Problemas al navegar con ISA 2004

Pues te aseguro, que en algunas ocasiones, esas dichosas "barritas" dan mas guerra (bastante mas) que el servicio que proporcionan..
No se cual puede ser el problema con el DNS y para averiguarlo, creo que vas a tener que capturar trafico en el ISA con algun sniffer y analizarlo. Intenta filtrar la captura para ver solo el trafico entre el ISA y el servidor DNS del ISP. Si puedes forzar el error, puedes analizar las tramas facilmente, ver la peticion de resolucion de nombre del ISA y ver que responde (si es que responde) el servidor DNS. Si utilizas el network monitor y quizas no sabes interpretar las tramas, puedes dejar aqui el fichero cab y podemos intentar ver si hay algo raro. si no quires dejarlo aqui, puedes enviarlo a mi correo.
Respecto a la autentificacion, es el comportamiento normal. Antes de ver autorizada la peticion, veras dos entradas como anonimo.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje news:%

No tengo ninguno... Por otro lado, me parece muy extraño que sea la barra de
google. Hace unos días el mismo ordenador que ahora actua de servidor lo
puse con XP y conexión compartida, y los clientes funcionaban perfectamente
(todos con la barra google). Es más, uno de los clientes, al instalar el
Windows Server 2003 sólo lo agregué al dominio y tenía el mismo problema que
los demás (instalados limpiamente). He modificado los DNS a ver si así
funciona mejor, no obstante, tengo la autenticación activada y no entiendo
por qué navengando desde el cliente todo funciona bien, pero ISA registra en
cada solicitud http unas primeras entradas que deniega por no tener usuario
o por ser usuario anonymus (en entradas posteriores admite la conexión al
ser un usuario autenticado).




"Ivan [MS MVP]" escribió en el mensaje
news:%23Z%

Puedes probar a cambiar los DNS del ISP por otros ? quizas esos DNS estan
sobrecargados a hay problemas de conectividad.
Por casualidad en el visor de eventos, aplicacion, no tendras escaneos de
puertos que se corresponden con los DSN del ISP que utilizas actualmente ?

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:uwt$$

Cansado de tanto problema he decidido este puente a empezar desde cero.
He instalado desde el principio el servidor y un cliente, procurando no
dejarme nada, configurarlo todo bien y optimizar el rendimiento. El
resultado de todo esto ha sido un servidor que funciona perfectamente (o
casi) y un cliente como la seda. Ahora bien, sigue habiendo un problema.
El servidor tiene todo instalado excepto el antivirus que lo instalaré
cuando haya arreglado el problema, el cliente sólo tiene Windows XP Pro y
el problema viene porque algunas páginas (de vez en cuando) dan el error
de DNS de ISA que me daban antes (si vuelvo a actualizar la página se
carga sin problemas).
El caso es que no puedo ir instalando más cosas hasta que no de con ese
pequeño problema, y no sé si se puede deber a alguna mala configuración
de filtros, a la autenticación, o a qué...


"Ivan [MS MVP]" escribió en el mensaje
news:%

Has probaod lo que te decia de realizar una instalacion limpia de
Windows XP en una maquina de pruebas que puedas tener a mano ? no
instalar nada, SO + cliente firewall y probar.
Esto que comentas, al menos para mi, no tiene mucha logica y me inclino
a pensar que esas maquinas tienen algo que hace que funcionen de manera
incorrecta. La barra de google es una candidata, aunque puedas pensar lo
contrario.

Un saludo
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Resulta increible pero sigue sin solucionarse. He realizado los pasos
de la detección automática y he comprobado los añadidos del ie, y todos
correctos. Me hubiera resultado muy raro encontrar componentes
indeseados en explorer porque sólo tiene la barra de google, plug-ins
de macromedia,... y esa misma configuración (incluso con los mismos
programas) funciona en otros ordenadores (no de esta red que comento).
Lo cierto es que empiezo a desconcertarme, IGUAL CONFIGURACIÓN no
funciona en ie, pero si en firefox. Hasta los he configurado para que
sólo usen el proxy sin detección automática (que es como los tenía en
un principio) y.. uno si, el otro nada. En un primer momento pienso que
es alguna mala configuración del servidor DNS, pero cuando veo que en
firefox todo marcha perfecto... Y he llegado a plantearme la
descabellada opción de reinstalar todo (servidor incluido) desde cero,
pero de momento lo descarto rotundamente por todo lo que implicaría.
Una pesadilla...

"Ivan [MS MVP]" escribió en el mensaje
news:eqA$

Si tienes problemas con el ingles, no hay problema, te intento
explicar como hacerlo, si no, de verdad, mirate el articulo, esta muy
bien explicado.
No es posible que el IE funcione mal y el otro bien. La unica
epxlicacion que encuentro es que esas maquinas tiennen instalado algun
tipo de programa, plugin, añadido al IE o como lo quieras llamar, que
hace que funcione mal.
En estas situaciones lo mejor es probar con una maquina recien
instalada, no instalar absolutamente nada excepto el cliente firewall
y probar, estoy seguro que funciona correctamente.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Ya he agregado la zona inversa, supongo que con eso se habrá
solucionado el spnego. Cuando digo que la configuración es igual, es
porque he probado a desactivar la detección automática y la
autoconfiguración del ie (sólo proxy) para dejarlo igual que el
firefox, y es cuando uno funciona y otro no. Por supuesto, si activo
la detección automática y la autoconfig la cosa no se arregla. Por
desgracia no tengo más tiempo hasta mañana, ý no puedo comprobar si
el spnego se ha solucionado, ni lo demás. No obstante, te agradecería
que me pusieras todas las indicaciones para realizarlas mañana, las
que consideres oportunas para intentar arreglar esto. Sino te
importa, también la configuración de detección automática.

Gracias Ivan, mañana te cuento como funciona la cosa... Gracias de
nuevo.


"Ivan [MS MVP]" escribió en el mensaje
news:

Si, ambos estan configurados para usar proxy, pero en el IE tienes
marcadas dos opciones: detectar automaticamente y usar el script de
configuracion automatica. Si el autodiscovery no esta correctamente
configurado, en el IE NO puedes usar la opcion de detectar
automaticamente la configuracion, desmarca esa opcion. Tu dices que
la configuracion de ambos navegadores es igual, yo, sin verlo, te
digo que no por lo que te acabo de comentar.
Si miras el documento detenidamente, veras que es muy sencillo
configurar la deteccion automatica, no tiene ninguna dificultad.
si quieres te lo cuento yo, pero el articulo lo explica
perfectamente.

En el servidor DNS debes agregar la zona inversa que se corresponde
con el rango que utilizas internamente. Crea el PTR para el nombre
de tu DC.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Distintas configuraciones? Ambos están configurados para usar el
proxy y uno funciona pero otro se atasca... Los eventos que te
indico son de Sistema y Aplicación (y no pongo más porque los demás
no tienen errores). Actualmente, y después de eliminar los
connection verifier, sólo tengo un evento de aviso, el SPNEGO. Mira
el enlace que te adjunto (
http://www.eventid.net/display.asp?&eventno98&source=LsaSrv&phase=1 )
, en un comentario pone:

" If the server name is prisoner.iana.org, blackhole-1.iana.org or
blackhole-2.iana.org, this is just telling you that Windows could
not perform a reverse lookup on the IP address configured as a DNS
server. These names are used to respond with "server does not
exist" when you use a private IP range, for example 192.168.1.0.
This can be quickly cleared up by adding a Reverse Lookup zone, and
adding a record for your DNS Server. "

No tengo nada configurado en la búsqueda inversa del DNS, y si hay
que hacerlo, tampoco se cómo (qué zona crear y que tipo de registro
añadir (Host(A),...)). Te adjunto el único evento que me aparece (y
sigo sin encontrarle solución a lo del navegador...). Además de
esto, tampoco sé cómo hacer los pasos que indica para WPAD en el
servidor (configurarlo en el DHCP,...), pero no entiendo como puede
hacer falta para el ie y para el firefox no, si ambos están
configurados para usar el webproxy.


[Son dos eventos de SPNEGO]
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:40
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con
el servidor DNS/prisoner.iana.org. No había un protocolo de
autenticación disponible.
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:16
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura con
el servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de
autenticación disponible.

El problema que provocaba el estancamiento ocasional era el QuicTime 6.0
(con algún añadido java/flash,etc para ie). Todavía no descarto que haya
alguna otra aplicación conflictiva como la barra de Google, que aún no he
probado.
Ahora sólo me quedan dos problemas por resolver:
- A veces me da error dns al navegar (como ya te comenté) y, para intentar
evitar el la captura de tráfico, he vuelto a cambiar los reenviadores del
servidor dns a ver si así funciona mejor.
- En el mismo cliente he instalado dos XP (SP2) en particiones
independientes. El primero es el que uso como estable (principal), el otro
para probar y probar (secundario), por lo que cualquier cosa que quiero
instalar la testeo antes en el segundo. Pues bien, en el principal no he
instalado casi nada y programas como MSN Messenger o RealPlayer no consiguen
conectar, lo que no sucede en el XP secundario, donde todo va perfectamente.
Ambos tienen desactivado el firewall de XP e instalado el firewall de ISA y,
supongo que por el mismo motivo, el acceso a la red del principal es más
lento (tarda unas décimas más en abrir una carpeta de la red).



"Ivan [MS MVP]" escribió en el mensaje
news:
Pues te aseguro, que en algunas ocasiones, esas dichosas "barritas" dan mas
guerra (bastante mas) que el servicio que proporcionan..
No se cual puede ser el problema con el DNS y para averiguarlo, creo que vas
a tener que capturar trafico en el ISA con algun sniffer y analizarlo.
Intenta filtrar la captura para ver solo el trafico entre el ISA y el
servidor DNS del ISP. Si puedes forzar el error, puedes analizar las tramas
facilmente, ver la peticion de resolucion de nombre del ISA y ver que
responde (si es que responde) el servidor DNS. Si utilizas el network
monitor y quizas no sabes interpretar las tramas, puedes dejar aqui el
fichero cab y podemos intentar ver si hay algo raro. si no quires
dejarlo aqui, puedes enviarlo a mi correo.
Respecto a la autentificacion, es el comportamiento normal. Antes de ver
autorizada la peticion, veras dos entradas como anonimo.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:%

No tengo ninguno... Por otro lado, me parece muy extraño que sea la barra
de
google. Hace unos días el mismo ordenador que ahora actua de servidor lo
puse con XP y conexión compartida, y los clientes funcionaban
perfectamente
(todos con la barra google). Es más, uno de los clientes, al instalar el
Windows Server 2003 sólo lo agregué al dominio y tenía el mismo problema
que
los demás (instalados limpiamente). He modificado los DNS a ver si así
funciona mejor, no obstante, tengo la autenticación activada y no entiendo
por qué navengando desde el cliente todo funciona bien, pero ISA registra
en
cada solicitud http unas primeras entradas que deniega por no tener
usuario
o por ser usuario anonymus (en entradas posteriores admite la conexión al
ser un usuario autenticado).




"Ivan [MS MVP]" escribió en el mensaje
news:%23Z%

Puedes probar a cambiar los DNS del ISP por otros ? quizas esos DNS estan
sobrecargados a hay problemas de conectividad.
Por casualidad en el visor de eventos, aplicacion, no tendras escaneos de
puertos que se corresponden con los DSN del ISP que utilizas actualmente
?

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:uwt$$

Cansado de tanto problema he decidido este puente a empezar desde cero.
He instalado desde el principio el servidor y un cliente, procurando no
dejarme nada, configurarlo todo bien y optimizar el rendimiento. El
resultado de todo esto ha sido un servidor que funciona perfectamente (o
casi) y un cliente como la seda. Ahora bien, sigue habiendo un problema.
El servidor tiene todo instalado excepto el antivirus que lo instalaré
cuando haya arreglado el problema, el cliente sólo tiene Windows XP Pro
y
el problema viene porque algunas páginas (de vez en cuando) dan el error
de DNS de ISA que me daban antes (si vuelvo a actualizar la página se
carga sin problemas).
El caso es que no puedo ir instalando más cosas hasta que no de con ese
pequeño problema, y no sé si se puede deber a alguna mala configuración
de filtros, a la autenticación, o a qué...


"Ivan [MS MVP]" escribió en el mensaje
news:%

Has probaod lo que te decia de realizar una instalacion limpia de
Windows XP en una maquina de pruebas que puedas tener a mano ? no
instalar nada, SO + cliente firewall y probar.
Esto que comentas, al menos para mi, no tiene mucha logica y me inclino
a pensar que esas maquinas tienen algo que hace que funcionen de manera
incorrecta. La barra de google es una candidata, aunque puedas pensar
lo
contrario.

Un saludo
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Resulta increible pero sigue sin solucionarse. He realizado los pasos
de la detección automática y he comprobado los añadidos del ie, y
todos
correctos. Me hubiera resultado muy raro encontrar componentes
indeseados en explorer porque sólo tiene la barra de google, plug-ins
de macromedia,... y esa misma configuración (incluso con los mismos
programas) funciona en otros ordenadores (no de esta red que comento).
Lo cierto es que empiezo a desconcertarme, IGUAL CONFIGURACIÓN no
funciona en ie, pero si en firefox. Hasta los he configurado para que
sólo usen el proxy sin detección automática (que es como los tenía en
un principio) y.. uno si, el otro nada. En un primer momento pienso
que
es alguna mala configuración del servidor DNS, pero cuando veo que en
firefox todo marcha perfecto... Y he llegado a plantearme la
descabellada opción de reinstalar todo (servidor incluido) desde cero,
pero de momento lo descarto rotundamente por todo lo que implicaría.
Una pesadilla...

"Ivan [MS MVP]" escribió en el mensaje
news:eqA$

Si tienes problemas con el ingles, no hay problema, te intento
explicar como hacerlo, si no, de verdad, mirate el articulo, esta muy
bien explicado.
No es posible que el IE funcione mal y el otro bien. La unica
epxlicacion que encuentro es que esas maquinas tiennen instalado
algun
tipo de programa, plugin, añadido al IE o como lo quieras llamar, que
hace que funcione mal.
En estas situaciones lo mejor es probar con una maquina recien
instalada, no instalar absolutamente nada excepto el cliente firewall
y probar, estoy seguro que funciona correctamente.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Ya he agregado la zona inversa, supongo que con eso se habrá
solucionado el spnego. Cuando digo que la configuración es igual, es
porque he probado a desactivar la detección automática y la
autoconfiguración del ie (sólo proxy) para dejarlo igual que el
firefox, y es cuando uno funciona y otro no. Por supuesto, si activo
la detección automática y la autoconfig la cosa no se arregla. Por
desgracia no tengo más tiempo hasta mañana, ý no puedo comprobar si
el spnego se ha solucionado, ni lo demás. No obstante, te
agradecería
que me pusieras todas las indicaciones para realizarlas mañana, las
que consideres oportunas para intentar arreglar esto. Sino te
importa, también la configuración de detección automática.

Gracias Ivan, mañana te cuento como funciona la cosa... Gracias de
nuevo.


"Ivan [MS MVP]" escribió en el mensaje
news:

Si, ambos estan configurados para usar proxy, pero en el IE tienes
marcadas dos opciones: detectar automaticamente y usar el script de
configuracion automatica. Si el autodiscovery no esta correctamente
configurado, en el IE NO puedes usar la opcion de detectar
automaticamente la configuracion, desmarca esa opcion. Tu dices que
la configuracion de ambos navegadores es igual, yo, sin verlo, te
digo que no por lo que te acabo de comentar.
Si miras el documento detenidamente, veras que es muy sencillo
configurar la deteccion automatica, no tiene ninguna
dificultad.
si quieres te lo cuento yo, pero el articulo lo explica
perfectamente.

En el servidor DNS debes agregar la zona inversa que se corresponde
con el rango que utilizas internamente. Crea el PTR para el nombre
de tu DC.

Un saludo.
Ivan
MS MVP ISA Server


"lexoto" escribió en el mensaje
news:

Distintas configuraciones? Ambos están configurados para usar el
proxy y uno funciona pero otro se atasca... Los eventos que te
indico son de Sistema y Aplicación (y no pongo más porque los
demás
no tienen errores). Actualmente, y después de eliminar los
connection verifier, sólo tengo un evento de aviso, el SPNEGO.
Mira
el enlace que te adjunto (
http://www.eventid.net/display.asp?&eventno98&source=LsaSrv&phase=1 )
, en un comentario pone:

" If the server name is prisoner.iana.org, blackhole-1.iana.org or
blackhole-2.iana.org, this is just telling you that Windows could
not perform a reverse lookup on the IP address configured as a DNS
server. These names are used to respond with "server does not
exist" when you use a private IP range, for example 192.168.1.0.
This can be quickly cleared up by adding a Reverse Lookup zone,
and
adding a record for your DNS Server. "

No tengo nada configurado en la búsqueda inversa del DNS, y si hay
que hacerlo, tampoco se cómo (qué zona crear y que tipo de
registro
añadir (Host(A),...)). Te adjunto el único evento que me aparece
(y
sigo sin encontrarle solución a lo del navegador...). Además de
esto, tampoco sé cómo hacer los pasos que indica para WPAD en el
servidor (configurarlo en el DHCP,...), pero no entiendo como
puede
hacer falta para el ie y para el firefox no, si ambos están
configurados para usar el webproxy.


[Son dos eventos de SPNEGO]
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:40
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura
con
el servidor DNS/prisoner.iana.org. No había un protocolo de
autenticación disponible.
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40961
Fecha: 03/12/2004
Hora: 9:47:16
Usuario: No disponible
Equipo: SERVER
Descripción:
El Sistema de seguridad no puede establecer una conexión segura
con
el servidor DNS/rsdmno1-06.rima-tde.net. No había un protocolo de
autenticación disponible.