Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Fragmentacion paquetes DNS en ISA

23/02/2005 - 17:26 por rafa | Informe spam
Ayuda Hacer una pregunta
Es posible que haya que habilitar la fragmentacion de paquetes si tienes
demasiadas advertencias en el visor de eventos de 5501????

He mirado http://support.microsoft.com/defaul...-us;198757
y dice que windows 2000 se comporta correctamente pero me para el visor de
sucesos y me para tambien cuando le apetece el servidor de seguridad del ISA
y eso que solo lleva desde esta mañana arrancado.

No entiendo nada


Saludos y gracias por las respuestas
email Siga el debateRespuesta 1 respuestaRespuesta Tengo una respuesta
DRAGON AGE™: INQUISITION – Matadragones
 

Leer las respuestas

#1 Ivan [MS MVP]
23/02/2005 - 18:19 | Informe spam
Habilitar el filtrado de fragmentos IP, es una medida de proteccion
adicional que es muy interesante habilitarla siempre que sea posible. Si no
utilizas conexiones VPN L2TP/IPSec con certificados digitales y no te
conectas a sitios que utilicen protocolos de streaming, yo lo habilitaria.
Independientemente del filtrado, una query DNS, por defecto, tienen un
tamaño de 512 bytes. Si necesita de un tamaño mayor, es cuando en el
datagrama se indica poniendo a 1 el "truncation bit".
En tu caso particular, hay que determinar muchas cosas: desde donde se
origina el trafico ? es una respuesta de un servidor de internet a alguna
query DNS de un cliente interno ? si se produce con cierta frecuencia,
porque no utilizas un sniffer y analizas el trafico DNS. Tambien intenta
detectar en los logs quien origina ese trafico.
Estas publicando un servidor DNS y una query puede devolver muchas
direcciones IPs que hacen que esos 512 bytes sean insuficientes ?
Son querys de cleintes internos al propio servidor DNS instalado en el ISA ?

Cuando dices "para el visor de sucesos", a que te refieres esactamente ? a
que hay montones de eventos de ese estilo ? bueno, trantandose de un DC (que
es lo que creo), quizas necesites deshabilitar el filtrado de fragmentos, ya
que, incluso puedes (que no digo que sea tu caso) tener problemas de
fragmentacion UDP en datagramas kerberos y las unicas alternativas serian
forzar TCP con kerberos o deshabilitar el filtrado de fragmentos.
Instalar ISA es un DC, no es desde luego la mejor alternativa, si no queda
mas remedio, perfecto, no hay mas que decir..

Un saludo.
Ivan
MS MVP ISA Server


"rafa" escribió en el mensaje
news:
Es posible que haya que habilitar la fragmentacion de paquetes si tienes
demasiadas advertencias en el visor de eventos de 5501????

He mirado http://support.microsoft.com/defaul...-us;198757
y dice que windows 2000 se comporta correctamente pero me para el visor de
sucesos y me para tambien cuando le apetece el servidor de seguridad del
ISA y eso que solo lleva desde esta mañana arrancado.

No entiendo nada


Saludos y gracias por las respuestas

Preguntas similares

 

Busqueda sugerida :