¿problema del ISA?

La aplicación solo funciona con direcciones Ip.
La verdad que me he llevado un decepción, solamente tengo 6 reglas de sitios
y contenidos, y se pega casi 15 segundos para hacer la query. Si le pongo
que todo hagan todo, no tarda ni un segundo.
¿entonces?, la solucion es esperar el próxima Service Pack. ¿ahora que hago
con todas mis restricciones? ¿esto tambien pasa con la versión 2004?
Gracias.,

"Ivan [MS MVP]" escribió en el mensaje
news:

Al atacar por IP y tener reglas de sitio y contenido que bloquean ciertos
destinos, ISA realiza una query inversa para ver si esas IPs se

corresponden

con algunos destinos bloqueados. Si es posible, configura la aplicacion

para

que utilice nombres DNS en lugar de IPs. Otra opcion:
http://support.microsoft.com/kb/292018/EN-US/

Un saludo.
Ivan
MS MVP ISA Server


"JVGG" escribió en el mensaje
news:%
> Perdona el retraso, pero me surgió un tema urgente y tuve que parar
> este
> Efectivamente, he creado lo que me comentas y ha funcionado

perfectamente.

> ¿entonces? ¿a que es debido?
>
> "Ivan [MS MVP]" escribió en el mensaje
> news:
> Tienes reglas que deniegan ciertos destinos ? prueba un instante a
> deshabilitar todas las reglas de sitio y contenido y crea una que

permite

> todos los destinos a cualquier peticion, y a ver
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "JVGG" escribió en el mensaje
> news:
>> Iván creo que se conecta por Ip, pero no estoy seguro, tendría que
>> preguntarselo a la empresa que ha desarrollado el software.
>>
>> Lo de probar las iPs en regla de sitios y contenidos en los

destinations

> ya
>> están puestas las ips de los servidores remotos ya está configurado
>> así...
>>
>> No lo entiendo. ¿alguna pista?
>>
>> "Ivan [MS MVP]" escribió en el mensaje
>> news:eQsa%
>> Esa aplicacion se conecta por IP o utiliza un nombre FQDN ?
>> Prueba a permitir la IP o las IPs de los servidores remotos a los que

se

>> conecta en la regla de sitio y contenido.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JVGG" escribió en el mensaje
>> news:OWZJJ$
>> > Hemos instalado una aplicación en la empresa que se conecta a

internet

>> para
>> > transmitir una información puntual.
>> > Los clientes tiene instalado el cliente Firewall (Isa 2000).
>> >
>> > He creado una regla de protocolo para permitir el puerto 2048 hacia
> dentro
>> y
>> > fuero. También he creado un "Site and content Rules" a las

direcciones

> ips
>> > de los servidores donde han de transmitir la información.
>> >
>> > Todo funciona perfectamente, pero, va muy lento, tarda en hacer la
>> conexión
>> > con el servidor unos 13 segundos, pero la información la transmite al
>> > momento.
>> > Solo es lento en la conexión.
>> > He probado a hacerlo desde un Pc conectado directamente al router sin
>> pasar
>> > por el firewall (puerta de enlace) y va rapidisimo (1 segundo).
>> > ¿Que puede ser? ¿podeis ayudarme?
>> > Gracias.,
>> >
>> >
>> >
>>
>>
>
>

JVGG, piensalo un poco y no culpes al ISA tan rapido, ese comportmiento es
de toda logica. Tu deniegas www.microsoft.com, y un usuario "eapabilado"
utiliza la IP y se salta todas las restricciones. Siempre que sea posible,
es infinitamente superior usar nombres DNS en las aplicaciones y no IPs, y
los motivos son muchos.
Mira el articulo que te pase y realiza lo que hay indica. Otra solucion es
que el proveedor de esa aplicacion, tenga definida la zona inversa. Si esta
zona existe, el ISA resuelve rapidamente y todo funciona sin problemas.
ISA 2004, lo mismo y lo puedes ver facilmente con un sniffer. Pero, como las
reglas se evaluan en orden, funcionaria sin problemas si situas la regla en
el orden adecuado.

Otra opcion en ISA 2000 es no emplear reglas que deniegan, solo reglas que
permiten lo necesario.

Un saludo.
Ivan
MS MVP ISA Server


"JVGG" escribió en el mensaje
news:

La aplicación solo funciona con direcciones Ip.
La verdad que me he llevado un decepción, solamente tengo 6 reglas de
sitios
y contenidos, y se pega casi 15 segundos para hacer la query. Si le pongo
que todo hagan todo, no tarda ni un segundo.
¿entonces?, la solucion es esperar el próxima Service Pack. ¿ahora que
hago
con todas mis restricciones? ¿esto tambien pasa con la versión 2004?
Gracias.,

"Ivan [MS MVP]" escribió en el mensaje
news:

Al atacar por IP y tener reglas de sitio y contenido que bloquean ciertos
destinos, ISA realiza una query inversa para ver si esas IPs se

corresponden

con algunos destinos bloqueados. Si es posible, configura la aplicacion

para

que utilice nombres DNS en lugar de IPs. Otra opcion:
http://support.microsoft.com/kb/292018/EN-US/

Un saludo.
Ivan
MS MVP ISA Server


"JVGG" escribió en el mensaje
news:%
> Perdona el retraso, pero me surgió un tema urgente y tuve que parar
> este
> Efectivamente, he creado lo que me comentas y ha funcionado

perfectamente.

> ¿entonces? ¿a que es debido?
>
> "Ivan [MS MVP]" escribió en el mensaje
> news:
> Tienes reglas que deniegan ciertos destinos ? prueba un instante a
> deshabilitar todas las reglas de sitio y contenido y crea una que

permite

> todos los destinos a cualquier peticion, y a ver
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "JVGG" escribió en el mensaje
> news:
>> Iván creo que se conecta por Ip, pero no estoy seguro, tendría que
>> preguntarselo a la empresa que ha desarrollado el software.
>>
>> Lo de probar las iPs en regla de sitios y contenidos en los

destinations

> ya
>> están puestas las ips de los servidores remotos ya está configurado
>> así...
>>
>> No lo entiendo. ¿alguna pista?
>>
>> "Ivan [MS MVP]" escribió en el mensaje
>> news:eQsa%
>> Esa aplicacion se conecta por IP o utiliza un nombre FQDN ?
>> Prueba a permitir la IP o las IPs de los servidores remotos a los que

se

>> conecta en la regla de sitio y contenido.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JVGG" escribió en el mensaje
>> news:OWZJJ$
>> > Hemos instalado una aplicación en la empresa que se conecta a

internet

>> para
>> > transmitir una información puntual.
>> > Los clientes tiene instalado el cliente Firewall (Isa 2000).
>> >
>> > He creado una regla de protocolo para permitir el puerto 2048 hacia
> dentro
>> y
>> > fuero. También he creado un "Site and content Rules" a las

direcciones

> ips
>> > de los servidores donde han de transmitir la información.
>> >
>> > Todo funciona perfectamente, pero, va muy lento, tarda en hacer la
>> conexión
>> > con el servidor unos 13 segundos, pero la información la transmite
>> > al
>> > momento.
>> > Solo es lento en la conexión.
>> > He probado a hacerlo desde un Pc conectado directamente al router
>> > sin
>> pasar
>> > por el firewall (puerta de enlace) y va rapidisimo (1 segundo).
>> > ¿Que puede ser? ¿podeis ayudarme?
>> > Gracias.,
>> >
>> >
>> >
>>
>>
>
>

Ivan, todo lo que me cuentas como siempre es una información de lujo, eres
el rey pero.,
No quería creer que ISa era tan lento para resolver las 10 o 12 Ips que
tengo denegadas y redirigidas a nuestra web corporativa... ya sabes,
softonic, etc...
He ido habilitando y deshabilitando una por una y arrancando y rearrancando
servicios (mis usuarios se han enfadado un poquitín) y he descubierto cual
era la regla que me estaba fastidiando..
Justamente una de windows update que permitía:
*.download.microsoft.com
*.windowsupdate.com
*windowsupdate.microsoft.com
windowsupdate.microsoft.com

Esta regla la tenía por un árticulo que me lo recomendaba para el windows
update de los Pcs.
La he deshabilitado y me funciona perfecto el programa con todas las demás
restricciones..
¿tu entiendes algo?, por que yo no, en teoría con el DNS debería de ir
bien... ¿no?
Pa volverse loco.
Saludos y gracias de nuevo.
"Ivan [MS MVP]" escribió en el mensaje
news:

JVGG, piensalo un poco y no culpes al ISA tan rapido, ese comportmiento es
de toda logica. Tu deniegas www.microsoft.com, y un usuario "eapabilado"
utiliza la IP y se salta todas las restricciones. Siempre que sea posible,
es infinitamente superior usar nombres DNS en las aplicaciones y no IPs, y
los motivos son muchos.
Mira el articulo que te pase y realiza lo que hay indica. Otra solucion es
que el proveedor de esa aplicacion, tenga definida la zona inversa. Si

esta

zona existe, el ISA resuelve rapidamente y todo funciona sin problemas.
ISA 2004, lo mismo y lo puedes ver facilmente con un sniffer. Pero, como

las

reglas se evaluan en orden, funcionaria sin problemas si situas la regla

en

el orden adecuado.

Otra opcion en ISA 2000 es no emplear reglas que deniegan, solo reglas que
permiten lo necesario.

Un saludo.
Ivan
MS MVP ISA Server


"JVGG" escribió en el mensaje
news:
> La aplicación solo funciona con direcciones Ip.
> La verdad que me he llevado un decepción, solamente tengo 6 reglas de
> sitios
> y contenidos, y se pega casi 15 segundos para hacer la query. Si le

pongo

> que todo hagan todo, no tarda ni un segundo.
> ¿entonces?, la solucion es esperar el próxima Service Pack. ¿ahora que
> hago
> con todas mis restricciones? ¿esto tambien pasa con la versión 2004?
> Gracias.,
>
> "Ivan [MS MVP]" escribió en el mensaje
> news:
>> Al atacar por IP y tener reglas de sitio y contenido que bloquean

ciertos

>> destinos, ISA realiza una query inversa para ver si esas IPs se
> corresponden
>> con algunos destinos bloqueados. Si es posible, configura la aplicacion
> para
>> que utilice nombres DNS en lugar de IPs. Otra opcion:
>> http://support.microsoft.com/kb/292018/EN-US/
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JVGG" escribió en el mensaje
>> news:%
>> > Perdona el retraso, pero me surgió un tema urgente y tuve que parar
>> > este
>> > Efectivamente, he creado lo que me comentas y ha funcionado
> perfectamente.
>> > ¿entonces? ¿a que es debido?
>> >
>> > "Ivan [MS MVP]" escribió en el mensaje
>> > news:
>> > Tienes reglas que deniegan ciertos destinos ? prueba un instante a
>> > deshabilitar todas las reglas de sitio y contenido y crea una que
> permite
>> > todos los destinos a cualquier peticion, y a ver
>> >
>> > Un saludo.
>> > Ivan
>> > MS MVP ISA Server
>> >
>> >
>> > "JVGG" escribió en el mensaje
>> > news:
>> >> Iván creo que se conecta por Ip, pero no estoy seguro, tendría que
>> >> preguntarselo a la empresa que ha desarrollado el software.
>> >>
>> >> Lo de probar las iPs en regla de sitios y contenidos en los
> destinations
>> > ya
>> >> están puestas las ips de los servidores remotos ya está configurado
>> >> así...
>> >>
>> >> No lo entiendo. ¿alguna pista?
>> >>
>> >> "Ivan [MS MVP]" escribió en el mensaje
>> >> news:eQsa%
>> >> Esa aplicacion se conecta por IP o utiliza un nombre FQDN ?
>> >> Prueba a permitir la IP o las IPs de los servidores remotos a los

que

> se
>> >> conecta en la regla de sitio y contenido.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "JVGG" escribió en el mensaje
>> >> news:OWZJJ$
>> >> > Hemos instalado una aplicación en la empresa que se conecta a
> internet
>> >> para
>> >> > transmitir una información puntual.
>> >> > Los clientes tiene instalado el cliente Firewall (Isa 2000).
>> >> >
>> >> > He creado una regla de protocolo para permitir el puerto 2048

hacia

>> > dentro
>> >> y
>> >> > fuero. También he creado un "Site and content Rules" a las
> direcciones
>> > ips
>> >> > de los servidores donde han de transmitir la información.
>> >> >
>> >> > Todo funciona perfectamente, pero, va muy lento, tarda en hacer la
>> >> conexión
>> >> > con el servidor unos 13 segundos, pero la información la transmite
>> >> > al
>> >> > momento.
>> >> > Solo es lento en la conexión.
>> >> > He probado a hacerlo desde un Pc conectado directamente al router
>> >> > sin
>> >> pasar
>> >> > por el firewall (puerta de enlace) y va rapidisimo (1 segundo).
>> >> > ¿Que puede ser? ¿podeis ayudarme?
>> >> > Gracias.,
>> >> >
>> >> >
>> >> >
>> >>
>> >>
>> >
>> >
>>
>>
>
>

"JVGG" escribió en el mensaje
news:

Ivan, todo lo que me cuentas como siempre es una información de lujo, eres
el rey pero.,
No quería creer que ISa era tan lento para resolver las 10 o 12 Ips que
tengo denegadas y redirigidas a nuestra web corporativa... ya sabes,
softonic, etc...

No, no es problema de ISA, es mas bien problema de que algunos sitios pueden
no tener una zona inversa definida.
Una prueba muy sencilla. http://66.102.9.99, cuanto tarda ? deberia ser muy
muy rapido, independientemente de las reglas que tienes definidas.

He ido habilitando y deshabilitando una por una y arrancando y
rearrancando
servicios (mis usuarios se han enfadado un poquitín) y he descubierto cual
era la regla que me estaba fastidiando..
Justamente una de windows update que permitía:
*.download.microsoft.com
*.windowsupdate.com
*windowsupdate.microsoft.com
windowsupdate.microsoft.com

Esta regla la tenía por un árticulo que me lo recomendaba para el windows
update de los Pcs.
La he deshabilitado y me funciona perfecto el programa con todas las demás
restricciones..
¿tu entiendes algo?, por que yo no, en teoría con el DNS debería de ir
bien... ¿no?

Pues la verdad es que no. Lo que deberia impedir el correcto funcionamiento
son las reglas que deniegan, no las que permiten. Si desde un cmd ejecutas:
nslookup
server IP_DNS_ISP
IP_aplicacion

Te devuelve el nombre ?

Pa volverse loco.

A veces si ;-)

Un saludo.
Ivan
MS MVP ISA Server

"Ivan [MS MVP]" escribió en el mensaje
news:

"JVGG" escribió en el mensaje
news:
> Ivan, todo lo que me cuentas como siempre es una información de lujo,

eres

> el rey pero.,
> No quería creer que ISa era tan lento para resolver las 10 o 12 Ips que
> tengo denegadas y redirigidas a nuestra web corporativa... ya sabes,
> softonic, etc...

No, no es problema de ISA, es mas bien problema de que algunos sitios

pueden

no tener una zona inversa definida.
Una prueba muy sencilla. http://66.102.9.99, cuanto tarda ? deberia ser

muy

muy rapido, independientemente de las reglas que tienes definidas.

Pues ha sido instantaneo.

> He ido habilitando y deshabilitando una por una y arrancando y
> rearrancando
> servicios (mis usuarios se han enfadado un poquitín) y he descubierto

cual

> era la regla que me estaba fastidiando..
> Justamente una de windows update que permitía:
> *.download.microsoft.com
> *.windowsupdate.com
> *windowsupdate.microsoft.com
> windowsupdate.microsoft.com
>
> Esta regla la tenía por un árticulo que me lo recomendaba para el

windows

> update de los Pcs.
> La he deshabilitado y me funciona perfecto el programa con todas las

demás

> restricciones..
> ¿tu entiendes algo?, por que yo no, en teoría con el DNS debería de ir
> bien... ¿no?

Pues la verdad es que no. Lo que deberia impedir el correcto

funcionamiento

son las reglas que deniegan, no las que permiten. Si desde un cmd

ejecutas:

nslookup
server IP_DNS_ISP
IP_aplicacion

Me dice que el servidor no puede encontrarse. Server Failed

Te devuelve el nombre ?

> Pa volverse loco.

A veces si ;-)

Un saludo.
Ivan
MS MVP ISA Server