none
Não acessa a Internet se o ISA não for um DNS Server. RRS feed

  • Pergunta

  •  

    Pessoal,

     

    A algum tempo atrás eu realizei uma mudança na minha estrutura, eu possuia 1 DC SBS2003 que estava dando muito problemas, então levantei outro DC 2003 64bit migrei tudo e despromvi o SBS2003.

     

    Com um outro servidor, montei o ISA, criei minhas regras ficou tudo blz, porém eu só acessava os sites por IP, como estava tudo na correria, montei também um servidor DNS na máquina que é o ISA e bum...a Internet funcionou por nomes.

     

    Meu problema é o seguinte:

     

    A Máquina do DC possui todas as configurações da minha Zona Interna e máquina do ISA eu apenas levantei um server DNS lá para funcionar.

    O problema é que acho que não existe necessidade de ter 2 dns internos, nem sei se é uma pratica recomendada.

     

    Eu gostaria de saber como eu faria para remover o DNS da máquina do ISA, mas que o meu DC resolvesse os nomes para internet.

     

    Obrigado.

    terça-feira, 13 de janeiro de 2009 12:33

Respostas

Todas as Respostas

  • Rodrigo, tudo bem ?

     

    Remova o DNS Server do ISA e no seu DNS Server Interno, na guia Encaminhadores, coloque o IP de um DNS Server Externo, por exemplo, o do provedor de serviço de Internet que você possui. Garanta que as estações estejam com DNS Client apontando para o DNS Server interno.

     

    Assim, quando os clientes internos tentarem acessar a Internet, estarão buscando resolução de nomes internamente. Caso ele tenha em cache, responderá. Caso não encaminha requisição para Internet.

    No ISA, você pode apontar o DNS da interface interna para o DNS Interno.

     

    Espero ter ajudado.

     

    Abraço

     

    terça-feira, 13 de janeiro de 2009 18:58
  • Rodrigo.

     

    Utilizar encaminhadores pode ajudar, mas se o seu ISA estiver configurado corretamente não existe necessidade.

    Verifique na sua placa de rede externa, se os DNS primarios e secundarios do seu provedor de internet estao configurados e corretos.

     

    No aguardo

     

    abraços

    quarta-feira, 14 de janeiro de 2009 02:03
    Moderador
  •  

    Luiz,

     

    As configurações estão corretas sim, porém os DNS primário e secundário cedidos pela Embratel ficam gerando os seguintes alertas no ISA 2006:

     

    Events that triggered the alert:

    12/1/2009 15:48:04 - ISA Server detected an all port scan attack from Internet Protocol (IP) address 200.255.255.66.

    12/1/2009 16:21:16 - ISA Server detected an all port scan attack from Internet Protocol (IP) address 200.255.255.70.

    13/1/2009 10:08:19 - ISA Server detected an all port scan attack from Internet Protocol (IP) address 200.255.255.66.

    13/1/2009 14:01:10 - ISA Server detected an all port scan attack from Internet Protocol (IP) address 200.255.255.70.

    13/1/2009 17:00:26 - ISA Server detected an all port scan attack from Internet Protocol (IP) address 200.255.255.66.

     

    200.255.255.66

    200.255.255.70

     

    São exatamente estes DNS.

     

    Este pode ser o problema?

     

    Qual seria a contra indicação de utilizar estes enchaminhadores sugeridos pelo amigo acima?

     

    Obrigado.

    quarta-feira, 14 de janeiro de 2009 08:01
  • Rodrigo,

     

    eu acho que o seu ISA esa bloqueando as consultas nesse DNS, pq ele esta sofrendo ataques.

    Vale uma ligada la para perguntar se existem outros DNS, ou até mesmo vc utilizar algum outro DNS de testes, por ex, telefonica, virtua...

     

    Não existe contra indicação porém quem se encarrega de resolver os endereços externos sao os DNS externos, passando apenas pelo ISA..

     

    Se quiser testar com o da telefonica 200.204.0.10 e 200.204.0.138

    virtua: 201.6.0.108 e 201.6.0.112

     

    abraços

    quarta-feira, 14 de janeiro de 2009 09:45
    Moderador
  • Vou testar estes DNS quando chegar ao trabalho.

     

    Então se eles funcionarem, eu posso desabilitar o serviço Servidor DNS que as máquinas navegaram normalmente?

     

    quarta-feira, 14 de janeiro de 2009 12:29
  • As estações deixe apenas o seu DNS interno...

     

    quarta-feira, 14 de janeiro de 2009 13:30
    Moderador
  •  

    Luiz,

     

    Mudei as configurações do DNS na placa externa do ISA para os DNS que vc me forneceu.

    Rodando o ISAbpa ele me dizia que os DNS fornecidos não estavão respondendo.

     

    Então pesquisando no forúm, li que se pode deixar o DNS da placa externa em branco, isto procede?

    Bom, fiz denovo o ISAbpa e ele me da o seguinte warning :

     

    Dns search order is blank

    The list of IP addresses of DNS servers that can be accessed by the local computer through the network adapter [00000001] Realtek RTL8169/8110 Family Gigabit Ethernet NIC is empty. ISA Server relies on DNS lookups to resolve the names of other servers. This warning can be ignored if a DNS server is specified on another network adapter.

     

    Mas a internet continua funcionando normalmente.

     

    Dei uma olhada no DNS no meu DC e nele está configurado um encaminhador para o IP interno do servidor ISA, isto pode ser o motivo da falha?

     

    Eu só queria poder apagar esse DNS do ISA...

     

    A outra coisa... ele também me gera esta outra mensagem:

     

    Events that triggered the alert:

    14/1/2009 06:08:44 - The connectivity verifier "Active Directory" reported an error when trying to connect to zeus.

    Reason: The request has timed out.

    The connectivity verifier "DNS Zeus" reported an error when trying to connect to zeus.

    Reason: The request has timed out.

     

    e aí??? Zeus é o meu DC e DNS interno.

     

    Abraços e muito obrigado pela ajuda.

    quinta-feira, 15 de janeiro de 2009 12:14
  •  

    Boa tarde Rodrigo,

     

    Bem, pelo que pude entender você agora possui um cenário composto de 2 servidores correto?

     

    1 - Domain Controller + DNS Server

    2 - ISA Server

     

    Bem, a configuração correta que você deve fazer para que a sua estrutura funcione corretamente a parte de resoluções de nomes é a seguinte:

     

    1 - Domain Controller + DNS Server

    • Manter o DNS instalado no servidor, pois com certeza é este DNS que contem todas as informações para o seu DC funcionar.

    • Apenas adicionar 3 forwarders na seguinte tela: Abra o DNS -> Clique com o botão direito em cima do seu servidor -> Propriedades -> Vá até a aba Forwarders -> na parte de baixo onde ele permite que você digite IP's, coloque os seguintes endereços já que você tem Embratel:

    200.255.255.66

    200.255.255.70

    200.255.255.65

    • Confira também se o Default Gateway desta máquina é o IP do ISA Server.

     

    2 - ISA Server

    • Remova o Servidor de DNS desta máquina.

    • Coloque nas suas Interfaces de rede (Rede Interna, Externa, etc...) o IP do seu Domain Controller como Servidor de DNS.

    • Crie uma regra de acesso (Access Rule) permitindo o tráfego de "DNS" do IP do seu Domain Controller para "External" (Internet).

    • Aplique a regra, aguarde cerca de 2 minutos e veja se está tudo funcionando corretamente.

     

    Porque este é o correto? Bem, até o ISA Server precisa consultar o DNS do seu Domain Controller para funcionar corretamente. (Autenticar usuários, permitir que você crie regras por nomes internos etc...)

    A melhor forma de fazer isso é fazendo o ISA e todos os seus servidores e estações fazerem requisições de DNS ao seu Domain Controller (centralização). E ele então se encarregar de consultar externamente quando não encontrar o registro internamente.

     

    Pode fazer que vai dar certo Wink

     

    E se ocorrer tudo OK, não se esqueça de marcar a solução como correta.

     

    Abraços,

     

    Anderson Ayres Bittencourt

    www.andersonayres.com.br

    quinta-feira, 15 de janeiro de 2009 12:15
  • Show cara.

     

    Acabei de notar que realmente no meu ISA a regra de DNS estava Internal to Localhost.

     

    Eu adicionei o seguinte.

     

    Zeus to external

    internal to zeus

     

    Está correto?

     

    Já adicionei os forwarders no DNS do DC, então já posso remover o DNS do servidor ISA?

     

    quinta-feira, 15 de janeiro de 2009 12:36
  • Confira as partes que citei do Default Gateway e do DNS das interfaces do ISA.

     

    E sobra a regra, bem, você criou 2 correto?

     

    1 - Zeus to External - Protocol DNS - ALLOW

    2 - Internal to Zeus - Protocol DNS  - ALLOW

     

    a 2 está errada.

    Como se trata da sua rede interna. Melhor você criar uma:

    2 - Internal + localhost to Internal + localhost - All Protocol - ALLOW (Libera tudo para tudo internamente, inclusive o trafego DNS para o Zeus e as consultas do seu ISA para o Zeus também. Pois ele é o "localhost" na regra do ISA) (Certo? Em Souce coloca Internal e localhost e em Destination Internal e Localhost tb.)

     

    Depois disso desative primeiro o servico de DNS no servidor do ISA.

    Tudo funcionando corretamente aí você pode remover.

     

    Abraços,

     

    Anderson Ayres Bittencourt

    www.andersonayres.com.br

    quinta-feira, 15 de janeiro de 2009 12:48
  • E aí? Conseguiu colocar tudo no ar com as informações?

    Me dê um toque quando conseguir.

     

    Um abraço,

     

    Anderson Ayres Bittencourt

    www.andersonayres.com.br

    quinta-feira, 15 de janeiro de 2009 13:20
  • Acabei de desabilitar o Servidor DNS em serviços.

    Aparentemente está tudo show de bola.

     

    Muito obrigado a todos, vou classificar o tópico!!!

     

    quinta-feira, 15 de janeiro de 2009 13:33