Salida a Internet solo por Firewall Client

La verdad que no me doy cuenta mirando los logs que puede estar mal, lo que
si me paraece curioso es que en las sesiones me abre para el mismo usuario
una Firewall client, una Web Proxy client y una SecureNAT cuando tengo
configurado únicamente el cliente Firewall ¿es esto correcto?, gracias
nuevamente.


"Ivan [MS MVP]" wrote:

Mira los logs y si tienes dudas dejales aqui (elimina la informacion sensible o "falseala" mejor).

Un saludo.
Ivan
MS MVP ISA Server


"Marcelo" escribió en el mensaje news:
> Sí, perdón pero no te había entendido que te referías al grupo predefinido,
> ahora sí probé con ese y tampoco va, pero ese grupo cómo trabaja ?? porque no
> permite agregarle usuarios verdad ??
>
> Ahora me voy a poner con los logs a ver que encuentro, gracias nuevamente.
>
>
> "Ivan [MS MVP]" wrote:
>
> > Pero... has utilizado en esa regla el grupo predefinido de ISA que te he indicado en el otro post ?
> > Lo mejor que puedes hacer es usar los logs en tiempo real, te "canta" todo
> >
> > Un saludo.
> > Ivan
> > MS MVP ISA Server
> >
> >
> > "Marcelo" escribió en el mensaje news:
> > > Gracias por responder, te cuento esta es la única regla por el momento, sí
> > > está situada al principio y no me deja salir, otra cosa curiosa es que si
> > > configuro el navegador para que utilice de proxy al ISA sí funciona y para el
> > > grupo de usuarios específicos, me pasa únicamente para salir como Firewall
> > > client que si no le pongo All Users no va.
> > >
> > >
> > > "Ivan [MS MVP]" wrote:
> > >
> > > > A diferencia de ISA 2000, un cliente firewall puede navegar perfectamente en ISA 2004 aunque este forzada la autentificacion para las peticiones web salientes.
> > > > Lo mejor que puedes hacer en estos casos es usar los logs en tiempo real de ISA. Filtra la captura para ver solo las peticiones de la IP del cliente desde el que estas realizando las pruebas y podras ver que regla esta denegando la peticion y el porque.
> > > >
> > > > Si creas una regla que permite HTTP desde la red interna hacia la red externa al grupo usuarios autentificados y situas esta regla en primer lugar, funciona ?
> > > >
> > > > Un saludo.
> > > > Ivan
> > > > MS MVP ISA Server
> > > >
> > > >
> > > > "Marcelo" escribió en el mensaje news:
> > > > > Hola a todos, tengo una ISA 2004 sobre Windows Server 2003 que está integrado
> > > > > a un dominio NT, me gustaría dar salida a Internet instalando el cliente
> > > > > Firewall en las estaciones y tampoco configurar el navegador automáticamente,
> > > > > es decir quiero que mis clientes sean del tipo Firewall client (ni Web Proxy
> > > > > client ni SecureNAT client), pero resulta que la regla que tengo creada me
> > > > > permite navegar únicamente si se la aplico a All Users, en donde le ponga un
> > > > > grupo de usuarios en particular ya no funciona, los usuarios pertenecen por
> > > > > supuesto al dominio NT pero es como si no los validara.
> > > > >
> > > > > Alguien me podría orientar por dónde está el problema??
> > > > >
> > > > > Un saludo y gracias de antemano.
> > > > >
> > > > > Marcelo Cabrera
> > > >
> >

Si

Un saludo.
Ivan
MS MVP ISA Server


"Marcelo" escribió en el mensaje
news:

La verdad que no me doy cuenta mirando los logs que puede estar mal, lo
que
si me paraece curioso es que en las sesiones me abre para el mismo usuario
una Firewall client, una Web Proxy client y una SecureNAT cuando tengo
configurado únicamente el cliente Firewall ¿es esto correcto?, gracias
nuevamente.


"Ivan [MS MVP]" wrote:

Mira los logs y si tienes dudas dejales aqui (elimina la informacion
sensible o "falseala" mejor).

Un saludo.
Ivan
MS MVP ISA Server


"Marcelo" escribió en el mensaje
news:
> Sí, perdón pero no te había entendido que te referías al grupo
> predefinido,
> ahora sí probé con ese y tampoco va, pero ese grupo cómo trabaja ??
> porque no
> permite agregarle usuarios verdad ??
>
> Ahora me voy a poner con los logs a ver que encuentro, gracias
> nuevamente.
>
>
> "Ivan [MS MVP]" wrote:
>
> > Pero... has utilizado en esa regla el grupo predefinido de ISA que te
> > he indicado en el otro post ?
> > Lo mejor que puedes hacer es usar los logs en tiempo real, te "canta"
> > todo
> >
> > Un saludo.
> > Ivan
> > MS MVP ISA Server
> >
> >
> > "Marcelo" escribió en el mensaje
> > news:
> > > Gracias por responder, te cuento esta es la única regla por el
> > > momento, sí
> > > está situada al principio y no me deja salir, otra cosa curiosa es
> > > que si
> > > configuro el navegador para que utilice de proxy al ISA sí funciona
> > > y para el
> > > grupo de usuarios específicos, me pasa únicamente para salir como
> > > Firewall
> > > client que si no le pongo All Users no va.
> > >
> > >
> > > "Ivan [MS MVP]" wrote:
> > >
> > > > A diferencia de ISA 2000, un cliente firewall puede navegar
> > > > perfectamente en ISA 2004 aunque este forzada la autentificacion
> > > > para las peticiones web salientes.
> > > > Lo mejor que puedes hacer en estos casos es usar los logs en
> > > > tiempo real de ISA. Filtra la captura para ver solo las
> > > > peticiones de la IP del cliente desde el que estas realizando las
> > > > pruebas y podras ver que regla esta denegando la peticion y el
> > > > porque.
> > > >
> > > > Si creas una regla que permite HTTP desde la red interna hacia la
> > > > red externa al grupo usuarios autentificados y situas esta regla
> > > > en primer lugar, funciona ?
> > > >
> > > > Un saludo.
> > > > Ivan
> > > > MS MVP ISA Server
> > > >
> > > >
> > > > "Marcelo" escribió en el
> > > > mensaje
> > > > news:
> > > > > Hola a todos, tengo una ISA 2004 sobre Windows Server 2003 que
> > > > > está integrado
> > > > > a un dominio NT, me gustaría dar salida a Internet instalando
> > > > > el cliente
> > > > > Firewall en las estaciones y tampoco configurar el navegador
> > > > > automáticamente,
> > > > > es decir quiero que mis clientes sean del tipo Firewall client
> > > > > (ni Web Proxy
> > > > > client ni SecureNAT client), pero resulta que la regla que
> > > > > tengo creada me
> > > > > permite navegar únicamente si se la aplico a All Users, en
> > > > > donde le ponga un
> > > > > grupo de usuarios en particular ya no funciona, los usuarios
> > > > > pertenecen por
> > > > > supuesto al dominio NT pero es como si no los validara.
> > > > >
> > > > > Alguien me podría orientar por dónde está el problema??
> > > > >
> > > > > Un saludo y gracias de antemano.
> > > > >
> > > > > Marcelo Cabrera
> > > >
> >

Muchas gracias Ivan por tu ayuda, te cuentto que sigo igual pero ya estoy
apuntando a un problema de validación por el hecho de ser un w2003 integrado
a un dominio NT o algo así ¿puede ser?, más que un problema de configuración
del ISA, aunque también lo curioso es que si no es por Cliente Firewall
valida bien, quiero decir si configuro el esplorer sí me acepta el grupo de
usuarios que quiero sin tener que dejar a All Users, no sé, es bastante raro
¿no?.


"Ivan [MS MVP]" wrote:

Si

Un saludo.
Ivan
MS MVP ISA Server


"Marcelo" escribió en el mensaje
news:
> La verdad que no me doy cuenta mirando los logs que puede estar mal, lo
> que
> si me paraece curioso es que en las sesiones me abre para el mismo usuario
> una Firewall client, una Web Proxy client y una SecureNAT cuando tengo
> configurado únicamente el cliente Firewall ¿es esto correcto?, gracias
> nuevamente.
>
>
> "Ivan [MS MVP]" wrote:
>
>> Mira los logs y si tienes dudas dejales aqui (elimina la informacion
>> sensible o "falseala" mejor).
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Marcelo" escribió en el mensaje
>> news:
>> > Sí, perdón pero no te había entendido que te referías al grupo
>> > predefinido,
>> > ahora sí probé con ese y tampoco va, pero ese grupo cómo trabaja ??
>> > porque no
>> > permite agregarle usuarios verdad ??
>> >
>> > Ahora me voy a poner con los logs a ver que encuentro, gracias
>> > nuevamente.
>> >
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> > > Pero... has utilizado en esa regla el grupo predefinido de ISA que te
>> > > he indicado en el otro post ?
>> > > Lo mejor que puedes hacer es usar los logs en tiempo real, te "canta"
>> > > todo
>> > >
>> > > Un saludo.
>> > > Ivan
>> > > MS MVP ISA Server
>> > >
>> > >
>> > > "Marcelo" escribió en el mensaje
>> > > news:
>> > > > Gracias por responder, te cuento esta es la única regla por el
>> > > > momento, sí
>> > > > está situada al principio y no me deja salir, otra cosa curiosa es
>> > > > que si
>> > > > configuro el navegador para que utilice de proxy al ISA sí funciona
>> > > > y para el
>> > > > grupo de usuarios específicos, me pasa únicamente para salir como
>> > > > Firewall
>> > > > client que si no le pongo All Users no va.
>> > > >
>> > > >
>> > > > "Ivan [MS MVP]" wrote:
>> > > >
>> > > > > A diferencia de ISA 2000, un cliente firewall puede navegar
>> > > > > perfectamente en ISA 2004 aunque este forzada la autentificacion
>> > > > > para las peticiones web salientes.
>> > > > > Lo mejor que puedes hacer en estos casos es usar los logs en
>> > > > > tiempo real de ISA. Filtra la captura para ver solo las
>> > > > > peticiones de la IP del cliente desde el que estas realizando las
>> > > > > pruebas y podras ver que regla esta denegando la peticion y el
>> > > > > porque.
>> > > > >
>> > > > > Si creas una regla que permite HTTP desde la red interna hacia la
>> > > > > red externa al grupo usuarios autentificados y situas esta regla
>> > > > > en primer lugar, funciona ?
>> > > > >
>> > > > > Un saludo.
>> > > > > Ivan
>> > > > > MS MVP ISA Server
>> > > > >
>> > > > >
>> > > > > "Marcelo" escribió en el
>> > > > > mensaje
>> > > > > news:
>> > > > > > Hola a todos, tengo una ISA 2004 sobre Windows Server 2003 que
>> > > > > > está integrado
>> > > > > > a un dominio NT, me gustaría dar salida a Internet instalando
>> > > > > > el cliente
>> > > > > > Firewall en las estaciones y tampoco configurar el navegador
>> > > > > > automáticamente,
>> > > > > > es decir quiero que mis clientes sean del tipo Firewall client
>> > > > > > (ni Web Proxy
>> > > > > > client ni SecureNAT client), pero resulta que la regla que
>> > > > > > tengo creada me
>> > > > > > permite navegar únicamente si se la aplico a All Users, en
>> > > > > > donde le ponga un
>> > > > > > grupo de usuarios en particular ya no funciona, los usuarios
>> > > > > > pertenecen por
>> > > > > > supuesto al dominio NT pero es como si no los validara.
>> > > > > >
>> > > > > > Alguien me podría orientar por dónde está el problema??
>> > > > > >
>> > > > > > Un saludo y gracias de antemano.
>> > > > > >
>> > > > > > Marcelo Cabrera
>> > > > >
>> > >
>>

Hay errores en el visor de eventos que indiquen que el servidor no ha podido encontrar un DC ?
Cuando intentas agregar un grupo de usuarios a una regla, lo hace en un tiempo razonable ? (deberia ser muy rapido, pero)
Imagino que en tu dominio hay al menos un servidor WINS y el servidor Windows 2003 tiene configurado la IP de ese servidor WINS.

Un saludo.
Ivan
MS MVP ISA Server


"Marcelo" escribió en el mensaje news:

Muchas gracias Ivan por tu ayuda, te cuentto que sigo igual pero ya estoy
apuntando a un problema de validación por el hecho de ser un w2003 integrado
a un dominio NT o algo así ¿puede ser?, más que un problema de configuración
del ISA, aunque también lo curioso es que si no es por Cliente Firewall
valida bien, quiero decir si configuro el esplorer sí me acepta el grupo de
usuarios que quiero sin tener que dejar a All Users, no sé, es bastante raro
¿no?.


"Ivan [MS MVP]" wrote:

> Si
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "Marcelo" escribió en el mensaje
> news:
> > La verdad que no me doy cuenta mirando los logs que puede estar mal, lo
> > que
> > si me paraece curioso es que en las sesiones me abre para el mismo usuario
> > una Firewall client, una Web Proxy client y una SecureNAT cuando tengo
> > configurado únicamente el cliente Firewall ¿es esto correcto?, gracias
> > nuevamente.
> >
> >
> > "Ivan [MS MVP]" wrote:
> >
> >> Mira los logs y si tienes dudas dejales aqui (elimina la informacion
> >> sensible o "falseala" mejor).
> >>
> >> Un saludo.
> >> Ivan
> >> MS MVP ISA Server
> >>
> >>
> >> "Marcelo" escribió en el mensaje
> >> news:
> >> > Sí, perdón pero no te había entendido que te referías al grupo
> >> > predefinido,
> >> > ahora sí probé con ese y tampoco va, pero ese grupo cómo trabaja ??
> >> > porque no
> >> > permite agregarle usuarios verdad ??
> >> >
> >> > Ahora me voy a poner con los logs a ver que encuentro, gracias
> >> > nuevamente.
> >> >
> >> >
> >> > "Ivan [MS MVP]" wrote:
> >> >
> >> > > Pero... has utilizado en esa regla el grupo predefinido de ISA que te
> >> > > he indicado en el otro post ?
> >> > > Lo mejor que puedes hacer es usar los logs en tiempo real, te "canta"
> >> > > todo
> >> > >
> >> > > Un saludo.
> >> > > Ivan
> >> > > MS MVP ISA Server
> >> > >
> >> > >
> >> > > "Marcelo" escribió en el mensaje
> >> > > news:
> >> > > > Gracias por responder, te cuento esta es la única regla por el
> >> > > > momento, sí
> >> > > > está situada al principio y no me deja salir, otra cosa curiosa es
> >> > > > que si
> >> > > > configuro el navegador para que utilice de proxy al ISA sí funciona
> >> > > > y para el
> >> > > > grupo de usuarios específicos, me pasa únicamente para salir como
> >> > > > Firewall
> >> > > > client que si no le pongo All Users no va.
> >> > > >
> >> > > >
> >> > > > "Ivan [MS MVP]" wrote:
> >> > > >
> >> > > > > A diferencia de ISA 2000, un cliente firewall puede navegar
> >> > > > > perfectamente en ISA 2004 aunque este forzada la autentificacion
> >> > > > > para las peticiones web salientes.
> >> > > > > Lo mejor que puedes hacer en estos casos es usar los logs en
> >> > > > > tiempo real de ISA. Filtra la captura para ver solo las
> >> > > > > peticiones de la IP del cliente desde el que estas realizando las
> >> > > > > pruebas y podras ver que regla esta denegando la peticion y el
> >> > > > > porque.
> >> > > > >
> >> > > > > Si creas una regla que permite HTTP desde la red interna hacia la
> >> > > > > red externa al grupo usuarios autentificados y situas esta regla
> >> > > > > en primer lugar, funciona ?
> >> > > > >
> >> > > > > Un saludo.
> >> > > > > Ivan
> >> > > > > MS MVP ISA Server
> >> > > > >
> >> > > > >
> >> > > > > "Marcelo" escribió en el
> >> > > > > mensaje
> >> > > > > news:
> >> > > > > > Hola a todos, tengo una ISA 2004 sobre Windows Server 2003 que
> >> > > > > > está integrado
> >> > > > > > a un dominio NT, me gustaría dar salida a Internet instalando
> >> > > > > > el cliente
> >> > > > > > Firewall en las estaciones y tampoco configurar el navegador
> >> > > > > > automáticamente,
> >> > > > > > es decir quiero que mis clientes sean del tipo Firewall client
> >> > > > > > (ni Web Proxy
> >> > > > > > client ni SecureNAT client), pero resulta que la regla que
> >> > > > > > tengo creada me
> >> > > > > > permite navegar únicamente si se la aplico a All Users, en
> >> > > > > > donde le ponga un
> >> > > > > > grupo de usuarios en particular ya no funciona, los usuarios
> >> > > > > > pertenecen por
> >> > > > > > supuesto al dominio NT pero es como si no los validara.
> >> > > > > >
> >> > > > > > Alguien me podría orientar por dónde está el problema??
> >> > > > > >
> >> > > > > > Un saludo y gracias de antemano.
> >> > > > > >
> >> > > > > > Marcelo Cabrera
> >> > > > >
> >> > >
> >>
>
>
>

Transcribo dos errores, el primero en el ISA2004/w2003 y el segundo en el PDC
(NT).

Cuando agrego usuarios a una regla lo hace rápido, sin problemas.

No tenía configurado el WINS en la placa interna del ISA, lo hice y sigue
igual.

Ahora estoy tratando de informarme acerca de los errores y ver cómo
resolverlos pero no sé si estarán relacionados con mi problema, por eso los
copio, gracias por la ayuda, un saludo.


ISA2004 / w2003 - Event ID 7519 - Source: Netlogon

This computer was not able to set up a secure session with a domain
controller in domain "MI-DOMINIO" due to the following:
There are currently no logon servers available to service the logon request.
This may lead to authentication problems. Make sure that this computer is
connected to the network. If the problem persists, please contact your domain
administrator.
ADDITIONAL INFO
If this computer is a domain controller for the specified domain, it sets up
the secure session to the primary domain controller emulator in the specified
domain. Otherwise, this computer sets up the secure session to any domain
controller in the specified domain.


PDC / NT Server - Event ID 8003 - Source: Rdr

The master browser has received a server announcement from the computer
"NOMBRE-PC-ISA2004" that believes that it is the master browser for the
domain on transport NetBT_AMDPCN1. The master browser is stopping or an
election is being forced.



"Ivan [MS MVP]" wrote:

Hay errores en el visor de eventos que indiquen que el servidor no ha podido encontrar un DC ?
Cuando intentas agregar un grupo de usuarios a una regla, lo hace en un tiempo razonable ? (deberia ser muy rapido, pero)
Imagino que en tu dominio hay al menos un servidor WINS y el servidor Windows 2003 tiene configurado la IP de ese servidor WINS.

Un saludo.
Ivan
MS MVP ISA Server


"Marcelo" escribió en el mensaje news:
> Muchas gracias Ivan por tu ayuda, te cuentto que sigo igual pero ya estoy
> apuntando a un problema de validación por el hecho de ser un w2003 integrado
> a un dominio NT o algo así ¿puede ser?, más que un problema de configuración
> del ISA, aunque también lo curioso es que si no es por Cliente Firewall
> valida bien, quiero decir si configuro el esplorer sí me acepta el grupo de
> usuarios que quiero sin tener que dejar a All Users, no sé, es bastante raro
> ¿no?.