Muy buenas, hace unos días que no posteo, pero ahora tengo material nuevo 
Microsoft ISA Server 2004, que ISA Server viene a significar Internet Security and Aceleration Server. Bueno, lo primero al instalarlo, que hicimos una gochada, os comento.
Bien, redes privadas de clase A, B y C el ISA Server la determina como privadas, evidentemente, pero… ¿Qué hacemos cuando la supuesta IP Pública es una IP Privada como 192.168.16.117? Facil, fuimos en su intuitiva interfaz gráfica y modificamos la tabla LAT, Local Address Table, donde quitamos todos los rangos de IP’s y introducimos solo un rango desde 10.10.0.0 a 10.10.255.255. Para tener un cliente “desde fuera” usamos VMware y un XP con la red en modo host only, e modo que nos quedó así:
IP Pública del ISA: 192.168.16.117
IP privada del ISA: 10.10.0.215
IP del XP: 10.10.0.115
Por defecto, y algo que me gustó mucho, es que la regla por defecto es denegar todo, eso deja aislado todo el tráfico, pues si necesitamos navegar desde el server, tenemos que crear una regla para que desde el host local se pueda acceder a la red externa mediante protocolo HTTP.
Con la instalación inicial ISA Server usa el modo SecureNAT, es decir, un NAT normal y corriente, y tiene otros 2 modos, el modo firewall y otro que no recuerdo. El modo firewall aún no hemos llegado a él, peor os puedo adelantar que hay que instalar en el cliente un cliente firewal, lo que hace que solo sirva para maquinas Windows. Este metodo tiene sus ventajas y sus desventajas.
Ventajas: La seguridad que ofrece al controlar mediante usuarios, contenidos… etc
Desventajas: Solo equipos con Windows.
Más cosas que me gustan del ISA Server es que, como comente antes, puede hacer reglas diferentes para diferentes usuarios, o permitir una regla a unos y a otros denegarla. Imaginad esta ventaja unido a un servidor paralelo que hace de controlador de dominio (Active Directory). Tendríamos una red de 50 equipos cliente, con un ISA Server que haría de salida a internet y un controlador de dominio en la red. Los clientes inician sesión en el controlador de dominio remotamente (O Localmente modificando la directiva de seguridad, aunque no me parece seguro) y con el cliente firewall podrían conseguir que el ISA trabajase contra el, autentificando usuarios y todo.
Además de seguridad, aporta el sistema caché, que escucha en el puerto 8080, así que en navegador tendríamos que configurarlo a mano. Otro método manual de asignar el proxy sería, peor que aún no he probado, modificando la directiva de seguridad del Controlador de Dominio, donde los clientes inician sesión. Los metodos automáticos que hemos visto, hay 2, fue el método mediante DNS, de modo que el servidor DNS tenga un ALIAS de nombre WPAD que apunte a la maquina ISA Server. Ahora en el cliente, pensado para Internet Explorer, marcamos la casilla “Explorar proxy automáticamnete” (O similar, no recuerdo). Esto, junto que tenemos como DNS primario al controlador de dominio, hará la consulta por DNS y sabrá a donde ir. Pero para que realmente funcione hay que descubrir el puerto 80 del ISA Server para que funcione como proxy transparente en la red 10.10.0.0. Según la documentación de Microsoft, no es recomendable tener ISA Server instalado… anda que… con cambiarlo de puerto sirve. El otro método es mediante DHCP que ya os comentaré.
Bueno, me gusta, ahora pensando algo parecido pero con alternativas libres… sería factiblñe IPTables con flash para controlar acceso de uid y gid, un servidor NIS y el fabuloso Squid? Espero vuestros comentarios.
Saludos
Tengo un firewall en ISA Server 2004 funcionando, pero se presento un problema, para que los equipos de la red Interna pasen por el equipo ISA tengo que configurar el explorer para que utilice un servidor proxy, poner la IP del servidor ISA.
Que puedo hacer para que solo se modifique la conexion de la red y no la configuracion del Internet Explorer. Alguien se podria comunicar a mi mail y brindarme un consejo o una solucion.
Andale que ahora te voy a cobrar por usarlo, venga, no hagamos cuenta y pagame mi ISA, me debes algo asi como 2600 Dollares.
Bueno os dire, logre quitarle el nucleo a ISA Server y ponerle dentro IPTables con SQUID, pues de maravillas, esto anda muy bien y rapido sobre todo, ahora me preocupa, tengo que pagar algo?
Parece que no sabes lo que es ISA Server.
Saldudos:
Tengo isa 2000 y un isa 2004 el primero me trabaja bien pero el isa 2004 no ve el Active, mis dominios son 2000 server tiene que ver algo
gracias
Nunca trabajé con ISA Server 2004 y un dominio Windows 2000, pero sí con un dominio bajo Windows 2003, pero en la misma máquina. El equipo que corre ISA en tu caso una vez unido al dominio no debería tener problema alguno para comunicarse con el AD, pero recuerda que ISA Server 2004 como reglas por defecto es bloquear todo. Buscate los puertos que usa y asegurate de que esa máquina (El ISA Server) pueda acceder al AD. Se por experiencia que algunos servicios RPC de AD usan puertos dinámicos, aleatorios vaya, usando un rango… el tema es modificar el registro de Windows. Todo estará por las webs de Microsoft Technet y grupos de Google.
Lo encontré: http://support.microsoft.com/kb/154596/en-us
tengo dos problemas
1- tengo un servidor isa 2004 y uno de active directory, pero el isa no trae la lista de los usuarios y por tanto no deja que estos naveguen
2-en mi red existen antenas inhalámbricas y los usuarios al traer una laptop mi servidor DHCP le asigna su ip y estos sin validarse pueden navegar y no quiero que eso suceda.
Por favor si alguien puede ayudarme con mi problemale estaré eternamente agradecido
Bueno:
1 – El equipo que corre ISA Server tiene que estar unido al dominio, el resto ya está. Mejor trabaja con grupos de usuarios que por usuarios.
2 – Usa encriptación en la wifi. Tienes WEP pero es facil crackearlo. Existe actualmente WPA y WPA2 que son más seguros. Tienes por ahí guías de seguridad wifi que te indican que hacer.
Publicar exchange 2003 en un ISA 2004
me podrian comentar la configuracion basica para que funcione isa server 2004, para permitir el acceso a internet,publicar un servidor web, y proteger mi red?
hola,
Tengo una problema y es el siguiente:
Tengo windows server 2003 y quiero instalar el servidor isa server 2004 pero no me deja,solo me deja el administrador que tengo que hacer si alguien sabe y desea colaborarme.
Gracias
Diana: No entiendo tu pregunta.
Wilmar: La política por defecto de ISA Server es denegar todo por defecto. Puede ayudarte:
http://dmatey.spaces.live.com/Blog/cns!3B6FB47901ABC772!1727.entry
O la documentación oficial que supongo que podrás encontrar en su web.
sere mas especifico, debo instalar y configurar isa server 2004 en un servidor con windows small bussiness 2003 premium.
mi pregunta es si con solo crear una regla de acceso que permita todo el trafico saliente de mi red interna hacia la externa mi red queda protegida de los ataques externos o se necesita una configuracion mas avanzada para que isa proteja la red local.
Si, la red estará protegida por el NAT y los clientes podrán acceder con total libertar a la red externa. Si quieres desde el propio servidor, tendrás que permitir la red interna y el host local. No se que uso le daréis a ese ISA Server 2004, pero para hacer un sencillo NAT, tienes el Enrrutamiento y acceso remoto en Windows 2003 que te servirá para eso, luego para la caché usa un proxy gratuito. Te lo digo porque estás desaprovechando todo ese monstruo (El ISA). No usas la integración con Active Directory, ni has mencionado la caché, si el firewall a nivel de aplicación (Prefiero un de lejos Snort, pero bueno).
Suerte, y ten en cuenta la otra opción, que ya viene con Windows 2003. Creo que si usas el buscador de mi blog, encontrarás unas instrucciones de como hacerlo.
y como uso la integración con active directory y cuantas MB son ideales para la cache?
perdonen tantas preguntas, pero es que soy nuevo en esto no quiero cometer errores.
Elegir la cache que dar a un proxy, entre otras cosas, requiere un estudio de los clientes, el ámbito de navegación, etc, por lo que no te podría decir.
Respecto a la integración con AD, si el ISA Server está instalado en la misma máquina que el Active Directory, ya está, sino, has de unir el Equipo al dominio. En la documentación de Microsoft estará documentado, pero principalmente es ir a Mi PC > Propiedades Y por ahí (De memoria no me lo se) tienes el grupo de trabajo y debajo el dominio.
Como dije, necesitas leer la documentación, pues necesitas tener el windows 2003 promocionado, bien configurado el DNS, etc… Lo que ganas es integración, es decir, a unos usuarios les puedes aplicar unas reglas y a otros, otras, pero lo bueno es que va todo integrado con el inicio de sesión en el servidor. Ganas integración. Integración es control y control, mayor seguridad.
Suerte.
gracias por resolver mis inquietudes y perdon por tantas preguntas que tal vez puedan parecer tontas pero como dije soy nuevo y nisiquiera soy ingeniero, bueno no voy a contar la historia de mi vida.
necesito saber como puedo bloquear puertos especificos en isa 2004 ya que hay unos puertos udp que se estan consumiendo el ancho de banda de esta red.
de nuevo gracias por la ayuda.
Identifica qué causa ese tráfico y crea una nueva regla que bloquee el protocolo UDP del puerto remoto X a tu red local, o viceversa. La ayuda de ISA Creo que explica más a fondo la creación de reglas de filtrado.
debo instalar un isa 2004 en un equipo con win 2003 sbs con 2 tarjetas de red,pero delante del servidor isa quedara ubicado un router como firewall fisico,como varia la creacion de las reglas de acceso y de red para la salida a internet?
De ningún modo, en la tabla LAT defines tu red local, pues bien, lo que no es tu red local, es la externa para ISA Server. Debes configurar una ruta predeterminada en ISA, pero no tendrías ningún problema.
y como como configuro esa ruta predeterminada en isa?
¿Como la configuras en los equipos cliente?
es completamente necesario instalar el cliente de seguridad en isa 2004 y los demas equipos de la red para salir a internet, o como clientes por defecto de secureNAT se puede navegar sin problemas?
No es estrictamente necesario. El cliente firewall tiene la función de autenticar ese usuario contra el ISA Server cuando se usa integrado en el Active Directory, para aplicar las corespondientes reglas.
en este caso tengo el directorio activo en el mismo equipo donde quedara el isa 2004. se debe instalar el cliente firewall?, y si es asi pues no tengo ni idea de como se instala y configura, puedes ayudarme con eso?
Primero has de plantearte si tienes varios grupos de usuarios que requieren diferentes niveles de acceso a al red. Si no lo necesitas, autenticar contra Active Directory es absurdo.
Si usas el cliente firewall, el tráfico era suyo, de Usuario, pero si lo desactiva no es de nadie, solamente pertenece a una dirección IP. Por lo tanto, si deseas que el usuario, al desactivar el cliente firewall de ISA Server no salga a más allá del router, has de tener reglas que permitan solamente tráfico a usuarios autenticados.
Yo en una empresa en la que estuve tuve que montarlo como tú, todo en uno, y tuve problemas con la conexión a Active Directory.
La primera causa era el Symantec Personal Firewall de los equipos, pero se solucionó creando en éste una red de confianza para la LAN.
El otro problema es que ISA Server se protege de la LAN. Es un problema porque el AD usa un rango de puertos dinámicos.
Sería ideal agrupar a los usuarios en grupos. Por ejemplo un grupo para I+D, otro para los de I.T, otro grupo para los comerciales… e incluir ahí a los correspondientes usuarios. Para que mantener las reglas de ISA Server sea más fácil crearás reglas para un grupo de usuarios, no grupo a grupo, porque sino acabarás hasta las narices.
El cliente firewall se copia y se autocomparte automáticamente si no recuerdo mal. Si entras mediante SMB (Recursos compartidos) al servidor verás un directorio llamado msisc o similar. Entras ahí, lo ejecutas y pista.
Ese es el método chapuzas/warro/rápido. El método elegante es crear una directiva para publicar el software en el dominio (Lo tengo verde esto, solo lo hice una vez), de éste modo el administrador irá a Agregar y quitar programas e instalará el software con un par clic.
Sobretodo pruébalo, usa el scanner de puertos nmap, y leete:
http://support.microsoft.com/kb/179442 -> Este sobretodo
http://support.microsoft.com/kb/319553/
Además, como no puedo poner aquí las URL por la exclamación en ellas, busca en Google:
daniel matey isa server
Si tienes problemas con Active Directory o algún componente, que se replique mal o no se apliquen directivas, echale un ojo a:
http://www.eventid.net
Suerte
Buenas, agradecería mucho si alguien puede ayudarme con esto:
Estoy instalando el Isa Server 2004 Standart Edition en un windows 2000 server con service pack 4 y Internet explorer 6.0 que según creo era lo necesario para la instalación. Instala normalmente le doy a todo siguiente y cuando termina me manda: “Installation Wizard Completed” y abajo: “The installation has failed” Click finish to exit the wizard. Lo único raro es que en el proceso de instalación me marca con una x, como que no instala los “Additional Components”
Me falta algún parche o algo?
Muchas gracias.
Ni idea. Eso mejor consultalo por la knowledge database de Microsoft. SI es un error de ese tipo, lo mencionarán casi seguro.
me podrian decir donde puedo encontrar un tutorial para instalar isa 2000 en windows sbs 2003 premium.
ya que no se que situaciones especiales se pueden presentar en esta version de windows, aunque hay isa 2004 mi jefe se quiere complicar instalando el isa 2000 y ni modo de reclamarle.
en fin necesito algo que me guie paso a paso para saber que errores se pueden presentar. gracias por la ayuda que me puedan prestar.
Nunca he trabajado con ISA Server 2000. Respecto a la documentación, lo podrás encontrar en la web de Microsoft, al igual que documentación de WSUS, SMS, etc.
La mejor excusa que puedes dar a tu jefe para dejar el ISA Server 2004, es que a la hora de montar VPN, en ISA Server 2004 está mejor implementado. En ISA Server 2000 si no me equivoco tenias que correr el servidor RAS por debajo y todo, no integrado como ahora.
Buenas, gracias por responderme estuve dando vueltas por todos lados tratando de solucinarlo instalando parches y parches del windows. Y al final consegui otro cd de isa server 2004 standard exactamente igual al que tenía lo instalé y levantó sin problemas. Lo raro es que en ningún momento mandaba mensaje de error de lectura o algo así del cd anterior. Bueno Muchas gracias.
que problemas se pueden presentar si instalo isa 2004 en el mismo equipo en el que esta el dns y el directorio activo?
Está por los enlaces de otros comentarios de este post. El problema es que hay que abrir los puertos en ISA, porque sino los clientes no pueden acceder al AD correctamente.
y cual es el procedimiento para abrir y cerrar puertos?
Crear reglas en ISA Server. Parece obvio, pero no puedo explicarte como crearlas, me llevaría mucho tiempo.
Pista: Es el panel de la derecha: Nueva regla o Crear regla. ISA bloquea todo por defecto.
Link: Busca en Google “Daniel Matey: Basicos:Reglas de ISA Server”
Hola, estoy instalando ISA Server 2004 en windows server 2003 desde mi máquina virtual vmware. tengo que asignar el rango de direcciones internas pero no se mu bien como hacerlo. Espero que me puedan ayudar. Un saludo!!!
Vete a Configuración > Redes [1], donde se configura isa si hace NAT o enrruta, si la configuración de ISA es de firewall Perimetral o de qué tipo. Ahí hay una opción en la que defines redes locales, la famosa Tabla LAT de la que has leído. Ahí o asignas rangos o interfaces (La red perteneciente a esa interfaz de red)
Te lo digo de memoria, pero la imagen te ayudará.
[1] http://shurl.org/xsSXC
Es posible instalar y configurar ISA Server 2004 sobre una PC con WinXP,??????
pues la Red donde deseo hacer la prueba no tiene servidor dedicado, ni Dominio.
Sl2s
Deberás montarte un W2000 Server/W2003, bien en nativo o virtualizado, o usar el Compartir conexión a internet de XP, ya que tener un Windows Server solo para dar conexión a internet…
Requisitos de ISA Server 2004:
http://www.microsoft.com/technet/isa/2004/
productevaluation/system-requirements.mspx
Hola, tengo el siguiente problema.
Una intranet 192.168.0.0 / 255 Mascara de sub red 255.255.255.0
Con server Active Directory 192.168.0.1.
Server proxy con ISA 2004 192.168.0.3.
Dos sedes lejanas: una con red 192.168.5.0 / 255 Gateway 192.168.5.200, mascara de sub red 255.255.0.0 la otra con 192.168.6.0 / 255 Gateway 192.168.6.200, mascara de sub red 255.255.0.0 que se conectan a la intranet con una vpn creada con tres routers Cisco el que entra a la intranet tiene como ip 192.168.0.200.
El problema es que las computadoras de las sedes lejanas se ven entre ellas, entran en el dominio de la intranet central pero no navegan. El cliente de seguridad del proxy me dice que no ve el ISA. Que es lo que debo configurar ? o Donde puedo buscar informaciòn ?
Plantea la duda en los foros Technet-ES [1].
[1] http://forums.microsoft.com/Technet-ES
[2] http://www.microsoft.com/technet/isa/2004/plan/automaticdiscovery.mspx
Mi principal problema es que los dueños de la empresa decideron implementar ISA server 2004 del que yo solo sabia que existe y nada mas.
, por lo tanto lo que yo deseo es ya sea un pdf, url o cualquier documento que contenga un manual claro y preciso de como configurar este tan complicado software y de preferencia en español. Mi red acutual y la vpn trabajaba bien hasta que llego ISAS-2004 ahora todo es un caos, los clientes vpn no conectan, el internet se cae a cada rato y cundo quiero bajar algo se corta en diferentes puntos pero de igual forma nunca llega al 100% de la descarga.
En otras palabras…
…AUXILIO
La documentación online de Microsoft o, si no recuerdo mal, en el CD de ISA Server se incluye documentación.
tengo el ISA 2004 en una PC y en otra PC el Active Directiry del Win2003. no puedo ver desde el ISA los usuarios del Active Directory. El ISA no es controlador de dominio, pero sí esta agregado al dominio. Qué debo hacer? Hay algun tutorial.
¿En el visor de sucesos no ves ningún error? Supongo que habrás añadido el equipo de ISA al dominio de Windows 2003, el nombre de equipo no existía, no dio ningún error, reiniciaste y luego probaste a crear reglas basándose en usuario.
Lo más probable es que encuentres a alguien con tu problema ya resuelto en los Foros Technet. Busca antes de crear un hilo nuevo
http://forums.microsoft.com/TechNet-ES
Tengo ya instalado en un windows 2003 SE el isa server 2004 y ya he creado grupos de usuarios con el fin de asignarles el perfil de navegacion, a cada grupo ha que permitirle solo el acceso a ciertas paginas web, como hago para realizar esto!!! ayudame.
Ya le he cacharreado bastante y la verdad casi no hay manuales de isa 2004 en donde me guien con respecto a esta situacion.
Mil Gracias.
Hola,
Tengo el siguiente problema:
Tengo isa server 2004 sobre windows 2003 server standar edition. he creado una regla que permite el acceso a internet a todos los usuarios, hasta aqui todo iba bien, pero cuando cree grupos de usuarios basados en la autenticación de windows, los usuarios permitidos navegan pero no puedo usar el yahoo messenger, ni me permite la salida de correo. Me pueden ayudar?
Para los que buscan manuales del ISA 2004 yo encontre uno en http://www.toptutoriales.com en español
Nunca tuve que permitir esos protocolos a través del ISA, pero vamos, que será crear una regla normal, y si ya tienes todo el tráfico permitido… muy raro. No puedo ayudarte. Puedes plantear la duda en los foros TechNet en castellano.
Buenos dias a todos, quiero ver quin me puede ayudar con este mi escenario quiero montar un windows 2003, exchange 2003 y un isa server 2004, pero tengo dudas de como configurar los dns tanto publicos como privados y de que forma hacer esto, el exchange va a estar detras el isa entonces como poder las direcciones y todo ese rollo.
Mucho de lo que necesitarás lo tienes explicado en en blog de Daniel Matey.
http://geeks.ms/blogs/dmatey/search.aspx?q=b%c3%a1sicos&p=1
Tengo habilitado el ISAS-2004 en un 2003 Server. Las reglas de navegación y bloqueo me funcionan bien localmente, pero tengo una subred que necesita salida a Messenger.
La regla de salida tiene los protocoos y lo sermisos para MSN Messenger, pero creo que me falta permitirle algún URL específico de MSN para funcionar.
POR FAVOR, alguien conoce las direcciones o dominios que debo habilitar para el MSN Messenger; o como habilitar ese acceso sin tener que dejar abierta mi navegación (única solución actual) ??
Creo que es messenger.msn.com por el puerto 1863
Hola como estas te comento , tengo q denegar el dominio xxxx.com para los usuarios desde el isa server 2004 , como logro esto , si tu me puedes guiar ya q tengo poca experiencia , gracias.Dario
Debes permitir la navegación web a todos los sitios web excepto al que tu quieras. ISA 2006 tiene un apartado a la hora de crear reglas donde podemos indicar excepciones. Puedes crear un grupo de URL permitidas y luego una excepción a ese grupo. Mírate la documentación de Microsoft o algún libro de ISA Server para saber como hacerlo paso a paso.
hola
he instalado isa server 2004 con s.o 2000 advance y las paginas a las q doy acceso no se muestran bien
los menus desplegables no salen no se veen lo iconos no salen y eso q en el contenido he agrefgado todas la extenciones posible y nada q puede ser ????????……..
Tengo ISA 2004 y necesito compartir la carpeta donde están los logs del mismo, pero no me deja acceder desde una pc de la red local. Ayuda por favor.
Mírate los permisos NTFS y los permisos de red, o como queráis llamarlos.
hace un rato puse un comentario de un problema que tenia y me lo borraron o se borro solo?
igual gracias por nada
ahora me da INTERNAL SERVER ERROR defiance o algo de eso
me habia puesto a leer este sitio que me parecio interesante pero… buscare en el google capas que encuentro lo que busco
Hola. Lo eliminé yo anoche porque preguntabas acerca de configuración de permisos NTFS y permisos de red, y el post es acerca de ISA Server. Te recomiendo bajarte el libro de preparación para el examen 70-270, donde tratan los permisos NTFS y los permisos de red para configurarlo todo adecuadamente.
Un saludo.
tengo un isa server, lo que necesito es que las portatiles que se integran a mi red inhalambrica naveguen sin tener que configurar el proxy en el navegador, el unico server que tengo es el isa no tengo servidor de dominio.
gracias por su ayuda
Hola.
Se llama descubrimiento automático y cuando yo lo probé era crear un registro DNS que apuntaba a una URL del ISA Server para la autoconfiguración del navegador si no recuerdo mal.
Busca en Google: “isa server wpad dhcp dns”
Aparecerá algún artículo de Microsoft y tal. Si despues de leer la doc oficial te quedan dudas puedes pasarte por los foros Technet en castellano, en la sección de ISA Server. Quizá ya esté hasta respondido.
Suerte.
Necesito ayuda con Isa server 2004 y Mdaemon que es el servidor de Correo.
El problema es lo siguiente quier tener mi webmail interna y externa para que los usuarios revisen sus correos desde la red inetran y la externa.
alguna ayuda
Es un típico problema del NAT. La idea sería crear vistas (Views) en el DNS para que a los clientes de la red interna se le sirviese una serie de registros, referenciados a las ip’s de la red interna y otra vista, externa, para el DNS externo. Por desgracia, el DNS de Microsoft no soporta vistas que yo sepa.
Como yo ya me plantee un problema parecido al tuyo, mírate el enlace [1] a ver si te sirve. Ya nos cuentas.
[1] http://www.isaserver.org/tutorials/You_Need_to_Create_a_Split_DNS.html
tengo un servidor con win 2003 server standard edition, ISA 2003 (creo YO), quiero saber si puedo hacerle un seguimiento a un usuario en especifico osea quiero saber que hace si borra algun archivo, si copia algun archivo.
gracias de antemano
Hola Rodolfo.
ISA 2003 no existe, pero sí el 2000, 2004 y 2006. Lo que veo es que necesitas una auditoría de objetos. Te recomiendo buscar lo siguiente en Google:
site:microsoft.com Configuración de auditoria de objetos
site:microsoft.com Lista de comprobación: configurar la auditoría de acceso a objetos
Te saldrán los primeros enlaces. Por los menús de la izquierda podrás encontrar lo referente a esto y podrás ir página por página que te explica lo necesario para hacerlo. Recuerda que el TechNet de Microsoft es tu mejor aliado
Muchisimas gracias gura me sirvio de mucho la info.
Hola Agradecere que alguien me ayude con este problema.
Tengo instalado el 2003 server y el isa 2004 stand. Mi problema es el siguiente:
Tengo configurada una red de clase B con sub redes es decir : 172.16.x.x con mascara 255.255.252.0 y quiero poner todas mis sub redes bajo el isa server.
probe configurando el Isa server poniendo la red interna con la direccion 172.16.1.1 y mascara 255.255.0.0 y al isa solo se conectan pc`s que estan es esa sub red mas no asi las pc que estan en otras sub redes por ejemplo una 172.16.15.2 cual seria el procedimeinto correcto en este caso…
Hola Carlos.
Es evidente que si tienes por ejemplo 2 subredes, el ISA deberá tener una IP en una subred y otra IP en la otra subred. Tanto si son 2 como si son 20 subredes, una IP en cada subred, siempre. A calcular se ha dicho…
Eso por una parte. Respecto a la configuración de ISA Server, yo he puesto tres direcciones IP a la interfaz interna (Si tienes más interfaces una IP a cada interfaz o depende de como quieras montarlo) del Windows 2000 que corre ISA 2004:
192.168.1.1/25
192.168.1.129/25
172.16.0.1/16
Bien, en ISA 2004 vas a Configuración > Redes, y editamos la red Interna, yendo a la pestaña Direcciones. Quizá ya tengas algún rango de direcciones asignado a esa interfaz, así que las quitaremos todas y luego pincharemos en Agregar adaptador. Selecciona el adaptador interno y acepta. Acepta el resto y ya está. Has de aplicar los cambios, recuérdalo.
En este punto ISA Server determinará que ese rango de direcciones es interno y por defecto, hará NAT. Conecta un equipo al switch que tengas conectado a la interfaz interna y configura en un equipo:
IP: 192.168.1.2
Máscara: 255.255.255.128
Gateway: 192.168.1.1
Configura una regla de prueba para permitir todo el tráfico saliente desde el host local y la red interna a cualquier destino. NO es nada recomendable hacer esto, pero para probar sin ninguna restricción nos servirá. Ahora haz ping a la dirección interna del ISA (192.168.1.1), y luego a una dirección IP que conozcas fuera de tu red. Un DNS de tu ISP, en mi caso 80.58.0.33.
Funciona. Cambia el esquema al de la segunda subred:
IP: 192.168.1.130
Máscara: 255.255.255.128
Gateway: 192.168.1.129
Haz las mismas pruebas que antes pero cambiando la IP. Funciona. Puedes probar también con la red 172.16.0.0
Eso si, esto queda cojo, la idea de utilizar subredes es utilizar un switch con soporte VLAN, porque si en un equipo cliente cambias la dirección IP y la pones en la otra subred… ya estás en la otra subred. Para la implementación de VLAN necesitas una tarjeta de red que soporte 802.1q (Intel Pro lo soportan, aunque mejor el mírate el datasheet). No te puedo ayudar más porque no dispongo de una tarjeta que soporte VLAN trunking y jamás he probado ISA Server enrutando VLAN.
hola a todos
bueno soy un estudiante de sistemas tengo un trabajo de investigacion a serca de isa server me gustaria saver sus opiniones a cerca de isa server o que es lo que puedo hacer con isa le agradecere mucho espero recivir algunos consejo mi correo es raymun_garcia@hotmail.com
Te digo lo mismo que a todos los que piden explicaciones acerca de algo tan genérico, descargate el libro en pdf o cómpralo, y leetelo. Si tan solo es para un trabajo yo lo bajaría, sobretodo si deseas profundizar en él
. Es el 70-350 de Microsoft Press y puedes encontrarlo en el P2P.
Un enlace que puede ser de ayuda:
http://en.wikipedia.org/wiki/ISA_Server
gracias Gura voy a probarlo que me recomiendas luego te escribo
Gura no funciona…
alguna recomendación
Solo funciona para 8 subredes en clase C, es decir con la mascara 255.255.255.224, pero cuando uso la mascara 255.255.255.240 o mas sub redes ya no funciona y menos en clase B..
No se como lo habrás hecho, pero si pones 255.255.255.240 en vez de 255.255.255.224 como máscara, tendrás que modificar en los equipos la máscara de subred y modificar todo el esquema de direcciones, ya que si asignas un bit más para subred, es un bit menos para equipos, es decir, rangos de subredes más pequeños. Estoy seguro de que algo se te ha traspapelado. Si quieres que le heche un ojo envíame todos los datos útiles como direcciones, números de direcciones que necesitas, etc a gura en elgura.com.
Por casualidad… alguien ha publicado un server ssh ( debian ) con isa server 2000???
Saludos.
Hola. Nunca he probado ISA Server 2000, y en ISA Server 2004 podrías publicarlo mediante Publicar servidor si no me equivoco. SI no aparece esa opción en ISA Server 2000, ni idea, porque ni puedo mirarlo, ya que no lo tengo ni instalado.
Ya lo he intentado pero na de na no me deja. Estoy ya un poko desesperado me veo kambiando a squid e iptables.
Si alguien me puede echar una mano se lo agradeceriaaaa muchisimo.
Saludos.
En ISA Server 2004 es así más o menos.
Una vez en Directivas aparecerá a la derecha la opción Crear regla de publicación de servidor.
Nombre: Servidor SSH
Dirección IP del servidor: 192.168.1.5 (Por ejemplo)
Como no hay un protocolo ya creado para SSH, lo crearás tú. Pinchamos en Nuevo y le ponemos como nombre Servidor SSH (¿Se os ocurre algo mejor?)
Ahora hay que especificar los puertos que ese protocolo maneja. Pinchamos en Nueva y luego:
Protocolo: TCP
Dirección: Entrada
De: 22
A: 22
Pinchamos en Siguiente y en lo referente a conexiones secundarias no tocamos nada, pues SSH funciona solamente por el puerto 22 (A diferencia del FTP pasivo que utiliza más puertos). Pinchamos ahora en Finalizar.
Te ha devuelto a la creación de la directiva de firewall, marcándote como protocolo el Servidor SSH que acabamos de crear. Pinchamos Siguiente y escogemos desde qué orígenes permitiremos ese tráfico hacia nuestra red interna. Puedes escoger la externa, por ejemplo, o todos los orígenes. Ahora pincha en Finalizar y cuando se cierre la ventana, arriba en Aplicar.
Puedes controlar más cosas, como tener el SSH en el 22 de la máquina interna, pero que en el firewall se publique en el puerto 8775, por ejemplo. Cacharrea con ello, y no se, quizá plantéate migrar a, por lo menos, ISA Server 2004. Yo ISA Server 2000 jamás lo toqué, así que por mi parte… ya está todo.
Es probable que tenga algún gazapo pues hace mucho que no uso ISA Server, pero te servirá como guía.
Todo esto es lo que ya hice en su momento crearme el protocolo sin conexion secundarias pero no hay manera. Gracias por la ayuda creo que tendre que pensar en una migracion minimo a ISA 2004.
Saludos y muchas gracias por todo.
Hola, que tal. tengo dos problemas quiero que los usuarios no tengan acceso a ciertas paginas de internet, pero tengo que crear URL sets, pero no se donde o como crearlas, la otra es que varios usuarios desean enviar archivos adjuntos por medio de hotmail, gmail, etc, pero el isa no me lo permite que reglas tengo que crear para solucionar estos problemas, tengo un isa server 2006
La primera pregunta se puede responder con múltiples soluciones, por lo que te recomiendo leer la Lección 5 (Capítulo 5 y 7) del libro de Microsoft Press acerca de ISA Server 2004 (70-350). Ahí tratan temas de filtrado web y de filtrado de conexión. Además de como implementar soluciones como el cliente firewall, etc.
A todos los que hacéis las consultas más comunes os recomiendo leeros ese libro, o buscar por el historial de hilos de los foros TechNet en castellano, cuyo link tenéis en el lateral derecho del blog.
Hola necesito un manual de Isa Server 2004 en español, el motivo es que tengo que aprenderlo a utilizarlo lo mas urgente, favor si alguine tiene envielo ok gracias.. mi e-mail es r.ferrem@gmail.com
Hola muy interesante tu articulo, sobre isa, mi consulta es que yo ya tengo montando mi Isa Server 2006, pero queria saber cual es el orden de las reglas tendras ejemplos porque hay veces que el messenger se me pasa o algunas paginas que e restringido tendras algunas paginas o imagenes para poder guiarme,
saludos.
Sorry
Hola,
Podrias ayudarme…tengo que configurar un ISA server 2004 para que navegue a Internet, actualmente lo hace si le habilito proxy en el Internet Explorer, pero si le deshabilito el proxy ya no navega. ¿Que tengo que hacer para que navegue sin proxy? Muchas gracias por tu ayuda.
Tengo un isa server 2004, sobre un server 2003 integrado al active directory del windows, lo instalo sin problema doy los permisos a los grupos y activo las reglas y todo bien, la ip externa del isa es dinamica, y cuando el ISP la cambia queda totalmente bloqueada y no toma la nueva direccion, me podrias ayudar al respecto.-
Gracias y saludos.-
Hola!!
Estoy trabajando con el ISA 2004, pero tengo una duda con respecto a como se aplican los filtros HTTP.
Bueno si se como se aplican por lo que he leido,mas bien mi pregunta es como las interpreta el ISA.
Si la regla es PERMITIR, las firmas que yo quiera bloquear deben de estar seleccionados? o como deben de estar?
Si la regla es DENEGAR, que se hace en las firmas, se seleccionan o no se seleccionan?
seria bueno abrir un buen tema de eso, ya que esta medio enrredado el asunto con los filtros http.
Le agradesco las respuestas, espero exista algun buen enunciado de como interpreta el ISA esto, aslgo asi como:
“Esta regla PERMITE todo el trafico, de las firmas que seleccionaste, excepto las que no estan seleccionadas”
algo asi:
El problema es que las reglas permitir y el apartado de firmas se contradicen por que en las firmas agregas las que quieras bloquear… esta confuso…
espero sus respuestas.
Se me cae el isa server 2004 cada 5 horas, da error en el visor de sucesos como q se queda sin puertos , y despues se queda sin memoria
Tengo un Isa ssrver 2000 en un OS Win 2003. El problema es que no me esta funcionando las reglas de sitio y contenido para denegar ciertas paginas. alguien me puede ayudar? la regla que hice fue permitir todo el trafico excepto una regla de sitio donde puse las paginas no permitidas. Gracias.
Tengo un server con 2003 e ISA Server 2004 montado que es usado como proxy, he hecho mis reglas de navegacion y hemos estado trabajando bien, ahora el problema que tengo es que no he podido hacer una regla que me permita el subir y bajar archivos a sitios FTP, soy nueva en esto y necesito de toda la paciencia posible
mil gracias y ojala puedas ayudarme
Por favor, necesito resolver este problema, tengo el ISA Server 2004 instalado en el mismo server donde tengo el correo (Mdaemon) y entonces ahora los correos no salen de mi servidor, si me entran, pero cuando alguien de mi red interna envia un email se queda trabado en la cola del madaemon, y no sale, ya hice una regla en el ISA server asi:
From Localhost(Este server es tb el correo), To External Allow al outbound traffic
Tambien hice como una publicacion del servidor pop3 y smtp, y asi logre recibir los correos, pero es muy extraño que no se puedan enviar.
Me dijeron tambien que esto es pq tengo el mdaemon y el isa server en el mismo server y eso no se puede hacer.
Por favor necesito su ayuda
saludos y gracias
Alejandro
Hola:
Estoy montando mi propia red gracias a vmware. Todo me ha resultado bien hasta el momento, pero en la instalación del ISA Server me pide tener 2 tarjetas de red.
Agregué una tarjeta adicional para la máquina, pero no sé si debo poner el mismo adaptador que tengo para las otras máquinas o crear uno nuevo, y si es así con qué valores lo configuro?
Ojalá puedan ayudarme?
Yo siempre uso para pruebas las interfaces en modo bridged. Si necesitas que la conectividad de red sea muy fuerte quizá te interese puentear la virtual contra una física, pero para pruebas en modo bridged sin duda. Todo el tráfico sale por la interfaz física de la máquina, pero en lo que a direccionamiento IP se refiere, eliges tu el que quieras.
Creo que no me exprese bien…
Cuando digo que “Agregué una tarjeta adicional para la máquina..” me refiero a una vm, no física.
Lo otro…estoy pensando en 2 subredes, una de servers (Exhange, Web, etc) y otra de clientes (WinXP…por ejemplo)…cada una de estas con su respectiva subred…me xplico aún más:
10.10.20.0 – 10.10.20.255 Servers
10.10.30.0 – 10.10.30.255 Clientes
Luego agrego estos 2 adaptadores a mi VM del ISA Server…pregunta: ¿debo agregar un tercer adaptador (virtual) a esta VM para que sea aquél el que salga a internet?
Creo que si te entendí bien, bueno, olvidemos como lo tienes en físico, vamos a virtual.
La máquina virtual e ISA Server tiene 2 interfaces de red. A una vas a configurarle el rango de los Servers, en otra la de los Clientes y otra, que añadirás a posteriori, que creo que es lo que me preguntas, que salga a internet (Externa). Un firewall de tres patas. ISA Server tiene un asistente para hacer uno en plan WAN, LAN, DMZ.
No parece mala idea y no veo ningún problema en ello.
disculpa…tantas preguntas, pero ¿la tercera interfaz adaptador virtual debiese ser custom a bridge? y ¿que es eso de dmz…vmware lo tiene?
Todas las interfaces que sean bridge, te evitas rollos en configuraciones de vmware.
Lo del DMZ es cosa de ISA Server. En VMWare tu conectas 3 interfaces en modo bridge, sin más. Windows server las detectará y luego en ISA usas una interfaz interna y otra externa y dejas una sin usar, o lo más propio, que sería una para la externa, otra para la interna y esa tercera para la DMZ, donde puedes colocar los servidores.
Haber…disculpa si soy un poco testarudo pero tengo 3 adaptadores virtuales creados:
1.- VMnet1 Host Only (Lo crea automático la instalación del vmware)
2.- VMnet8 Host Only
3.- VMnet9 Host Only
Con los siguientes rangos:
1.- 10.10.10.0 –> 10.10.10.255
2.- 10.10.20.0 –> 10.10.20.255
3.- 10.10.30.0 –> 10.10.30.255
Y los siguentes objetivos:
Rango 1.- ISA Server (¿externa?)
Rango 2.- Servers (Web, Exchange,etc)
Rango 3.- Clientes (XP)
Por lo que a las VM’s clientes les asocio el adaptador 3.
A las VM’s Servers les asocio el adaptador 2, y la VM ISA tendrá los 3 adaptadores ¿a si debe ser…cierto?
Ahora…como le digo al ISA que el adaptador 1 es el que saldrá a internet?…o sea ¿en que parte seteo que el adapatador 1 es la red externa?
no se si sera que estoy bruto de mas… y que quizas no entienda de que estan hablando aqui, bueno… la verdad no lei mcho sobre el problema este, pero veo que hay un rango para los servidores y un rango muy diferente para las computadoras cientes…. yo no trabajo con servidores, sino con comunicacion de redes, routers, switches, y muy minimo server.
hasta donde tengo entendido NO PUEDES COMUNICAR COMPUTADORES QUE ESTEN EN DISTINTOS RANGOS DE RED, a nemos que uses un dispositivo para que haga el enrutamiento a travez de dos tarjetas de redes… una con direccion del rango 1 y la otra con direccion del rango 2 en el mismo dispositivo.
para ver si estoy en lo correcto no pruebes con la comunicacion web o el NAT que buscas, haz algo simple…. DA UN PING, si funciona pues el problema es otro y no se trata de lo que yo digo, pero si no funciona prueba meter a todos dentro de un mismo rango.
rango 1 para la tarjeta del servidor que comunica a internet y rango 2 para la otra tarjeta del servidor que se comunica con los clinetes y a los clientes tambien dales el rango 2.
espero esto resuelva el problema…
Tengo el mismo problema de Alejandro alguna ayuda.
Por favor, necesito resolver este problema, tengo el ISA Server 2004 instalado en el mismo server donde tengo el correo (Mdaemon) y entonces ahora los correos no salen de mi servidor, si me entran, pero cuando alguien de mi red interna envia un email se queda trabado en la cola del madaemon, y no sale, ya hice una regla en el ISA server asi:
From Localhost(Este server es tb el correo), To External Allow al outbound traffic
hola tengo problemas con la publicacion de una web ..
instale el iis y publique una web simple en un win 2003
Asigne la regla de publicacion WEB en isa server
cuando quiero visualizar la web en una terminal me sale MENSAJE DE ACCESOS DE RED: NO SE PUEDE MOSTRAR LA PAGINA
Quisiera que me den un aporte porque no muestra
el ip de la nic externa es 192.168.1.141
el ip de la nic interna es 10.10.10.200
Tengo un servidor con una aplicacion web en una DMZ al cual ISA_Server no tiene acceso ya que solo lo uso ISA para salir al internet. Mi enrutador desde INSIDE hacia la DMZ es otro equipo.
Mi problema es que para aceder a la aplicacion tengo que quitar la configuracion del proxy en internet Explore, y mequedo sin internet.
¿Como puedo solucionar este para aceder a la aplicacion y al internet a la misma vez?
Tengo problemas al instalar ISA server an la misma maquina que mi controlador de dominio.
Instalo 2003 con AD y el ISA server 2004, pero despues de instalar el ISA server 2004, no funciona el dhcp, DNS y las maquinas no s epueden loguear al dominio, lo quito y todo funciona bien, alguna ayuda.
saludos.
No es recomendable utilizar el controlador de dominio para montar encima ISA Server. Tampoco es recomentable usar un DC como servidor de TS. Para hacer que todo funcione tendrá que andar tocando reglas y reglas y más reglas por defecto, así que manos a ello si quieres hacerlo, pero no lo recomiendo para nada.
Tengo problemas de lentitud con el Isa 2004…alguna pista sobre que verificar ? Si uso una Pc por fuera del isa anda excelente…
Saludos…
Tengo 2 fallas: SBS 2003 con ISA 2004, las estaciones de trabajo no navegan si les instalo el cliente firewall y en otro SBS, no tengo conexión e internet en el localhost.
PD:Ambos DC y todo esta corriendo en el mismo equipo, Server 2003, ISA 2004,Exchange 2003
Buenas a todos,
Ricardo prueba comprobando si en la red donde tienes definidos las máquinas esta habilitado el firewall client.
Para que navegue el propio isa server tienes que habilitar la regla “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity verifiers”
Un saludo.