Problemas al navegar con ISA 2004

En ISA 2004 no hay un servicio web proxy y un servicio firewall como ocurria
en ISA 2000, pero esto no quiere decir que el problema que se explica en el
articulo no sea tu caso... Indistintamente de la version de ISA, es mas que
recomendable excluir el fichero de cache y los logs de la exploracion del
antivirus.
Si nos dices que errores aparecen en el visor de eventos, y nos dejas todo
el mensaje de error, y no unicamente el Event Id, quizas podamos ayudarte
mejor, hay algunos errores que utilizan el mismo Id pero el mensaje de error
es muy distinto.

Por otro lado, y sin descuidar lo anterior, ¿qué sistema de autenticación
sigue ISA 2004? Es decir:
- ¿Si NO fuerzo la autenticación cualquier cliente, aunque no esté
registrado en el dominio, puede hacer uso del webproxy?

Una cosa es la autentificacion de las reglas y otra la autentificacion del
servicio web proxy. Si no fuerzas autentificacion para las peticiones web,
en los logs veras todas las peticiones con usuario anonimo, pero esto es
distinto a la autentificacion de las reglas. Imagina que no fuerzas
autentificacion y una regla de acceso permite HTTP al usuario1. Cuando este
usuario intenta navegar por algun sitio de internet, lo puede hacer
perfectamente, pero, si miras los logs, no veras informacion de usuario,
unicamente usuario anonimo. Por contra, el usuario2 que no esta autorizado,
intenta navegar por internet y al no estar permitido en las reglas, se le
deniega la peticion.

- Con la autenticación activada todo funciona bien (a excepción del
problema comentado), pero si aplico los filtros a un grupo de usuarios
concreto el funcionamiento de internet empieza a deteriorarse. Da la
sensación que todo va más lento e incluso algunas aplicaciones de usuarios
autorizados no funcionan.

Pues si activando la autentificacion en las reglas aparecen los problemas,
creo que es mas un problema de conexion con los DCs.
Mira el visor de eventos, no pases por encima de ningun mensaje de error o
warning. Mira tambien el visor de eventos de los DCs
Tambien podria ser un problema de la configuracion DNS de los interfaces de
red del ISA.
http://download.microsoft.com/downl...1%2003.doc

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

No sé por dónde pillarlo... El enlace que me indicas hace referencia al
servicio proxy y las causas del error, pero no le veo relación con que
falle el firewall a horas en las que no se realizan copias de seguridad
(más que nada porque todavía no se hace ninguna). Aún así, he configurado
el antivirus para que no escanee el directorio de los logs (¿cómo puedo
cambiar la ubicación de los registros en ISA2004?) y sigue sin funcionar
bien (se sigue atascando). Al reiniciar el servicio de firewall me ha
aparecido un error indicando que no se ha podido iniciar y, sin embargo,
si lo ha hecho.

Por otro lado, y sin descuidar lo anterior, ¿qué sistema de autenticación
sigue ISA 2004? Es decir:
- ¿Si NO fuerzo la autenticación cualquier cliente, aunque no esté
registrado en el dominio, puede hacer uso del webproxy?
- Con la autenticación activada todo funciona bien (a excepción del
problema comentado), pero si aplico los filtros a un grupo de usuarios
concreto el funcionamiento de internet empieza a deteriorarse. Da la
sensación que todo va más lento e incluso algunas aplicaciones de usuarios
autorizados no funcionan.


"Ivan [MS MVP]" escribió en el mensaje
news:%

Se aplica a ISA 2000, pero imagino que por aqui van los tiros
http://support.microsoft.com/defaul...-us;887311

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:203601c4d84a$f7820790$
Hablamos de unos 5 clientes (la red es de prueba) y un
único servidor, no me parece una cantidad como para
saturarlo... Todos tienen instalado el firewall de ISA
2004 y él mismo es el que configura el equipo, pero me he
puesto a revisarlos por si las moscas y todos usan el
proxy así como la detección automática y el script (es
decir, todo activado).
Por otro lado, me he fijado que en el visor de sucesos del
servidor aparece cada cierto tiempo (varias horas) un
evento del firewall (creo recordar que es el 14079)
indicando que ha habido un problema y el servicio se ha
detenido (aunque siga activo).
Aunque puedan ser dos fallos diferentes, lo cierto es que
tengo bastantes problemas con el arranque de los
servicios, en algún que otro reinicio de la máquina ISA no
los carga todos. Además, el IIS está en el puerto 90 para
evitar problemas con ISA.
También he revisado que los filtros permitan todo
correctamente, y parece que eso está bien configurado.

Respecto a la configuración de la red, es la siguiente:
SERVIDOR (W2003_DC, ISA2004, IIS):
Tarjeta1: Ip publica, Máscara, ...
Tarjeta2: 192.168.0.1,255.255.255.0 [DNS 192.168.0.1]

Clientes:
Tarjeta: 192.168.0.x,255.255.255.0 [DNS 192.168.0.1]

El servidor DNS escucha sólo las peticiones de la red
interna

Esos paquetes que se deniegan, si te fijas, es debido a

la utentificacion.

Siempre antes de autorizar la peticion veras dos entradas

en los logs con

usuario anonimo. No creo que esta sea la causa del

problema.

Los navagadores estan configurados para usar proxy ?

ademas, utilizan el

script de configuracion automatica o detectar la

configuracion

automaticamente ?
En el visor de eventos del ISA, tanto sistema como

aplicacion, hay algun

tipo de error?
De cuantos clientes internos estamos hablando ?
Como es la configuracion TCP/IP de los ISA? que

servidores DNS tienes

configurados en ambos interfaces de red?

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:%233gXs%23%

Tengo un Windows Server 2003 como DC, ISA 2004 e IIS.

La red la forman

clientes XP Pro SP2 y algún Windows 2000 Pro. El

problema viene al navegar

por internet, aparentemente el resto de aplicaciones

funcionan

correctamente, pero el navegador se "atasca" de vez en

cuando y se queda

intentando acceder al sitio web. En estos casos he

comprobado que la carga

del servidor es normal, las conexiones de red funcionan

sin problemas,

etc. He observado que esto sucede muy frecuentemente,

pero nunca con una

dirección concreta ni, cuando ocurre, le afecta a todas

las páginas, por

unas se puede navegar y por otras imposible... (no

tengo ninguna

restricción de páginas o elementos prohibidos).
Únicamente he observado que se deniegan paquetes http

desde el servidor al

cliente correspondiente, pero no los prohibe ninguna

regla.

Gracias.

.

Entonces te expongo la situación actual. La tarjeta interna del servidor
tiene los parámetros de la red local y como único DNS la ip interna del
propio servidor (192.168.0.1), la tarjeta externa tiene los parámetros de la
conexión de internet con DNS de telefónica (he probado a poner como dns la
ip interna del servidor y no cambia nada), y el servidor dns sólo escucha
peticiones en el interface interno.
La cosa no cambia, consulto (por ejemplo) el correo desde MSN Messenger y la
carga de la primera página sin problemas, cuando redirecciona a la bandeja
de entrada, se atasca.
He reiniciado el servidor (remarco que el mismo DC tiene el ISA) y el
servidor de firewall no se ha iniciado. No te puedo indicar un
comportamiento concreto porque en algún reinicio no funciona el firewall y
en otros con total normalidad, en la situación que te estoy describiendo ni
funciona el firewall ni la navegación y a continuación pongo los eventos.
Voy a volver a reiniciar y te pongo en otro post los eventos del nuevo
reinicio a ver si así sacas alguna conclusión.

[Este error es la primera vez que lo veo]
Tipo de suceso: Error
Origen del suceso: Microsoft Firewall
Categoría del suceso: Ninguno
Id. suceso: 21137
Fecha: 02/12/2004
Hora: 14:16:51
Usuario: No disponible
Equipo: SERVER
Descripción:
The connectivity verifier "Active Directory" reported an error when trying
to connect to SERVER.
. Reason: No connection.

[Error habitual]
Tipo de suceso: Advertencia
Origen del suceso: EvntAgnt
Categoría del suceso: Ninguno
Id. suceso: 1003
Fecha: 02/12/2004
Hora: 14:21:42
Usuario: No disponible
Equipo: SERVER
Descripción:
El parámetro TraceFileName no está ubicado en el Registro; el archivo de
seguimiento predeterminado usado es .
Tipo de suceso: Advertencia
Origen del suceso: EvntAgnt
Categoría del suceso: Ninguno
Id. suceso: 1015
Fecha: 02/12/2004
Hora: 14:21:42
Usuario: No disponible
Equipo: SERVER
Descripción:
El parámetro TraceLevel no está ubicado en el Registro; el archivo de
seguimiento predeterminado usado es 32.

[Estos dos errores aparecen ddos veces cada uno]
Tipo de suceso: Error
Origen del suceso: Service Control Manager
Categoría del suceso: Ninguno
Id. suceso: 7009
Fecha: 02/12/2004
Hora: 14:24:17
Usuario: No disponible
Equipo: SERVER
Descripción:
Intervalo de espera (30000 ms.) para la conexión con el servicio Microsoft
Firewall.
Tipo de suceso: Error
Origen del suceso: Service Control Manager
Categoría del suceso: Ninguno
Id. suceso: 7000
Fecha: 02/12/2004
Hora: 14:24:17
Usuario: No disponible
Equipo: SERVER
Descripción:
El servicio Microsoft Firewall no pudo iniciarse debido al siguiente error:
El servicio no ha respondido a la petición o inicio del control en un tiempo
adecuado.

[Aparece últimamente]
Tipo de suceso: Advertencia
Origen del suceso: DhcpServer
Categoría del suceso: Ninguno
Id. suceso: 1056
Fecha: 02/12/2004
Hora: 14:22:05
Usuario: No disponible
Equipo: SERVER
Descripción:
El servicio DHCP detectó que está ejecutando en DC y no tiene credenciales
configuradas para utilizar con registros DNS dinámicos iniciados por el
servicio DHCP. Esta no es una configuración de seguridad recomendada. Las
credenciales para registros DNS dinámicos puede configurarse utilizando la
línea de comando "netsh dhcp server set dnscredentials" o por la herramienta
administrativa DHCP.

[Error habitual]
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 02/12/2004
Hora: 14:20:47
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de autenticación
disponible.

Vuelvo a reiniciar, y ahora parece que todos los servicios se han cargado
perfectamente, pero se sigue atascando. Esta vez sólo me aparece estos
eventos:

Tipo de suceso: Advertencia
Origen del suceso: EvntAgnt
Categoría del suceso: Ninguno
Id. suceso: 1015
Fecha: 02/12/2004
Hora: 14:59:08
Usuario: No disponible
Equipo: SERVER
Descripción:
El parámetro TraceLevel no está ubicado en el Registro; el archivo de
seguimiento predeterminado usado es 32.

Tipo de suceso: Advertencia
Origen del suceso: EvntAgnt
Categoría del suceso: Ninguno
Id. suceso: 1003
Fecha: 02/12/2004
Hora: 14:59:08
Usuario: No disponible
Equipo: SERVER
Descripción:
El parámetro TraceFileName no está ubicado en el Registro; el archivo de
seguimiento predeterminado usado es .

Tipo de suceso: Advertencia
Origen del suceso: DhcpServer
Categoría del suceso: Ninguno
Id. suceso: 1056
Fecha: 02/12/2004
Hora: 14:59:31
Usuario: No disponible
Equipo: SERVER
Descripción:
El servicio DHCP detectó que está ejecutando en DC y no tiene credenciales
configuradas para utilizar con registros DNS dinámicos iniciados por el
servicio DHCP. Esta no es una configuración de seguridad recomendada. Las
credenciales para registros DNS dinámicos puede configurarse utilizando la
línea de comando "netsh dhcp server set dnscredentials" o por la herramienta
administrativa DHCP.

Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 02/12/2004
Hora: 14:58:15
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/dns3.terra.es. No había un protocolo de autenticación
disponible.

Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 02/12/2004
Hora: 14:58:18
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de autenticación
disponible.

Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 02/12/2004
Hora: 14:58:30
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/prisoner.iana.org. No había un protocolo de autenticación
disponible.

Como se trata de un DC, es critico que todos sus interfaces tengan como
servidor DNS a el mismo o a otro DC de la red interna. Por lo tanto,
configura en ambos interfaces de red como servidor DNS la IP interna del
ISA. Para poder resolver en internet configura los reenviadores a los DNS
del ISP.

Si en la red intrena no dispones de mas DCs, en tu situacion actual, los
clientes internos me temo que no pueden inicar sesion en el dominio, o si ?
has mirado por casualidad el visor de eventos de algun cliente ? seguro que
inicas sesion con las credenciales almacenadas en cache.
Lo mas sencillo es crear en el ISA una regla de acceso que permite todo el
trafico en saliente desde la red interna a localhost. Si quieres permitir lo
necesario, permite estos protocolos:
http://www.isaserver.org/articles/2...omain.html

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Vuelvo a reiniciar, y ahora parece que todos los servicios se han cargado
perfectamente, pero se sigue atascando. Esta vez sólo me aparece estos
eventos:

Tipo de suceso: Advertencia
Origen del suceso: EvntAgnt
Categoría del suceso: Ninguno
Id. suceso: 1015
Fecha: 02/12/2004
Hora: 14:59:08
Usuario: No disponible
Equipo: SERVER
Descripción:
El parámetro TraceLevel no está ubicado en el Registro; el archivo de
seguimiento predeterminado usado es 32.

Tipo de suceso: Advertencia
Origen del suceso: EvntAgnt
Categoría del suceso: Ninguno
Id. suceso: 1003
Fecha: 02/12/2004
Hora: 14:59:08
Usuario: No disponible
Equipo: SERVER
Descripción:
El parámetro TraceFileName no está ubicado en el Registro; el archivo de
seguimiento predeterminado usado es .

Tipo de suceso: Advertencia
Origen del suceso: DhcpServer
Categoría del suceso: Ninguno
Id. suceso: 1056
Fecha: 02/12/2004
Hora: 14:59:31
Usuario: No disponible
Equipo: SERVER
Descripción:
El servicio DHCP detectó que está ejecutando en DC y no tiene credenciales
configuradas para utilizar con registros DNS dinámicos iniciados por el
servicio DHCP. Esta no es una configuración de seguridad recomendada.
Las credenciales para registros DNS dinámicos puede configurarse
utilizando la línea de comando "netsh dhcp server set dnscredentials" o
por la herramienta administrativa DHCP.

Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 02/12/2004
Hora: 14:58:15
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/dns3.terra.es. No había un protocolo de autenticación
disponible.

Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 02/12/2004
Hora: 14:58:18
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de
autenticación disponible.

Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 02/12/2004
Hora: 14:58:30
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/prisoner.iana.org. No había un protocolo de autenticación
disponible.

Tras realizar el cambio de los DNS la cosa sigue igual. He solucionado la
mayoría de las alertas que te he expuesto anteriormente pero el problema
persiste. Los clientes inician sesión sin ningún problema, tengo
establecidos los filtros adecuadamente para que no se deniegue ninguna
comunicación necesaria en la red (es más, viendo el tráfico en tiempo real
no aparece ningún puerto indebido denegado). Además, las directivas de la
red prohiben el inicio de sesión en caché y los clientes no registran ningún
error en el visor de sucesos. Si los filtros estuviesen mal establecidos
entendería el problema, pero ahí está la cosa, cómo puede ser que
configurando bien los filtros y funcionando sin problemas el DNS se atasca
al navegar? En mi opinión la clave podría estar en algún fallo del servicio
del firewall, pero sigo sin saber por donde tirar.
No obstante, he vuelto a reiniciar el servidor por n-esima vez y los únicos
eventos que me aparecen son los que te pongo a continuación (ambos están
relacionados con el firewall del ISA), y espero que tengan que ver con el
problema porque no se por donde pillarlo:

Tipo de suceso: Error
Origen del suceso: Microsoft Firewall
Categoría del suceso: Log
Id. suceso: 8
Fecha: 02/12/2004
Hora: 16:13:22
Usuario: No disponible
Equipo: SERVER
Descripción:
The Microsoft Firewall failed to log information to MSDE Database
ISALOG_20041202_FWS_000 in path C:\Archivos de programa\Microsoft ISA
Server\ISALogs. The MSDE Error description is: Atributo de cadena de
conexión no válido, Login failed for user '(null)'. Reason: Not associated
with a trusted SQL Server connection.. The problem may be resolved by
restarting the MSSQL$MSFW service. For more information about this event,
see ISA Server Help.

Tipo de suceso: Error
Origen del suceso: Microsoft Firewall
Categoría del suceso: Ninguno
Id. suceso: 21137
Fecha: 02/12/2004
Hora: 16:13:17
Usuario: No disponible
Equipo: SERVER
Descripción:
The connectivity verifier "Active Directory" reported an error when trying
to connect to SERVER.
. Reason: No connection.