Dudas con una red

Hola Amigos;

Estoy montado una red y tengo algunas dudas, os cuento como esta diseñada
a
ver si alguien me puede echar una mano,
Muchas gracias de antemano a todos aquellos que decidais regalarme vuestro
tiempo para leer este post.
Salu2

Internet -IsaServer (Externo)--IsaServer (Este es DC del
domino, y a partir de aqui esta el resto del dominio)
||
DMZ

bueno, pues esto es lo que esta a medio montar, os cuento mas o menos como
esta
La configuracion DNS de los dc´s es, siempre apuntan a otro dc como dns
primaria y como secundaria se apuntan asimimos, y tienen como reenviadores
la ip del IsaServer que esta en dominio, todos los clientes aputan al
primer
dc (son como unos 50 clientes) exclusivamente, en su configuracion DNS, y
como puerta de enlace tienen la ip del IsaServer que esta en dominio.
Hasta creo que esta doto bien, tal vez podria poner a los clientes como
DNS
secundaria otro dc del dominio, o incluso alternar por ejemplo 25 clientes
apuntan como DNS primaria a un dc y los otros 25 apuntan como primaria a
otro dc ¿Esto no se si es correcto, si me podeis orientar?

El IsaServer Externo permite todo el trafico de salida, con esto segun
tengo
entendido, permito todo el trafico de salida y solo tendrian entrada las
peticiones realizadas desde dentro, es decir un cliente hace una consulta
dns, esa consulta puede salir y entrar su respuesta, pero no se aceptaria
una consulta dns desde internet hacia dentro. ¿Esto tampoco estoy muy
seguro
y me gustaria que me dijeseis si es asi o no?

El IsaServer que forma parte del dominio como dc, es el que tiene todas
las
reglas creadas, por ejemplo para recibir correo tiene permitido los
protocolos pop3, smtp, y dns; pero con esto solo no nos tiraba y creo que
aqui empezamos a liarla, porque lo que hicimos fue publicar un servidor de
correo apuntando contra nuestro ESP, ¿Aqui os pido toda la ayuda que me
querais brindar?

Ahora mismo el principal problema que tengo es que la navegacion es muy
lenta, da la impresion de que este cacheando, porque tarda en resolver la
pagina pero luego la muestra de un pantallazo, ninguno de los Isa esta
cacheando, y la verdad no sabemos a que puede ser debido, si nos podeis
echar una mano os lo agradeceriamos enormente.

Por otra parte lo que queremos hacer es controlar las salidas a internet
de
los usuarios, para ello creo que necesitamos instalar los clientes de
proxy,
pero lo hicimos en un cliente y no podia navegar ni recibir correo, ¿si
nos
podeis orientar en el tema?

Por ultimo la DMZ aun no tiene nada, esta pensada para montar los
servidores
Exchange (aun no estan montados), los de terminal service y la intranet,
pero he leido que tal vez el servidor de Exchange deberia estar en el
dominio, aqui os pido consejo porque aun no esta montado, pero todo lo que
me podais aconsejar os lo agradezco enormemente.

Hola Enrro, hay un par de datos muy importantes que has omitido y son la
version de ISA y la configuracion TCP/IP de los interfaces del ISA.
Te contesto dentro del mensaje..

"Emrro" escribió en el mensaje
news:
> Hola Amigos;
>
> Estoy montado una red y tengo algunas dudas, os cuento como esta

> a
> ver si alguien me puede echar una mano,
> Muchas gracias de antemano a todos aquellos que decidais regalarme

> tiempo para leer este post.
> Salu2
>
> Internet -IsaServer (Externo)--IsaServer (Este es DC del
> domino, y a partir de aqui esta el resto del dominio)
> ||
> DMZ
>
> bueno, pues esto es lo que esta a medio montar, os cuento mas o menos

> esta
> La configuracion DNS de los dc´s es, siempre apuntan a otro dc como dns
> primaria y como secundaria se apuntan asimimos, y tienen como

> la ip del IsaServer que esta en dominio, todos los clientes aputan al
> primer
> dc (son como unos 50 clientes) exclusivamente, en su configuracion DNS,

> como puerta de enlace tienen la ip del IsaServer que esta en dominio.
> Hasta creo que esta doto bien, tal vez podria poner a los clientes como
> DNS
> secundaria otro dc del dominio, o incluso alternar por ejemplo 25

> apuntan como DNS primaria a un dc y los otros 25 apuntan como primaria a
> otro dc ¿Esto no se si es correcto, si me podeis orientar?

Si tus clientes utilizan DHCP, es dificil asignar un DNS a un grupo de
clientes y otro servidor DNS al resto de clientes... con clases de

no creo que puedas conseguir nada y con ambitos, seria demasiado

50 clientes no son muchos y el protocolo DNS esta basado en UDP para

sobrecarga... yo no me complicaria y asignaria el mismo servidor DNS
primario y secundario a todos los clientes. Si no utilizas DHCP y

manualmente las propiedades de TCP/IP, no hay problema en distribuir la
carga de la forma que indicas.

>
> El IsaServer Externo permite todo el trafico de salida, con esto segun
> tengo
> entendido, permito todo el trafico de salida y solo tendrian entrada las
> peticiones realizadas desde dentro, es decir un cliente hace una

> dns, esa consulta puede salir y entrar su respuesta, pero no se

> una consulta dns desde internet hacia dentro. ¿Esto tampoco estoy muy
> seguro
> y me gustaria que me dijeseis si es asi o no?

Asi es. ISA es un cortafuegos de estado y las respuestas a peticiones
autorizadas se permiten, no es necesario crear filtros, ISA "abre" y
"cierra" puertos de forma dinamica.
De todas formas, en el ISA fontal (el que conecta con internet) deberias
permitir todo unicamente a la IP externa del ISA interno (el ISA conectado

la red interna). El control de acceso lo realizas en el ISA interno en el
cual ademas, puedes utilizar usuarios o grupos del dominio. Si luego

maquinas en la DMZ, debes intentar permitir unicamente los protocolos
necesario en el ISA frontal, nada mas. Permitir todo es una practica de
seguridad bastante mala.

>
> El IsaServer que forma parte del dominio como dc, es el que tiene todas
> las
> reglas creadas, por ejemplo para recibir correo tiene permitido los
> protocolos pop3, smtp, y dns; pero con esto solo no nos tiraba y creo

> aqui empezamos a liarla, porque lo que hicimos fue publicar un servidor

> correo apuntando contra nuestro ESP, ¿Aqui os pido toda la ayuda que me
> querais brindar?

Si estas hablando de publicar un servidor de correo en la red interna o en
el mismo ISA, debes usar reglas de publicacion de servidor, tanto en el

frontal como en el ISA interno. Aqui debes darnos mas informacion: donde
esta el servidor de correo, en el ISA o en otro servidor en la red interna

>
> Ahora mismo el principal problema que tengo es que la navegacion es muy
> lenta, da la impresion de que este cacheando, porque tarda en resolver

> pagina pero luego la muestra de un pantallazo, ninguno de los Isa esta
> cacheando, y la verdad no sabemos a que puede ser debido, si nos podeis
> echar una mano os lo agradeceriamos enormente.

Cual es la configuracion TCP/IP de los ISA ? es un dato importante
De todas formas, mirate estas guias:
ISA 2000:
http://www.microsoft.com/technet/pr...2kqsg.mspx
ISA 2004:

>
> Por otra parte lo que queremos hacer es controlar las salidas a internet
> de
> los usuarios, para ello creo que necesitamos instalar los clientes de
> proxy,
> pero lo hicimos en un cliente y no podia navegar ni recibir correo, ¿si
> nos
> podeis orientar en el tema?

Lo ideal es que configures tus clientes internos como clientes firewall y
web proxy. Utiliza los clientes SecureNAT para los servidores que

publicar.
Es necesario conocer un poco mas d ela configuracion de los ISA para saber
cual es el problema, pero tienen toda la pinta que las reglas de acceso no
permiten las peticiones de los clientes. Antes de decir nada, prefiero

que version de ISA utilizas ya que la forma de definir las reglas de

es muy distinta.

>
> Por ultimo la DMZ aun no tiene nada, esta pensada para montar los
> servidores
> Exchange (aun no estan montados), los de terminal service y la intranet,
> pero he leido que tal vez el servidor de Exchange deberia estar en el
> dominio, aqui os pido consejo porque aun no esta montado, pero todo lo

> me podais aconsejar os lo agradezco enormemente.

La idea original de las DMZ es crear redes totalmente aisaladas de las

internas. Si situas en la DMZ maquinas integradas en el dominio interno,
rompes con esta filosofia.
De todas formas, puedes situar un exchange perfectamente en la DMZ:

Mira el capitulo 12
Aqui tienes otro ejemplo:
http://www.isaserver.org/articles/2004dmzfebe.html
No importa que sea una Trihomed DMZ, en una Back-to-Back, como es tu caso,
se pueden aplicar los mismos principios.

Un saludo.
Ivan
MS MVP ISA Server

Hola Ivan, lo primero mil gracias por contestar
A ver los datos que me pides, los Isa son los dos 2004, te paso las
configuraciones de las nic:
Isa Interno:
Interna:
IP: 192.168.200.254 /16
GT: 10.0.0.2 /24
DNS: 192.168.200.10
192.168.200.254
Perimetral:
IP: 172.26.0.2 /24
GT: --
DNS: --
Externa:
IP: 10.0.0.2 /24
GT: 10.0.0.1
DNS: 10.0.0.1
Isa Frontal:
Interna:
IP: 10.0.0.2 /24
GT:
DNS: -
Perimetral:
IP: 172.26.0.1 /24
GT: -
DNS: -
Externa:
Bueno aqui tengo una ip publica (la configuracion que nos da el ISP)

Bueno Ivan te paso los datos y voy a mirar los enlaces que me has pasado, si
ves algo que este mal dimelo, de todas formas seguro que despues de leerme
los enlaces, te preguntare yo mas cositas.

Muchas gracias de nuevo
Un saludo


"Ivan [MS MVP]" escribió en el mensaje
news:O%

Hola Enrro, hay un par de datos muy importantes que has omitido y son la
version de ISA y la configuracion TCP/IP de los interfaces del ISA.
Te contesto dentro del mensaje..

"Emrro" escribió en el mensaje
news:
> Hola Amigos;
>
> Estoy montado una red y tengo algunas dudas, os cuento como esta

diseñada

> a
> ver si alguien me puede echar una mano,
> Muchas gracias de antemano a todos aquellos que decidais regalarme

vuestro

> tiempo para leer este post.
> Salu2
>
> Internet -IsaServer (Externo)--IsaServer (Este es DC del
> domino, y a partir de aqui esta el resto del dominio)
> ||
> DMZ
>
> bueno, pues esto es lo que esta a medio montar, os cuento mas o menos

como

> esta
> La configuracion DNS de los dcŽs es, siempre apuntan a otro dc como dns
> primaria y como secundaria se apuntan asimimos, y tienen como

reenviadores

> la ip del IsaServer que esta en dominio, todos los clientes aputan al
> primer
> dc (son como unos 50 clientes) exclusivamente, en su configuracion DNS,

y

> como puerta de enlace tienen la ip del IsaServer que esta en dominio.
> Hasta creo que esta doto bien, tal vez podria poner a los clientes como
> DNS
> secundaria otro dc del dominio, o incluso alternar por ejemplo 25

clientes

> apuntan como DNS primaria a un dc y los otros 25 apuntan como primaria a
> otro dc ¿Esto no se si es correcto, si me podeis orientar?

Si tus clientes utilizan DHCP, es dificil asignar un DNS a un grupo de
clientes y otro servidor DNS al resto de clientes... con clases de

usaurios

no creo que puedas conseguir nada y con ambitos, seria demasiado

jaleo.

50 clientes no son muchos y el protocolo DNS esta basado en UDP para

evitar

sobrecarga... yo no me complicaria y asignaria el mismo servidor DNS
primario y secundario a todos los clientes. Si no utilizas DHCP y

configuras

manualmente las propiedades de TCP/IP, no hay problema en distribuir la
carga de la forma que indicas.

>
> El IsaServer Externo permite todo el trafico de salida, con esto segun
> tengo
> entendido, permito todo el trafico de salida y solo tendrian entrada las
> peticiones realizadas desde dentro, es decir un cliente hace una

consulta

> dns, esa consulta puede salir y entrar su respuesta, pero no se

aceptaria

> una consulta dns desde internet hacia dentro. ¿Esto tampoco estoy muy
> seguro
> y me gustaria que me dijeseis si es asi o no?

Asi es. ISA es un cortafuegos de estado y las respuestas a peticiones
autorizadas se permiten, no es necesario crear filtros, ISA "abre" y
"cierra" puertos de forma dinamica.
De todas formas, en el ISA fontal (el que conecta con internet) deberias
permitir todo unicamente a la IP externa del ISA interno (el ISA conectado

a

la red interna). El control de acceso lo realizas en el ISA interno en el
cual ademas, puedes utilizar usuarios o grupos del dominio. Si luego

agregas

maquinas en la DMZ, debes intentar permitir unicamente los protocolos
necesario en el ISA frontal, nada mas. Permitir todo es una practica de
seguridad bastante mala.

>
> El IsaServer que forma parte del dominio como dc, es el que tiene todas
> las
> reglas creadas, por ejemplo para recibir correo tiene permitido los
> protocolos pop3, smtp, y dns; pero con esto solo no nos tiraba y creo

que

> aqui empezamos a liarla, porque lo que hicimos fue publicar un servidor

de

> correo apuntando contra nuestro ESP, ¿Aqui os pido toda la ayuda que me
> querais brindar?

Si estas hablando de publicar un servidor de correo en la red interna o en
el mismo ISA, debes usar reglas de publicacion de servidor, tanto en el

ISA

frontal como en el ISA interno. Aqui debes darnos mas informacion: donde
esta el servidor de correo, en el ISA o en otro servidor en la red interna

?

>
> Ahora mismo el principal problema que tengo es que la navegacion es muy
> lenta, da la impresion de que este cacheando, porque tarda en resolver

la

> pagina pero luego la muestra de un pantallazo, ninguno de los Isa esta
> cacheando, y la verdad no sabemos a que puede ser debido, si nos podeis
> echar una mano os lo agradeceriamos enormente.

Cual es la configuracion TCP/IP de los ISA ? es un dato importante
De todas formas, mirate estas guias:
ISA 2000:
http://www.microsoft.com/technet/pr...2kqsg.mspx
ISA 2004:

http://download.microsoft.com/downl...1%2003.doc

http://download.microsoft.com/downl...1%2003.doc

>
> Por otra parte lo que queremos hacer es controlar las salidas a internet
> de
> los usuarios, para ello creo que necesitamos instalar los clientes de
> proxy,
> pero lo hicimos en un cliente y no podia navegar ni recibir correo, ¿si
> nos
> podeis orientar en el tema?

Lo ideal es que configures tus clientes internos como clientes firewall y
web proxy. Utiliza los clientes SecureNAT para los servidores que

necesites

publicar.
Es necesario conocer un poco mas d ela configuracion de los ISA para saber
cual es el problema, pero tienen toda la pinta que las reglas de acceso no
permiten las peticiones de los clientes. Antes de decir nada, prefiero

saber

que version de ISA utilizas ya que la forma de definir las reglas de

acceso

es muy distinta.

>
> Por ultimo la DMZ aun no tiene nada, esta pensada para montar los
> servidores
> Exchange (aun no estan montados), los de terminal service y la intranet,
> pero he leido que tal vez el servidor de Exchange deberia estar en el
> dominio, aqui os pido consejo porque aun no esta montado, pero todo lo

que

> me podais aconsejar os lo agradezco enormemente.

La idea original de las DMZ es crear redes totalmente aisaladas de las

redes

internas. Si situas en la DMZ maquinas integradas en el dominio interno,
rompes con esta filosofia.
De todas formas, puedes situar un exchange perfectamente en la DMZ:

http://download.microsoft.com/downl...1%2005.doc

Mira el capitulo 12
Aqui tienes otro ejemplo:
http://www.isaserver.org/articles/2004dmzfebe.html
No importa que sea una Trihomed DMZ, en una Back-to-Back, como es tu caso,
se pueden aplicar los mismos principios.

Un saludo.
Ivan
MS MVP ISA Server