Problema con ISA 2004 y publicación SSL

Bueno, he realizado algunas pruebas y si miras el visor de eventos del ISA
vas a encontrar errores 14141, proxy chain loop. En mi caso no funciona ni
con HTTP ni con HTTPS, si bien los errores son distintos, sobre SSL se
obtiene DNS error y sobre HTTPS un error del ISA.

Un saludo.
Ivan
MS MVP ISA Server


"Gerard Juárez" escribió en el mensaje
news:

Ivan, te repito que la dirección pública Pub1 que está enfocado a mi
servidor isa, está publicando servicios de 2 servidores diferentes, con lo
que la solución solo pasa por separar los servicios publicandolos con
nombres de DNS diferentes, esa solución la conozco, pero repito si antes

no

ocurria con ISA 2000 por que ahora si con 2004???



"Ivan [MS MVP]" escribió en el mensaje
news:
> Si, lo puedes hacer perfectamente.
> En internet tienes este registro A:
> Pub1.geyma.com!3.1.1.1
> En la red interna creas este registro A:
> Pub1.geyma.com.0.0.1
>
> Cuando el cliente este en internet utiliza los DNS del ISP y resuelve el
> nombre Pub1 en la IP publica del ISA y alcanza el sitio web

perfectamente.

> Cuando el cliente este en la red interna utiliza los DNS internos y
resuelve
> Pub1 en la IP interna del servidor IIS 10.0.0.1 y alcanza el sitio web
> perfectemente.
> Claro, si me dices que tu ISP mantiene tu correo y utilizas tambien el
> nombre Pub1, pues lo siento pero no hay nada que hacer, la unica
> solucion seria utilizar en los clientes de correo otro nombre

alternativo,

> SMTP.geyma.com y agregar en el DNS interno:
> smtp.geyma.com!3.1.1.1
>
> Yo no veo mas opciones y, no es un problema de ISA, es problema del

diseño

> del espacio de nombres. Si miras un poco de informacion relativa al

diseño

> de dominios, en este caso la eleccion del nombre, siempre que se utiliza
el
> mismo nombre para la red interna e internet aparece la problematica con
los
> proxys y cortafuegos. No es el diseño recomendado, lo ideal es emplear
> nombres ditintos o un subdominio del dominio registrado de internet.
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "Gerard Juárez" escribió en el mensaje
> news:
> > No puedo hacer eso ya que por ejemplo active sync sincroniza tanto

desde

> > dentro como desde fuera a la misma dirección PUB1, además la dirección
> pub1
> > está publicando servicios en diferentes servidores, y además eso me
> > resolverá la navegación por web, pero no los servicios de sockets o
> > servicios que no son capaces de usar web proxy.
> >
> >
> > "Ivan [MS MVP]" escribió en el mensaje
> > news:%
> > > Pero es que internamente no debes usar la IP publica, no debes
> enviar
> > > las peticiones al ISA y alcanzar los sitios web internos realizando

un

> > bucle
> > > sobre el interface externo del ISA.
> > > Elimina las IPs publicas de tus DNS internos, deja solo IPs internas

y

> > estoy
> > > seguro que funcionara correctamente. Recuerda agregar tu dominio
interno
> > en
> > > la pestaña domains de las propiedades de la red interna. Si no lo
haces,
> > en
> > > un cliente que ademas de configurado el navegador para usar proxy
tenga
> el
> > > cliente firewall instalado, de nuevo alcanzaras el sitio web interno
> > > realziando un bucle sobre el interface externo del ISA. Esto es asi
> porque
> > > al excluir en el IE tu dominio interno, la peticion entonces la

maneja

> el
> > > cliente firewall, el cual envia la peticion al ISA y este resolveria
el
> > > nombre del sitio interno en la IP publica. Si el dominio inetrno

esta

> > > agregado en la pestaña domains, el cliente firewall sabe que esa
> peticion
> > no
> > > es para el, el cliente resuelve en los DNS internos y alcanza el

sitio

> web
> > > por dentro, como debe ser..
> > >
> > > Un saludo.
> > > Ivan
> > > MS MVP ISA Server
> > >
> > >
> > > "Gerard Juárez" escribió en el mensaje
> > > news:
> > > > Gracias Ivan, te cuento, los DNS externos los alberga mi ISP, lo

que

> > > ocurre
> > > > es que al utilizar servicios desde la red interna y la red externa
> hacia
> > > la
> > > > dirección externa y trabajar con el mismo nombre de dominio, el

host

> > > externo
> > > > está también publicado internamente para que sea resoluble, de lo
> > > contrario
> > > > no podría resolver pub1.
> > > >
> > > > ¿No se si me he explicado bien?
> > > >
> > > >
> > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > news:
> > > > > Por lo que veo, corrigeme si me equivoco:
> > > > > Estas usando el mismo nombre de dominio interno y de internet y
> estas
> > > > usando
> > > > > un unico servidor DNS para la zona interna y de internet, es asi

?

> > > > > adelantando un poco, si tu configuracion es esa, debes crear lo
que
> se
> > > > > denomina un split de DNS que es tan sencillo como decir que
> necesitas
> > > dos
> > > > > servidores DNS, uno que aloje la zona interna y otro servidor

para

> la
> > > zona
> > > > > externa y lamentablemente, si necesitas tolerancia a fallos,
> > necesitaras
> > > 4
> > > > > servidores, dos para cada zona. Esta es la unica solucion, no
debes
> > bajo
> > > > > ningun concepto exponer tu espacio de nombres interno, que me

da,

es
> > lo
> > > > que
> > > > > estas haciendo ahora.
> > > > > Si no puedes crear este split de DNS lo mejor seria hablar con

tu

> ISP
> > y
> > > > ver
> > > > > la forma de que este se encarge de administrar tu espacio de
nombres
> > de
> > > > > internet y dedicar tus DNS internos solo a eso, el espacio de
> nombres
> > > > > internos y cerrar el acceso desde internet.
> > > > >
> > > > > Un saludo.
> > > > > Ivan
> > > > > MS MVP ISA Server
> > > > >
> > > > >
> > > > > "Gerard Juárez" escribió en el mensaje
> > > > > news:%
> > > > > > veamos, te cueno la estructura,
> > > > > >
> > > > > > Srv1 -- Servidor interno con exchange, sirve páginas SSL,

nombre

> > > interno
> > > > > > Srv1.geyma.com, contiene el DNS interno, donde SRV1.0.0.1 y
el
> > > nombre
> > > > > > público Pub1.geyma.com!3.1.1.1. Tiene activo el reenviador a
> SRV2
> > > > > >
> > > > > > Srv2 -- Servidor con ISA 2004 y DNS de zona secundaria de
> Geyma.com,
> > > > está
> > > > > > publicando una web de igual nombre a Pub1.geyma.com!3.1.1.1,
DNS
> > > tiene
> > > > > > activo reenviador a los servidores de mi ISP.
> > > > > >
> > > > > > Ordenadores internos, resulven perfectamente DNS interno y
> externo,
> > lo
> > > > > > curiosos y repito en mayusculas CURIOSO es que solo ocurre con
las
> > > > páginas
> > > > > > publicadas en SSL, si accedo sin SSL funciona perfectamente.
> > > > > >
> > > > > > Esto no pasaba con ISA 2000
> > > > > >
> > > > > > Se te ocurre algo?
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > > > news:
> > > > > > > Pregunta tonta ? puede resolver en DNS ?
> > > > > > > Es muy habitual tener un nombre de dominio interno y un

nombre

> de
> > > > > internet
> > > > > > > distintos y los usuarios internos estan acostumbrados a usar
el
> > > nombre
> > > > > > > publico independientemente de la ubicacion
> > > > > > > Si tu dominio interno es Dominio.local y el de internet
> > Dominio.com,
> > > > > > tienes
> > > > > > > creada una zona para Dominio.com en tus DNS internos que
> resuelve
> > en
> > > > la
> > > > > IP
> > > > > > > interna del sitio web ?
> > > > > > >
> > > > > > > En el ISA, networks, propiedades de la red interna, pestaña
> > domains,
> > > > > > aparece
> > > > > > > tu dominio interno y otros dominios que utilicen los

usuarios

> > > > > internamente
> > > > > > ?
> > > > > > >
> > > > > > > Un saludo.
> > > > > > > Ivan
> > > > > > > MS MVP ISA Server
> > > > > > >
> > > > > > >
> > > > > > > "Gerard Juárez" escribió en el mensaje
> > > > > > > news:
> > > > > > > > Si, lo conozco, pero el problema es que utilizamos

servicios

> > como
> > > > > > > Activesync
> > > > > > > > que no usas la configuración del proxy, con lo que la
solución
> > no
> > > > > > termina
> > > > > > > de
> > > > > > > > ser completa
> > > > > > > > :(
> > > > > > > >
> > > > > > > > "Ivan [MS MVP]" escribió en el

mensaje

> > > > > > > > news:%23zg%
> > > > > > > > Como se trata de un sitio web interno, las peticiones

nunca

> > deben
> > > ir
> > > > > al
> > > > > > > ISA.
> > > > > > > > Esto lo puedes conseguir de dos formas:
> > > > > > > > 1- En la configuracion del proxy del IE, opciones

avanzadas,

> no
> > > usar
> > > > > > proxy
> > > > > > > > para las direcciones que comiencen por, agrega tu sitio
> interno.
> > > > > > > > 2- Condifgurandolo en el ISA y en los navegadores haciendo
uso
> > del
> > > > > > script
> > > > > > > de
> > > > > > > > configuracion automatica o detectar la configuracion
> > > > automaticamente.
> > > > > > > >
> > > > > > > > Un saludo.
> > > > > > > > Ivan
> > > > > > > > MS MVP ISA Server
> > > > > > > >
> > > > > > > >
> > > > > > > > "Gerard" escribió en el mensaje
> > > > > > > > news:%
> > > > > > > > > Hola, el problema es el siguiente, estoy publicando un

OWA

> con
> > > > SSL,
> > > > > si
> > > > > > > > > conecto a él mediante HTTPS: desde la red externa

funciona

> > > > > > perfectamente
> > > > > > > > la
> > > > > > > > > publicación, si conecto desde el host de ISA funciona
> > > > perfectamente
> > > > > la
> > > > > > > > > publicación, pero cuando conecto desde una estación de

la

> red
> > > > local
> > > > > me
> > > > > > > da
> > > > > > > > > error de DNS, como si no pudiera resolverlo,
> > > > > > > > >
> > > > > > > > > Help please,
> > > > > > > > >
> > > > > > > > > Gerard
> > > > > > > > >
> > > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > >
> > > > > >
> > > > >
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>

Hola Ivan, si bien, es cierto que la configuración correcta es hacer las
modificaciones de DNS, pero me mosquea en extremo que algo que antes
funcionaba sin errores de cadena ni de ningun tipo funcinaba, ahora ya no,
piensa que era cómodo no tener que pedir nada a los operadores que siempre
es difícil, de todas formas, seguramente lo que haga sea configurar los DNS
y pedir otro host, aunque los errores que indicas a mi no me aparecen y
funciona perfectamente todo en 2000.


"Ivan [MS MVP]" escribió en el mensaje
news:

Bueno, he realizado algunas pruebas y si miras el visor de eventos del ISA
vas a encontrar errores 14141, proxy chain loop. En mi caso no funciona ni
con HTTP ni con HTTPS, si bien los errores son distintos, sobre SSL se
obtiene DNS error y sobre HTTPS un error del ISA.

Un saludo.
Ivan
MS MVP ISA Server


"Gerard Juárez" escribió en el mensaje
news:
> Ivan, te repito que la dirección pública Pub1 que está enfocado a mi
> servidor isa, está publicando servicios de 2 servidores diferentes, con

lo

> que la solución solo pasa por separar los servicios publicandolos con
> nombres de DNS diferentes, esa solución la conozco, pero repito si antes
no
> ocurria con ISA 2000 por que ahora si con 2004???
>
>
>
> "Ivan [MS MVP]" escribió en el mensaje
> news:
> > Si, lo puedes hacer perfectamente.
> > En internet tienes este registro A:
> > Pub1.geyma.com!3.1.1.1
> > En la red interna creas este registro A:
> > Pub1.geyma.com.0.0.1
> >
> > Cuando el cliente este en internet utiliza los DNS del ISP y resuelve

el

> > nombre Pub1 en la IP publica del ISA y alcanza el sitio web
perfectamente.
> > Cuando el cliente este en la red interna utiliza los DNS internos y
> resuelve
> > Pub1 en la IP interna del servidor IIS 10.0.0.1 y alcanza el sitio web
> > perfectemente.
> > Claro, si me dices que tu ISP mantiene tu correo y utilizas tambien el
> > nombre Pub1, pues lo siento pero no hay nada que hacer, la unica
> > solucion seria utilizar en los clientes de correo otro nombre
alternativo,
> > SMTP.geyma.com y agregar en el DNS interno:
> > smtp.geyma.com!3.1.1.1
> >
> > Yo no veo mas opciones y, no es un problema de ISA, es problema del
diseño
> > del espacio de nombres. Si miras un poco de informacion relativa al
diseño
> > de dominios, en este caso la eleccion del nombre, siempre que se

utiliza

> el
> > mismo nombre para la red interna e internet aparece la problematica

con

> los
> > proxys y cortafuegos. No es el diseño recomendado, lo ideal es emplear
> > nombres ditintos o un subdominio del dominio registrado de internet.
> >
> > Un saludo.
> > Ivan
> > MS MVP ISA Server
> >
> >
> > "Gerard Juárez" escribió en el mensaje
> > news:
> > > No puedo hacer eso ya que por ejemplo active sync sincroniza tanto
desde
> > > dentro como desde fuera a la misma dirección PUB1, además la

dirección

> > pub1
> > > está publicando servicios en diferentes servidores, y además eso me
> > > resolverá la navegación por web, pero no los servicios de sockets o
> > > servicios que no son capaces de usar web proxy.
> > >
> > >
> > > "Ivan [MS MVP]" escribió en el mensaje
> > > news:%
> > > > Pero es que internamente no debes usar la IP publica, no debes
> > enviar
> > > > las peticiones al ISA y alcanzar los sitios web internos

realizando

un
> > > bucle
> > > > sobre el interface externo del ISA.
> > > > Elimina las IPs publicas de tus DNS internos, deja solo IPs

internas

y
> > > estoy
> > > > seguro que funcionara correctamente. Recuerda agregar tu dominio
> interno
> > > en
> > > > la pestaña domains de las propiedades de la red interna. Si no lo
> haces,
> > > en
> > > > un cliente que ademas de configurado el navegador para usar proxy
> tenga
> > el
> > > > cliente firewall instalado, de nuevo alcanzaras el sitio web

interno

> > > > realziando un bucle sobre el interface externo del ISA. Esto es

asi

> > porque
> > > > al excluir en el IE tu dominio interno, la peticion entonces la
maneja
> > el
> > > > cliente firewall, el cual envia la peticion al ISA y este

resolveria

> el
> > > > nombre del sitio interno en la IP publica. Si el dominio inetrno
esta
> > > > agregado en la pestaña domains, el cliente firewall sabe que esa
> > peticion
> > > no
> > > > es para el, el cliente resuelve en los DNS internos y alcanza el
sitio
> > web
> > > > por dentro, como debe ser..
> > > >
> > > > Un saludo.
> > > > Ivan
> > > > MS MVP ISA Server
> > > >
> > > >
> > > > "Gerard Juárez" escribió en el mensaje
> > > > news:
> > > > > Gracias Ivan, te cuento, los DNS externos los alberga mi ISP, lo
que
> > > > ocurre
> > > > > es que al utilizar servicios desde la red interna y la red

externa

> > hacia
> > > > la
> > > > > dirección externa y trabajar con el mismo nombre de dominio, el
host
> > > > externo
> > > > > está también publicado internamente para que sea resoluble, de

lo

> > > > contrario
> > > > > no podría resolver pub1.
> > > > >
> > > > > ¿No se si me he explicado bien?
> > > > >
> > > > >
> > > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > > news:
> > > > > > Por lo que veo, corrigeme si me equivoco:
> > > > > > Estas usando el mismo nombre de dominio interno y de internet

y

> > estas
> > > > > usando
> > > > > > un unico servidor DNS para la zona interna y de internet, es

asi

?
> > > > > > adelantando un poco, si tu configuracion es esa, debes crear

lo

> que
> > se
> > > > > > denomina un split de DNS que es tan sencillo como decir que
> > necesitas
> > > > dos
> > > > > > servidores DNS, uno que aloje la zona interna y otro servidor
para
> > la
> > > > zona
> > > > > > externa y lamentablemente, si necesitas tolerancia a fallos,
> > > necesitaras
> > > > 4
> > > > > > servidores, dos para cada zona. Esta es la unica solucion, no
> debes
> > > bajo
> > > > > > ningun concepto exponer tu espacio de nombres interno, que me
da,
> es
> > > lo
> > > > > que
> > > > > > estas haciendo ahora.
> > > > > > Si no puedes crear este split de DNS lo mejor seria hablar con
tu
> > ISP
> > > y
> > > > > ver
> > > > > > la forma de que este se encarge de administrar tu espacio de
> nombres
> > > de
> > > > > > internet y dedicar tus DNS internos solo a eso, el espacio de
> > nombres
> > > > > > internos y cerrar el acceso desde internet.
> > > > > >
> > > > > > Un saludo.
> > > > > > Ivan
> > > > > > MS MVP ISA Server
> > > > > >
> > > > > >
> > > > > > "Gerard Juárez" escribió en el mensaje
> > > > > > news:%
> > > > > > > veamos, te cueno la estructura,
> > > > > > >
> > > > > > > Srv1 -- Servidor interno con exchange, sirve páginas SSL,
nombre
> > > > interno
> > > > > > > Srv1.geyma.com, contiene el DNS interno, donde SRV1.0.0.1

y

> el
> > > > nombre
> > > > > > > público Pub1.geyma.com!3.1.1.1. Tiene activo el reenviador

a

> > SRV2
> > > > > > >
> > > > > > > Srv2 -- Servidor con ISA 2004 y DNS de zona secundaria de
> > Geyma.com,
> > > > > está
> > > > > > > publicando una web de igual nombre a

Pub1.geyma.com!3.1.1.1,

> DNS
> > > > tiene
> > > > > > > activo reenviador a los servidores de mi ISP.
> > > > > > >
> > > > > > > Ordenadores internos, resulven perfectamente DNS interno y
> > externo,
> > > lo
> > > > > > > curiosos y repito en mayusculas CURIOSO es que solo ocurre

con

> las
> > > > > páginas
> > > > > > > publicadas en SSL, si accedo sin SSL funciona perfectamente.
> > > > > > >
> > > > > > > Esto no pasaba con ISA 2000
> > > > > > >
> > > > > > > Se te ocurre algo?
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > "Ivan [MS MVP]" escribió en el mensaje
> > > > > > > news:
> > > > > > > > Pregunta tonta ? puede resolver en DNS ?
> > > > > > > > Es muy habitual tener un nombre de dominio interno y un
nombre
> > de
> > > > > > internet
> > > > > > > > distintos y los usuarios internos estan acostumbrados a

usar

> el
> > > > nombre
> > > > > > > > publico independientemente de la ubicacion
> > > > > > > > Si tu dominio interno es Dominio.local y el de internet
> > > Dominio.com,
> > > > > > > tienes
> > > > > > > > creada una zona para Dominio.com en tus DNS internos que
> > resuelve
> > > en
> > > > > la
> > > > > > IP
> > > > > > > > interna del sitio web ?
> > > > > > > >
> > > > > > > > En el ISA, networks, propiedades de la red interna,

pestaña

> > > domains,
> > > > > > > aparece
> > > > > > > > tu dominio interno y otros dominios que utilicen los
usuarios
> > > > > > internamente
> > > > > > > ?
> > > > > > > >
> > > > > > > > Un saludo.
> > > > > > > > Ivan
> > > > > > > > MS MVP ISA Server
> > > > > > > >
> > > > > > > >
> > > > > > > > "Gerard Juárez" escribió en el

mensaje

> > > > > > > > news:
> > > > > > > > > Si, lo conozco, pero el problema es que utilizamos
servicios
> > > como
> > > > > > > > Activesync
> > > > > > > > > que no usas la configuración del proxy, con lo que la
> solución
> > > no
> > > > > > > termina
> > > > > > > > de
> > > > > > > > > ser completa
> > > > > > > > > :(
> > > > > > > > >
> > > > > > > > > "Ivan [MS MVP]" escribió en el
mensaje
> > > > > > > > > news:%23zg%
> > > > > > > > > Como se trata de un sitio web interno, las peticiones
nunca
> > > deben
> > > > ir
> > > > > > al
> > > > > > > > ISA.
> > > > > > > > > Esto lo puedes conseguir de dos formas:
> > > > > > > > > 1- En la configuracion del proxy del IE, opciones
avanzadas,
> > no
> > > > usar
> > > > > > > proxy
> > > > > > > > > para las direcciones que comiencen por, agrega tu sitio
> > interno.
> > > > > > > > > 2- Condifgurandolo en el ISA y en los navegadores

haciendo

> uso
> > > del
> > > > > > > script
> > > > > > > > de
> > > > > > > > > configuracion automatica o detectar la configuracion
> > > > > automaticamente.
> > > > > > > > >
> > > > > > > > > Un saludo.
> > > > > > > > > Ivan
> > > > > > > > > MS MVP ISA Server
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > "Gerard" escribió en el mensaje
> > > > > > > > > news:%
> > > > > > > > > > Hola, el problema es el siguiente, estoy publicando un
OWA
> > con
> > > > > SSL,
> > > > > > si
> > > > > > > > > > conecto a él mediante HTTPS: desde la red externa
funciona
> > > > > > > perfectamente
> > > > > > > > > la
> > > > > > > > > > publicación, si conecto desde el host de ISA funciona
> > > > > perfectamente
> > > > > > la
> > > > > > > > > > publicación, pero cuando conecto desde una estación de
la
> > red
> > > > > local
> > > > > > me
> > > > > > > > da
> > > > > > > > > > error de DNS, como si no pudiera resolverlo,
> > > > > > > > > >
> > > > > > > > > > Help please,
> > > > > > > > > >
> > > > > > > > > > Gerard
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > >
> > > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > >
> > > > > >
> > > > >
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>