Bom dia Andrew!
Cara, deixa eu explicar o porque desta config.
Temos muitos sites e aplicações que devem ser resolvidos para o DNS interno, por exemplo webmail. O principal motivo desta configuração é redução de processamento de banda no ASA. Temos vários túneis
VPN (IPSec, este seria o motivo de não ter o ISA como Firewall de fronteira) com outros locais e também com o Data Center que seria nosso caso crítico de consumo de banda e processamento. Por isso fizemos este tipo de configuração
onde o que puder não passar pelo router é interessantíssimo.
Ao colocar na ETH1 um DNS público, como citado, máquinas com o cliente proxy (ISA Client) irão resolver para o IP comercial do nome solicitado. Até pelo o que sei, máquinas com ISA Client instalado, quem resolve nome seria
o proxy, no caso o ISA.
Como temos no regras que negam este tipo de acesso para o ip comercial de uma aplicação que está na LAN, já não haveria acesso. Agora imagine todos passando pelo router para sair e depois entrar no router (acredito que
seria este o caminho).
É um pouco complicado de falar, pois temos muitas ferramentas, aplicações, SIP, enfim que justificam o motivo desta configuração.
O que acho estranho é quem em outra filial, temos outro ISA com as mesmas característica deste. Da mesma forma de configuração de interface de rede e também de regras, porém não ocorre este fato de limitar
em mais de 50% de banda.
Acredito que tenha ficado claro Andrew e obrigado pela ajuda.
Um abraço!
