PROBLEMAS DNS

no entiendo lo que me dices, entonces, la configuracion d emi NIC WAN es
incorrecta?

"Ivan [MS MVP]" escribió en el mensaje
news:

Si tu servidor ISA es un member server, la configuracion DNS es
incorrecta, deben ser los internos, no los del ISP, ademas, no sirve usar
el propio DNS del ISA si has hecho lo que te he comentado antes, creo que
antes he sido muy claro en esto
Al deshabilitar los roothints, los reenviadores y la recursion, ese server
solo responde a peticiones para tu dominio y no puede resolver ningun
nombre mas. Si quieres que resuelva en internet, configura lso
reenviadores a lso DNS del ISP.
http://www.isaserver.org/tutorials/...start.html

Un saludo.
Ivan
MS MVP ISA Server

"cristina" escribió en el mensaje
news:Odfr%

A.- Eliminados lso root hints,los reenviadores y deshabilitado la
recursion.
B.- Puedes hacer un telnet a los puertos 110 y 25 TCP desde internet ?.
El telnet funciona correctamente.
C.- nslookup - smtp.dominio.com - pop3.dominio.com --> Correcto.
D.- netstat -na |find ":110", netstat -na |find ":25": ( y.y.y.y --> IP
INTERNA )
TCP y.y.y.y:110 0.0.0.0:0 LISTENING
TCP y.y.y.y:25 0.0.0.0:0 LISTENING
E.- No entiendo esto: Debes tener cuidado en al configuracion TCP/IP de
los interfaces de red del ISA, ambos deberian tener como servidores DNS
los internos y en estos hacer uso de los reenviadores a los DNS del
ISP..
Te comento como tengo las NIC:
LAN:
IP: y.y.y.y. Subred: z.z.z.z
WAN:
IP: x.x.x.x. Subred: w.w.w.w Gateway: d.d.d.d.
DNS Primario: El Server DNS que hemos estado hablando.
DNS Secundario: Artemis.
Deshabilitado Netbios sobre TCP.


"Ivan [MS MVP]" escribió en el mensaje
news:

Hola Cristina,

"cristina" escribió en el mensaje
news:

Lo que quiero es:

mi servidor se utilice solamente para alojar mi dominio de internet y
permitir la resolucion de nombres de mi dominio pero no usarlo para
clientes
internos.

Si tu servidor DNS solo debe dar servicios a los clientes de Internet
para resolucion de nombres UNICAY EXCLUSIVAMANTE DE TU DOMINIO, debes:
1-Eliminar lso root hints
2-Eliminar los reenviadores
3-Deshabilitar la recursion.

Si haces esto, este servidor no se puede utilizar para ningun tipo de
resolucion de nombres que quede fuera de tu dominio de internet, es
importante que tengas clarto esto.

Si hago un nslookup con mi ip me resuleve ahora perfectamente, pero
tengo
los siguientes problemas:

Si desde intener resuelves nombres de tu dominio perfectamente, no se
donde esta el problema desde luego en el DNS no.

Cuando configuro en un OE mi cuenta de correo de la empresa mediante
Correo
Electronico de Internet, es decir, (smtp.dominio.com -
pop3.dominio.com ) me
da el error:
El servidor finalizó inesperadamente la conexión. Puede que haya un
problema
en el servidor, un problema de red o que haya estado inactivo un
periodo
largo. Cuenta: 'server.dominio.com', Servidor: 'server.dominio.com',
Protocolo: POP3, Puerto: 110, Seguridad (SSL): No, Número de error:
0x800CCC0F

Esto es mas prolerma de las reglas de publicacion o acceso, depende de
como publiques el servidor Exchange.
Puedes hacer un telnet a los puertos 110 y 25 TCP desde internet ?

Creo que no resuelve correctamente porque no es normal ese fallo, y lo
malo
que tengo clientes que se estan quejando.

No si como dices resuelve bien, la prueba es sencilla desde un cliente
de internet:
nslookup
smtp.dominio.com
pop3.dominio.com

Resuelve correctamente ? si? pues aparca el tema de DNS, no es ese el
problema.

Segun me dices Ivan, debo leiminar los root hitnsm reenviadores y
deshabilitar la recursion en mi server no?. Lo hare.

Teniendo muy claro lo que te comentaba al principio del hilo si, es
recomendable para asegurar tus servidores DNS de Internet.

Como tengo un ISA corriendo en el Server DNS, lo que he hecho es
publicar el
Servidor DNS, es correcto?.

Si no puedes situarlo en otro servidor, si.

Referente al error del OE, te comento, aunque es otro error que no
tiene que
ver nada con post este.
Tengo Ex2003+ISA2004 en el mismo equipo.Deshabilite el SocketPooling y
puse
solamente a escuchar el SMTP-POP3 por la IP interna, puede ser ese el
error?, aunque me "mosquea" mucho lo de "haya estado inactivo un
periodo
largo..."

Verifica que esos servicios solo escuchan en la interna porque si no es
asi, entran en conflicto con la regla de publicacion.
desde un cmd ejecuta:
netstat -na |find ":110"
netstat -na |find ":25"
Ninguno de estos comandos debe mostrarte esta entrada: 0.0.0.0:110 y
0.0.0.0:25
Si aparece ese antrada, una de dos, el socket pooling no esta
deshabilitado o los servicios continuan escuchando peticiones en todos
los interfaces de red.
Si lo anterior es correcto, el problema esta en la configuracion de las
reglas de publicacion.
Debes tener cuidado en al configuracion TCP/IP de los interfaces dered
del ISA, ambos deberian tener como servidores DNS los internos y en
estos hacer uso de los reenviadores a los DNS del ISP.

Un saludo.
Ivan
MS MVP ISA Server

Cristina, simplemente intento decirte que:
La forma de mantener seguros nuestros servidores DNS de Internet, es que
solo resuelvan peticiones de nuestro dominio. Esto se consigue con estas
tres medidas:
1-Eliminando los root hints
2-Eliminando los reenviadores
3-Deshabilitando la recursion

Si haces lo anterior, como pretendes usarlo para resolver nombres ? NO
puedes .

Si quieres que esos servidores, ademas de alojar tus zonas de Internet,
puedan resolver nombres en internet, lo mas sencillo es que configures los
reenviadores a los DNS del ISP. La alternativa es que sean los DNS internos
los que reenvien al ISP.
No se si me he explicado

Un saludo.
Ivan
MS MVP ISA Server


"cristina" escribió en el mensaje
news:

no entiendo lo que me dices, entonces, la configuracion d emi NIC WAN es
incorrecta?

"Ivan [MS MVP]" escribió en el mensaje
news:

Si tu servidor ISA es un member server, la configuracion DNS es
incorrecta, deben ser los internos, no los del ISP, ademas, no sirve usar
el propio DNS del ISA si has hecho lo que te he comentado antes, creo que
antes he sido muy claro en esto
Al deshabilitar los roothints, los reenviadores y la recursion, ese
server solo responde a peticiones para tu dominio y no puede resolver
ningun nombre mas. Si quieres que resuelva en internet, configura lso
reenviadores a lso DNS del ISP.
http://www.isaserver.org/tutorials/...start.html

Un saludo.
Ivan
MS MVP ISA Server

"cristina" escribió en el mensaje
news:Odfr%

A.- Eliminados lso root hints,los reenviadores y deshabilitado la
recursion.
B.- Puedes hacer un telnet a los puertos 110 y 25 TCP desde internet ?.
El telnet funciona correctamente.
C.- nslookup - smtp.dominio.com - pop3.dominio.com --> Correcto.
D.- netstat -na |find ":110", netstat -na |find ":25": ( y.y.y.y --> IP
INTERNA )
TCP y.y.y.y:110 0.0.0.0:0 LISTENING
TCP y.y.y.y:25 0.0.0.0:0 LISTENING
E.- No entiendo esto: Debes tener cuidado en al configuracion TCP/IP de
los interfaces de red del ISA, ambos deberian tener como servidores DNS
los internos y en estos hacer uso de los reenviadores a los DNS del
ISP..
Te comento como tengo las NIC:
LAN:
IP: y.y.y.y. Subred: z.z.z.z
WAN:
IP: x.x.x.x. Subred: w.w.w.w Gateway: d.d.d.d.
DNS Primario: El Server DNS que hemos estado hablando.
DNS Secundario: Artemis.
Deshabilitado Netbios sobre TCP.


"Ivan [MS MVP]" escribió en el mensaje
news:

Hola Cristina,

"cristina" escribió en el mensaje
news:

Lo que quiero es:

mi servidor se utilice solamente para alojar mi dominio de internet y
permitir la resolucion de nombres de mi dominio pero no usarlo para
clientes
internos.

Si tu servidor DNS solo debe dar servicios a los clientes de Internet
para resolucion de nombres UNICAY EXCLUSIVAMANTE DE TU DOMINIO, debes:
1-Eliminar lso root hints
2-Eliminar los reenviadores
3-Deshabilitar la recursion.

Si haces esto, este servidor no se puede utilizar para ningun tipo de
resolucion de nombres que quede fuera de tu dominio de internet, es
importante que tengas clarto esto.

Si hago un nslookup con mi ip me resuleve ahora perfectamente, pero
tengo
los siguientes problemas:

Si desde intener resuelves nombres de tu dominio perfectamente, no se
donde esta el problema desde luego en el DNS no.

Cuando configuro en un OE mi cuenta de correo de la empresa mediante
Correo
Electronico de Internet, es decir, (smtp.dominio.com -
pop3.dominio.com ) me
da el error:
El servidor finalizó inesperadamente la conexión. Puede que haya un
problema
en el servidor, un problema de red o que haya estado inactivo un
periodo
largo. Cuenta: 'server.dominio.com', Servidor: 'server.dominio.com',
Protocolo: POP3, Puerto: 110, Seguridad (SSL): No, Número de error:
0x800CCC0F

Esto es mas prolerma de las reglas de publicacion o acceso, depende de
como publiques el servidor Exchange.
Puedes hacer un telnet a los puertos 110 y 25 TCP desde internet ?

Creo que no resuelve correctamente porque no es normal ese fallo, y lo
malo
que tengo clientes que se estan quejando.

No si como dices resuelve bien, la prueba es sencilla desde un cliente
de internet:
nslookup
smtp.dominio.com
pop3.dominio.com

Resuelve correctamente ? si? pues aparca el tema de DNS, no es ese el
problema.

Segun me dices Ivan, debo leiminar los root hitnsm reenviadores y
deshabilitar la recursion en mi server no?. Lo hare.

Teniendo muy claro lo que te comentaba al principio del hilo si, es
recomendable para asegurar tus servidores DNS de Internet.

Como tengo un ISA corriendo en el Server DNS, lo que he hecho es
publicar el
Servidor DNS, es correcto?.

Si no puedes situarlo en otro servidor, si.

Referente al error del OE, te comento, aunque es otro error que no
tiene que
ver nada con post este.
Tengo Ex2003+ISA2004 en el mismo equipo.Deshabilite el SocketPooling y
puse
solamente a escuchar el SMTP-POP3 por la IP interna, puede ser ese el
error?, aunque me "mosquea" mucho lo de "haya estado inactivo un
periodo
largo..."

Verifica que esos servicios solo escuchan en la interna porque si no es
asi, entran en conflicto con la regla de publicacion.
desde un cmd ejecuta:
netstat -na |find ":110"
netstat -na |find ":25"
Ninguno de estos comandos debe mostrarte esta entrada: 0.0.0.0:110 y
0.0.0.0:25
Si aparece ese antrada, una de dos, el socket pooling no esta
deshabilitado o los servicios continuan escuchando peticiones en todos
los interfaces de red.
Si lo anterior es correcto, el problema esta en la configuracion de las
reglas de publicacion.
Debes tener cuidado en al configuracion TCP/IP de los interfaces dered
del ISA, ambos deberian tener como servidores DNS los internos y en
estos hacer uso de los reenviadores a los DNS del ISP.

Un saludo.
Ivan
MS MVP ISA Server