none
Liberando acesso a Intranet e Extranet no Isa 2004 RRS feed

  • Pergunta


  • Colegas.

    Já postei esse case aqui, mas andei realizando alguns testes nesses últimos dias e ainda não resolvi meu problema.

    Tenha um Server com Isa 2004, minha idéia é  substituir meu router Linksys que faz todo o trabalho e firewall e Proxy hoje.

    Tenho 02 servidores com IIS instalado, 01 hospeda minha intranet e o outro hospeda uma extranet.

    Meu grande problema é encontrar uma customização para fazer a comunicação com esses servers principalmente o da extranet.


    1° Primeiramente criei o protocolo 80 para a extranet e coloquei a porta do sistema nativo como secundaria no caso 5400 e 5900 Outbound.

    2° Foi em Network Object e criei os 02 servidores.

    3° Publiquei o servidor de extranet.

    4° Criei a rules permitindo de externo (fora) e anywhere para o Server publicado, com trafico HTTP e a Listener apontando para o próprio servidor publicado.; No public name coloquei o ip do Server.


    Detalhes:

    <!--[if !supportLists]-->·         <!--[endif]-->Na  opção de rede externa eu apontei o endereço de IP da Internet .

    <!--[if !supportLists]-->·         <!--[endif]-->Quando o cliente acessa a extranet o endereço redireciona o mesmo para uma área FTP em um provedor, nessa área tem  um pequeno arquivo (script) que redireciona a solicitação para a page no IIS.

    Não sei onde eu estou errando mas tentei seguir os passos do funcionamento do Router (que faz isso de uma maneira muito mais fácil diga-se de passagem, mas preciso do ISA para cachê e Proxy).


    Se alguém tem política de acesso a extranet, intranet e publicação de site , por gentileza me de uma orientação.

    Pensei em deixar meu router  funcionando  juntamente com o Isa só por causa desse problema, mas para mim ainda não é bem claro como eu poderia fazer isso, como eu trabalharia os gateway de ambos e se haveria a necessidade de mudar o template de rede do ISA.

    Qualquer ajuda será bem vinda , tenho extrema urgência em deixar esse serviço no ar .

     

    Grato

     

    UVSANTO  

     


    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 04:33 (De:ISA Server 2004)
    quinta-feira, 6 de março de 2008 18:54

Respostas

  •  

    Desculpe a demora Vagner, sabe como é esta vida de TI rs 

     

    Quanto ao português, pode deixar  as vezes acontece rs

     

    nessa área tem  um pequeno arquivo (script) que redireciona a solicitação para a page no IIS.

    Para balanceamento de carga?? pq não NLB?

     

    = este site esta em outro servidor web atrás do ISA, é isso?
    R: Isso esse site está no meu servidor IIS, eu consegui publica-lo conferme as dicas que você me passou, mas acesso apenas pelo IP externo (Internet).
    Caso eu tente acessar pelo IP do servidor de WEB ele não entende.

     

    Se seu servidor web tem ip válido, esta na dmz e vc deseja publica-lo voce tem que no isa management habilitar a opção de route (ou seja escolher route em vez de nat) em <<networks>><< Perimeter acess>> <<network rules>>assim vc saíra do ISA com o ip de origem e não com o ip do isa

     

    se for é só publicar o segundo servidor web em que porta o seu site responde?

    R: meu site responde na porta 80 amigo, mas é assim quando eu digito o IP externo direto ele automaticamente solicita o serviço de chat (até por que elel não passa pelo redirect dp FTP).

    1. Acontece que no site do cliente tem um link para esse serviço de chat.
    2. Ao clicar no link a solicitação responde no arquivo redirect localizado na minha FTP da Locaweb.
    3. Esse arquivo rediceriona a solicitação para um dos IP ativos e manda para meu IIS.
    Hoje vou separar esses  arquivos nessa aréa FTP e vou publicar essa FTP também.

    A publicação do server IIS está assim hoje.

    From:
    Anywhere/external
    To: IP server IIS
    Traffic: HTTP
    Listener: Nome do servidor configurado no IIS
    Bridging: Porta HTTP 80
    Public Name: IP Externo ativo/IP do server IIS


     Bom é isso cara , aguardo anciosamente mais uma dica sua.



    Tenha uma grande semana



    Grato

     

    Acho que agora consegui entender rs..poste o resultado e boa sorte

    terça-feira, 18 de março de 2008 22:12

Todas as Respostas

  • Olá Vagner Tudo bom?

     

    Da uma olhada neste tutorial, veja se vc fez desta maneira:

    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=081

     

    Qualquer dúvida poste o resultado

     

    quinta-feira, 6 de março de 2008 19:44

  • Grande Marcio fiz assim , mas o unico detalhe que não vi e tenho duvida é:

    No endereço de publicação eu devo colorar o IP de internet ?
    Por o cliente entra no site frabricante , que tem um link que redireciona para  minha  page no IIS e o  IIS chama um arquivo FTP de redirecionamento de link  que chama o aplicativo de chat.

    O pior que no router ele só tem o IP publicado e nada mais....
    quinta-feira, 6 de março de 2008 20:21
  • Acabei postando duas vezes, desculpem

     

    Então Vagner no Campo internal site name voce coloca o nome pelo qual seu site é acessado internamente, ja em public name, o nome pelo qual ele responderá externamente, o endereço ip público voce só define no Web Listener como external.

     

    Agora uma dúvida este aplicativo de chat é acessado pela porta 80??

     

     

    quinta-feira, 6 de março de 2008 20:34
  •  Marcio Dearo wrote:

    Acabei postando duas vezes, desculpem

     

    Então Vagner no Campo internal site name voce coloca o nome pelo qual seu site é acessado internamente, ja em public name, o nome pelo qual ele responderá externamente, o endereço ip público voce só define no Web Listener como external.

     

    Agora uma dúvida este aplicativo de chat é acessado pela porta 80??

     

     



    Marcio

    Não deu certo amigo, quando faço o test externo ele pede autenticação de usuário.
    Como tem uma aréa FTP envolvida no processo , vou publicar e criar uma politica de liberação e torcer para dar certo.

    Puxa o roteador faz isso de uma forma tão simples cara....

    Grato no aguardo

    Tomaz
    sexta-feira, 7 de março de 2008 14:49
  •  

    Olá Tomaz, então vamos lá,

     

    A publicação então parece ter dado certo, o seu site permite acesso anonimo?? não esta habilitado windows autentication?

     

    a pagina que responde na porta 80 tem que responder não tem segredo, da uma olhada nos metodos de auteticação do site e do diretório virtual

     

    boa sorte

     

     

     

    sexta-feira, 7 de março de 2008 18:17
  •  Marcio Dearo wrote:

     

    Olá Tomaz, então vamos lá,

     

    A publicação então parece ter dado certo, o seu site permite acesso anonimo?? não esta habilitado windows autentication?

     

    a pagina que responde na porta 80 tem que responder não tem segredo, da uma olhada nos metodos de auteticação do site e do diretório virtual

     

    boa sorte

     

     

     



    Grande Marcio

    Segue abaixo as configurações que apliquei:


    Publicação


    Public: Name: (IP da Internet)



    From: Anywhere


    To: Serverchat


    Traffic: HTTP


    Listerner: Serverchat







    Acesso 1


    Protocolo: HTTP/HTTPS


    From: External


    To: Localhost


    Users: All Users







    Acesso 2


    Outbound
    Porta Tipo Padrão
    Protocolo: Tactium Chat 80 Primary TCP
    From: External


    To: Localhost


    Users: All Users







    Acesso 3


    Outbound
    Porta Tipo Padrão
    Protocolo: Tactium Chat 80 Primary TCP
    From: External


    To: Serverchat


    Users: All Users



    A publicação então parece ter dado certo, o seu site permite acesso anonimo??

    SIM PERMITE SIM COLEGA


    não esta habilitado windows autentication?

    SIM, EU FIZ O TESTE COM A OPÇÃO DESABILITADA TAMBÉM

     

    a pagina que responde na porta 80 tem que responder não tem segredo, da uma olhada nos metodos de auteticação do site e do diretório virtual

    VERIFICADO AMIGO TUDO OK, O NEGOCIO AQUI É BEM COMPLICADO ESTOU QUASE DESISTINDO...


    terça-feira, 11 de março de 2008 20:36
  • Algumas perguntas:

     

    O ISA esta atualizado com o último Service Pack?

     

    Me explique estas duas regras, principalmente os itens em negrito, por favor

     

    Acesso 2


    Outbound
    Porta Tipo Padrão
    Protocolo: Tactium Chat 80 Primary TCP
    From: External


    To: Localhost


    Users: All Users







    Acesso 3


    Outbound
    Porta Tipo Padrão
    Protocolo: Tactium Chat 80 Primary TCP
    From: External


    To: Serverchat


    Users: All Users
    quarta-feira, 12 de março de 2008 12:19
  •  Marcio Dearo wrote:

    Algumas perguntas:

     

    O ISA esta atualizado com o último Service Pack?

     

    Me explique estas duas regras, principalmente os itens em negrito, por favor

     

    Acesso 2


    Outbound
    Porta Tipo Padrão
    Protocolo: Tactium Chat 80 Primary TCP
    From: External


    To: Localhost


    Users: All Users







    Acesso 3


    Outbound
    Porta Tipo Padrão
    Protocolo: Tactium Chat 80 Primary TCP
    From: External


    To: Serverchat


    Users: All Users


    Grande Marcio, boa tarde.


    Vamos lá, tenho um servidor com WINDOWS SERVER 2003 R2 STANDARD EDITION – Em Português com SP2.

    Meu ISA SERVER 2004 está com o SP2 (vou instalar o SP3 hoje) e meu  GPMC é o 3.0 Versão 5.2R2.

     

    Vou explicar minha estrutura , hoje tenho um router/firewall da LINKSYS que faz toda a administração da minha rede, firewall e proxy.

    Tenho um serviço de chat corporativo para meus clientes, o serviço de chat fica em um servidor e as paginas em outro (No caso esse que nós estamos configurar), ambos tem o serviço de IIS habilitado.

     

    No meio desse caminho eu tenho uma área FTP na Locaweb onde lá possui um arquivo de redirecionamento.

     

    <!--[if !supportLists]-->1.       <!--[endif]-->Quando alguém (cliente) digita o menu do chat ou o IP direto, ele faz uma solicitação para o servidor das paginas.

    <!--[if !supportLists]-->2.       <!--[endif]-->Automaticamente a requisição é feita e encaminhada para esse arquivo na área FTP Externa que identifica o IP e encaminha para o servidor de serviço do Chat.

     

    Observação: No meu router Linksys eu só tenho o IP do serviço das paginas publicado no Range Forwarding Behind DMZ port e ele faz todo o serviço de boa, isso é como funciona hoje.

     

    Agora respondendo sua pergunta as configurações que fiz:

    Acesso 2  Outbound- Criei um novo protocolo onde minha porta 80 e Primaria e a porta 5400 da aplicação do Chat é a secundaria é dei o nome de TACTIUM CHAT, então criei a Rules liberando esse protocolo de fora (External) para meu localhost (Li aqui mesmo no fórum que muitos Rules apontado para o computador não estavam dando certo e o pessoal estava configurando como localhost para funcionar o IIS).  

    Acesso 3  Outbound- Em network  objetcs criei o computador que estão as paginas, depois criei a Rules na qual liberava o protocolo TACTIUM CHAT, From: External para o computador .

    Testei com as 2 habilitadas e desabilitando uma e habilitando a outra.

    Pensei em manter meu router por causa disso e mudar minha estrutura do ISA, mas não tenho a idéia de como fazer isso até o momento, minha idéia era deixar a internet chegando no ISA  e fazer uma rede DMZ com o router apontando para esse Server das paginas.

    Mas não posso porque essa estação que ficar no meu domínio por causa do serviço de tarifação do chat.

     

    Desde já agradeço seu auxilio e atenção comigo colega, muito obrigado mesmo.

     

    No Aguardo

     


    quarta-feira, 12 de março de 2008 16:59
  • Olá Vagner, estamos aqui para isso, fica tanquilo

     

    Vamos fazer um passo a passo para não comprometer sua estrutura funcional, precisamos inicialmente acessar a pagina inicial em html externamente na porta 80 e isso vc não esta conseguindo certo? após este acesso ser consumado devemos começar a ver o problema com a aplicação de chat tenho uma sugestão de procedimento

     

    1- Instalar o Service pack 3 do ISA (no changelog existem alguns updates relacionados a publicação de sites)

    2- Criar um site web com uma pagina html padrão de teste

    3- Testar e homologar este site web internamente (sem nenhum tipo de autenticação)

    4- Se certificar que o gateway desta maquina (IIS) esta apontando para o ISA server

    5- Criar a regra de publicação

    6- testar o acesso externo

     

    Devemos obter um  ok em cada um  dos passos, com esta regra funcionando basta replicar a regra para o seu site, se não funcionar é algo no iis pelo que entendi da sua estrutura.. 

     

    T+

    quarta-feira, 12 de março de 2008 17:26
  •  Marcio Dearo wrote:

    Olá Vagner, estamos aqui para isso, fica tanquilo

     

    Vamos fazer um passo a passo para não comprometer sua estrutura funcional, precisamos inicialmente acessar a pagina inicial em html externamente na porta 80 e isso vc não esta conseguindo certo? após este acesso ser consumado devemos começar a ver o problema com a aplicação de chat tenho uma sugestão de procedimento

     

    1- Instalar o Service pack 3 do ISA (no changelog existem alguns updates relacionados a publicação de sites)

    2- Criar um site web com uma pagina html padrão de teste

    3- Testar e homologar este site web internamente (sem nenhum tipo de autenticação)

    4- Se certificar que o gateway desta maquina (IIS) esta apontando para o ISA server

    5- Criar a regra de publicação

    6- testar o acesso externo

     

    Devemos obter um  ok em cada um  dos passos, com esta regra funcionando basta replicar a regra para o seu site, se não funcionar é algo no iis pelo que entendi da sua estrutura.. 

     

    T+



    Valeu mesmo cara, para piorar tudo o expediente da empresa é das 08:00 as 20:00 , meu horario é das 10:00 as 20:00 ou seja tenho poucas horas para trabalhas e testar o ambiente.

    Só uma coisa , o cliente quando coloca meu ip da internet no navegador, consegue acessa a pagina diretamente.
    Devido a esse detalhe na publicação no campo public name eu deixei configurado meu  ip da web, isso pode interferir  em alguma coisa?

    Valeu
    quarta-feira, 12 de março de 2008 19:28
  • Vagner voce tem host header configurado neste site?

    quarta-feira, 12 de março de 2008 19:51

  • Boa noite Marcião.

    Eu não tenho host header não amigo.
    Primeiramente gostaria de agradece-lo novamente, consegui o acesso externo meu amigo.
    Agora falta apenas o acesso pelo servidor.
    Atualizei o ISA SERVER  para o SP3 e coloquei o gateway di ISA nas estações.
    Por ultimo criei uma nova regra de externo com protocolo DNS,HTTP e HTTPS para local host e All Users, maravilha amigo!

    Hoje vou tentar o acesso interno, agora temos que desvendar o lance do  arquivo FTP.
    Estou motivado agora cara valeu!

    Outra  coisa, depois do SP3 eu perti o acesso a web pelo servidor do isa , por ele instalou um suplemento no IE chamado SEGURANÇA REFORÇADA DO IE, bloqueia tudo.
    Interessante esse recurso.


    quinta-feira, 13 de março de 2008 22:51
  • Que bom que começamos a evoluir Vagner,

     

    Primeiramente bom dia, então vc disse que

     

    Quando o cliente acessa a extranet o endereço redireciona o mesmo para uma área FTP em um provedor, nessa área tem  um pequeno arquivo (script) que redireciona a solicitação para a page no IIS.

     

    ok vamos por partes:

     

    o cliente acessa a extranet
    = ou seja o site que voce conseguiu publicar estou certo?

    ele reencaminha a solicitação para o FTP do provedor
    = não sei o porque... mas ok 

    nessa área tem  um pequeno arquivo (script) que redireciona a solicitação para a page no IIS.
    = este site esta em outro servidor web atrás do ISA, é isso?

     

    se for é só publicar o segundo servidor web em que porta o seu site responde?

     

     

     

     

     

    sexta-feira, 14 de março de 2008 12:41
  •  Marcio Dearo wrote:

    Que bom que começamos a evoluir Vagner,

     

    Primeiramente bom dia, então vc disse que

     

    Quando o cliente acessa a extranet o endereço redireciona o mesmo para uma área FTP em um provedor, nessa área tem  um pequeno arquivo (script) que redireciona a solicitação para a page no IIS.

               R:Isso mesmo colega, nesse script tem um if configurado para os 02 ip de internet que eu tenho (Speedy e Virtua).

    Vou criar uma pasta no FTP e vou criar 02 arquivos separados, o ip que estive em uso eu deixo na raiz.

    Vamos ver se pode dar xerto assim.

    ok vamos por partes:

     

    o cliente acessa a extranet
    = ou seja o site que voce conseguiu publicar estou certo?

    ele reencaminha a solicitação para o FTP do provedor
    = não sei o porque... mas ok 

    nessa área tem  um pequeno arquivo (script) que redireciona a solicitação para a page no IIS.
    = este site esta em outro servidor web atrás do ISA, é isso?
    R: Isso esse site está no meu servidor IIS, eu consegui publica-lo conferme as dicas que você me passou, mas acesso apenas pelo IP externo (Internet).
    Caso eu tente acessar pelo IP do servidor de WEB ele não entende.

     

    se for é só publicar o segundo servidor web em que porta o seu site responde?

    R: meu site responde na porta 80 amigo, mas é assim quando eu digito o IP externo direto ele automaticamente solicita o serviço de chat (até por que elel não passa pelo redirect dp FTP).

    1. Acontece que no site do cliente tem um link para esse serviço de chat.
    2. Ao clicar no link a solicitação responde no arquivo redirect localizado na minha FTP da Locaweb.
    3. Esse arquivo rediceriona a solicitação para um dos IP ativos e manda para meu IIS.
    Hoje vou separar esses  arquivos nessa aréa FTP e vou publicar essa FTP também.

    A publicação do server IIS está assim hoje.

    From:
    Anywhere/external
    To: IP server IIS
    Traffic: HTTP
    Listener: Nome do servidor configurado no IIS
    Bridging: Porta HTTP 80
    Public Name: IP Externo ativo/IP do server IIS


     Bom é isso cara , aguardo anciosamente mais uma dica sua.



    Tenha uma grande semana



    Grato



    UVSANTO

     

     

     




    segunda-feira, 17 de março de 2008 16:17
  • Desculpa os erros de português escrevi na presa, foi mal
    segunda-feira, 17 de março de 2008 16:21
  •  

    Desculpe a demora Vagner, sabe como é esta vida de TI rs 

     

    Quanto ao português, pode deixar  as vezes acontece rs

     

    nessa área tem  um pequeno arquivo (script) que redireciona a solicitação para a page no IIS.

    Para balanceamento de carga?? pq não NLB?

     

    = este site esta em outro servidor web atrás do ISA, é isso?
    R: Isso esse site está no meu servidor IIS, eu consegui publica-lo conferme as dicas que você me passou, mas acesso apenas pelo IP externo (Internet).
    Caso eu tente acessar pelo IP do servidor de WEB ele não entende.

     

    Se seu servidor web tem ip válido, esta na dmz e vc deseja publica-lo voce tem que no isa management habilitar a opção de route (ou seja escolher route em vez de nat) em <<networks>><< Perimeter acess>> <<network rules>>assim vc saíra do ISA com o ip de origem e não com o ip do isa

     

    se for é só publicar o segundo servidor web em que porta o seu site responde?

    R: meu site responde na porta 80 amigo, mas é assim quando eu digito o IP externo direto ele automaticamente solicita o serviço de chat (até por que elel não passa pelo redirect dp FTP).

    1. Acontece que no site do cliente tem um link para esse serviço de chat.
    2. Ao clicar no link a solicitação responde no arquivo redirect localizado na minha FTP da Locaweb.
    3. Esse arquivo rediceriona a solicitação para um dos IP ativos e manda para meu IIS.
    Hoje vou separar esses  arquivos nessa aréa FTP e vou publicar essa FTP também.

    A publicação do server IIS está assim hoje.

    From:
    Anywhere/external
    To: IP server IIS
    Traffic: HTTP
    Listener: Nome do servidor configurado no IIS
    Bridging: Porta HTTP 80
    Public Name: IP Externo ativo/IP do server IIS


     Bom é isso cara , aguardo anciosamente mais uma dica sua.



    Tenha uma grande semana



    Grato

     

    Acho que agora consegui entender rs..poste o resultado e boa sorte

    terça-feira, 18 de março de 2008 22:12
  • Marcio, boa noite

    Desculpe mas o que séria essa configuração NLB? Load Balance?
    Como que eu poderia configurar
    quarta-feira, 19 de março de 2008 22:02
  • Marcião, boa tarde.

    Cara valeu pela ajuda, realmente me ajudou muito na pubicação.
    Mas eu não vou consegui utiliza o Isa do jeito que eu gostaria.

    Vou dividir o roteamento e deixar algumas estações descobertas mesmo, vai ser o jeito.

    Se tiver algumas luz me de um alô amigo
    sexta-feira, 28 de março de 2008 18:43