o dns e todos ficaram sem internet ????

    quarta-feira, 13 de maio de 2009 21:35
  • Luiz,

    Estou analizando o monitoramento dos acessos ... 

    o isa esta me bloqueando na regra internet out que eu criei.

    http,https,dns,pop,smtp   interna to externa all users

    pelo proxy no ie eu consigo navegar, mas pelo securenat , nao !!!!

    quarta-feira, 13 de maio de 2009 21:38
  • Isso nas estações ou no servidor do ISA?

    O DNS da placa externa vc nao pode inserir, se nao da problema..
    Luiz Fernando Dias - MVP
    quarta-feira, 13 de maio de 2009 21:55
    Moderador
  • em todas as estações..  assim que tirei o dns da placa externa .. parou tudo...
    quarta-feira, 13 de maio de 2009 21:57
  • Vc tem que configurar o seu DNS interno para encaminhar consultas para o seu DNS do seu provedor entende?

    Como configurar os encaminhadores

    O Windows Server 2003 pode tirar vantagem dos encaminhadores DNS. Esse recurso encaminha as solicitações de DNS para os servidores externos. Se um servidor DNS não pode encontrar um registro de recurso em suas zonas, ele pode enviar a solicitação a outro servidor DNS para uma tentativa adicional na resolução. Um cenário comum deve ser configurar os encaminhadores aos seus servidores DNS do seu provedor.
    1. Clique em Iniciar, aponte para Ferramentas administrativas e clique em DNS.
    2. Clique com o botão direito do mouse em Nome_do_servidor, no qual Nome_do_servidor é o nome do servidor e clique na guia Encaminhadores.
    3. Clique em um domínio DNS na lista Domínios DNS. Ou clique em Novo, digite o nome do domínio DNS para o qual você deseja encaminhar as solicitações na caixa Domínio DNS e clique em OK.
    4. Na caixa Lista de endereços IP de encaminhadores do domínio selecionado digite o endereço IP do primeiro servidor DNS para o qual você deseja encaminhar e clique em Adicionar.
    5. Repita a etapa 4 para adicionar servidores DNS para os quais você deseja encaminhar.
    6. Clique em OK.

    Como configurar as dicas de raiz

    O Windows pode usar dicas raiz. Os registros de recurso de dicas de raiz podem ser armazenados tanto no Active Directory como em um arquivo de texto (%SystemRoot%\System32\DNS\Cache.dns). O Windows usa um servidor raiz Internic padrão. Também, quando um servidor executando o Windows Server 2003 solicita um servidor raiz, ele se atualiza com a lista mais recente de servidores raiz.
    1. Clique em Iniciar, aponte para Ferramentas administrativas e clique em DNS.
    2. Clique com o botão direito do mouse em Nome_do_servidor, no qual Nome_do_servidor é o nome do servidor e clique em Propriedades.
    3. Clique na guia Dicas de raiz. Os servidores raiz do servidor DNS estão relacionados na lista Nome dos servidores.

      Se a guia Dicas de raiz não estiver disponível, seu servidor pode estar configurado ainda como um servidor raiz. Consulte a seção Como remover a zona DNS raiz anteriormente neste artigo. Você pode ter que usar dicas de raiz personalizadas diferentes das que são padrão. Contudo, uma configuração que aponta para o mesmo servidor para as dicas de raiz está sempre incorreto. Não modifique as dicas de raiz. Se suas dicas de raiz estiverem incorretas e precisarem ser substituídas, clique no seguinte número para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
      237675  (http://support.microsoft.com/kb/237675/ ) Configurando o DNS para o Active Directory

    Como configurar um DNS atrás de um firewall

    Os dispositivos de Proxy e NAT (Network Address Translation) podem restringir o acesso às portas. O DNS usa a UDP porta 53 e TCP porta 53. O console de Gerenciamento dos serviço de DNS usa também a RCP. A RCP usa a porta 135. Esses são problemas em potencial que podem ocorrer ao configurar o DNS e os firewalls.

    Luiz Fernando Dias - MVP
    quarta-feira, 13 de maio de 2009 22:15
    Moderador
  • Luiz bom dia

    descobri o problema !!!

    coloquei um grupo de usuarios sem internet na minha regra internet out ....  libero internet pra todos menos o grupo , entende ???

    ontem depois e muita dor de cabeça , eu consegui entender....  mas agora como faço para bloquear este grupo ???    pois eu preciso que este grupo de usuarios só pode acessar 2 sites apenas ... 

    voce pode me ajudar ????

    abraços....

    quinta-feira, 14 de maio de 2009 17:46
  • Na regra acima das de liberação de conteudo, vc vai criar um URL ou domain name set conforme sua necessidade com esses dosi endewreços ou dois dominios que vc quer liberar, depois crie uma regra liberando de internalpara esses URL ou Domain Name para esse grupo de usuarios entendeu?


    abraços
    Luiz Fernando Dias - MVP
    quinta-feira, 14 de maio de 2009 21:46
    Moderador

  • BOM DIA LUIZ...

    SIM... 

    MAS VEJA O QUE ACONTECEU.....   QUANDO EU COLOCO ESTA REGRA, O SECURENAT PARA DE FUNCIONAR..... ????   MUITO ESTRANHO...

    ABRAÇOS
    sexta-feira, 15 de maio de 2009 14:07
  • LUIZ...

    ESTOU COM OUTRA DUVIDA SOBRE PERMISSÃO DO SECURENAT...  SE NÃO QUISER RESPONDER NÃO TEM PROBLEMA.......


    TODA VEZ QUE DEFINO ALL USERS  O SECURENAT FUNCIONA......  QUANDO COLOCO USUARIOS AUTENTICADOS O SECURENAT PARA....  SABE ME EXPLICAR O POR QUE ??    OU COMO FAÇO PARA PERMITIR O SECURENAT COM USUARIOS AUTENTICADOS ??? 

    ABRAÇOS E MUITO OBRIGADO ....

    OBS :  DESCULPE MAIS UMA VEZ... PELA FALTA DE CONHECIMENTO....  MAS ESTOU APRENDENDO .... E GOSTEI MUITO DO ISA SERVER ..... ..

    ABRAÇOS
    RARAEL
    sexta-feira, 15 de maio de 2009 14:15
  • Sim o secure nat para de funcionar.
    O SecureNAt nao valida usuarios entendeu? Esta correto a regra que eu descrevi é WEB PROXY.
    Para deixar secure nat vc vai ter que monta-la diferente, criar objetos computers de cada maquina ou um grupo que terá esse acesso e liberar a origem como sendo essas maquinas e destino o url set ou domain name criado para ALL USERS....ai sim ele funcionará securenat...


    Luiz Fernando Dias - MVP
    sexta-feira, 15 de maio de 2009 14:44
    Moderador
  • Esta correto isso.

    SecureNAT é para ALL USERS pois ele não valida usuários, credenciais entende?
    Sempre que vc solicitar autenticação, ou seja que vc queira que seja validado quem esta acessando será webproxy....

    Sem strtess, pode perguntar.

    Qualquer coisa é só voltar.

    Se util nao esqueça de marcar como resposta os posts uteis.

    Abraços
    Luiz Fernando Dias - MVP
    sexta-feira, 15 de maio de 2009 14:45
    Moderador
  • ENTENDI... AGORA FICOU CLARO.... AGRADEÇO MUITO MESMO... ESTOU COMEÇANDO COM ISA AGORA .... VALEU MESMO.. VOU FAZER OUTRA PERGUNTA....rsrsrs qual melhor maneira : EU TENHO QUE DEFINIR ANTES DE TUDO QUAL FORMA DE FIREWALL (EDGE ) OU O PADRAO JÁ E EDGE ?? UMA MAQUINA NO DOMINIO OU UM DC NO DOMINIO ? QUAL MELHOR FORMA DE CRIAÇÃO DAS REGRAS DE ACESSO OUT E INTERNA ? SOBRE A CONFIFURAÇÃO DAS PLACAS INTERNAL E EXTERNAL ?? ( OUTRO DIA VC FALOU QUE NAO TINHA DNS NA EXTERNAL, MAS QUANDO TIREI TODA A INTERNET PAROU AQUI. ) ??? ABRAÇOS RAFAEL

    E SOBRE CACHE ???  COMO FAÇO A MANUTENÇÃO DA CACHE ???
    sexta-feira, 15 de maio de 2009 15:09
  • Cara essas suas quatro linhas abrangeram bastante coisa.

    Edge é o padrão..Tudo depende do seu ambiente..da sua infra...
    Nao entendi sua pergunta sobre uma maquina no dominio ou DC no dominio???

    As regras vc tem que manter TUDO fechado e somente liberar oque for necessário tanto para dentro quanto para fora.
    As placas de rede na sua interna deve ter apenas IP interno e mascara, a placa externa deverá conter IP, Mascara e gateway apenas.
    O seu DNS interno deverpa estar ocnfigurado para encaminhar ocnsultas que ele nao possa resolver.

    Cache existem ferramentas para isso, e tb vc pode criar regras para nao armazenar cache de determiando site.

    Abraços
    Luiz Fernando Dias - MVP
    sexta-feira, 15 de maio de 2009 15:27
    Moderador



  • vou tentar explicar...

    o servidor que estiver com o isa server instalado, deve estar apenas no dominio ou ser um controlador de dominio.


    sobre o dns interno...  essa eu vou tomar uma surra..... não sou muito bom com dns.... mas vamos la..

    eu tenho um servidor dc primario com dns e outro com o isa server ....

    como eu encaminho estas solicitações que vc falou... ??? 

    abraços ... 
    Rafael

    sexta-feira, 15 de maio de 2009 16:22
  • Ele pode estar ou nao no dominio.Se estiver legal, se nao estiver vc terá que implementar RADIUS para as autenticações.

    Cara sobre o DNS é interessante desvuincularmos daqui do forum de ISA e joga rum post la na area de windows Server 2003.

    http://support.microsoft.com/default.aspx/kb/323380

    abraços


    Luiz Fernando Dias - MVP
    sexta-feira, 15 de maio de 2009 17:32
    Moderador
  • opa . luiz .. muito obrigado mesmo...


    deixa ver se entendi....

    eu ja tenho meu dns interno que resolve os nomes da rede interna.

    agora vou apontar no meu dns interno o ip de um dns externo para resolver os nomes para internet   exemplo :  200.x.x.x

    é isso que eu tenho que fazer .... 

    toda maquina na rede que perguntar sobre http e pop , smtp ..  o meu dns interno vai direcionar pra internet.....  é isso ???

    Minhas ultimas perguntas pra vc ... rsrsrsr...

    o ip que tenho que colocar no dns pode tem que ser o ip do isa server ???

    Conhece algum curso de isa server no Rio de janeiro pra indicar ..?

    abraços.
    Rafael
    sexta-feira, 15 de maio de 2009 18:56
  • Exatamente isso, as requisições vao para o seu DNS interno se ele nao for capaz de conclui-las ele encaminhará para fora nos IPs configirados ou root hints.

    O IP que vc tem que colcoa rno seu DNS é o IP do seu DNS Externo...fornecido pelo seu provedor.

    Centro de treinamento ai no RJ

    http://www.microsoft.com/brasil/certifique/ofertas/offerspage.aspx

    Abraços
    Luiz Fernando Dias - MVP
    sexta-feira, 15 de maio de 2009 19:34
    Moderador
  • Bom meu Amigo...

    Agradeço muito mesmo .....  com suas respostas aprendi muito mesmo......

    Estou Muito grato .....     é bom ver pessoas neste mundo capaz a ajudar o próximo. 

    Mais uma vez ...  muito obrigado...  por toda a paciência

    Se precisar de qualquer coisa é só falar....  não sei muito ainda .. mas vou chegar la.. 

    Abraços .. fica com DEUS.


    ASS: RAFAEL

    " FAZER O BEM SEM VER A QUEM "

    ----------------------------------------------------------------

    opa... uma ultima... pergunta..  rsrsr


    e possivel tirar relatorios por usuarios ?

    e sobre a cache ... quais aplicações vc  nao falou ??  poderia me passar ?
    sexta-feira, 15 de maio de 2009 20:03
  • Obrigado pelas palavras.

    Precisando é só falar :-)

    Neste site temos as ferramentas de ISA inclsuive as de cache
    http://technet.microsoft.com/en-us/forefront/edgesecurity/bb734830.aspx

    Para tirar relatórios por usuários vc precisa de aplicações de terceiros, eu por ex utilizo o Internet Access Monitor.

    Abraços cara se cuida e boa sorte.
    Luiz Fernando Dias - MVP
    • Marcado como Resposta Rafaeljr sexta-feira, 15 de maio de 2009 20:22
    sexta-feira, 15 de maio de 2009 20:19
    Moderador