Problemas al navegar con ISA 2004

En uno de los clientes me aparece la página de error de ISA indicándome que
es un error de DNS. El servidor DNS parece incapaz de resolver la IP de la
dirección. sin embargo, en el cliente desde el que estoy escribiendo
simplemente se atasca. El servidor DNS lo tengo configurado como te he
explicado anteriormente, los únicos errores relacionados con esto que me
aparece son los dos que te adjunto.
¿Puede ser algo relacionado con el RRAS?

Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 02/12/2004
Hora: 16:43:21
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de autenticación
disponible.

Tipo de suceso: Advertencia
Origen del suceso: DhcpServer
Categoría del suceso: Ninguno
Id. suceso: 1056
Fecha: 02/12/2004
Hora: 16:44:26
Usuario: No disponible
Equipo: SERVER
Descripción:
El servicio DHCP detectó que está ejecutando en DC y no tiene credenciales
configuradas para utilizar con registros DNS dinámicos iniciados por el
servicio DHCP. Esta no es una configuración de seguridad recomendada. Las
credenciales para registros DNS dinámicos puede configurarse utilizando la
línea de comando "netsh dhcp server set dnscredentials" o por la herramienta
administrativa DHCP.

Has excluido en el antivirus la carpeta de logs y de cache ? es posible que
algun fichero de log este corrupto. Has reiniciado el servicio como indica
el mensaje de error ?
Porque no cambias, para probar, el formato en el que se almacenan los logs ?
configurales para que se almacenen en fichero y prueba a ver que tal ?
El event id 21137 es porque algun connectivity verifier esta fallando, bien
por una configuracion incorrecta de dicho elemento o bien por que el
servidor no responde, repasa su configuracion.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Tras realizar el cambio de los DNS la cosa sigue igual. He solucionado la
mayoría de las alertas que te he expuesto anteriormente pero el problema
persiste. Los clientes inician sesión sin ningún problema, tengo
establecidos los filtros adecuadamente para que no se deniegue ninguna
comunicación necesaria en la red (es más, viendo el tráfico en tiempo real
no aparece ningún puerto indebido denegado). Además, las directivas de la
red prohiben el inicio de sesión en caché y los clientes no registran
ningún error en el visor de sucesos. Si los filtros estuviesen mal
establecidos entendería el problema, pero ahí está la cosa, cómo puede ser
que configurando bien los filtros y funcionando sin problemas el DNS se
atasca al navegar? En mi opinión la clave podría estar en algún fallo del
servicio del firewall, pero sigo sin saber por donde tirar.
No obstante, he vuelto a reiniciar el servidor por n-esima vez y los
únicos eventos que me aparecen son los que te pongo a continuación (ambos
están relacionados con el firewall del ISA), y espero que tengan que ver
con el problema porque no se por donde pillarlo:

Tipo de suceso: Error
Origen del suceso: Microsoft Firewall
Categoría del suceso: Log
Id. suceso: 8
Fecha: 02/12/2004
Hora: 16:13:22
Usuario: No disponible
Equipo: SERVER
Descripción:
The Microsoft Firewall failed to log information to MSDE Database
ISALOG_20041202_FWS_000 in path C:\Archivos de programa\Microsoft ISA
Server\ISALogs. The MSDE Error description is: Atributo de cadena de
conexión no válido, Login failed for user '(null)'. Reason: Not associated
with a trusted SQL Server connection.. The problem may be resolved by
restarting the MSSQL$MSFW service. For more information about this event,
see ISA Server Help.

Tipo de suceso: Error
Origen del suceso: Microsoft Firewall
Categoría del suceso: Ninguno
Id. suceso: 21137
Fecha: 02/12/2004
Hora: 16:13:17
Usuario: No disponible
Equipo: SERVER
Descripción:
The connectivity verifier "Active Directory" reported an error when trying
to connect to SERVER.
. Reason: No connection.

El error SPNEGO (Negociador) es debido a que en algun interface del ISA
tienes configuradas las DNS del ISP.
El otro error, el de DHCP:
http://support.microsoft.com/defaul...-us;282001
Y aunque lo dice el articulo claramente, mirate el apartado "more
information".

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

En uno de los clientes me aparece la página de error de ISA indicándome
que es un error de DNS. El servidor DNS parece incapaz de resolver la IP
de la dirección. sin embargo, en el cliente desde el que estoy escribiendo
simplemente se atasca. El servidor DNS lo tengo configurado como te he
explicado anteriormente, los únicos errores relacionados con esto que me
aparece son los dos que te adjunto.
¿Puede ser algo relacionado con el RRAS?

Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 02/12/2004
Hora: 16:43:21
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de
autenticación disponible.

Tipo de suceso: Advertencia
Origen del suceso: DhcpServer
Categoría del suceso: Ninguno
Id. suceso: 1056
Fecha: 02/12/2004
Hora: 16:44:26
Usuario: No disponible
Equipo: SERVER
Descripción:
El servicio DHCP detectó que está ejecutando en DC y no tiene credenciales
configuradas para utilizar con registros DNS dinámicos iniciados por el
servicio DHCP. Esta no es una configuración de seguridad recomendada.
Las credenciales para registros DNS dinámicos puede configurarse
utilizando la línea de comando "netsh dhcp server set dnscredentials" o
por la herramienta administrativa DHCP.

He hecho lo que me indicas, también he borrado la cahé del servidor DNS,
registros obsoletos, etc. Pero la cosa sigue sin funcionar, al menos parece
que el servidor se ha estabilizado algo, no mucho. Ahora lo reinicio y
(supongo que casualmente) cada dos reinicios aproximadamente el servicio de
firewall no arranca (uno si, uno no). Este problema lo asocio a la conexión
con AD, pero no he entendido lo que quieres decir con comprobar
"connectivity verifier ", vamos, que no se qué hay que hacer ni qué es eso.
Por otro lado, el error SPNEGO no se soluciona, ambas interfaces tienen como
DNS la ip interna del servidor.

Recapitulando..., en mi opinión hay dos tipos de errores, el provocado por
la conexión deteriorada del firewall con AD, y algo relacionado con los DNS
que no termina de funcionar. Te adjunto los errores que salen cuando en el
reinicio se carga el firewall.

[No tengo ninguna tarea creada]
Tipo de suceso: Error
Origen del suceso: Service Control Manager
Categoría del suceso: Ninguno
Id. suceso: 7009
Fecha: 02/12/2004
Hora: 20:49:53
Usuario: No disponible
Equipo: SERVER
Descripción:
Intervalo de espera (30000 ms.) para la conexión con el servicio Microsoft
ISA Server Job Scheduler.
Tipo de suceso: Error
Origen del suceso: Service Control Manager
Categoría del suceso: Ninguno
Id. suceso: 7000
Fecha: 02/12/2004
Hora: 20:49:53
Usuario: No disponible
Equipo: SERVER
Descripción:
El servicio Microsoft ISA Server Job Scheduler no pudo iniciarse debido al
siguiente error:
El servicio no ha respondido a la petición o inicio del control en un tiempo
adecuado.

[No sé a que se debe esto]
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 02/12/2004
Hora: 20:46:34
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de autenticación
disponible.

Tipo de suceso: Error
Origen del suceso: Microsoft ISA Server Control
Categoría del suceso: Ninguno
Id. suceso: 14079
Fecha: 02/12/2004
Hora: 20:53:15
Usuario: No disponible
Equipo: SERVER
Descripción:
Due to an unexpected error, the service fwsrv stopped responding to all
requests. Stop the service or the corresponding process if it does not
respond, and then start it again. Check the Windows event Viewer for related
error messages.

"lexoto" escribió en el mensaje
news:

He hecho lo que me indicas, también he borrado la cahé del servidor DNS,
registros obsoletos, etc. Pero la cosa sigue sin funcionar, al menos
parece que el servidor se ha estabilizado algo, no mucho. Ahora lo
reinicio y (supongo que casualmente) cada dos reinicios aproximadamente el
servicio de firewall no arranca (uno si, uno no). Este problema lo asocio
a la conexión con AD,

Pero si el propio ISA esta instalado en el unico DC, no ? no creo que ese
sea el problema.
Has probado lo que te decia de cambiar los logs a fichero? pienso que le
problema continua siendo algun log corrupto.
Otra cosa, ademas del antivirus, has instalado algun producto de terceros
para filtrado de contenidos ?
Si deshabilitas al software antivirus o incluso lo desinstalas, continua el
error ?

pero no he entendido lo que quieres decir con comprobar "connectivity
verifier ", vamos, que no se qué hay que hacer ni qué es eso.
Por otro lado, el error SPNEGO no se soluciona, ambas interfaces tienen
como DNS la ip interna del servidor.

Desde la MMC de ISA, monitoring, connectivity, seguramente tienes agregado
algun connectivity verifier que no esta correctamente configurado. Si no
necesitas usarles, simplemente eliminalo.

Recapitulando..., en mi opinión hay dos tipos de errores, el provocado por
la conexión deteriorada del firewall con AD, y algo relacionado con los
DNS que no termina de funcionar. Te adjunto los errores que salen cuando
en el reinicio se carga el firewall.

El error SPNEGO (Negociador) continua apareciendo, luego... me da que
continuas usando los DNS del ISP en el interface externo.

Un saludo.
Ivan
MS MVP ISA Server