Problema con ISA 2004 y publicación SSL

Pero es que internamente no debes usar la IP publica, no debes enviar
las peticiones al ISA y alcanzar los sitios web internos realizando un bucle
sobre el interface externo del ISA.
Elimina las IPs publicas de tus DNS internos, deja solo IPs internas y estoy
seguro que funcionara correctamente. Recuerda agregar tu dominio interno en
la pestaña domains de las propiedades de la red interna. Si no lo haces, en
un cliente que ademas de configurado el navegador para usar proxy tenga el
cliente firewall instalado, de nuevo alcanzaras el sitio web interno
realziando un bucle sobre el interface externo del ISA. Esto es asi porque
al excluir en el IE tu dominio interno, la peticion entonces la maneja el
cliente firewall, el cual envia la peticion al ISA y este resolveria el
nombre del sitio interno en la IP publica. Si el dominio inetrno esta
agregado en la pestaña domains, el cliente firewall sabe que esa peticion no
es para el, el cliente resuelve en los DNS internos y alcanza el sitio web
por dentro, como debe ser..

Un saludo.
Ivan
MS MVP ISA Server


"Gerard Juárez" escribió en el mensaje
news:

Gracias Ivan, te cuento, los DNS externos los alberga mi ISP, lo que

ocurre

es que al utilizar servicios desde la red interna y la red externa hacia

la

dirección externa y trabajar con el mismo nombre de dominio, el host

externo

está también publicado internamente para que sea resoluble, de lo

contrario

no podría resolver pub1.

¿No se si me he explicado bien?


"Ivan [MS MVP]" escribió en el mensaje
news:
> Por lo que veo, corrigeme si me equivoco:
> Estas usando el mismo nombre de dominio interno y de internet y estas
usando
> un unico servidor DNS para la zona interna y de internet, es asi ?
> adelantando un poco, si tu configuracion es esa, debes crear lo que se
> denomina un split de DNS que es tan sencillo como decir que necesitas

dos

> servidores DNS, uno que aloje la zona interna y otro servidor para la

zona

> externa y lamentablemente, si necesitas tolerancia a fallos, necesitaras

4

> servidores, dos para cada zona. Esta es la unica solucion, no debes bajo
> ningun concepto exponer tu espacio de nombres interno, que me da, es lo
que
> estas haciendo ahora.
> Si no puedes crear este split de DNS lo mejor seria hablar con tu ISP y
ver
> la forma de que este se encarge de administrar tu espacio de nombres de
> internet y dedicar tus DNS internos solo a eso, el espacio de nombres
> internos y cerrar el acceso desde internet.
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "Gerard Juárez" escribió en el mensaje
> news:%
> > veamos, te cueno la estructura,
> >
> > Srv1 -- Servidor interno con exchange, sirve páginas SSL, nombre

interno

> > Srv1.geyma.com, contiene el DNS interno, donde SRV1.0.0.1 y el

nombre

> > público Pub1.geyma.com!3.1.1.1. Tiene activo el reenviador a SRV2
> >
> > Srv2 -- Servidor con ISA 2004 y DNS de zona secundaria de Geyma.com,
está
> > publicando una web de igual nombre a Pub1.geyma.com!3.1.1.1, DNS

tiene

> > activo reenviador a los servidores de mi ISP.
> >
> > Ordenadores internos, resulven perfectamente DNS interno y externo, lo
> > curiosos y repito en mayusculas CURIOSO es que solo ocurre con las
páginas
> > publicadas en SSL, si accedo sin SSL funciona perfectamente.
> >
> > Esto no pasaba con ISA 2000
> >
> > Se te ocurre algo?
> >
> >
> >
> >
> > "Ivan [MS MVP]" escribió en el mensaje
> > news:
> > > Pregunta tonta ? puede resolver en DNS ?
> > > Es muy habitual tener un nombre de dominio interno y un nombre de
> internet
> > > distintos y los usuarios internos estan acostumbrados a usar el

nombre

> > > publico independientemente de la ubicacion
> > > Si tu dominio interno es Dominio.local y el de internet Dominio.com,
> > tienes
> > > creada una zona para Dominio.com en tus DNS internos que resuelve en
la
> IP
> > > interna del sitio web ?
> > >
> > > En el ISA, networks, propiedades de la red interna, pestaña domains,
> > aparece
> > > tu dominio interno y otros dominios que utilicen los usuarios
> internamente
> > ?
> > >
> > > Un saludo.
> > > Ivan
> > > MS MVP ISA Server
> > >
> > >
> > > "Gerard Juárez" escribió en el mensaje
> > > news:
> > > > Si, lo conozco, pero el problema es que utilizamos servicios como
> > > Activesync
> > > > que no usas la configuración del proxy, con lo que la solución no
> > termina
> > > de
> > > > ser completa
> > > > :(
> > > >
> > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > news:%23zg%
> > > > Como se trata de un sitio web interno, las peticiones nunca deben

ir

> al
> > > ISA.
> > > > Esto lo puedes conseguir de dos formas:
> > > > 1- En la configuracion del proxy del IE, opciones avanzadas, no

usar

> > proxy
> > > > para las direcciones que comiencen por, agrega tu sitio interno.
> > > > 2- Condifgurandolo en el ISA y en los navegadores haciendo uso del
> > script
> > > de
> > > > configuracion automatica o detectar la configuracion
automaticamente.
> > > >
> > > > Un saludo.
> > > > Ivan
> > > > MS MVP ISA Server
> > > >
> > > >
> > > > "Gerard" escribió en el mensaje
> > > > news:%
> > > > > Hola, el problema es el siguiente, estoy publicando un OWA con
SSL,
> si
> > > > > conecto a él mediante HTTPS: desde la red externa funciona
> > perfectamente
> > > > la
> > > > > publicación, si conecto desde el host de ISA funciona
perfectamente
> la
> > > > > publicación, pero cuando conecto desde una estación de la red
local
> me
> > > da
> > > > > error de DNS, como si no pudiera resolverlo,
> > > > >
> > > > > Help please,
> > > > >
> > > > > Gerard
> > > > >
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>

No puedo hacer eso ya que por ejemplo active sync sincroniza tanto desde
dentro como desde fuera a la misma dirección PUB1, además la dirección pub1
está publicando servicios en diferentes servidores, y además eso me
resolverá la navegación por web, pero no los servicios de sockets o
servicios que no son capaces de usar web proxy.


"Ivan [MS MVP]" escribió en el mensaje
news:%

Pero es que internamente no debes usar la IP publica, no debes enviar
las peticiones al ISA y alcanzar los sitios web internos realizando un

bucle

sobre el interface externo del ISA.
Elimina las IPs publicas de tus DNS internos, deja solo IPs internas y

estoy

seguro que funcionara correctamente. Recuerda agregar tu dominio interno

en

la pestaña domains de las propiedades de la red interna. Si no lo haces,

en

un cliente que ademas de configurado el navegador para usar proxy tenga el
cliente firewall instalado, de nuevo alcanzaras el sitio web interno
realziando un bucle sobre el interface externo del ISA. Esto es asi porque
al excluir en el IE tu dominio interno, la peticion entonces la maneja el
cliente firewall, el cual envia la peticion al ISA y este resolveria el
nombre del sitio interno en la IP publica. Si el dominio inetrno esta
agregado en la pestaña domains, el cliente firewall sabe que esa peticion

no

es para el, el cliente resuelve en los DNS internos y alcanza el sitio web
por dentro, como debe ser..

Un saludo.
Ivan
MS MVP ISA Server


"Gerard Juárez" escribió en el mensaje
news:
> Gracias Ivan, te cuento, los DNS externos los alberga mi ISP, lo que
ocurre
> es que al utilizar servicios desde la red interna y la red externa hacia
la
> dirección externa y trabajar con el mismo nombre de dominio, el host
externo
> está también publicado internamente para que sea resoluble, de lo
contrario
> no podría resolver pub1.
>
> ¿No se si me he explicado bien?
>
>
> "Ivan [MS MVP]" escribió en el mensaje
> news:
> > Por lo que veo, corrigeme si me equivoco:
> > Estas usando el mismo nombre de dominio interno y de internet y estas
> usando
> > un unico servidor DNS para la zona interna y de internet, es asi ?
> > adelantando un poco, si tu configuracion es esa, debes crear lo que se
> > denomina un split de DNS que es tan sencillo como decir que necesitas
dos
> > servidores DNS, uno que aloje la zona interna y otro servidor para la
zona
> > externa y lamentablemente, si necesitas tolerancia a fallos,

necesitaras

4
> > servidores, dos para cada zona. Esta es la unica solucion, no debes

bajo

> > ningun concepto exponer tu espacio de nombres interno, que me da, es

lo

> que
> > estas haciendo ahora.
> > Si no puedes crear este split de DNS lo mejor seria hablar con tu ISP

y

> ver
> > la forma de que este se encarge de administrar tu espacio de nombres

de

> > internet y dedicar tus DNS internos solo a eso, el espacio de nombres
> > internos y cerrar el acceso desde internet.
> >
> > Un saludo.
> > Ivan
> > MS MVP ISA Server
> >
> >
> > "Gerard Juárez" escribió en el mensaje
> > news:%
> > > veamos, te cueno la estructura,
> > >
> > > Srv1 -- Servidor interno con exchange, sirve páginas SSL, nombre
interno
> > > Srv1.geyma.com, contiene el DNS interno, donde SRV1.0.0.1 y el
nombre
> > > público Pub1.geyma.com!3.1.1.1. Tiene activo el reenviador a SRV2
> > >
> > > Srv2 -- Servidor con ISA 2004 y DNS de zona secundaria de Geyma.com,
> está
> > > publicando una web de igual nombre a Pub1.geyma.com!3.1.1.1, DNS
tiene
> > > activo reenviador a los servidores de mi ISP.
> > >
> > > Ordenadores internos, resulven perfectamente DNS interno y externo,

lo

> > > curiosos y repito en mayusculas CURIOSO es que solo ocurre con las
> páginas
> > > publicadas en SSL, si accedo sin SSL funciona perfectamente.
> > >
> > > Esto no pasaba con ISA 2000
> > >
> > > Se te ocurre algo?
> > >
> > >
> > >
> > >
> > > "Ivan [MS MVP]" escribió en el mensaje
> > > news:
> > > > Pregunta tonta ? puede resolver en DNS ?
> > > > Es muy habitual tener un nombre de dominio interno y un nombre de
> > internet
> > > > distintos y los usuarios internos estan acostumbrados a usar el
nombre
> > > > publico independientemente de la ubicacion
> > > > Si tu dominio interno es Dominio.local y el de internet

Dominio.com,

> > > tienes
> > > > creada una zona para Dominio.com en tus DNS internos que resuelve

en

> la
> > IP
> > > > interna del sitio web ?
> > > >
> > > > En el ISA, networks, propiedades de la red interna, pestaña

domains,

> > > aparece
> > > > tu dominio interno y otros dominios que utilicen los usuarios
> > internamente
> > > ?
> > > >
> > > > Un saludo.
> > > > Ivan
> > > > MS MVP ISA Server
> > > >
> > > >
> > > > "Gerard Juárez" escribió en el mensaje
> > > > news:
> > > > > Si, lo conozco, pero el problema es que utilizamos servicios

como

> > > > Activesync
> > > > > que no usas la configuración del proxy, con lo que la solución

no

> > > termina
> > > > de
> > > > > ser completa
> > > > > :(
> > > > >
> > > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > > news:%23zg%
> > > > > Como se trata de un sitio web interno, las peticiones nunca

deben

ir
> > al
> > > > ISA.
> > > > > Esto lo puedes conseguir de dos formas:
> > > > > 1- En la configuracion del proxy del IE, opciones avanzadas, no
usar
> > > proxy
> > > > > para las direcciones que comiencen por, agrega tu sitio interno.
> > > > > 2- Condifgurandolo en el ISA y en los navegadores haciendo uso

del

> > > script
> > > > de
> > > > > configuracion automatica o detectar la configuracion
> automaticamente.
> > > > >
> > > > > Un saludo.
> > > > > Ivan
> > > > > MS MVP ISA Server
> > > > >
> > > > >
> > > > > "Gerard" escribió en el mensaje
> > > > > news:%
> > > > > > Hola, el problema es el siguiente, estoy publicando un OWA con
> SSL,
> > si
> > > > > > conecto a él mediante HTTPS: desde la red externa funciona
> > > perfectamente
> > > > > la
> > > > > > publicación, si conecto desde el host de ISA funciona
> perfectamente
> > la
> > > > > > publicación, pero cuando conecto desde una estación de la red
> local
> > me
> > > > da
> > > > > > error de DNS, como si no pudiera resolverlo,
> > > > > >
> > > > > > Help please,
> > > > > >
> > > > > > Gerard
> > > > > >
> > > > > >
> > > > >
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>

Si, lo puedes hacer perfectamente.
En internet tienes este registro A:
Pub1.geyma.com!3.1.1.1
En la red interna creas este registro A:
Pub1.geyma.com.0.0.1

Cuando el cliente este en internet utiliza los DNS del ISP y resuelve el
nombre Pub1 en la IP publica del ISA y alcanza el sitio web perfectamente.
Cuando el cliente este en la red interna utiliza los DNS internos y resuelve
Pub1 en la IP interna del servidor IIS 10.0.0.1 y alcanza el sitio web
perfectemente.
Claro, si me dices que tu ISP mantiene tu correo y utilizas tambien el
nombre Pub1, pues lo siento pero no hay nada que hacer, la unica
solucion seria utilizar en los clientes de correo otro nombre alternativo,
SMTP.geyma.com y agregar en el DNS interno:
smtp.geyma.com!3.1.1.1

Yo no veo mas opciones y, no es un problema de ISA, es problema del diseño
del espacio de nombres. Si miras un poco de informacion relativa al diseño
de dominios, en este caso la eleccion del nombre, siempre que se utiliza el
mismo nombre para la red interna e internet aparece la problematica con los
proxys y cortafuegos. No es el diseño recomendado, lo ideal es emplear
nombres ditintos o un subdominio del dominio registrado de internet.

Un saludo.
Ivan
MS MVP ISA Server


"Gerard Juárez" escribió en el mensaje
news:

No puedo hacer eso ya que por ejemplo active sync sincroniza tanto desde
dentro como desde fuera a la misma dirección PUB1, además la dirección

pub1

está publicando servicios en diferentes servidores, y además eso me
resolverá la navegación por web, pero no los servicios de sockets o
servicios que no son capaces de usar web proxy.


"Ivan [MS MVP]" escribió en el mensaje
news:%
> Pero es que internamente no debes usar la IP publica, no debes

enviar

> las peticiones al ISA y alcanzar los sitios web internos realizando un
bucle
> sobre el interface externo del ISA.
> Elimina las IPs publicas de tus DNS internos, deja solo IPs internas y
estoy
> seguro que funcionara correctamente. Recuerda agregar tu dominio interno
en
> la pestaña domains de las propiedades de la red interna. Si no lo haces,
en
> un cliente que ademas de configurado el navegador para usar proxy tenga

el

> cliente firewall instalado, de nuevo alcanzaras el sitio web interno
> realziando un bucle sobre el interface externo del ISA. Esto es asi

porque

> al excluir en el IE tu dominio interno, la peticion entonces la maneja

el

> cliente firewall, el cual envia la peticion al ISA y este resolveria el
> nombre del sitio interno en la IP publica. Si el dominio inetrno esta
> agregado en la pestaña domains, el cliente firewall sabe que esa

peticion

no
> es para el, el cliente resuelve en los DNS internos y alcanza el sitio

web

> por dentro, como debe ser..
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "Gerard Juárez" escribió en el mensaje
> news:
> > Gracias Ivan, te cuento, los DNS externos los alberga mi ISP, lo que
> ocurre
> > es que al utilizar servicios desde la red interna y la red externa

hacia

> la
> > dirección externa y trabajar con el mismo nombre de dominio, el host
> externo
> > está también publicado internamente para que sea resoluble, de lo
> contrario
> > no podría resolver pub1.
> >
> > ¿No se si me he explicado bien?
> >
> >
> > "Ivan [MS MVP]" escribió en el mensaje
> > news:
> > > Por lo que veo, corrigeme si me equivoco:
> > > Estas usando el mismo nombre de dominio interno y de internet y

estas

> > usando
> > > un unico servidor DNS para la zona interna y de internet, es asi ?
> > > adelantando un poco, si tu configuracion es esa, debes crear lo que

se

> > > denomina un split de DNS que es tan sencillo como decir que

necesitas

> dos
> > > servidores DNS, uno que aloje la zona interna y otro servidor para

la

> zona
> > > externa y lamentablemente, si necesitas tolerancia a fallos,
necesitaras
> 4
> > > servidores, dos para cada zona. Esta es la unica solucion, no debes
bajo
> > > ningun concepto exponer tu espacio de nombres interno, que me da, es
lo
> > que
> > > estas haciendo ahora.
> > > Si no puedes crear este split de DNS lo mejor seria hablar con tu

ISP

y
> > ver
> > > la forma de que este se encarge de administrar tu espacio de nombres
de
> > > internet y dedicar tus DNS internos solo a eso, el espacio de

nombres

> > > internos y cerrar el acceso desde internet.
> > >
> > > Un saludo.
> > > Ivan
> > > MS MVP ISA Server
> > >
> > >
> > > "Gerard Juárez" escribió en el mensaje
> > > news:%
> > > > veamos, te cueno la estructura,
> > > >
> > > > Srv1 -- Servidor interno con exchange, sirve páginas SSL, nombre
> interno
> > > > Srv1.geyma.com, contiene el DNS interno, donde SRV1.0.0.1 y el
> nombre
> > > > público Pub1.geyma.com!3.1.1.1. Tiene activo el reenviador a

SRV2

> > > >
> > > > Srv2 -- Servidor con ISA 2004 y DNS de zona secundaria de

Geyma.com,

> > está
> > > > publicando una web de igual nombre a Pub1.geyma.com!3.1.1.1, DNS
> tiene
> > > > activo reenviador a los servidores de mi ISP.
> > > >
> > > > Ordenadores internos, resulven perfectamente DNS interno y

externo,

lo
> > > > curiosos y repito en mayusculas CURIOSO es que solo ocurre con las
> > páginas
> > > > publicadas en SSL, si accedo sin SSL funciona perfectamente.
> > > >
> > > > Esto no pasaba con ISA 2000
> > > >
> > > > Se te ocurre algo?
> > > >
> > > >
> > > >
> > > >
> > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > news:
> > > > > Pregunta tonta ? puede resolver en DNS ?
> > > > > Es muy habitual tener un nombre de dominio interno y un nombre

de

> > > internet
> > > > > distintos y los usuarios internos estan acostumbrados a usar el
> nombre
> > > > > publico independientemente de la ubicacion
> > > > > Si tu dominio interno es Dominio.local y el de internet
Dominio.com,
> > > > tienes
> > > > > creada una zona para Dominio.com en tus DNS internos que

resuelve

en
> > la
> > > IP
> > > > > interna del sitio web ?
> > > > >
> > > > > En el ISA, networks, propiedades de la red interna, pestaña
domains,
> > > > aparece
> > > > > tu dominio interno y otros dominios que utilicen los usuarios
> > > internamente
> > > > ?
> > > > >
> > > > > Un saludo.
> > > > > Ivan
> > > > > MS MVP ISA Server
> > > > >
> > > > >
> > > > > "Gerard Juárez" escribió en el mensaje
> > > > > news:
> > > > > > Si, lo conozco, pero el problema es que utilizamos servicios
como
> > > > > Activesync
> > > > > > que no usas la configuración del proxy, con lo que la solución
no
> > > > termina
> > > > > de
> > > > > > ser completa
> > > > > > :(
> > > > > >
> > > > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > > > news:%23zg%
> > > > > > Como se trata de un sitio web interno, las peticiones nunca
deben
> ir
> > > al
> > > > > ISA.
> > > > > > Esto lo puedes conseguir de dos formas:
> > > > > > 1- En la configuracion del proxy del IE, opciones avanzadas,

no

> usar
> > > > proxy
> > > > > > para las direcciones que comiencen por, agrega tu sitio

interno.

> > > > > > 2- Condifgurandolo en el ISA y en los navegadores haciendo uso
del
> > > > script
> > > > > de
> > > > > > configuracion automatica o detectar la configuracion
> > automaticamente.
> > > > > >
> > > > > > Un saludo.
> > > > > > Ivan
> > > > > > MS MVP ISA Server
> > > > > >
> > > > > >
> > > > > > "Gerard" escribió en el mensaje
> > > > > > news:%
> > > > > > > Hola, el problema es el siguiente, estoy publicando un OWA

con

> > SSL,
> > > si
> > > > > > > conecto a él mediante HTTPS: desde la red externa funciona
> > > > perfectamente
> > > > > > la
> > > > > > > publicación, si conecto desde el host de ISA funciona
> > perfectamente
> > > la
> > > > > > > publicación, pero cuando conecto desde una estación de la

red

> > local
> > > me
> > > > > da
> > > > > > > error de DNS, como si no pudiera resolverlo,
> > > > > > >
> > > > > > > Help please,
> > > > > > >
> > > > > > > Gerard
> > > > > > >
> > > > > > >
> > > > > >
> > > > > >
> > > > >
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>

Ivan, te repito que la dirección pública Pub1 que está enfocado a mi
servidor isa, está publicando servicios de 2 servidores diferentes, con lo
que la solución solo pasa por separar los servicios publicandolos con
nombres de DNS diferentes, esa solución la conozco, pero repito si antes no
ocurria con ISA 2000 por que ahora si con 2004???



"Ivan [MS MVP]" escribió en el mensaje
news:

Si, lo puedes hacer perfectamente.
En internet tienes este registro A:
Pub1.geyma.com!3.1.1.1
En la red interna creas este registro A:
Pub1.geyma.com.0.0.1

Cuando el cliente este en internet utiliza los DNS del ISP y resuelve el
nombre Pub1 en la IP publica del ISA y alcanza el sitio web perfectamente.
Cuando el cliente este en la red interna utiliza los DNS internos y

resuelve

Pub1 en la IP interna del servidor IIS 10.0.0.1 y alcanza el sitio web
perfectemente.
Claro, si me dices que tu ISP mantiene tu correo y utilizas tambien el
nombre Pub1, pues lo siento pero no hay nada que hacer, la unica
solucion seria utilizar en los clientes de correo otro nombre alternativo,
SMTP.geyma.com y agregar en el DNS interno:
smtp.geyma.com!3.1.1.1

Yo no veo mas opciones y, no es un problema de ISA, es problema del diseño
del espacio de nombres. Si miras un poco de informacion relativa al diseño
de dominios, en este caso la eleccion del nombre, siempre que se utiliza

el

mismo nombre para la red interna e internet aparece la problematica con

los

proxys y cortafuegos. No es el diseño recomendado, lo ideal es emplear
nombres ditintos o un subdominio del dominio registrado de internet.

Un saludo.
Ivan
MS MVP ISA Server


"Gerard Juárez" escribió en el mensaje
news:
> No puedo hacer eso ya que por ejemplo active sync sincroniza tanto desde
> dentro como desde fuera a la misma dirección PUB1, además la dirección
pub1
> está publicando servicios en diferentes servidores, y además eso me
> resolverá la navegación por web, pero no los servicios de sockets o
> servicios que no son capaces de usar web proxy.
>
>
> "Ivan [MS MVP]" escribió en el mensaje
> news:%
> > Pero es que internamente no debes usar la IP publica, no debes
enviar
> > las peticiones al ISA y alcanzar los sitios web internos realizando un
> bucle
> > sobre el interface externo del ISA.
> > Elimina las IPs publicas de tus DNS internos, deja solo IPs internas y
> estoy
> > seguro que funcionara correctamente. Recuerda agregar tu dominio

interno

> en
> > la pestaña domains de las propiedades de la red interna. Si no lo

haces,

> en
> > un cliente que ademas de configurado el navegador para usar proxy

tenga

el
> > cliente firewall instalado, de nuevo alcanzaras el sitio web interno
> > realziando un bucle sobre el interface externo del ISA. Esto es asi
porque
> > al excluir en el IE tu dominio interno, la peticion entonces la maneja
el
> > cliente firewall, el cual envia la peticion al ISA y este resolveria

el

> > nombre del sitio interno en la IP publica. Si el dominio inetrno esta
> > agregado en la pestaña domains, el cliente firewall sabe que esa
peticion
> no
> > es para el, el cliente resuelve en los DNS internos y alcanza el sitio
web
> > por dentro, como debe ser..
> >
> > Un saludo.
> > Ivan
> > MS MVP ISA Server
> >
> >
> > "Gerard Juárez" escribió en el mensaje
> > news:
> > > Gracias Ivan, te cuento, los DNS externos los alberga mi ISP, lo que
> > ocurre
> > > es que al utilizar servicios desde la red interna y la red externa
hacia
> > la
> > > dirección externa y trabajar con el mismo nombre de dominio, el host
> > externo
> > > está también publicado internamente para que sea resoluble, de lo
> > contrario
> > > no podría resolver pub1.
> > >
> > > ¿No se si me he explicado bien?
> > >
> > >
> > > "Ivan [MS MVP]" escribió en el mensaje
> > > news:
> > > > Por lo que veo, corrigeme si me equivoco:
> > > > Estas usando el mismo nombre de dominio interno y de internet y
estas
> > > usando
> > > > un unico servidor DNS para la zona interna y de internet, es asi ?
> > > > adelantando un poco, si tu configuracion es esa, debes crear lo

que

se
> > > > denomina un split de DNS que es tan sencillo como decir que
necesitas
> > dos
> > > > servidores DNS, uno que aloje la zona interna y otro servidor para
la
> > zona
> > > > externa y lamentablemente, si necesitas tolerancia a fallos,
> necesitaras
> > 4
> > > > servidores, dos para cada zona. Esta es la unica solucion, no

debes

> bajo
> > > > ningun concepto exponer tu espacio de nombres interno, que me da,

es

> lo
> > > que
> > > > estas haciendo ahora.
> > > > Si no puedes crear este split de DNS lo mejor seria hablar con tu
ISP
> y
> > > ver
> > > > la forma de que este se encarge de administrar tu espacio de

nombres

> de
> > > > internet y dedicar tus DNS internos solo a eso, el espacio de
nombres
> > > > internos y cerrar el acceso desde internet.
> > > >
> > > > Un saludo.
> > > > Ivan
> > > > MS MVP ISA Server
> > > >
> > > >
> > > > "Gerard Juárez" escribió en el mensaje
> > > > news:%
> > > > > veamos, te cueno la estructura,
> > > > >
> > > > > Srv1 -- Servidor interno con exchange, sirve páginas SSL, nombre
> > interno
> > > > > Srv1.geyma.com, contiene el DNS interno, donde SRV1.0.0.1 y

el

> > nombre
> > > > > público Pub1.geyma.com!3.1.1.1. Tiene activo el reenviador a
SRV2
> > > > >
> > > > > Srv2 -- Servidor con ISA 2004 y DNS de zona secundaria de
Geyma.com,
> > > está
> > > > > publicando una web de igual nombre a Pub1.geyma.com!3.1.1.1,

DNS

> > tiene
> > > > > activo reenviador a los servidores de mi ISP.
> > > > >
> > > > > Ordenadores internos, resulven perfectamente DNS interno y
externo,
> lo
> > > > > curiosos y repito en mayusculas CURIOSO es que solo ocurre con

las

> > > páginas
> > > > > publicadas en SSL, si accedo sin SSL funciona perfectamente.
> > > > >
> > > > > Esto no pasaba con ISA 2000
> > > > >
> > > > > Se te ocurre algo?
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > > news:
> > > > > > Pregunta tonta ? puede resolver en DNS ?
> > > > > > Es muy habitual tener un nombre de dominio interno y un nombre
de
> > > > internet
> > > > > > distintos y los usuarios internos estan acostumbrados a usar

el

> > nombre
> > > > > > publico independientemente de la ubicacion
> > > > > > Si tu dominio interno es Dominio.local y el de internet
> Dominio.com,
> > > > > tienes
> > > > > > creada una zona para Dominio.com en tus DNS internos que
resuelve
> en
> > > la
> > > > IP
> > > > > > interna del sitio web ?
> > > > > >
> > > > > > En el ISA, networks, propiedades de la red interna, pestaña
> domains,
> > > > > aparece
> > > > > > tu dominio interno y otros dominios que utilicen los usuarios
> > > > internamente
> > > > > ?
> > > > > >
> > > > > > Un saludo.
> > > > > > Ivan
> > > > > > MS MVP ISA Server
> > > > > >
> > > > > >
> > > > > > "Gerard Juárez" escribió en el mensaje
> > > > > > news:
> > > > > > > Si, lo conozco, pero el problema es que utilizamos servicios
> como
> > > > > > Activesync
> > > > > > > que no usas la configuración del proxy, con lo que la

solución

> no
> > > > > termina
> > > > > > de
> > > > > > > ser completa
> > > > > > > :(
> > > > > > >
> > > > > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > > > > news:%23zg%
> > > > > > > Como se trata de un sitio web interno, las peticiones nunca
> deben
> > ir
> > > > al
> > > > > > ISA.
> > > > > > > Esto lo puedes conseguir de dos formas:
> > > > > > > 1- En la configuracion del proxy del IE, opciones avanzadas,
no
> > usar
> > > > > proxy
> > > > > > > para las direcciones que comiencen por, agrega tu sitio
interno.
> > > > > > > 2- Condifgurandolo en el ISA y en los navegadores haciendo

uso

> del
> > > > > script
> > > > > > de
> > > > > > > configuracion automatica o detectar la configuracion
> > > automaticamente.
> > > > > > >
> > > > > > > Un saludo.
> > > > > > > Ivan
> > > > > > > MS MVP ISA Server
> > > > > > >
> > > > > > >
> > > > > > > "Gerard" escribió en el mensaje
> > > > > > > news:%
> > > > > > > > Hola, el problema es el siguiente, estoy publicando un OWA
con
> > > SSL,
> > > > si
> > > > > > > > conecto a él mediante HTTPS: desde la red externa funciona
> > > > > perfectamente
> > > > > > > la
> > > > > > > > publicación, si conecto desde el host de ISA funciona
> > > perfectamente
> > > > la
> > > > > > > > publicación, pero cuando conecto desde una estación de la
red
> > > local
> > > > me
> > > > > > da
> > > > > > > > error de DNS, como si no pudiera resolverlo,
> > > > > > > >
> > > > > > > > Help please,
> > > > > > > >
> > > > > > > > Gerard
> > > > > > > >
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > >
> > > > > >
> > > > >
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>

Pues con ISA 2000, en estas situaciones, el visor de eventos se llena de
errores 14120 ya que estas alcanzando un sitio web interno desde un cliente
interno haciendo un bucle sobre el interface externo del ISA:
http://support.microsoft.com/defaul...-us;288396

En ISA 2004 ? si te soy sincero no lo he probado ni por curiosidad... es
algo que hay que evitar siempre y por lo tanto aun funcionando, no es una
implementacion correcta.

Un saludo.
Ivan
MS MVP ISA Server


"Gerard Juárez" escribió en el mensaje
news:

Ivan, te repito que la dirección pública Pub1 que está enfocado a mi
servidor isa, está publicando servicios de 2 servidores diferentes, con lo
que la solución solo pasa por separar los servicios publicandolos con
nombres de DNS diferentes, esa solución la conozco, pero repito si antes

no

ocurria con ISA 2000 por que ahora si con 2004???



"Ivan [MS MVP]" escribió en el mensaje
news:
> Si, lo puedes hacer perfectamente.
> En internet tienes este registro A:
> Pub1.geyma.com!3.1.1.1
> En la red interna creas este registro A:
> Pub1.geyma.com.0.0.1
>
> Cuando el cliente este en internet utiliza los DNS del ISP y resuelve el
> nombre Pub1 en la IP publica del ISA y alcanza el sitio web

perfectamente.

> Cuando el cliente este en la red interna utiliza los DNS internos y
resuelve
> Pub1 en la IP interna del servidor IIS 10.0.0.1 y alcanza el sitio web
> perfectemente.
> Claro, si me dices que tu ISP mantiene tu correo y utilizas tambien el
> nombre Pub1, pues lo siento pero no hay nada que hacer, la unica
> solucion seria utilizar en los clientes de correo otro nombre

alternativo,

> SMTP.geyma.com y agregar en el DNS interno:
> smtp.geyma.com!3.1.1.1
>
> Yo no veo mas opciones y, no es un problema de ISA, es problema del

diseño

> del espacio de nombres. Si miras un poco de informacion relativa al

diseño

> de dominios, en este caso la eleccion del nombre, siempre que se utiliza
el
> mismo nombre para la red interna e internet aparece la problematica con
los
> proxys y cortafuegos. No es el diseño recomendado, lo ideal es emplear
> nombres ditintos o un subdominio del dominio registrado de internet.
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "Gerard Juárez" escribió en el mensaje
> news:
> > No puedo hacer eso ya que por ejemplo active sync sincroniza tanto

desde

> > dentro como desde fuera a la misma dirección PUB1, además la dirección
> pub1
> > está publicando servicios en diferentes servidores, y además eso me
> > resolverá la navegación por web, pero no los servicios de sockets o
> > servicios que no son capaces de usar web proxy.
> >
> >
> > "Ivan [MS MVP]" escribió en el mensaje
> > news:%
> > > Pero es que internamente no debes usar la IP publica, no debes
> enviar
> > > las peticiones al ISA y alcanzar los sitios web internos realizando

un

> > bucle
> > > sobre el interface externo del ISA.
> > > Elimina las IPs publicas de tus DNS internos, deja solo IPs internas

y

> > estoy
> > > seguro que funcionara correctamente. Recuerda agregar tu dominio
interno
> > en
> > > la pestaña domains de las propiedades de la red interna. Si no lo
haces,
> > en
> > > un cliente que ademas de configurado el navegador para usar proxy
tenga
> el
> > > cliente firewall instalado, de nuevo alcanzaras el sitio web interno
> > > realziando un bucle sobre el interface externo del ISA. Esto es asi
> porque
> > > al excluir en el IE tu dominio interno, la peticion entonces la

maneja

> el
> > > cliente firewall, el cual envia la peticion al ISA y este resolveria
el
> > > nombre del sitio interno en la IP publica. Si el dominio inetrno

esta

> > > agregado en la pestaña domains, el cliente firewall sabe que esa
> peticion
> > no
> > > es para el, el cliente resuelve en los DNS internos y alcanza el

sitio

> web
> > > por dentro, como debe ser..
> > >
> > > Un saludo.
> > > Ivan
> > > MS MVP ISA Server
> > >
> > >
> > > "Gerard Juárez" escribió en el mensaje
> > > news:
> > > > Gracias Ivan, te cuento, los DNS externos los alberga mi ISP, lo

que

> > > ocurre
> > > > es que al utilizar servicios desde la red interna y la red externa
> hacia
> > > la
> > > > dirección externa y trabajar con el mismo nombre de dominio, el

host

> > > externo
> > > > está también publicado internamente para que sea resoluble, de lo
> > > contrario
> > > > no podría resolver pub1.
> > > >
> > > > ¿No se si me he explicado bien?
> > > >
> > > >
> > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > news:
> > > > > Por lo que veo, corrigeme si me equivoco:
> > > > > Estas usando el mismo nombre de dominio interno y de internet y
> estas
> > > > usando
> > > > > un unico servidor DNS para la zona interna y de internet, es asi

?

> > > > > adelantando un poco, si tu configuracion es esa, debes crear lo
que
> se
> > > > > denomina un split de DNS que es tan sencillo como decir que
> necesitas
> > > dos
> > > > > servidores DNS, uno que aloje la zona interna y otro servidor

para

> la
> > > zona
> > > > > externa y lamentablemente, si necesitas tolerancia a fallos,
> > necesitaras
> > > 4
> > > > > servidores, dos para cada zona. Esta es la unica solucion, no
debes
> > bajo
> > > > > ningun concepto exponer tu espacio de nombres interno, que me

da,

es
> > lo
> > > > que
> > > > > estas haciendo ahora.
> > > > > Si no puedes crear este split de DNS lo mejor seria hablar con

tu

> ISP
> > y
> > > > ver
> > > > > la forma de que este se encarge de administrar tu espacio de
nombres
> > de
> > > > > internet y dedicar tus DNS internos solo a eso, el espacio de
> nombres
> > > > > internos y cerrar el acceso desde internet.
> > > > >
> > > > > Un saludo.
> > > > > Ivan
> > > > > MS MVP ISA Server
> > > > >
> > > > >
> > > > > "Gerard Juárez" escribió en el mensaje
> > > > > news:%
> > > > > > veamos, te cueno la estructura,
> > > > > >
> > > > > > Srv1 -- Servidor interno con exchange, sirve páginas SSL,

nombre

> > > interno
> > > > > > Srv1.geyma.com, contiene el DNS interno, donde SRV1.0.0.1 y
el
> > > nombre
> > > > > > público Pub1.geyma.com!3.1.1.1. Tiene activo el reenviador a
> SRV2
> > > > > >
> > > > > > Srv2 -- Servidor con ISA 2004 y DNS de zona secundaria de
> Geyma.com,
> > > > está
> > > > > > publicando una web de igual nombre a Pub1.geyma.com!3.1.1.1,
DNS
> > > tiene
> > > > > > activo reenviador a los servidores de mi ISP.
> > > > > >
> > > > > > Ordenadores internos, resulven perfectamente DNS interno y
> externo,
> > lo
> > > > > > curiosos y repito en mayusculas CURIOSO es que solo ocurre con
las
> > > > páginas
> > > > > > publicadas en SSL, si accedo sin SSL funciona perfectamente.
> > > > > >
> > > > > > Esto no pasaba con ISA 2000
> > > > > >
> > > > > > Se te ocurre algo?
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > > > news:
> > > > > > > Pregunta tonta ? puede resolver en DNS ?
> > > > > > > Es muy habitual tener un nombre de dominio interno y un

nombre

> de
> > > > > internet
> > > > > > > distintos y los usuarios internos estan acostumbrados a usar
el
> > > nombre
> > > > > > > publico independientemente de la ubicacion
> > > > > > > Si tu dominio interno es Dominio.local y el de internet
> > Dominio.com,
> > > > > > tienes
> > > > > > > creada una zona para Dominio.com en tus DNS internos que
> resuelve
> > en
> > > > la
> > > > > IP
> > > > > > > interna del sitio web ?
> > > > > > >
> > > > > > > En el ISA, networks, propiedades de la red interna, pestaña
> > domains,
> > > > > > aparece
> > > > > > > tu dominio interno y otros dominios que utilicen los

usuarios

> > > > > internamente
> > > > > > ?
> > > > > > >
> > > > > > > Un saludo.
> > > > > > > Ivan
> > > > > > > MS MVP ISA Server
> > > > > > >
> > > > > > >
> > > > > > > "Gerard Juárez" escribió en el mensaje
> > > > > > > news:
> > > > > > > > Si, lo conozco, pero el problema es que utilizamos

servicios

> > como
> > > > > > > Activesync
> > > > > > > > que no usas la configuración del proxy, con lo que la
solución
> > no
> > > > > > termina
> > > > > > > de
> > > > > > > > ser completa
> > > > > > > > :(
> > > > > > > >
> > > > > > > > "Ivan [MS MVP]" escribió en el

mensaje

> > > > > > > > news:%23zg%
> > > > > > > > Como se trata de un sitio web interno, las peticiones

nunca

> > deben
> > > ir
> > > > > al
> > > > > > > ISA.
> > > > > > > > Esto lo puedes conseguir de dos formas:
> > > > > > > > 1- En la configuracion del proxy del IE, opciones

avanzadas,

> no
> > > usar
> > > > > > proxy
> > > > > > > > para las direcciones que comiencen por, agrega tu sitio
> interno.
> > > > > > > > 2- Condifgurandolo en el ISA y en los navegadores haciendo
uso
> > del
> > > > > > script
> > > > > > > de
> > > > > > > > configuracion automatica o detectar la configuracion
> > > > automaticamente.
> > > > > > > >
> > > > > > > > Un saludo.
> > > > > > > > Ivan
> > > > > > > > MS MVP ISA Server
> > > > > > > >
> > > > > > > >
> > > > > > > > "Gerard" escribió en el mensaje
> > > > > > > > news:%
> > > > > > > > > Hola, el problema es el siguiente, estoy publicando un

OWA

> con
> > > > SSL,
> > > > > si
> > > > > > > > > conecto a él mediante HTTPS: desde la red externa

funciona

> > > > > > perfectamente
> > > > > > > > la
> > > > > > > > > publicación, si conecto desde el host de ISA funciona
> > > > perfectamente
> > > > > la
> > > > > > > > > publicación, pero cuando conecto desde una estación de

la

> red
> > > > local
> > > > > me
> > > > > > > da
> > > > > > > > > error de DNS, como si no pudiera resolverlo,
> > > > > > > > >
> > > > > > > > > Help please,
> > > > > > > > >
> > > > > > > > > Gerard
> > > > > > > > >
> > > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > >
> > > > > >
> > > > >
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>