Que template de ISA SERVER 2004 Se aproxima a lo siguiente.

ISA aplica filtrado con inspeccion de estado en todos los interfaces. La
directiva del sistema permite al servidor ISA comunicarse con los servicios
de la red interna criticos para el fucnionamiento del servidor: DNS, WINS,
Kerberos, LDAP, etc, etc, pero, los clientes internos, a priori, no pueden
conectarse con absolutamente ningun servicio que se ejecute en el ISA. Debes
permitirlo con reglas de acceso y en algun caso mediante la directiva del
sistema.
La forma mas sencilla de que los clientes internos funcionen con normalidad
(ya que el ISA es un DC) es creando una regla que permita todo el trafico en
saliente desde la red inertna a localhost a todos los usuarios. Si quieres
permitir lo necesario, debes eprmitir los rpotocolos que indica este
articulo desde la red interna a localhost a tosdos los usuarios:
http://www.isaserver.org/articles/2...omain.html
Luego tendrias que crear mas reglas de acceso en funcion de los servicios
que deban ser accesibles por los clientes internos. DHCP por ejemplo:
http://www.microsoft.com/technet/pr...erver.mspx

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje
news:

He aplicado este template y tengo un problema con los clientes.
Los clientes con esta configuracion en el ISA no ven el servidor, no ven
exchange y tardan muchisimo tiempo para loguearse y aplicar las politicas
de
seguridad.

Sin embargo cuado cambio el ISA al template "Single Adapter network"

INERTNET
l
l
FIREWALL l
l
l
l
CLIENTES

Podrias decirme que esta pasando. Noto que con la opcion Edge firewall.
se crea una firewall police para DNS que es eso.


"Ivan [MS MVP]" escribió:

Edge firewall.

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje
news:
> Tengo un servidor con SBS, ISA SERVER 2004 Y EXCHANGE SERVER.
> Este servidor tiene dos tarjetas de red esta es graficamente
>
> ISP
> - PCS CLIENTES
> l l
> l l
> Moden ADSL RED INTERNA
> l l
> l l
> Tarjeta 1 Tarjeta 2
>
> Servidor ISA
>
> De los template cual es el que mas se ajusta y si no aplican ninguna
> cuanl
> seria la configuracion.

Gracias IVAN,

Porque con el template que antes utilice no pasa esto?
Podria este template "Edge Template" poner la red lenta, causarme problemas,
no me gusta la idea de que el ISA tenga que intervenir en las requisiciones
de los clientes internos de mi red.
Que puedo hacer para que mis clientes solo utilicen la funcionalidad de isa
para asuntos de navegacion.
Que pasa si el ISA falla, mis usuarios podran seguir trabajando y
loguenadose en el servidor principal, te pregunto esto porque cuando vi el
problema baje los servicios del ISA y si siguio el problema.

"Ivan [MS MVP]" escribió:

ISA aplica filtrado con inspeccion de estado en todos los interfaces. La
directiva del sistema permite al servidor ISA comunicarse con los servicios
de la red interna criticos para el fucnionamiento del servidor: DNS, WINS,
Kerberos, LDAP, etc, etc, pero, los clientes internos, a priori, no pueden
conectarse con absolutamente ningun servicio que se ejecute en el ISA. Debes
permitirlo con reglas de acceso y en algun caso mediante la directiva del
sistema.
La forma mas sencilla de que los clientes internos funcionen con normalidad
(ya que el ISA es un DC) es creando una regla que permita todo el trafico en
saliente desde la red inertna a localhost a todos los usuarios. Si quieres
permitir lo necesario, debes eprmitir los rpotocolos que indica este
articulo desde la red interna a localhost a tosdos los usuarios:
http://www.isaserver.org/articles/2...omain.html
Luego tendrias que crear mas reglas de acceso en funcion de los servicios
que deban ser accesibles por los clientes internos. DHCP por ejemplo:
http://www.microsoft.com/technet/pr...erver.mspx

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje
news:
> He aplicado este template y tengo un problema con los clientes.
> Los clientes con esta configuracion en el ISA no ven el servidor, no ven
> exchange y tardan muchisimo tiempo para loguearse y aplicar las politicas
> de
> seguridad.
>
> Sin embargo cuado cambio el ISA al template "Single Adapter network"
>
> INERTNET
> l
> l
> FIREWALL l
> l
> l
> l
> CLIENTES
>
> Podrias decirme que esta pasando. Noto que con la opcion Edge firewall.
> se crea una firewall police para DNS que es eso.
>
>
> "Ivan [MS MVP]" escribió:
>
>> Edge firewall.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JUAN REYES" escribió en el mensaje
>> news:
>> > Tengo un servidor con SBS, ISA SERVER 2004 Y EXCHANGE SERVER.
>> > Este servidor tiene dos tarjetas de red esta es graficamente
>> >
>> > ISP
>> > - PCS CLIENTES
>> > l l
>> > l l
>> > Moden ADSL RED INTERNA
>> > l l
>> > l l
>> > Tarjeta 1 Tarjeta 2
>> >
>> > Servidor ISA
>> >
>> > De los template cual es el que mas se ajusta y si no aplican ninguna
>> > cuanl
>> > seria la configuracion.
>>
>>
>>

Aunque lo instales com un unico interface de red, ISA continua aplicando
filtrado en ese interface.
Si el ISA es el DC, los clientes deben acudir a el para realizar numerosas
operaciones, luego... tendras que permitir este trafico.
Realiza esto: crea una regla de acceso que permite todo el trafico en
saliente desde la red interna hacia localhost a todos los usuarios y
problema resuelto.
Si en la red interna hay mas DCs, crea un aregla identica a la anterior pero
desde localhost hacia la red interna.
Estas dos reglas se pueden agrupar en una unica regla.
Si se para el servicio firewall, ISA entre en lockdown mode y no, los
clientes no pueden contactar con el.

Que puedes hacer ? sencillo.. isntalar ISA en otro servidor que no sea un
DC.

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje
news:

Gracias IVAN,

Porque con el template que antes utilice no pasa esto?
Podria este template "Edge Template" poner la red lenta, causarme
problemas,
no me gusta la idea de que el ISA tenga que intervenir en las
requisiciones
de los clientes internos de mi red.
Que puedo hacer para que mis clientes solo utilicen la funcionalidad de
isa
para asuntos de navegacion.
Que pasa si el ISA falla, mis usuarios podran seguir trabajando y
loguenadose en el servidor principal, te pregunto esto porque cuando vi el
problema baje los servicios del ISA y si siguio el problema.

"Ivan [MS MVP]" escribió:

ISA aplica filtrado con inspeccion de estado en todos los interfaces. La
directiva del sistema permite al servidor ISA comunicarse con los
servicios
de la red interna criticos para el fucnionamiento del servidor: DNS,
WINS,
Kerberos, LDAP, etc, etc, pero, los clientes internos, a priori, no
pueden
conectarse con absolutamente ningun servicio que se ejecute en el ISA.
Debes
permitirlo con reglas de acceso y en algun caso mediante la directiva del
sistema.
La forma mas sencilla de que los clientes internos funcionen con
normalidad
(ya que el ISA es un DC) es creando una regla que permita todo el trafico
en
saliente desde la red inertna a localhost a todos los usuarios. Si
quieres
permitir lo necesario, debes eprmitir los rpotocolos que indica este
articulo desde la red interna a localhost a tosdos los usuarios:
http://www.isaserver.org/articles/2...omain.html
Luego tendrias que crear mas reglas de acceso en funcion de los servicios
que deban ser accesibles por los clientes internos. DHCP por ejemplo:
http://www.microsoft.com/technet/pr...erver.mspx

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje
news:
> He aplicado este template y tengo un problema con los clientes.
> Los clientes con esta configuracion en el ISA no ven el servidor, no
> ven
> exchange y tardan muchisimo tiempo para loguearse y aplicar las
> politicas
> de
> seguridad.
>
> Sin embargo cuado cambio el ISA al template "Single Adapter network"
>
> INERTNET
> l
> l
> FIREWALL l
> l
> l
> l
> CLIENTES
>
> Podrias decirme que esta pasando. Noto que con la opcion Edge firewall.
> se crea una firewall police para DNS que es eso.
>
>
> "Ivan [MS MVP]" escribió:
>
>> Edge firewall.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JUAN REYES" escribió en el
>> mensaje
>> news:
>> > Tengo un servidor con SBS, ISA SERVER 2004 Y EXCHANGE SERVER.
>> > Este servidor tiene dos tarjetas de red esta es graficamente
>> >
>> > ISP
>> > - PCS CLIENTES
>> > l l
>> > l l
>> > Moden ADSL RED INTERNA
>> > l l
>> > l l
>> > Tarjeta 1 Tarjeta 2
>> >
>> > Servidor ISA
>> >
>> > De los template cual es el que mas se ajusta y si no aplican ninguna
>> > cuanl
>> > seria la configuracion.
>>
>>
>>

Gracias de nuevo.

Lo que pasa es que tengo SBS, el licenciamiento de SBS no permite instalar
los componentes separados, exchange, ISA y sql deben de estar en el mismo
servidor, segun microsoft. Que puedes decirme tu sobre esto.

E querido separar esta aplicaciones, pero es muy caro, y SBS me esta
funcionando

Muchisimas gracias ivan, espero seguir obteniendo su ayuda

"Ivan [MS MVP]" escribió:

Aunque lo instales com un unico interface de red, ISA continua aplicando
filtrado en ese interface.
Si el ISA es el DC, los clientes deben acudir a el para realizar numerosas
operaciones, luego... tendras que permitir este trafico.
Realiza esto: crea una regla de acceso que permite todo el trafico en
saliente desde la red interna hacia localhost a todos los usuarios y
problema resuelto.
Si en la red interna hay mas DCs, crea un aregla identica a la anterior pero
desde localhost hacia la red interna.
Estas dos reglas se pueden agrupar en una unica regla.
Si se para el servicio firewall, ISA entre en lockdown mode y no, los
clientes no pueden contactar con el.

Que puedes hacer ? sencillo.. isntalar ISA en otro servidor que no sea un
DC.

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje
news:
> Gracias IVAN,
>
> Porque con el template que antes utilice no pasa esto?
> Podria este template "Edge Template" poner la red lenta, causarme
> problemas,
> no me gusta la idea de que el ISA tenga que intervenir en las
> requisiciones
> de los clientes internos de mi red.
> Que puedo hacer para que mis clientes solo utilicen la funcionalidad de
> isa
> para asuntos de navegacion.
> Que pasa si el ISA falla, mis usuarios podran seguir trabajando y
> loguenadose en el servidor principal, te pregunto esto porque cuando vi el
> problema baje los servicios del ISA y si siguio el problema.
>
> "Ivan [MS MVP]" escribió:
>
>> ISA aplica filtrado con inspeccion de estado en todos los interfaces. La
>> directiva del sistema permite al servidor ISA comunicarse con los
>> servicios
>> de la red interna criticos para el fucnionamiento del servidor: DNS,
>> WINS,
>> Kerberos, LDAP, etc, etc, pero, los clientes internos, a priori, no
>> pueden
>> conectarse con absolutamente ningun servicio que se ejecute en el ISA.
>> Debes
>> permitirlo con reglas de acceso y en algun caso mediante la directiva del
>> sistema.
>> La forma mas sencilla de que los clientes internos funcionen con
>> normalidad
>> (ya que el ISA es un DC) es creando una regla que permita todo el trafico
>> en
>> saliente desde la red inertna a localhost a todos los usuarios. Si
>> quieres
>> permitir lo necesario, debes eprmitir los rpotocolos que indica este
>> articulo desde la red interna a localhost a tosdos los usuarios:
>> http://www.isaserver.org/articles/2...omain.html
>> Luego tendrias que crear mas reglas de acceso en funcion de los servicios
>> que deban ser accesibles por los clientes internos. DHCP por ejemplo:
>> http://www.microsoft.com/technet/pr...erver.mspx
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JUAN REYES" escribió en el mensaje
>> news:
>> > He aplicado este template y tengo un problema con los clientes.
>> > Los clientes con esta configuracion en el ISA no ven el servidor, no
>> > ven
>> > exchange y tardan muchisimo tiempo para loguearse y aplicar las
>> > politicas
>> > de
>> > seguridad.
>> >
>> > Sin embargo cuado cambio el ISA al template "Single Adapter network"
>> >
>> > INERTNET
>> > l
>> > l
>> > FIREWALL l
>> > l
>> > l
>> > l
>> > CLIENTES
>> >
>> > Podrias decirme que esta pasando. Noto que con la opcion Edge firewall.
>> > se crea una firewall police para DNS que es eso.
>> >
>> >
>> > "Ivan [MS MVP]" escribió:
>> >
>> >> Edge firewall.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "JUAN REYES" escribió en el
>> >> mensaje
>> >> news:
>> >> > Tengo un servidor con SBS, ISA SERVER 2004 Y EXCHANGE SERVER.
>> >> > Este servidor tiene dos tarjetas de red esta es graficamente
>> >> >
>> >> > ISP
>> >> > - PCS CLIENTES
>> >> > l l
>> >> > l l
>> >> > Moden ADSL RED INTERNA
>> >> > l l
>> >> > l l
>> >> > Tarjeta 1 Tarjeta 2
>> >> >
>> >> > Servidor ISA
>> >> >
>> >> > De los template cual es el que mas se ajusta y si no aplican ninguna
>> >> > cuanl
>> >> > seria la configuracion.
>> >>
>> >>
>> >>
>>
>>
>>

Lo siento Juan, pero... todo no se puede tener.
SBS es un buen producto, con mucha funcionalidad, pero esta destinado a lo que esta destinado De todas formas, aunque SBS solo permite un DC, si puedes instalar un nuevo servidor y decicarlo por ejemplo a ISA, aunque, como es logico, necesitas una licencia adicional para ISA + el hard necesario.
No quiero decir que porque una red sea pequeña, no sea critico el funcionamiento de algunos de sus servicios, pueden ser muy criticos y si esto es asi, hay que estar dispuesto en invertir en la infraestructura necesaria para evitar la perdida de funcionalidad. Al final se trata de buscar un compromiso entre posibilidades economicas-calidad de servicio.
Si tengo poco dinero para invertir, no me pueden pedir que los servicios estan disponibles un 99,99% del tiempo operativos Esto es importante que sean conscientes los maximos responsables de una empresa. Que ocurre si se "quema" el servidor de Exchange ? podemos sobrevivir sin correo durante 3 o 4 dias ? y si se "quema" el de SQL ? Tenemos salidas alternativas a internet en caso de fallo de una linea ? y los switch ? si uno falla, los servidores conectados a estos pueden seguir dando servicio ? y esta lista podria ser interminable... hay que buscar un compromiso razonable.

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje news:

Gracias de nuevo.

Lo que pasa es que tengo SBS, el licenciamiento de SBS no permite instalar
los componentes separados, exchange, ISA y sql deben de estar en el mismo
servidor, segun microsoft. Que puedes decirme tu sobre esto.

E querido separar esta aplicaciones, pero es muy caro, y SBS me esta
funcionando

Muchisimas gracias ivan, espero seguir obteniendo su ayuda

"Ivan [MS MVP]" escribió:

Aunque lo instales com un unico interface de red, ISA continua aplicando
filtrado en ese interface.
Si el ISA es el DC, los clientes deben acudir a el para realizar numerosas
operaciones, luego... tendras que permitir este trafico.
Realiza esto: crea una regla de acceso que permite todo el trafico en
saliente desde la red interna hacia localhost a todos los usuarios y
problema resuelto.
Si en la red interna hay mas DCs, crea un aregla identica a la anterior pero
desde localhost hacia la red interna.
Estas dos reglas se pueden agrupar en una unica regla.
Si se para el servicio firewall, ISA entre en lockdown mode y no, los
clientes no pueden contactar con el.

Que puedes hacer ? sencillo.. isntalar ISA en otro servidor que no sea un
DC.

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje
news:
> Gracias IVAN,
>
> Porque con el template que antes utilice no pasa esto?
> Podria este template "Edge Template" poner la red lenta, causarme
> problemas,
> no me gusta la idea de que el ISA tenga que intervenir en las
> requisiciones
> de los clientes internos de mi red.
> Que puedo hacer para que mis clientes solo utilicen la funcionalidad de
> isa
> para asuntos de navegacion.
> Que pasa si el ISA falla, mis usuarios podran seguir trabajando y
> loguenadose en el servidor principal, te pregunto esto porque cuando vi el
> problema baje los servicios del ISA y si siguio el problema.
>
> "Ivan [MS MVP]" escribió:
>
>> ISA aplica filtrado con inspeccion de estado en todos los interfaces. La
>> directiva del sistema permite al servidor ISA comunicarse con los
>> servicios
>> de la red interna criticos para el fucnionamiento del servidor: DNS,
>> WINS,
>> Kerberos, LDAP, etc, etc, pero, los clientes internos, a priori, no
>> pueden
>> conectarse con absolutamente ningun servicio que se ejecute en el ISA.
>> Debes
>> permitirlo con reglas de acceso y en algun caso mediante la directiva del
>> sistema.
>> La forma mas sencilla de que los clientes internos funcionen con
>> normalidad
>> (ya que el ISA es un DC) es creando una regla que permita todo el trafico
>> en
>> saliente desde la red inertna a localhost a todos los usuarios. Si
>> quieres
>> permitir lo necesario, debes eprmitir los rpotocolos que indica este
>> articulo desde la red interna a localhost a tosdos los usuarios:
>> http://www.isaserver.org/articles/2...omain.html
>> Luego tendrias que crear mas reglas de acceso en funcion de los servicios
>> que deban ser accesibles por los clientes internos. DHCP por ejemplo:
>> http://www.microsoft.com/technet/pr...erver.mspx
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JUAN REYES" escribió en el mensaje
>> news:
>> > He aplicado este template y tengo un problema con los clientes.
>> > Los clientes con esta configuracion en el ISA no ven el servidor, no
>> > ven
>> > exchange y tardan muchisimo tiempo para loguearse y aplicar las
>> > politicas
>> > de
>> > seguridad.
>> >
>> > Sin embargo cuado cambio el ISA al template "Single Adapter network"
>> >
>> > INERTNET
>> > l
>> > l
>> > FIREWALL l
>> > l
>> > l
>> > l
>> > CLIENTES
>> >
>> > Podrias decirme que esta pasando. Noto que con la opcion Edge firewall.
>> > se crea una firewall police para DNS que es eso.
>> >
>> >
>> > "Ivan [MS MVP]" escribió:
>> >
>> >> Edge firewall.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "JUAN REYES" escribió en el
>> >> mensaje
>> >> news:
>> >> > Tengo un servidor con SBS, ISA SERVER 2004 Y EXCHANGE SERVER.
>> >> > Este servidor tiene dos tarjetas de red esta es graficamente
>> >> >
>> >> > ISP
>> >> > - PCS CLIENTES
>> >> > l l
>> >> > l l
>> >> > Moden ADSL RED INTERNA
>> >> > l l
>> >> > l l
>> >> > Tarjeta 1 Tarjeta 2
>> >> >
>> >> > Servidor ISA
>> >> >
>> >> > De los template cual es el que mas se ajusta y si no aplican ninguna
>> >> > cuanl
>> >> > seria la configuracion.
>> >>
>> >>
>> >>
>>
>>
>>