none
Configurando ISA automatico nos clientes RRS feed

  • Pergunta

  • Pessoal, gostaria de estar configurando o ISA para que eu nao precisa-se utilizar nenhum software nos clientes e tambem q somente usuarios do dominio consegui-se acesso, eu lembro q uma empresa q eu trabalhava (eu nao mexia com ISA nesta empresa) era feito desta forma, mesmo sem firewall client instalado, uma maquina q acabou de ter o windows instalado, quando voce tenta-se acessar a internet e como neste caso a maquina nem estava no dominio ainda ele solicita um usuario e senha, informando o usuario e senha voce tinha acesso a internet, e isso sem precisar fazer nada, apenas estava configurado o IE para detectar automaticamente um proxy, gostaria de estar fazendo a mesmo coisa aqui mas nao estou conseguindo. li em alguns artigo q deveria configurar um alias wpad apontando para o servidor ISA, fiz isso mas nao funcionou, o mais engraçado e q se eu tentar pingar o wpad ele nao resolve nome, a principio achei q poderia ser um problema no DNS mas todos os nomes ele resolve (tenho 2 DNS server na rede) menos esse, eu resolvi mudar o host do wpad para outra maquina somente para testar, entao ele pingou, ou seja, ele so nao esta resolvendo nome quando eu aponto o alias wpad para o servidor isa, o q poderia ser, eu liberei todo acesso interno para o servidor isa inclusive quando eu pingo o servidor isa ele me retorno normalmente. será q pode ser isso o problema de nao detactar automaticamente o proxy?

    So pra completar mais as informacoes eu testei em uma maquina o firewall client para ver se com ele, funciona a detecção automatica, mas nem com ele funciona e eu configurei no ISA o autodiscovery e nao tem jeito. a unica coisa q nao mexi foi no DHCP, mas acho q nao é necessario, ou eu tenho q mexer no gateway? o gateway esta para um roteador.
    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 01:12 (De:ISA Server 2004)
    segunda-feira, 28 de setembro de 2009 15:45

Respostas

  • Marcel,

    Vamos la, você mesmo respondeu sua pergunta, para que a configuração seja detectada automaticamente você precisa do WPAD (http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=12), ou então se preferir você pode configurar uma GPO que configura o proxu no IE e bloqueia a alteração do mesmo, porém para maquinas fora do dominio vc deverpá configurar o proxy na mão. Acredito que no seu caso o WPAD seja a melhor solução.

    Você provavelmente não conseguiu pingar o WPAD pq no seu ISA server deve estar bloqueado o protocolo ICMP que é o de ping, se vc nao criar uma regra liberando ping interno quanto externo não irá conseguir tal checagem.

    De uma olhada no meu artigo sobre a configuração do WPAD, tem que funcionar, não tem segredo.

    Sobre somente usuários autenticados sairem para a internet, isso é bem facil , no momento da criação da sua regra de liberação do HTTP e HTTPS, na guia de usuários, remova o ALL USERS e coloque USUARIOS AUTENTICADOS..isso força o ISA a exigir uma credencial para poder liberar o acesso à internet, e também o proxy SEMPRE configurado nos navegadores, seja manualmente, seja via GPO ou WPAD, mas a config deverá existir ok?

    qualquer duvida post novamente.

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 28 de setembro de 2009 17:39
    Moderador
  • Luiz, descobri o que é, realmente existe essa list, ai encontrei um comando que resolve isso...

    dnscmd <IP ou NOME do servidor DNS> /config /enableglobalqueryblocklist 0 - no final pode ser 0 ou 1, 0 desabilita e 1 habilita a lista.

    porem essa lista é importante pois caso alguem mau intencionado entre na rede com uma maquina com nome wpad ele pode direcionar todas o trafego para a maquina dele e ai ele pode fazer qualquer coisa entao por isso existe a lista... Tem um comando para atualizar a lista ao inves de desabilitar apenas entao pode ser melhor porque ai voce so tira o wpad, apesar q so tem mais outro na lista q nao sei o q ele faz...

    Bom pelomenos esse topico vai servir pra quem tiver este problema como eu e nao sabia da lista.
    para mais informacoes dessa lista vejam aqui http://technet.microsoft.com/pt-br/library/cc816908(WS.10).aspx

    Abraço e obrigado a todos q me ajudaram...
    • Marcado como Resposta Marcel Cunha sábado, 3 de outubro de 2009 18:04
    sábado, 3 de outubro de 2009 18:04

Todas as Respostas

  • Marcel,

    Vamos la, você mesmo respondeu sua pergunta, para que a configuração seja detectada automaticamente você precisa do WPAD (http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=12), ou então se preferir você pode configurar uma GPO que configura o proxu no IE e bloqueia a alteração do mesmo, porém para maquinas fora do dominio vc deverpá configurar o proxy na mão. Acredito que no seu caso o WPAD seja a melhor solução.

    Você provavelmente não conseguiu pingar o WPAD pq no seu ISA server deve estar bloqueado o protocolo ICMP que é o de ping, se vc nao criar uma regra liberando ping interno quanto externo não irá conseguir tal checagem.

    De uma olhada no meu artigo sobre a configuração do WPAD, tem que funcionar, não tem segredo.

    Sobre somente usuários autenticados sairem para a internet, isso é bem facil , no momento da criação da sua regra de liberação do HTTP e HTTPS, na guia de usuários, remova o ALL USERS e coloque USUARIOS AUTENTICADOS..isso força o ISA a exigir uma credencial para poder liberar o acesso à internet, e também o proxy SEMPRE configurado nos navegadores, seja manualmente, seja via GPO ou WPAD, mas a config deverá existir ok?

    qualquer duvida post novamente.

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 28 de setembro de 2009 17:39
    Moderador
  • Luiz,

    Eu fiz todos os procedimentos do site q voce passou, esta tudo ok mas mesmo assim nao funciona... eu configurei na GPO o proxy e quem esta no dominio esta funcionando perfeitamente, mas quem nao esta nao, tem q colocar na mao, no firewall client tb nao funciona... eu acho q tem alguma regra q eu tenho q habilitar no ISA, eu liberei todo o trafego interno para interno para todos os usuarios autenticados e mesmo assim nada... quando eu falei q nao estava pingando nao era porque eu nao tinha liberato o protocolo ICMP, eu habilitei sim, tanto é q se eu pingar o nome do servidor ele me responde normalmente a questão do WPAD é q ele nao esta resolvendo este nome, se voce coloca nslookup e tenta resolver WPAD ele nao encontra, mas esta nos 2 servidores DNS e nao tem nada de errado com esses servidores, como eu falei eu criei um CNAME para outro servidor e funciona, quando eu crio um CNAME (qualquer nome) para o servidor do ISA ele nao resolve nome para esse CNAME... o q pode ser? eu to achando q é necessario liberar alguma coisa q nao estou sabendo o q é, talvez referente ao DNS, talvez o servidor DNS esta sendo barrado quando ele tenta verificar o servidor, mas se esta ja configurado o cname pra aquele servidor ele nao deveria pelomenos resolver o nome...

    Bom, eu sei la o q pode ser, alguem teria ai as regras necessarias para q a rede interna funcione corretamente sem o isa bloquear nada e talvez nesta regra ja funcione o wpad?
    terça-feira, 29 de setembro de 2009 21:19
  • Marcel,

    Nao precisa de nada mais doque eu publiquei no tutorial.
    Esta muito estranho, ele deveria responder esse ping pelo WPAD.
    Vc ja tentou monitorar no ISA no momento desse ping para verificar oque acontece?

    No aguardo

    abraço
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 30 de setembro de 2009 03:07
    Moderador
  • Luiz, olha so...

    eu montei um ambiente virtual usando o Virtual PC e instalei um ambiente completo, um DC, um ISA e um client com Winxp, eu instalei tudo corretamente neste ambiente tb, praticamente a mesma coisa q estou usando no ambiente de producao e neste ambiente tb eu nao estou conseguindo pingar o wpad. no ISA ele me mostra varios Denied mas nada relacionado a DNS, tanto q eu consigo pingar o IP do ISA mas nao funciona com o CNAME WPAD... vou colocar aqui o q esta escrito no logging do ISA

    Denied Connection
    Logtype: Firewall service
    Status: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer.
    Rule:
    Source: External (65.54.95.29:80)
    Destination:External (192.168.1.50:1215)
    Protocol:Unidentified IP Traffic (TCP:1215)
    User:
    -Additional information
        Number of bytes sent:0 Number of byte received:0
        Processing time: 0ms Original Client IP:65.54.95.29
        Client agent:

    Nao sei se isso ajuda, essa mensagem acima tem um monte igual, a diferenca entre elas é a porta 1215 q muda pra 1200 e por ai...
    eu criei uma regra neste ambiente liberando todo o acesso de Localhost para a rede interna de todos protocolos e de toda a rede interna para o localhost, todos os protocolos, claro q isso apenas neste ambiente q é de teste, mas mesmo assim nao tem jeito, tudo funciona menos o ping no wpad...

    Ah, tem uma coisa tb, eu coloquei o cname wpad para outro servidor e tb nao pingou, agora eu nao sei se foi porque ele ja estava pro servidor ISA e ai ja ficou bloqueado sei la, ai eu criei um cname com nome teste para o servidor ISA e ai ele pingou, ou seja, pode ser alguma coisa nesse wpad, o nome wpad nao pode ser bloqueado de alguma forma no ISA? eu nao sei mais o q fazer!!!

    Bom conforme eu fui escrevendo isso aqui eu fui fazendo testes para ir escrevendo, olha so o q vi agora, eu desliguei o servidor ISA e reiniciei o servidor DNS e client... ai depois de tudo subir menos o ISA eu tentei pingar o wpad apontando para o proprio servidor DC ao inves do ISA e ele tb nao pingou... agora ficou mais estranho ainda, o ISA nao esta online ou seja, nao esta bloqueando, o servidor DNS esta ok porque criei outros CNAME como teste e ele pinga... e agora? criei um host (a) para o wpad com o ip do DC e nem assim...
    sexta-feira, 2 de outubro de 2009 01:05
  • Tu criou todo aquele lance dentro do DHCP?
    Colocou o endereço correto la com porta e tudo?

    Cara essel log ai diz external...sendo que seu ping veio de internal nao?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 2 de outubro de 2009 03:40
    Moderador
  • Entao luiz,

    quando ao external foi um erro, quando eu montei o ISA eu estava usando um IP e depois tive q mudar ai esqueci de mexer no range do ip interno mas ja arrumei isso e continua dando erro...

    de qualquer forma parece q agora nao é um problema do ISA neh, porque no meu ultimo teste voce viu q eu desliguei o ISA e mesmo assim ele nao esta resolvendo o nome WPAD? e eu coloquei o CNAME dele para outro IP, pro IP do DC e nao pinga... nao existe alguma coisa no servidor de DNS q barra esse WPAD? muito estranho... so pode ser DNS agora...
    sexta-feira, 2 de outubro de 2009 18:12
  • Marcel,

    Não deveria existir nada de bloqueio...
    Se vc criou tudo no DHCP corretamente, colocou o endereço certo, com a porta tudo bonitinho, tem que funcionar.

    Mto estranho...

    Ele nao registra nenhum erro em lugar algum?

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sábado, 3 de outubro de 2009 03:04
    Moderador
  • Luiz, eu acabei nem olhando o event view e olhando agora veja abaixo uma mensagem de erro q fala diretamente do nosso host:


    The global query block list is a feature that prevents attacks on your network by  blocking DNS queries for specific host names. This feature has caused the DNS server to fail a query with error code NAME ERROR for wpad.ibesp.loc. even though data for  this DNS name exists in the DNS database. Other queries in all locally  authoritative zones for other names that begin with labels in the block list  will also fail, but no event will be logged when further queries are blocked until the DNS server service on this computer is restarted. See product documentation for information about this feature and instructions on how to configure it.
     
    Below is the current global query block list  (this list may be truncated in this event if it is too long):
    wpad
    isatap.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    Pelo que eu entendi tem uma lista que bloqueia alguns DNS Name e tem o wpad e esse isatap... mas e ai? isso é normal... nos 2 ambientes q estou usando esta dando exatamente o mesmo erro...

    sábado, 3 de outubro de 2009 17:18
  • Luiz, descobri o que é, realmente existe essa list, ai encontrei um comando que resolve isso...

    dnscmd <IP ou NOME do servidor DNS> /config /enableglobalqueryblocklist 0 - no final pode ser 0 ou 1, 0 desabilita e 1 habilita a lista.

    porem essa lista é importante pois caso alguem mau intencionado entre na rede com uma maquina com nome wpad ele pode direcionar todas o trafego para a maquina dele e ai ele pode fazer qualquer coisa entao por isso existe a lista... Tem um comando para atualizar a lista ao inves de desabilitar apenas entao pode ser melhor porque ai voce so tira o wpad, apesar q so tem mais outro na lista q nao sei o q ele faz...

    Bom pelomenos esse topico vai servir pra quem tiver este problema como eu e nao sabia da lista.
    para mais informacoes dessa lista vejam aqui http://technet.microsoft.com/pt-br/library/cc816908(WS.10).aspx

    Abraço e obrigado a todos q me ajudaram...
    • Marcado como Resposta Marcel Cunha sábado, 3 de outubro de 2009 18:04
    sábado, 3 de outubro de 2009 18:04
  • é isso ai quando precisar é só falar.

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sábado, 3 de outubro de 2009 20:40
    Moderador