Problemas al navegar con ISA 2004

Hay novedades... Por partes:
- He desisntalado el DNS, vuelto a instalar, etc etc. Tras mirar mucho todo
no he encontrado ningún otro problema que los mencionados. Pero no sé por
qué me ha dado por probar si era cosa de internet explorer, he instalado
firefox y todo funciona de maravilla. Entonces he pensado que el problema
radica en la configuración de ie, he desactivado todas las opciones y
funciona a las mil maravillas (usando el firewall, supongo). Ahora bien,
activo la opción de uso del proxy y entonces el firefox sigue funcionando y
el ie se atasca. El caso es que a mi me interesa usar ie...

- Me he asegurado de exlcluir la ruta de los logs, resúmenes y caché del ISA
del antivirus, y he borrado todos los logs pero, aun deteniendo el servicio,
los temporales no me los dejaba borrar. Todas las conexiones (AD, DNS, DHCP)
que comprueba ISA están perfectamente, es más, ISA no me da ningún error.
Ninguna interface de la red (servidor y clientes) tienen como DNS otra cosa
que no sea la IP interna del servidor.

Es decir, falta entender qué es lo que pasa con el ie (o el webproxy, o lo
que toque...) y por qué en algún reinicio no se carga el servicio de
firewall (Quizá por cargarse antes que AD, si esto es posible, ¿cómo
solucionarlo?).

Gracias




"Ivan [MS MVP]" escribió en el mensaje
news:%

"lexoto" escribió en el mensaje
news:

He hecho lo que me indicas, también he borrado la cahé del servidor DNS,
registros obsoletos, etc. Pero la cosa sigue sin funcionar, al menos
parece que el servidor se ha estabilizado algo, no mucho. Ahora lo
reinicio y (supongo que casualmente) cada dos reinicios aproximadamente
el servicio de firewall no arranca (uno si, uno no). Este problema lo
asocio a la conexión con AD,

Pero si el propio ISA esta instalado en el unico DC, no ? no creo que ese
sea el problema.
Has probado lo que te decia de cambiar los logs a fichero? pienso que le
problema continua siendo algun log corrupto.
Otra cosa, ademas del antivirus, has instalado algun producto de terceros
para filtrado de contenidos ?
Si deshabilitas al software antivirus o incluso lo desinstalas, continua
el error ?

pero no he entendido lo que quieres decir con comprobar "connectivity
verifier ", vamos, que no se qué hay que hacer ni qué es eso.
Por otro lado, el error SPNEGO no se soluciona, ambas interfaces tienen
como DNS la ip interna del servidor.

Desde la MMC de ISA, monitoring, connectivity, seguramente tienes agregado
algun connectivity verifier que no esta correctamente configurado. Si no
necesitas usarles, simplemente eliminalo.

Recapitulando..., en mi opinión hay dos tipos de errores, el provocado
por la conexión deteriorada del firewall con AD, y algo relacionado con
los DNS que no termina de funcionar. Te adjunto los errores que salen
cuando en el reinicio se carga el firewall.

El error SPNEGO (Negociador) continua apareciendo, luego... me da que
continuas usando los DNS del ISP en el interface externo.

Un saludo.
Ivan
MS MVP ISA Server

Distintas configuraciones? Ambos están configurados para usar el proxy y uno
funciona pero otro se atasca... Los eventos que te indico son de Sistema y
Aplicación (y no pongo más porque los demás no tienen errores). Actualmente,
y después de eliminar los connection verifier, sólo tengo un evento de
aviso, el SPNEGO. Mira el enlace que te adjunto (
http://www.eventid.net/display.asp?&eventno98&source=LsaSrv&phase=1 )
, en un comentario pone:

" If the server name is prisoner.iana.org, blackhole-1.iana.org or
blackhole-2.iana.org, this is just telling you that Windows could not
perform a reverse lookup on the IP address configured as a DNS server. These
names are used to respond with "server does not exist" when you use a
private IP range, for example 192.168.1.0. This can be quickly cleared up by
adding a Reverse Lookup zone, and adding a record for your DNS Server. "

No tengo nada configurado en la búsqueda inversa del DNS, y si hay que
hacerlo, tampoco se cómo (qué zona crear y que tipo de registro añadir
(Host(A),...)). Te adjunto el único evento que me aparece (y sigo sin
encontrarle solución a lo del navegador...). Además de esto, tampoco sé cómo
hacer los pasos que indica para WPAD en el servidor (configurarlo en el
DHCP,...), pero no entiendo como puede hacer falta para el ie y para el
firefox no, si ambos están configurados para usar el webproxy.


[Son dos eventos de SPNEGO]
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:40
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/prisoner.iana.org. No había un protocolo de autenticación
disponible.
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:16
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de autenticación
disponible.

Ya he agregado la zona inversa, supongo que con eso se habrá solucionado el
spnego. Cuando digo que la configuración es igual, es porque he probado a
desactivar la detección automática y la autoconfiguración del ie (sólo
proxy) para dejarlo igual que el firefox, y es cuando uno funciona y otro
no. Por supuesto, si activo la detección automática y la autoconfig la cosa
no se arregla. Por desgracia no tengo más tiempo hasta mañana, ý no puedo
comprobar si el spnego se ha solucionado, ni lo demás. No obstante, te
agradecería que me pusieras todas las indicaciones para realizarlas mañana,
las que consideres oportunas para intentar arreglar esto. Sino te importa,
también la configuración de detección automática.

Gracias Ivan, mañana te cuento como funciona la cosa... Gracias de nuevo.


"Ivan [MS MVP]" escribió en el mensaje
news:

Si, ambos estan configurados para usar proxy, pero en el IE tienes
marcadas dos opciones: detectar automaticamente y usar el script de
configuracion automatica. Si el autodiscovery no esta correctamente
configurado, en el IE NO puedes usar la opcion de detectar automaticamente
la configuracion, desmarca esa opcion. Tu dices que la configuracion de
ambos navegadores es igual, yo, sin verlo, te digo que no por lo que te
acabo de comentar.
Si miras el documento detenidamente, veras que es muy sencillo configurar
la deteccion automatica, no tiene ninguna dificultad. si quieres te lo
cuento yo, pero el articulo lo explica perfectamente.

En el servidor DNS debes agregar la zona inversa que se corresponde con el
rango que utilizas internamente. Crea el PTR para el nombre de tu DC.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Distintas configuraciones? Ambos están configurados para usar el proxy y
uno funciona pero otro se atasca... Los eventos que te indico son de
Sistema y Aplicación (y no pongo más porque los demás no tienen errores).
Actualmente, y después de eliminar los connection verifier, sólo tengo un
evento de aviso, el SPNEGO. Mira el enlace que te adjunto (
http://www.eventid.net/display.asp?&eventno98&source=LsaSrv&phase=1 )
, en un comentario pone:

" If the server name is prisoner.iana.org, blackhole-1.iana.org or
blackhole-2.iana.org, this is just telling you that Windows could not
perform a reverse lookup on the IP address configured as a DNS server.
These names are used to respond with "server does not exist" when you use
a private IP range, for example 192.168.1.0. This can be quickly cleared
up by adding a Reverse Lookup zone, and adding a record for your DNS
Server. "

No tengo nada configurado en la búsqueda inversa del DNS, y si hay que
hacerlo, tampoco se cómo (qué zona crear y que tipo de registro añadir
(Host(A),...)). Te adjunto el único evento que me aparece (y sigo sin
encontrarle solución a lo del navegador...). Además de esto, tampoco sé
cómo hacer los pasos que indica para WPAD en el servidor (configurarlo en
el DHCP,...), pero no entiendo como puede hacer falta para el ie y para
el firefox no, si ambos están configurados para usar el webproxy.


[Son dos eventos de SPNEGO]
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:40
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/prisoner.iana.org. No había un protocolo de autenticación
disponible.
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:16
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de
autenticación disponible.

Si tienes problemas con el ingles, no hay problema, te intento explicar como
hacerlo, si no, de verdad, mirate el articulo, esta muy bien explicado.
No es posible que el IE funcione mal y el otro bien. La unica epxlicacion
que encuentro es que esas maquinas tiennen instalado algun tipo de programa,
plugin, añadido al IE o como lo quieras llamar, que hace que funcione mal.
En estas situaciones lo mejor es probar con una maquina recien instalada, no
instalar absolutamente nada excepto el cliente firewall y probar, estoy
seguro que funciona correctamente.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Ya he agregado la zona inversa, supongo que con eso se habrá solucionado
el spnego. Cuando digo que la configuración es igual, es porque he probado
a desactivar la detección automática y la autoconfiguración del ie (sólo
proxy) para dejarlo igual que el firefox, y es cuando uno funciona y otro
no. Por supuesto, si activo la detección automática y la autoconfig la
cosa no se arregla. Por desgracia no tengo más tiempo hasta mañana, ý no
puedo comprobar si el spnego se ha solucionado, ni lo demás. No obstante,
te agradecería que me pusieras todas las indicaciones para realizarlas
mañana, las que consideres oportunas para intentar arreglar esto. Sino te
importa, también la configuración de detección automática.

Gracias Ivan, mañana te cuento como funciona la cosa... Gracias de nuevo.


"Ivan [MS MVP]" escribió en el mensaje
news:

Si, ambos estan configurados para usar proxy, pero en el IE tienes
marcadas dos opciones: detectar automaticamente y usar el script de
configuracion automatica. Si el autodiscovery no esta correctamente
configurado, en el IE NO puedes usar la opcion de detectar
automaticamente la configuracion, desmarca esa opcion. Tu dices que la
configuracion de ambos navegadores es igual, yo, sin verlo, te digo que
no por lo que te acabo de comentar.
Si miras el documento detenidamente, veras que es muy sencillo configurar
la deteccion automatica, no tiene ninguna dificultad. si quieres te
lo cuento yo, pero el articulo lo explica perfectamente.

En el servidor DNS debes agregar la zona inversa que se corresponde con
el rango que utilizas internamente. Crea el PTR para el nombre de tu DC.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Distintas configuraciones? Ambos están configurados para usar el proxy y
uno funciona pero otro se atasca... Los eventos que te indico son de
Sistema y Aplicación (y no pongo más porque los demás no tienen
errores). Actualmente, y después de eliminar los connection verifier,
sólo tengo un evento de aviso, el SPNEGO. Mira el enlace que te adjunto
(
http://www.eventid.net/display.asp?&eventno98&source=LsaSrv&phase=1 )
, en un comentario pone:

" If the server name is prisoner.iana.org, blackhole-1.iana.org or
blackhole-2.iana.org, this is just telling you that Windows could not
perform a reverse lookup on the IP address configured as a DNS server.
These names are used to respond with "server does not exist" when you
use a private IP range, for example 192.168.1.0. This can be quickly
cleared up by adding a Reverse Lookup zone, and adding a record for your
DNS Server. "

No tengo nada configurado en la búsqueda inversa del DNS, y si hay que
hacerlo, tampoco se cómo (qué zona crear y que tipo de registro añadir
(Host(A),...)). Te adjunto el único evento que me aparece (y sigo sin
encontrarle solución a lo del navegador...). Además de esto, tampoco sé
cómo hacer los pasos que indica para WPAD en el servidor (configurarlo
en el DHCP,...), pero no entiendo como puede hacer falta para el ie y
para el firefox no, si ambos están configurados para usar el webproxy.


[Son dos eventos de SPNEGO]
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:40
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/prisoner.iana.org. No había un protocolo de autenticación
disponible.
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:16
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de
autenticación disponible.

Resulta increible pero sigue sin solucionarse. He realizado los pasos de la
detección automática y he comprobado los añadidos del ie, y todos correctos.
Me hubiera resultado muy raro encontrar componentes indeseados en explorer
porque sólo tiene la barra de google, plug-ins de macromedia,... y esa misma
configuración (incluso con los mismos programas) funciona en otros
ordenadores (no de esta red que comento).
Lo cierto es que empiezo a desconcertarme, IGUAL CONFIGURACIÓN no funciona
en ie, pero si en firefox. Hasta los he configurado para que sólo usen el
proxy sin detección automática (que es como los tenía en un principio) y..
uno si, el otro nada. En un primer momento pienso que es alguna mala
configuración del servidor DNS, pero cuando veo que en firefox todo marcha
perfecto... Y he llegado a plantearme la descabellada opción de reinstalar
todo (servidor incluido) desde cero, pero de momento lo descarto
rotundamente por todo lo que implicaría.
Una pesadilla...

"Ivan [MS MVP]" escribió en el mensaje
news:eqA$

Si tienes problemas con el ingles, no hay problema, te intento explicar
como hacerlo, si no, de verdad, mirate el articulo, esta muy bien
explicado.
No es posible que el IE funcione mal y el otro bien. La unica epxlicacion
que encuentro es que esas maquinas tiennen instalado algun tipo de
programa, plugin, añadido al IE o como lo quieras llamar, que hace que
funcione mal.
En estas situaciones lo mejor es probar con una maquina recien instalada,
no instalar absolutamente nada excepto el cliente firewall y probar, estoy
seguro que funciona correctamente.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Ya he agregado la zona inversa, supongo que con eso se habrá solucionado
el spnego. Cuando digo que la configuración es igual, es porque he
probado a desactivar la detección automática y la autoconfiguración del
ie (sólo proxy) para dejarlo igual que el firefox, y es cuando uno
funciona y otro no. Por supuesto, si activo la detección automática y la
autoconfig la cosa no se arregla. Por desgracia no tengo más tiempo hasta
mañana, ý no puedo comprobar si el spnego se ha solucionado, ni lo demás.
No obstante, te agradecería que me pusieras todas las indicaciones para
realizarlas mañana, las que consideres oportunas para intentar arreglar
esto. Sino te importa, también la configuración de detección automática.

Gracias Ivan, mañana te cuento como funciona la cosa... Gracias de nuevo.


"Ivan [MS MVP]" escribió en el mensaje
news:

Si, ambos estan configurados para usar proxy, pero en el IE tienes
marcadas dos opciones: detectar automaticamente y usar el script de
configuracion automatica. Si el autodiscovery no esta correctamente
configurado, en el IE NO puedes usar la opcion de detectar
automaticamente la configuracion, desmarca esa opcion. Tu dices que la
configuracion de ambos navegadores es igual, yo, sin verlo, te digo que
no por lo que te acabo de comentar.
Si miras el documento detenidamente, veras que es muy sencillo
configurar la deteccion automatica, no tiene ninguna dificultad. si
quieres te lo cuento yo, pero el articulo lo explica perfectamente.

En el servidor DNS debes agregar la zona inversa que se corresponde con
el rango que utilizas internamente. Crea el PTR para el nombre de tu DC.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Distintas configuraciones? Ambos están configurados para usar el proxy
y uno funciona pero otro se atasca... Los eventos que te indico son de
Sistema y Aplicación (y no pongo más porque los demás no tienen
errores). Actualmente, y después de eliminar los connection verifier,
sólo tengo un evento de aviso, el SPNEGO. Mira el enlace que te adjunto
(
http://www.eventid.net/display.asp?&eventno98&source=LsaSrv&phase=1 )
, en un comentario pone:

" If the server name is prisoner.iana.org, blackhole-1.iana.org or
blackhole-2.iana.org, this is just telling you that Windows could not
perform a reverse lookup on the IP address configured as a DNS server.
These names are used to respond with "server does not exist" when you
use a private IP range, for example 192.168.1.0. This can be quickly
cleared up by adding a Reverse Lookup zone, and adding a record for
your DNS Server. "

No tengo nada configurado en la búsqueda inversa del DNS, y si hay que
hacerlo, tampoco se cómo (qué zona crear y que tipo de registro añadir
(Host(A),...)). Te adjunto el único evento que me aparece (y sigo sin
encontrarle solución a lo del navegador...). Además de esto, tampoco sé
cómo hacer los pasos que indica para WPAD en el servidor (configurarlo
en el DHCP,...), pero no entiendo como puede hacer falta para el ie y
para el firefox no, si ambos están configurados para usar el webproxy.


[Son dos eventos de SPNEGO]
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:40
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/prisoner.iana.org. No había un protocolo de autenticación
disponible.
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:16
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con el
servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de
autenticación disponible.