configurar DNS: algo estoy haciendo mal ¿?

Gracias otra vez!

Una última pregunta... Puesto que estoy en fase de pruebas...

¿Puedo dar alta los registros MX y demás en el propio SBS?

Por que si, por ejemplo sólo quiero utilizar el acceso por VPN, o el
acceso a la web interna, o ftp en determinado momento y para pocos
usuarios ( los empleados) ¿Tiene sentido que estos registros se alojen
en el ISP si, al fin y al cabo, si el servidor con SBS no está
operativo no se pueden usar?

Salduso


On Tue, 6 Jun 2006 09:05:53 -0300, "Rafael E. Villaseñor Jofré"
wrote:

Exitos!!
;-)

Es una muy buena pregunta.
Trataré de ser conciso pero la misma toca varios temas que trataré de
exponerte.

Partamos de la base que SBS es un producto pensado para PyMEs, es decir,
tiene todas las funcionalidades de los productos regulares en un único
Server pero con ciertas restricciones. Por esto mismo, es de suponer que es
tu único Server.

Cómo funciona el envío de correo en Internet?
Cuando un usuario envía un correo al SMTP que le brinda servicio, este
último realiza una consulta a través de los DNS que le brindan servicio para
determinar donde está el mail server que debe recibir dicho mensaje. Puede
ocurrir que el buzón de destino exista, no exista, esté lleno pero ese es
otro problema.

Esto quiere decir que el DNS del SMTP hace una consulta que deberá responder
algún DNS que es público en Internet.
Si este DNS público fuera tu SBS, y que como fue diseñado estuviera solito
como vino al mundo, deberías abrir en tu router/firewall/ISA/lo que tengas
para que pudiera responder dichas consultas.
En Argentina tenemos una frase por si lo hicieras así ==> ESTÁS EN EL
HORNO!!!
Debido a que ese DNS al ser del tipo "Active Directory integrado" es
READ/WRITE estarías exponiéndolo a cualquier vecino a que pueda modificar o
al menos conocer cualquier host de tu red interna incluyendo datos propios
del Active Directory.
Para que esto no ocurriese de esta manera, necesitarías colocar un SERVER
ADICIONAL fuera del firewall o en una DMZ (zona demilitarizada) que brinde
servicios de DNS públicos. El mismo debería ser del tipo SECUNDARIO, es
decir, sería una copia READ ONLY de otro PRIMARIO que debería estar dentro
del firewall junto con una regla que permita tráfico únicamente desde el PRI
al SEC.

Es por esta razón, que es mucho mas simple y económico delegar la
administración de un dominio público de INTERNET a un ISP.
Suele ser realmente económico y algunos ISP lo brindan en forma gratuita o
con un único pago junto con el abono de la conectividad a Internet.

En resumen y resolviendo el otro punto de tu pregunta, del ISP, solo
necesitarías 4 cosas:
- DELEGARLE A SU DNS TU DOMINIO.COM
- IP FIJA
- Crear un REGISTRO A que apunte a dicha IP. Podría llamarse WWW (es lo que
se estila para sitios web).
Podrías crear mas registros A o ALIAS (también conocido como CNAME), a la
misma IP pero no tendría mucho sentido.
- Crear un REGISTRO MX que apunte a la IP FIJA

De esta manera resolverás:
- la recepción de correo directo al EXCHANGE
- la posibilidad de utilizar los servicios de VPN, FTP, TERMINAL SERVICES,
WEB, etc, ya que accederás al host (REGISTRO A)creado previamente.

Creo que sería todo. Fue un poco largo pero espero haber sido claro.
Saludos.
Rafael E. Villaseñor Jofré
Tucuman 927 - Servicios Informáticos
Bs. As. - Argentina

Participa en http://www.grupoitpro.com.ar

"Juan Hernández" escribió en el mensaje
news:

Gracias otra vez!

Una última pregunta... Puesto que estoy en fase de pruebas...

¿Puedo dar alta los registros MX y demás en el propio SBS?

Por que si, por ejemplo sólo quiero utilizar el acceso por VPN, o el
acceso a la web interna, o ftp en determinado momento y para pocos
usuarios ( los empleados) ¿Tiene sentido que estos registros se alojen
en el ISP si, al fin y al cabo, si el servidor con SBS no está
operativo no se pueden usar?

Salduso


On Tue, 6 Jun 2006 09:05:53 -0300, "Rafael E. Villaseñor Jofré"
wrote:

Exitos!!
;-)

Rafael,

Me has convencido. Leyendo un artículo en Microsoft TehcNet vienen a
decir lo mismo y que no aconsejan utilizar sbs para alojar la web de
los clientes. La dejaré en el ISP y que ellos también gestionen el
DNS.

Ahora la duda que tengo es la siguiente que hacer con el correo
interno / externo. La situación actual es la siguiente:

el externo está gestionado por el ISP. Es chequeado por su antivirus
y antispan y funciona bien. Salvo que, ocasionalmente ha bloqueado
algún correo entrante por spam, cuando no lo era, y es casi imposible
solucionar esto. Por ejemplo, si mandas mensajes a una cuenta válida
con una tarjeta 3g de vodafone la ip que usa la considera de espamer.

El interno está gestionado por exchange 5.5. No sé por qué, a veces no
funciona mezclar direcciones de interno y externo en el mismo mensaje.
He enseñado a los usuarios a no mezclar ;-)

Al correo interno no se puede acceder si no estás en la oficina.

Me gustaría poder mezclar correo externo / interno sin problemas y
poder acceder al interno a través de Inernet y no perder el chequeo de
virus... No me haría mucha gracia instalar un antivirus en el sbs,
porque iría más lento y porque el precio de las licencias es mayor que
lo que me cobra el ISP por ese servicio.

Con lo cual había pensado que el exchange 2003 recogiese todos los
correos del ISP y que fuese accesible desde Internet por los
usuarios. He preguntado al ISP y dice que no da soporte a exchange.

Con esta situación ¿Cómo diseñaría tú la gestión del correo
interno/externo?















On Wed, 7 Jun 2006 14:39:26 -0300, "Rafael E. Villaseñor Jofré"
wrote:

Es una muy buena pregunta.
Trataré de ser conciso pero la misma toca varios temas que trataré de
exponerte.

Partamos de la base que SBS es un producto pensado para PyMEs, es decir,
tiene todas las funcionalidades de los productos regulares en un único
Server pero con ciertas restricciones. Por esto mismo, es de suponer que es
tu único Server.

Cómo funciona el envío de correo en Internet?
Cuando un usuario envía un correo al SMTP que le brinda servicio, este
último realiza una consulta a través de los DNS que le brindan servicio para
determinar donde está el mail server que debe recibir dicho mensaje. Puede
ocurrir que el buzón de destino exista, no exista, esté lleno pero ese es
otro problema.

Esto quiere decir que el DNS del SMTP hace una consulta que deberá responder
algún DNS que es público en Internet.
Si este DNS público fuera tu SBS, y que como fue diseñado estuviera solito
como vino al mundo, deberías abrir en tu router/firewall/ISA/lo que tengas
para que pudiera responder dichas consultas.
En Argentina tenemos una frase por si lo hicieras así ==> ESTÁS EN EL
HORNO!!!
Debido a que ese DNS al ser del tipo "Active Directory integrado" es
READ/WRITE estarías exponiéndolo a cualquier vecino a que pueda modificar o
al menos conocer cualquier host de tu red interna incluyendo datos propios
del Active Directory.
Para que esto no ocurriese de esta manera, necesitarías colocar un SERVER
ADICIONAL fuera del firewall o en una DMZ (zona demilitarizada) que brinde
servicios de DNS públicos. El mismo debería ser del tipo SECUNDARIO, es
decir, sería una copia READ ONLY de otro PRIMARIO que debería estar dentro
del firewall junto con una regla que permita tráfico únicamente desde el PRI
al SEC.

Es por esta razón, que es mucho mas simple y económico delegar la
administración de un dominio público de INTERNET a un ISP.
Suele ser realmente económico y algunos ISP lo brindan en forma gratuita o
con un único pago junto con el abono de la conectividad a Internet.

En resumen y resolviendo el otro punto de tu pregunta, del ISP, solo
necesitarías 4 cosas:
- DELEGARLE A SU DNS TU DOMINIO.COM
- IP FIJA
- Crear un REGISTRO A que apunte a dicha IP. Podría llamarse WWW (es lo que
se estila para sitios web).
Podrías crear mas registros A o ALIAS (también conocido como CNAME), a la
misma IP pero no tendría mucho sentido.
- Crear un REGISTRO MX que apunte a la IP FIJA

De esta manera resolverás:
- la recepción de correo directo al EXCHANGE
- la posibilidad de utilizar los servicios de VPN, FTP, TERMINAL SERVICES,
WEB, etc, ya que accederás al host (REGISTRO A)creado previamente.

Creo que sería todo. Fue un poco largo pero espero haber sido claro.
Saludos.

Como siempre, hay que saber discernir entre la necesidad y la utilidad.
Personalmente considero mas simple y eficiente unificar toda la descarga de
correo en el EXCHANGE.
Es un excelente producto que te permitirá unficar los buzones lo que
facilitará las tareas de monitoreo y backup, además de todas las ventajas
que te ofrece, como acceso a mails por WEB, dispositivos móviles, carpetas
públicas, etc.

No recuerdo si lo mencioné en este hilo u otro, pero en realidad podrías
mantener las casillas POP de tu ISP y descargarlas a los respectivos buzones
de los usuarios de Active Directory configurando el POP CONNECTOR provisto
por SBS.
Esto implicaría a la larga una doble (o triple) administración pero tiene
como ventaja que en caso de tener el SBS en mantenimiento o "fuera de linea"
podrás seguir recibiendo mails y descargarlos posteriormente. Deventajas
serían que dependes del buen funcionamiento de tu ISP que sus políticas de
SPAM se adecuen a tus necesidades.

Por otro lado, es lo usual que si posees una IP FIJA recibas el correo en
forma directa.
Al tener creados los buzones de Exchange creados en cada usuario de Active
Directory se da de manera natural y sin mas trámite.
Como hemos visto antes, lo consigues solicitando la inclusión en el DNS de
tu dominio público de un registro MX apuntando a dicho IP FIJA. Con respecto
al AntiVirus, es evidente que en estos días NO EXISTE la posibilidad que no
los utilices, razón por la cual deberías tener instalado al menos de 2
tipos: para el sistema de archivos, y para el servidor de correos.

Conozco a varias personas que con éxito publican su página WEB con el mismo
SBS, pero la seguridad del mismo depende enteramente del diseño del sitio.
Si utilizas accesos a bases de datos a través de ASP tal vez resulte mas
comprometida la seguridad del server.

Creo que nada mas.
Saludos nuevamente.
Rafael E. Villaseñor Jofré
Tucuman 927 - Servicios Informáticos
Bs. As. - Argentina

Participa en http://www.grupoitpro.com.ar

"Juan Hernández" escribió en el mensaje
news:

Rafael,

Me has convencido. Leyendo un artículo en Microsoft TehcNet vienen a
decir lo mismo y que no aconsejan utilizar sbs para alojar la web de
los clientes. La dejaré en el ISP y que ellos también gestionen el
DNS.

Ahora la duda que tengo es la siguiente que hacer con el correo
interno / externo. La situación actual es la siguiente:

el externo está gestionado por el ISP. Es chequeado por su antivirus
y antispan y funciona bien. Salvo que, ocasionalmente ha bloqueado
algún correo entrante por spam, cuando no lo era, y es casi imposible
solucionar esto. Por ejemplo, si mandas mensajes a una cuenta válida
con una tarjeta 3g de vodafone la ip que usa la considera de espamer.

El interno está gestionado por exchange 5.5. No sé por qué, a veces no
funciona mezclar direcciones de interno y externo en el mismo mensaje.
He enseñado a los usuarios a no mezclar ;-)

Al correo interno no se puede acceder si no estás en la oficina.

Me gustaría poder mezclar correo externo / interno sin problemas y
poder acceder al interno a través de Inernet y no perder el chequeo de
virus... No me haría mucha gracia instalar un antivirus en el sbs,
porque iría más lento y porque el precio de las licencias es mayor que
lo que me cobra el ISP por ese servicio.

Con lo cual había pensado que el exchange 2003 recogiese todos los
correos del ISP y que fuese accesible desde Internet por los
usuarios. He preguntado al ISP y dice que no da soporte a exchange.

Con esta situación ¿Cómo diseñaría tú la gestión del correo
interno/externo?















On Wed, 7 Jun 2006 14:39:26 -0300, "Rafael E. Villaseñor Jofré"
wrote:

Es una muy buena pregunta.
Trataré de ser conciso pero la misma toca varios temas que trataré de
exponerte.

Partamos de la base que SBS es un producto pensado para PyMEs, es decir,
tiene todas las funcionalidades de los productos regulares en un único
Server pero con ciertas restricciones. Por esto mismo, es de suponer que
es
tu único Server.

Cómo funciona el envío de correo en Internet?
Cuando un usuario envía un correo al SMTP que le brinda servicio, este
último realiza una consulta a través de los DNS que le brindan servicio
para
determinar donde está el mail server que debe recibir dicho mensaje. Puede
ocurrir que el buzón de destino exista, no exista, esté lleno pero ese es
otro problema.

Esto quiere decir que el DNS del SMTP hace una consulta que deberá
responder
algún DNS que es público en Internet.
Si este DNS público fuera tu SBS, y que como fue diseñado estuviera solito
como vino al mundo, deberías abrir en tu router/firewall/ISA/lo que tengas
para que pudiera responder dichas consultas.
En Argentina tenemos una frase por si lo hicieras así ==> ESTÁS EN EL
HORNO!!!
Debido a que ese DNS al ser del tipo "Active Directory integrado" es
READ/WRITE estarías exponiéndolo a cualquier vecino a que pueda modificar
o
al menos conocer cualquier host de tu red interna incluyendo datos propios
del Active Directory.
Para que esto no ocurriese de esta manera, necesitarías colocar un SERVER
ADICIONAL fuera del firewall o en una DMZ (zona demilitarizada) que brinde
servicios de DNS públicos. El mismo debería ser del tipo SECUNDARIO, es
decir, sería una copia READ ONLY de otro PRIMARIO que debería estar dentro
del firewall junto con una regla que permita tráfico únicamente desde el
PRI
al SEC.

Es por esta razón, que es mucho mas simple y económico delegar la
administración de un dominio público de INTERNET a un ISP.
Suele ser realmente económico y algunos ISP lo brindan en forma gratuita o
con un único pago junto con el abono de la conectividad a Internet.

En resumen y resolviendo el otro punto de tu pregunta, del ISP, solo
necesitarías 4 cosas:
- DELEGARLE A SU DNS TU DOMINIO.COM
- IP FIJA
- Crear un REGISTRO A que apunte a dicha IP. Podría llamarse WWW (es lo
que
se estila para sitios web).
Podrías crear mas registros A o ALIAS (también conocido como CNAME), a la
misma IP pero no tendría mucho sentido.
- Crear un REGISTRO MX que apunte a la IP FIJA

De esta manera resolverás:
- la recepción de correo directo al EXCHANGE
- la posibilidad de utilizar los servicios de VPN, FTP, TERMINAL SERVICES,
WEB, etc, ya que accederás al host (REGISTRO A)creado previamente.

Creo que sería todo. Fue un poco largo pero espero haber sido claro.
Saludos.