Usuário com melhor resposta
SecureNat não sai pra internet

Pergunta
-
Caros amigos de TI,
Estou implantando o isa na empresa que trabalho e venho tendo difculdade nos clientes securenat, eles não esta navegando. Eu consigo ping pra internet mas nao navego.
Aguem podriam me dar uma luz ??- Movido Hengzhe Li quarta-feira, 28 de março de 2012 02:01 (De:ISA Server 2004)
Respostas
-
Vc tem que configurar o seu DNS interno para encaminhar consultas para o seu DNS do seu provedor entende?
Como configurar os encaminhadores
O Windows Server 2003 pode tirar vantagem dos encaminhadores DNS. Esse recurso encaminha as solicitações de DNS para os servidores externos. Se um servidor DNS não pode encontrar um registro de recurso em suas zonas, ele pode enviar a solicitação a outro servidor DNS para uma tentativa adicional na resolução. Um cenário comum deve ser configurar os encaminhadores aos seus servidores DNS do seu provedor.- Clique em Iniciar, aponte para Ferramentas administrativas e clique em DNS.
- Clique com o botão direito do mouse em Nome_do_servidor, no qual Nome_do_servidor é o nome do servidor e clique na guia Encaminhadores.
- Clique em um domínio DNS na lista Domínios DNS. Ou clique em Novo, digite o nome do domínio DNS para o qual você deseja encaminhar as solicitações na caixa Domínio DNS e clique em OK.
- Na caixa Lista de endereços IP de encaminhadores do domínio selecionado digite o endereço IP do primeiro servidor DNS para o qual você deseja encaminhar e clique em Adicionar.
- Repita a etapa 4 para adicionar servidores DNS para os quais você deseja encaminhar.
- Clique em OK.
Como configurar as dicas de raiz
O Windows pode usar dicas raiz. Os registros de recurso de dicas de raiz podem ser armazenados tanto no Active Directory como em um arquivo de texto (%SystemRoot%\System32\DNS\Cache.dns). O Windows usa um servidor raiz Internic padrão. Também, quando um servidor executando o Windows Server 2003 solicita um servidor raiz, ele se atualiza com a lista mais recente de servidores raiz.- Clique em Iniciar, aponte para Ferramentas administrativas e clique em DNS.
- Clique com o botão direito do mouse em Nome_do_servidor, no qual Nome_do_servidor é o nome do servidor e clique em Propriedades.
- Clique na guia Dicas de raiz. Os servidores raiz do servidor DNS estão relacionados na lista Nome dos servidores.
Se a guia Dicas de raiz não estiver disponível, seu servidor pode estar configurado ainda como um servidor raiz. Consulte a seção Como remover a zona DNS raiz anteriormente neste artigo. Você pode ter que usar dicas de raiz personalizadas diferentes das que são padrão. Contudo, uma configuração que aponta para o mesmo servidor para as dicas de raiz está sempre incorreto. Não modifique as dicas de raiz. Se suas dicas de raiz estiverem incorretas e precisarem ser substituídas, clique no seguinte número para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:237675 (http://support.microsoft.com/kb/237675/ ) Configurando o DNS para o Active Directory
Como configurar um DNS atrás de um firewall
Os dispositivos de Proxy e NAT (Network Address Translation) podem restringir o acesso às portas. O DNS usa a UDP porta 53 e TCP porta 53. O console de Gerenciamento dos serviço de DNS usa também a RCP. A RCP usa a porta 135. Esses são problemas em potencial que podem ocorrer ao configurar o DNS e os firewalls.
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
Sim o secure nat para de funcionar.
O SecureNAt nao valida usuarios entendeu? Esta correto a regra que eu descrevi é WEB PROXY.
Para deixar secure nat vc vai ter que monta-la diferente, criar objetos computers de cada maquina ou um grupo que terá esse acesso e liberar a origem como sendo essas maquinas e destino o url set ou domain name criado para ALL USERS....ai sim ele funcionará securenat...
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
Esta correto isso.
SecureNAT é para ALL USERS pois ele não valida usuários, credenciais entende?
Sempre que vc solicitar autenticação, ou seja que vc queira que seja validado quem esta acessando será webproxy....
Sem strtess, pode perguntar.
Qualquer coisa é só voltar.
Se util nao esqueça de marcar como resposta os posts uteis.
Abraços
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
Cara essas suas quatro linhas abrangeram bastante coisa.
Edge é o padrão..Tudo depende do seu ambiente..da sua infra...
Nao entendi sua pergunta sobre uma maquina no dominio ou DC no dominio???
As regras vc tem que manter TUDO fechado e somente liberar oque for necessário tanto para dentro quanto para fora.
As placas de rede na sua interna deve ter apenas IP interno e mascara, a placa externa deverá conter IP, Mascara e gateway apenas.
O seu DNS interno deverpa estar ocnfigurado para encaminhar ocnsultas que ele nao possa resolver.
Cache existem ferramentas para isso, e tb vc pode criar regras para nao armazenar cache de determiando site.
Abraços
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
Ele pode estar ou nao no dominio.Se estiver legal, se nao estiver vc terá que implementar RADIUS para as autenticações.
Cara sobre o DNS é interessante desvuincularmos daqui do forum de ISA e joga rum post la na area de windows Server 2003.
http://support.microsoft.com/default.aspx/kb/323380
abraços
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
Exatamente isso, as requisições vao para o seu DNS interno se ele nao for capaz de conclui-las ele encaminhará para fora nos IPs configirados ou root hints.
O IP que vc tem que colcoa rno seu DNS é o IP do seu DNS Externo...fornecido pelo seu provedor.
Centro de treinamento ai no RJ
http://www.microsoft.com/brasil/certifique/ofertas/offerspage.aspx
Abraços
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
Obrigado pelas palavras.
Precisando é só falar :-)
Neste site temos as ferramentas de ISA inclsuive as de cache
http://technet.microsoft.com/en-us/forefront/edgesecurity/bb734830.aspx
Para tirar relatórios por usuários vc precisa de aplicações de terceiros, eu por ex utilizo o Internet Access Monitor.
Abraços cara se cuida e boa sorte.
Luiz Fernando Dias - MVP- Marcado como Resposta Rafaeljr sexta-feira, 15 de maio de 2009 20:22
Todas as Respostas
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Vc tem que configurar o seu DNS interno para encaminhar consultas para o seu DNS do seu provedor entende?
Como configurar os encaminhadores
O Windows Server 2003 pode tirar vantagem dos encaminhadores DNS. Esse recurso encaminha as solicitações de DNS para os servidores externos. Se um servidor DNS não pode encontrar um registro de recurso em suas zonas, ele pode enviar a solicitação a outro servidor DNS para uma tentativa adicional na resolução. Um cenário comum deve ser configurar os encaminhadores aos seus servidores DNS do seu provedor.- Clique em Iniciar, aponte para Ferramentas administrativas e clique em DNS.
- Clique com o botão direito do mouse em Nome_do_servidor, no qual Nome_do_servidor é o nome do servidor e clique na guia Encaminhadores.
- Clique em um domínio DNS na lista Domínios DNS. Ou clique em Novo, digite o nome do domínio DNS para o qual você deseja encaminhar as solicitações na caixa Domínio DNS e clique em OK.
- Na caixa Lista de endereços IP de encaminhadores do domínio selecionado digite o endereço IP do primeiro servidor DNS para o qual você deseja encaminhar e clique em Adicionar.
- Repita a etapa 4 para adicionar servidores DNS para os quais você deseja encaminhar.
- Clique em OK.
Como configurar as dicas de raiz
O Windows pode usar dicas raiz. Os registros de recurso de dicas de raiz podem ser armazenados tanto no Active Directory como em um arquivo de texto (%SystemRoot%\System32\DNS\Cache.dns). O Windows usa um servidor raiz Internic padrão. Também, quando um servidor executando o Windows Server 2003 solicita um servidor raiz, ele se atualiza com a lista mais recente de servidores raiz.- Clique em Iniciar, aponte para Ferramentas administrativas e clique em DNS.
- Clique com o botão direito do mouse em Nome_do_servidor, no qual Nome_do_servidor é o nome do servidor e clique em Propriedades.
- Clique na guia Dicas de raiz. Os servidores raiz do servidor DNS estão relacionados na lista Nome dos servidores.
Se a guia Dicas de raiz não estiver disponível, seu servidor pode estar configurado ainda como um servidor raiz. Consulte a seção Como remover a zona DNS raiz anteriormente neste artigo. Você pode ter que usar dicas de raiz personalizadas diferentes das que são padrão. Contudo, uma configuração que aponta para o mesmo servidor para as dicas de raiz está sempre incorreto. Não modifique as dicas de raiz. Se suas dicas de raiz estiverem incorretas e precisarem ser substituídas, clique no seguinte número para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:237675 (http://support.microsoft.com/kb/237675/ ) Configurando o DNS para o Active Directory
Como configurar um DNS atrás de um firewall
Os dispositivos de Proxy e NAT (Network Address Translation) podem restringir o acesso às portas. O DNS usa a UDP porta 53 e TCP porta 53. O console de Gerenciamento dos serviço de DNS usa também a RCP. A RCP usa a porta 135. Esses são problemas em potencial que podem ocorrer ao configurar o DNS e os firewalls.
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
Luiz bom dia
descobri o problema !!!
coloquei um grupo de usuarios sem internet na minha regra internet out .... libero internet pra todos menos o grupo , entende ???
ontem depois e muita dor de cabeça , eu consegui entender.... mas agora como faço para bloquear este grupo ??? pois eu preciso que este grupo de usuarios só pode acessar 2 sites apenas ...
voce pode me ajudar ????
abraços.... -
Na regra acima das de liberação de conteudo, vc vai criar um URL ou domain name set conforme sua necessidade com esses dosi endewreços ou dois dominios que vc quer liberar, depois crie uma regra liberando de internalpara esses URL ou Domain Name para esse grupo de usuarios entendeu?
abraços
Luiz Fernando Dias - MVP -
-
LUIZ...
ESTOU COM OUTRA DUVIDA SOBRE PERMISSÃO DO SECURENAT... SE NÃO QUISER RESPONDER NÃO TEM PROBLEMA.......
TODA VEZ QUE DEFINO ALL USERS O SECURENAT FUNCIONA...... QUANDO COLOCO USUARIOS AUTENTICADOS O SECURENAT PARA.... SABE ME EXPLICAR O POR QUE ?? OU COMO FAÇO PARA PERMITIR O SECURENAT COM USUARIOS AUTENTICADOS ???
ABRAÇOS E MUITO OBRIGADO ....
OBS : DESCULPE MAIS UMA VEZ... PELA FALTA DE CONHECIMENTO.... MAS ESTOU APRENDENDO .... E GOSTEI MUITO DO ISA SERVER ..... ..
ABRAÇOS
RARAEL -
Sim o secure nat para de funcionar.
O SecureNAt nao valida usuarios entendeu? Esta correto a regra que eu descrevi é WEB PROXY.
Para deixar secure nat vc vai ter que monta-la diferente, criar objetos computers de cada maquina ou um grupo que terá esse acesso e liberar a origem como sendo essas maquinas e destino o url set ou domain name criado para ALL USERS....ai sim ele funcionará securenat...
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
Esta correto isso.
SecureNAT é para ALL USERS pois ele não valida usuários, credenciais entende?
Sempre que vc solicitar autenticação, ou seja que vc queira que seja validado quem esta acessando será webproxy....
Sem strtess, pode perguntar.
Qualquer coisa é só voltar.
Se util nao esqueça de marcar como resposta os posts uteis.
Abraços
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
ENTENDI... AGORA FICOU CLARO.... AGRADEÇO MUITO MESMO... ESTOU COMEÇANDO COM ISA AGORA .... VALEU MESMO.. VOU FAZER OUTRA PERGUNTA....rsrsrs qual melhor maneira : EU TENHO QUE DEFINIR ANTES DE TUDO QUAL FORMA DE FIREWALL (EDGE ) OU O PADRAO JÁ E EDGE ?? UMA MAQUINA NO DOMINIO OU UM DC NO DOMINIO ? QUAL MELHOR FORMA DE CRIAÇÃO DAS REGRAS DE ACESSO OUT E INTERNA ? SOBRE A CONFIFURAÇÃO DAS PLACAS INTERNAL E EXTERNAL ?? ( OUTRO DIA VC FALOU QUE NAO TINHA DNS NA EXTERNAL, MAS QUANDO TIREI TODA A INTERNET PAROU AQUI. ) ??? ABRAÇOS RAFAEL
E SOBRE CACHE ??? COMO FAÇO A MANUTENÇÃO DA CACHE ??? -
Cara essas suas quatro linhas abrangeram bastante coisa.
Edge é o padrão..Tudo depende do seu ambiente..da sua infra...
Nao entendi sua pergunta sobre uma maquina no dominio ou DC no dominio???
As regras vc tem que manter TUDO fechado e somente liberar oque for necessário tanto para dentro quanto para fora.
As placas de rede na sua interna deve ter apenas IP interno e mascara, a placa externa deverá conter IP, Mascara e gateway apenas.
O seu DNS interno deverpa estar ocnfigurado para encaminhar ocnsultas que ele nao possa resolver.
Cache existem ferramentas para isso, e tb vc pode criar regras para nao armazenar cache de determiando site.
Abraços
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
vou tentar explicar...
o servidor que estiver com o isa server instalado, deve estar apenas no dominio ou ser um controlador de dominio.
sobre o dns interno... essa eu vou tomar uma surra..... não sou muito bom com dns.... mas vamos la..
eu tenho um servidor dc primario com dns e outro com o isa server ....
como eu encaminho estas solicitações que vc falou... ???
abraços ...
Rafael -
Ele pode estar ou nao no dominio.Se estiver legal, se nao estiver vc terá que implementar RADIUS para as autenticações.
Cara sobre o DNS é interessante desvuincularmos daqui do forum de ISA e joga rum post la na area de windows Server 2003.
http://support.microsoft.com/default.aspx/kb/323380
abraços
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
opa . luiz .. muito obrigado mesmo...
deixa ver se entendi....
eu ja tenho meu dns interno que resolve os nomes da rede interna.
agora vou apontar no meu dns interno o ip de um dns externo para resolver os nomes para internet exemplo : 200.x.x.x
é isso que eu tenho que fazer ....
toda maquina na rede que perguntar sobre http e pop , smtp .. o meu dns interno vai direcionar pra internet..... é isso ???
Minhas ultimas perguntas pra vc ... rsrsrsr...
o ip que tenho que colocar no dns pode tem que ser o ip do isa server ???
Conhece algum curso de isa server no Rio de janeiro pra indicar ..?
abraços.
Rafael -
Exatamente isso, as requisições vao para o seu DNS interno se ele nao for capaz de conclui-las ele encaminhará para fora nos IPs configirados ou root hints.
O IP que vc tem que colcoa rno seu DNS é o IP do seu DNS Externo...fornecido pelo seu provedor.
Centro de treinamento ai no RJ
http://www.microsoft.com/brasil/certifique/ofertas/offerspage.aspx
Abraços
Luiz Fernando Dias - MVP- Marcado como Resposta Luiz Fernando DiasModerator sexta-feira, 15 de maio de 2009 21:17
-
Bom meu Amigo...
Agradeço muito mesmo ..... com suas respostas aprendi muito mesmo......
Estou Muito grato ..... é bom ver pessoas neste mundo capaz a ajudar o próximo.
Mais uma vez ... muito obrigado... por toda a paciência
Se precisar de qualquer coisa é só falar.... não sei muito ainda .. mas vou chegar la..
Abraços .. fica com DEUS.
ASS: RAFAEL
" FAZER O BEM SEM VER A QUEM "
----------------------------------------------------------------
opa... uma ultima... pergunta.. rsrsr
e possivel tirar relatorios por usuarios ?
e sobre a cache ... quais aplicações vc nao falou ?? poderia me passar ? -
Obrigado pelas palavras.
Precisando é só falar :-)
Neste site temos as ferramentas de ISA inclsuive as de cache
http://technet.microsoft.com/en-us/forefront/edgesecurity/bb734830.aspx
Para tirar relatórios por usuários vc precisa de aplicações de terceiros, eu por ex utilizo o Internet Access Monitor.
Abraços cara se cuida e boa sorte.
Luiz Fernando Dias - MVP- Marcado como Resposta Rafaeljr sexta-feira, 15 de maio de 2009 20:22