Lentitud al utilizar Reglas de redireccion.

Buenos días.
Nos hemos encontrado desde hace algunos días con un problema.
Tenemos ISA 2000 en maquinas win2000 Server enterprise.
Tenemos creados 3 arrays dentro del enterprise de Isa.
Tenemos creado 2 de producción y 1 de preproducción.
Tengo creados unos destination sets con unas direcciones para denegar o
permitir, dependiendo sea el caso.
En protocol Rules, tengo creados unos para dar permisos a distintos tipos de
protocolos y a unos usuarios concretos.
En Site and content rules tengo creadas unas reglas que se utilizan junto
con los destination sets para permitir o denegar, dependiendo donde quiero
que accedan los usuarios.

Mi problema es el siguiente.
Si en el cliente tenemos configurado el navegador (IE) con el array
correspondiente de ISA, funcionan todas las páginas y las restricciones que
le hemos puesto.
Pero a la hora de utilizar el firewall client (solo el, sin la configuración
del navegando) algunas paginas tardan en responder, al final entran pero con
un retraso.
Si quitamos las direcciones dentro del destination set que hemos creado,
funcionan perfectamente, si ponemos direcciones IP, en vez de direcciones
completas, funcionan perfectamente.
Creemos que puede ser un problema con la resolución inversa del DNS al
utilizar el firewall client en algunas páginas.
Mi pregunta es:
Como puedo configurar en el Isa Server que no haga la resolución inversa a
la hora de utilizar el firewall client ¿?.
Con esto creo que se solucionaría el problema, pero si conocéis que pueda
ser otro el problema os agradecería que me lo comentarais.

No tenemos problema de probar, ya que tenemos un entorno de preproducción.
Jose Luis

SALU2

Hola Jose Luis,
Los usuarios se cocectan a esos sitios utilizando en la URL nombres DNS o IPs? si serian IPs podria entenderlo, pero afectaria por igual a los clientes web proxy y firewall... De todas formas, has podido verificar mediante nslookup que no hay zona inversa para esos sitios ?
Puedes decirnos alguna pagina en la que se presente este problema ?
La resolucion DNS para las reglas de acceso se puede deshabilitar, al menos para la version standar hay un articulo que indica como hacerlo, pero, esta indicada en un escenario distinto:
http://support.microsoft.com/kb/292018/en-us
En tu escenario, no creo que sea una buena medida.

Un saludo.
Ivan
MS MVP ISA Server


"JRincon" escribió en el mensaje news:
> Buenos días.
> Nos hemos encontrado desde hace algunos días con un problema.
> Tenemos ISA 2000 en maquinas win2000 Server enterprise.
> Tenemos creados 3 arrays dentro del enterprise de Isa.
> Tenemos creado 2 de producción y 1 de preproducción.
> Tengo creados unos destination sets con unas direcciones para denegar o
> permitir, dependiendo sea el caso.
> En protocol Rules, tengo creados unos para dar permisos a distintos tipos de
> protocolos y a unos usuarios concretos.
> En Site and content rules tengo creadas unas reglas que se utilizan junto
> con los destination sets para permitir o denegar, dependiendo donde quiero
> que accedan los usuarios.
>
> Mi problema es el siguiente.
> Si en el cliente tenemos configurado el navegador (IE) con el array
> correspondiente de ISA, funcionan todas las páginas y las restricciones que
> le hemos puesto.
> Pero a la hora de utilizar el firewall client (solo el, sin la configuración
> del navegando) algunas paginas tardan en responder, al final entran pero con
> un retraso.
> Si quitamos las direcciones dentro del destination set que hemos creado,
> funcionan perfectamente, si ponemos direcciones IP, en vez de direcciones
> completas, funcionan perfectamente.
> Creemos que puede ser un problema con la resolución inversa del DNS al
> utilizar el firewall client en algunas páginas.
> Mi pregunta es:
> Como puedo configurar en el Isa Server que no haga la resolución inversa a
> la hora de utilizar el firewall client ¿?.
> Con esto creo que se solucionaría el problema, pero si conocéis que pueda
> ser otro el problema os agradecería que me lo comentarais.
>
> No tenemos problema de probar, ya que tenemos un entorno de preproducción.
> Jose Luis
>
> SALU2

Hola Iva.
Los usuarios utilizan nombres DNS.
Hemos verificado que esos sitios no tienen resolucion inversa.
Uno de ellos, es www.google.com
http://www.euroleague.net/
Estamos en punto muerto, no sabemos por donde tirar, ya que si quitamos
las
reglas va todo bien, y si las ponemos va mal.
Muchas gracias
"Ivan [MS MVP]" wrote:

Hola Jose Luis,
Los usuarios se cocectan a esos sitios utilizando en la URL nombres DNS o
IPs? si serian IPs podria entenderlo, pero afectaria por igual a los
clientes web proxy y firewall... De todas formas, has podido verificar
mediante nslookup que no hay zona inversa para esos sitios ?
Puedes decirnos alguna pagina en la que se presente este problema ?
La resolucion DNS para las reglas de acceso se puede deshabilitar, al
menos para la version standar hay un articulo que indica como hacerlo,
pero, esta indicada en un escenario distinto:
http://support.microsoft.com/kb/292018/en-us
En tu escenario, no creo que sea una buena medida.

Un saludo.
Ivan
MS MVP ISA Server


"JRincon" escribió en el mensaje
news:
> Buenos días.
> Nos hemos encontrado desde hace algunos días con un problema.
> Tenemos ISA 2000 en maquinas win2000 Server enterprise.
> Tenemos creados 3 arrays dentro del enterprise de Isa.
> Tenemos creado 2 de producción y 1 de preproducción.
> Tengo creados unos destination sets con unas direcciones para denegar o
> permitir, dependiendo sea el caso.
> En protocol Rules, tengo creados unos para dar permisos a distintos
> tipos de
> protocolos y a unos usuarios concretos.
> En Site and content rules tengo creadas unas reglas que se utilizan
> junto
> con los destination sets para permitir o denegar, dependiendo donde
> quiero
> que accedan los usuarios.
>
> Mi problema es el siguiente.
> Si en el cliente tenemos configurado el navegador (IE) con el array
> correspondiente de ISA, funcionan todas las páginas y las restricciones
> que
> le hemos puesto.
> Pero a la hora de utilizar el firewall client (solo el, sin la
> configuración
> del navegando) algunas paginas tardan en responder, al final entran
> pero con
> un retraso.
> Si quitamos las direcciones dentro del destination set que hemos
> creado,
> funcionan perfectamente, si ponemos direcciones IP, en vez de
> direcciones
> completas, funcionan perfectamente.
> Creemos que puede ser un problema con la resolución inversa del DNS al
> utilizar el firewall client en algunas páginas.
> Mi pregunta es:
> Como puedo configurar en el Isa Server que no haga la resolución
> inversa a
> la hora de utilizar el firewall client ¿?.
> Con esto creo que se solucionaría el problema, pero si conocéis que
> pueda
> ser otro el problema os agradecería que me lo comentarais.
>
> No tenemos problema de probar, ya que tenemos un entorno de
> preproducción.
> Jose Luis
>
> SALU2

En los ISA, en el interface externo, no estaran configurados los DNS del ISP
?

Un saludo.
Ivan
MS MVP ISA Server


"JRincon" escribió en el mensaje
news:
> Hola Iva.
> Los usuarios utilizan nombres DNS.
> Hemos verificado que esos sitios no tienen resolucion inversa.
> Uno de ellos, es www.google.com
> http://www.euroleague.net/
> Estamos en punto muerto, no sabemos por donde tirar, ya que si quitamos
> las
> reglas va todo bien, y si las ponemos va mal.
> Muchas gracias
> "Ivan [MS MVP]" wrote:
>
>> Hola Jose Luis,
>> Los usuarios se cocectan a esos sitios utilizando en la URL nombres DNS o
>> IPs? si serian IPs podria entenderlo, pero afectaria por igual a los
>> clientes web proxy y firewall... De todas formas, has podido verificar
>> mediante nslookup que no hay zona inversa para esos sitios ?
>> Puedes decirnos alguna pagina en la que se presente este problema ?
>> La resolucion DNS para las reglas de acceso se puede deshabilitar, al
>> menos para la version standar hay un articulo que indica como hacerlo,
>> pero, esta indicada en un escenario distinto:
>> http://support.microsoft.com/kb/292018/en-us
>> En tu escenario, no creo que sea una buena medida.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JRincon" escribió en el mensaje
>> news:
>> > Buenos días.
>> > Nos hemos encontrado desde hace algunos días con un problema.
>> > Tenemos ISA 2000 en maquinas win2000 Server enterprise.
>> > Tenemos creados 3 arrays dentro del enterprise de Isa.
>> > Tenemos creado 2 de producción y 1 de preproducción.
>> > Tengo creados unos destination sets con unas direcciones para denegar o
>> > permitir, dependiendo sea el caso.
>> > En protocol Rules, tengo creados unos para dar permisos a distintos
>> > tipos de
>> > protocolos y a unos usuarios concretos.
>> > En Site and content rules tengo creadas unas reglas que se utilizan
>> > junto
>> > con los destination sets para permitir o denegar, dependiendo donde
>> > quiero
>> > que accedan los usuarios.
>> >
>> > Mi problema es el siguiente.
>> > Si en el cliente tenemos configurado el navegador (IE) con el array
>> > correspondiente de ISA, funcionan todas las páginas y las restricciones
>> > que
>> > le hemos puesto.
>> > Pero a la hora de utilizar el firewall client (solo el, sin la
>> > configuración
>> > del navegando) algunas paginas tardan en responder, al final entran
>> > pero con
>> > un retraso.
>> > Si quitamos las direcciones dentro del destination set que hemos
>> > creado,
>> > funcionan perfectamente, si ponemos direcciones IP, en vez de
>> > direcciones
>> > completas, funcionan perfectamente.
>> > Creemos que puede ser un problema con la resolución inversa del DNS al
>> > utilizar el firewall client en algunas páginas.
>> > Mi pregunta es:
>> > Como puedo configurar en el Isa Server que no haga la resolución
>> > inversa a
>> > la hora de utilizar el firewall client ¿?.
>> > Con esto creo que se solucionaría el problema, pero si conocéis que
>> > pueda
>> > ser otro el problema os agradecería que me lo comentarais.
>> >
>> > No tenemos problema de probar, ya que tenemos un entorno de
>> > preproducción.
>> > Jose Luis
>> >
>> > SALU2
>>

No, no esta configurado ningun DNS.
Por eso nos extraña...

"Ivan [MS MVP]" wrote:

En los ISA, en el interface externo, no estaran configurados los DNS del
ISP
?

Un saludo.
Ivan
MS MVP ISA Server


"JRincon" escribió en el mensaje
news:
> Hola Iva.
> Los usuarios utilizan nombres DNS.
> Hemos verificado que esos sitios no tienen resolucion inversa.
> Uno de ellos, es www.google.com
> http://www.euroleague.net/
> Estamos en punto muerto, no sabemos por donde tirar, ya que si quitamos
> las
> reglas va todo bien, y si las ponemos va mal.
> Muchas gracias
> "Ivan [MS MVP]" wrote:
>
>> Hola Jose Luis,
>> Los usuarios se cocectan a esos sitios utilizando en la URL nombres
>> DNS o
>> IPs? si serian IPs podria entenderlo, pero afectaria por igual a los
>> clientes web proxy y firewall... De todas formas, has podido verificar
>> mediante nslookup que no hay zona inversa para esos sitios ?
>> Puedes decirnos alguna pagina en la que se presente este problema ?
>> La resolucion DNS para las reglas de acceso se puede deshabilitar, al
>> menos para la version standar hay un articulo que indica como hacerlo,
>> pero, esta indicada en un escenario distinto:
>> http://support.microsoft.com/kb/292018/en-us
>> En tu escenario, no creo que sea una buena medida.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JRincon" escribió en el mensaje
>> news:
>> > Buenos días.
>> > Nos hemos encontrado desde hace algunos días con un problema.
>> > Tenemos ISA 2000 en maquinas win2000 Server enterprise.
>> > Tenemos creados 3 arrays dentro del enterprise de Isa.
>> > Tenemos creado 2 de producción y 1 de preproducción.
>> > Tengo creados unos destination sets con unas direcciones para
>> > denegar o
>> > permitir, dependiendo sea el caso.
>> > En protocol Rules, tengo creados unos para dar permisos a distintos
>> > tipos de
>> > protocolos y a unos usuarios concretos.
>> > En Site and content rules tengo creadas unas reglas que se utilizan
>> > junto
>> > con los destination sets para permitir o denegar, dependiendo donde
>> > quiero
>> > que accedan los usuarios.
>> >
>> > Mi problema es el siguiente.
>> > Si en el cliente tenemos configurado el navegador (IE) con el array
>> > correspondiente de ISA, funcionan todas las páginas y las
>> > restricciones
>> > que
>> > le hemos puesto.
>> > Pero a la hora de utilizar el firewall client (solo el, sin la
>> > configuración
>> > del navegando) algunas paginas tardan en responder, al final entran
>> > pero con
>> > un retraso.
>> > Si quitamos las direcciones dentro del destination set que hemos
>> > creado,
>> > funcionan perfectamente, si ponemos direcciones IP, en vez de
>> > direcciones
>> > completas, funcionan perfectamente.
>> > Creemos que puede ser un problema con la resolución inversa del DNS
>> > al
>> > utilizar el firewall client en algunas páginas.
>> > Mi pregunta es:
>> > Como puedo configurar en el Isa Server que no haga la resolución
>> > inversa a
>> > la hora de utilizar el firewall client ¿?.
>> > Con esto creo que se solucionaría el problema, pero si conocéis que
>> > pueda
>> > ser otro el problema os agradecería que me lo comentarais.
>> >
>> > No tenemos problema de probar, ya que tenemos un entorno de
>> > preproducción.
>> > Jose Luis
>> >
>> > SALU2
>>