Que template de ISA SERVER 2004 Se aproxima a lo siguiente.

GRACIAS IVAN.

Sigo teniendo problemas con el POP3 en los clientes.
He creado una regla que me permita hacer pop3 smtp desde red interna y
localhosts a all network. Hay algo todas las reglas que he creado si no le
pongo all network y la dejo con external no me funciona la regla, que pudiera
estar pasando.
Otra cosa que regla me restringe a los clientes a no bajar programas.

"Ivan [MS MVP]" wrote:

Lo siento Juan, pero... todo no se puede tener.
SBS es un buen producto, con mucha funcionalidad, pero esta destinado a lo que esta destinado De todas formas, aunque SBS solo permite un DC, si puedes instalar un nuevo servidor y decicarlo por ejemplo a ISA, aunque, como es logico, necesitas una licencia adicional para ISA + el hard necesario.
No quiero decir que porque una red sea pequeña, no sea critico el funcionamiento de algunos de sus servicios, pueden ser muy criticos y si esto es asi, hay que estar dispuesto en invertir en la infraestructura necesaria para evitar la perdida de funcionalidad. Al final se trata de buscar un compromiso entre posibilidades economicas-calidad de servicio.
Si tengo poco dinero para invertir, no me pueden pedir que los servicios estan disponibles un 99,99% del tiempo operativos Esto es importante que sean conscientes los maximos responsables de una empresa. Que ocurre si se "quema" el servidor de Exchange ? podemos sobrevivir sin correo durante 3 o 4 dias ? y si se "quema" el de SQL ? Tenemos salidas alternativas a internet en caso de fallo de una linea ? y los switch ? si uno falla, los servidores conectados a estos pueden seguir dando servicio ? y esta lista podria ser interminable... hay que buscar un compromiso razonable.

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje news:
> Gracias de nuevo.
>
> Lo que pasa es que tengo SBS, el licenciamiento de SBS no permite instalar
> los componentes separados, exchange, ISA y sql deben de estar en el mismo
> servidor, segun microsoft. Que puedes decirme tu sobre esto.
>
> E querido separar esta aplicaciones, pero es muy caro, y SBS me esta
> funcionando
>
> Muchisimas gracias ivan, espero seguir obteniendo su ayuda
>
> "Ivan [MS MVP]" escribió:
>
>> Aunque lo instales com un unico interface de red, ISA continua aplicando
>> filtrado en ese interface.
>> Si el ISA es el DC, los clientes deben acudir a el para realizar numerosas
>> operaciones, luego... tendras que permitir este trafico.
>> Realiza esto: crea una regla de acceso que permite todo el trafico en
>> saliente desde la red interna hacia localhost a todos los usuarios y
>> problema resuelto.
>> Si en la red interna hay mas DCs, crea un aregla identica a la anterior pero
>> desde localhost hacia la red interna.
>> Estas dos reglas se pueden agrupar en una unica regla.
>> Si se para el servicio firewall, ISA entre en lockdown mode y no, los
>> clientes no pueden contactar con el.
>>
>> Que puedes hacer ? sencillo.. isntalar ISA en otro servidor que no sea un
>> DC.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JUAN REYES" escribió en el mensaje
>> news:
>> > Gracias IVAN,
>> >
>> > Porque con el template que antes utilice no pasa esto?
>> > Podria este template "Edge Template" poner la red lenta, causarme
>> > problemas,
>> > no me gusta la idea de que el ISA tenga que intervenir en las
>> > requisiciones
>> > de los clientes internos de mi red.
>> > Que puedo hacer para que mis clientes solo utilicen la funcionalidad de
>> > isa
>> > para asuntos de navegacion.
>> > Que pasa si el ISA falla, mis usuarios podran seguir trabajando y
>> > loguenadose en el servidor principal, te pregunto esto porque cuando vi el
>> > problema baje los servicios del ISA y si siguio el problema.
>> >
>> > "Ivan [MS MVP]" escribió:
>> >
>> >> ISA aplica filtrado con inspeccion de estado en todos los interfaces. La
>> >> directiva del sistema permite al servidor ISA comunicarse con los
>> >> servicios
>> >> de la red interna criticos para el fucnionamiento del servidor: DNS,
>> >> WINS,
>> >> Kerberos, LDAP, etc, etc, pero, los clientes internos, a priori, no
>> >> pueden
>> >> conectarse con absolutamente ningun servicio que se ejecute en el ISA.
>> >> Debes
>> >> permitirlo con reglas de acceso y en algun caso mediante la directiva del
>> >> sistema.
>> >> La forma mas sencilla de que los clientes internos funcionen con
>> >> normalidad
>> >> (ya que el ISA es un DC) es creando una regla que permita todo el trafico
>> >> en
>> >> saliente desde la red inertna a localhost a todos los usuarios. Si
>> >> quieres
>> >> permitir lo necesario, debes eprmitir los rpotocolos que indica este
>> >> articulo desde la red interna a localhost a tosdos los usuarios:
>> >> http://www.isaserver.org/articles/2...omain.html
>> >> Luego tendrias que crear mas reglas de acceso en funcion de los servicios
>> >> que deban ser accesibles por los clientes internos. DHCP por ejemplo:
>> >> http://www.microsoft.com/technet/pr...erver.mspx
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "JUAN REYES" escribió en el mensaje
>> >> news:
>> >> > He aplicado este template y tengo un problema con los clientes.
>> >> > Los clientes con esta configuracion en el ISA no ven el servidor, no
>> >> > ven
>> >> > exchange y tardan muchisimo tiempo para loguearse y aplicar las
>> >> > politicas
>> >> > de
>> >> > seguridad.
>> >> >
>> >> > Sin embargo cuado cambio el ISA al template "Single Adapter network"
>> >> >
>> >> > INERTNET
>> >> > l
>> >> > l
>> >> > FIREWALL l
>> >> > l
>> >> > l
>> >> > l
>> >> > CLIENTES
>> >> >
>> >> > Podrias decirme que esta pasando. Noto que con la opcion Edge firewall.
>> >> > se crea una firewall police para DNS que es eso.
>> >> >
>> >> >
>> >> > "Ivan [MS MVP]" escribió:
>> >> >
>> >> >> Edge firewall.
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "JUAN REYES" escribió en el
>> >> >> mensaje
>> >> >> news:
>> >> >> > Tengo un servidor con SBS, ISA SERVER 2004 Y EXCHANGE SERVER.
>> >> >> > Este servidor tiene dos tarjetas de red esta es graficamente
>> >> >> >
>> >> >> > ISP
>> >> >> > - PCS CLIENTES
>> >> >> > l l
>> >> >> > l l
>> >> >> > Moden ADSL RED INTERNA
>> >> >> > l l
>> >> >> > l l
>> >> >> > Tarjeta 1 Tarjeta 2
>> >> >> >
>> >> >> > Servidor ISA
>> >> >> >
>> >> >> > De los template cual es el que mas se ajusta y si no aplican ninguna
>> >> >> > cuanl
>> >> >> > seria la configuracion.
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>

Si necesitas que los clientes inetrnos envien y descargen correo de
internet, debes permitir POP3 y SMTP desde la red inetrna a la red externa.
Localhost solo es necesario si ejecutas un cliente de coreo en el ISA.
Mira el visor de eventos del ISA, es muy posible que tengas errores 14147,
lo cual indica que no estan correctamente definidos los rangos de la red
interna.

Para evitar descargas, la unica opcion pasa por no permitir el protocolo FTP
y cuando se usa HTTP, denegar ciertos contenidos o incluso en el filtrado
HTTP denegar ciertas extensiones.

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje
news:

GRACIAS IVAN.

Sigo teniendo problemas con el POP3 en los clientes.
He creado una regla que me permita hacer pop3 smtp desde red interna y
localhosts a all network. Hay algo todas las reglas que he creado si no le
pongo all network y la dejo con external no me funciona la regla, que
pudiera
estar pasando.
Otra cosa que regla me restringe a los clientes a no bajar programas.

"Ivan [MS MVP]" wrote:

Lo siento Juan, pero... todo no se puede tener.
SBS es un buen producto, con mucha funcionalidad, pero esta destinado a
lo que esta destinado De todas formas, aunque SBS solo permite un DC,
si puedes instalar un nuevo servidor y decicarlo por ejemplo a ISA,
aunque, como es logico, necesitas una licencia adicional para ISA + el
hard necesario.
No quiero decir que porque una red sea pequeña, no sea critico el
funcionamiento de algunos de sus servicios, pueden ser muy criticos y si
esto es asi, hay que estar dispuesto en invertir en la infraestructura
necesaria para evitar la perdida de funcionalidad. Al final se trata de
buscar un compromiso entre posibilidades economicas-calidad de servicio.
Si tengo poco dinero para invertir, no me pueden pedir que los servicios
estan disponibles un 99,99% del tiempo operativos Esto es importante
que sean conscientes los maximos responsables de una empresa. Que ocurre
si se "quema" el servidor de Exchange ? podemos sobrevivir sin correo
durante 3 o 4 dias ? y si se "quema" el de SQL ? Tenemos salidas
alternativas a internet en caso de fallo de una linea ? y los switch ? si
uno falla, los servidores conectados a estos pueden seguir dando servicio
? y esta lista podria ser interminable... hay que buscar un compromiso
razonable.

Un saludo.
Ivan
MS MVP ISA Server


"JUAN REYES" escribió en el mensaje
news:
> Gracias de nuevo.
>
> Lo que pasa es que tengo SBS, el licenciamiento de SBS no permite
> instalar
> los componentes separados, exchange, ISA y sql deben de estar en el
> mismo
> servidor, segun microsoft. Que puedes decirme tu sobre esto.
>
> E querido separar esta aplicaciones, pero es muy caro, y SBS me esta
> funcionando
>
> Muchisimas gracias ivan, espero seguir obteniendo su ayuda
>
> "Ivan [MS MVP]" escribió:
>
>> Aunque lo instales com un unico interface de red, ISA continua
>> aplicando
>> filtrado en ese interface.
>> Si el ISA es el DC, los clientes deben acudir a el para realizar
>> numerosas
>> operaciones, luego... tendras que permitir este trafico.
>> Realiza esto: crea una regla de acceso que permite todo el trafico en
>> saliente desde la red interna hacia localhost a todos los usuarios y
>> problema resuelto.
>> Si en la red interna hay mas DCs, crea un aregla identica a la
>> anterior pero
>> desde localhost hacia la red interna.
>> Estas dos reglas se pueden agrupar en una unica regla.
>> Si se para el servicio firewall, ISA entre en lockdown mode y no, los
>> clientes no pueden contactar con el.
>>
>> Que puedes hacer ? sencillo.. isntalar ISA en otro servidor que no sea
>> un
>> DC.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "JUAN REYES" escribió en el
>> mensaje
>> news:
>> > Gracias IVAN,
>> >
>> > Porque con el template que antes utilice no pasa esto?
>> > Podria este template "Edge Template" poner la red lenta, causarme
>> > problemas,
>> > no me gusta la idea de que el ISA tenga que intervenir en las
>> > requisiciones
>> > de los clientes internos de mi red.
>> > Que puedo hacer para que mis clientes solo utilicen la funcionalidad
>> > de
>> > isa
>> > para asuntos de navegacion.
>> > Que pasa si el ISA falla, mis usuarios podran seguir trabajando y
>> > loguenadose en el servidor principal, te pregunto esto porque cuando
>> > vi el
>> > problema baje los servicios del ISA y si siguio el problema.
>> >
>> > "Ivan [MS MVP]" escribió:
>> >
>> >> ISA aplica filtrado con inspeccion de estado en todos los
>> >> interfaces. La
>> >> directiva del sistema permite al servidor ISA comunicarse con los
>> >> servicios
>> >> de la red interna criticos para el fucnionamiento del servidor:
>> >> DNS,
>> >> WINS,
>> >> Kerberos, LDAP, etc, etc, pero, los clientes internos, a priori, no
>> >> pueden
>> >> conectarse con absolutamente ningun servicio que se ejecute en el
>> >> ISA.
>> >> Debes
>> >> permitirlo con reglas de acceso y en algun caso mediante la
>> >> directiva del
>> >> sistema.
>> >> La forma mas sencilla de que los clientes internos funcionen con
>> >> normalidad
>> >> (ya que el ISA es un DC) es creando una regla que permita todo el
>> >> trafico
>> >> en
>> >> saliente desde la red inertna a localhost a todos los usuarios. Si
>> >> quieres
>> >> permitir lo necesario, debes eprmitir los rpotocolos que indica
>> >> este
>> >> articulo desde la red interna a localhost a tosdos los usuarios:
>> >> http://www.isaserver.org/articles/2...omain.html
>> >> Luego tendrias que crear mas reglas de acceso en funcion de los
>> >> servicios
>> >> que deban ser accesibles por los clientes internos. DHCP por
>> >> ejemplo:
>> >> http://www.microsoft.com/technet/pr...erver.mspx
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "JUAN REYES" escribió en el
>> >> mensaje
>> >> news:
>> >> > He aplicado este template y tengo un problema con los clientes.
>> >> > Los clientes con esta configuracion en el ISA no ven el servidor,
>> >> > no
>> >> > ven
>> >> > exchange y tardan muchisimo tiempo para loguearse y aplicar las
>> >> > politicas
>> >> > de
>> >> > seguridad.
>> >> >
>> >> > Sin embargo cuado cambio el ISA al template "Single Adapter
>> >> > network"
>> >> >
>> >> > INERTNET
>> >> > l
>> >> > l
>> >> > FIREWALL l
>> >> > l
>> >> > l
>> >> > l
>> >> > CLIENTES
>> >> >
>> >> > Podrias decirme que esta pasando. Noto que con la opcion Edge
>> >> > firewall.
>> >> > se crea una firewall police para DNS que es eso.
>> >> >
>> >> >
>> >> > "Ivan [MS MVP]" escribió:
>> >> >
>> >> >> Edge firewall.
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "JUAN REYES" escribió en
>> >> >> el
>> >> >> mensaje
>> >> >> news:
>> >> >> > Tengo un servidor con SBS, ISA SERVER 2004 Y EXCHANGE SERVER.
>> >> >> > Este servidor tiene dos tarjetas de red esta es
>> >> >> > graficamente
>> >> >> >
>> >> >> > ISP
>> >> >> > - PCS CLIENTES
>> >> >> > l l
>> >> >> > l l
>> >> >> > Moden ADSL RED INTERNA
>> >> >> > l l
>> >> >> > l l
>> >> >> > Tarjeta 1 Tarjeta 2
>> >> >> >
>> >> >> > Servidor ISA
>> >> >> >
>> >> >> > De los template cual es el que mas se ajusta y si no aplican
>> >> >> > ninguna
>> >> >> > cuanl
>> >> >> > seria la configuracion.
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>