Question

Buenas tardes,

En una instalación todavía mantienen en operación el Isa Server 2006 que les viene funcionando sin problemas.

En la red Interna se instaló Windows 2008R2 con todos sus servicios y se convirtió en DC, DA, DHCP, se activó Hyper-V pero no se usa y viene operando sin problemas.

Lo único extraño es que en forma esporádica el Isa Server pierde conexión con el Servidor perdiéndose la conexión el correo e Internet y se arma el tole tole.

Inicialmente pensé que se trataba del Isa y busque instalar los parches que aparentemente eran el problema de bloqueo pero continuaba, configure verificadores de conexión de Isa y note que en los momentos de perdida de conexión este viene trabajando sin problemas, reviso el log del Isa y reporta perdida de conexión con el Servidor principal, este comportamiento me tiene preocupado dado que ocurre esporádicamente ya cambie la tarjeta de red....no puedo cambiar de servidor porque ese tiene un año de servicio aun.

Alguna luz dado su experiencia para este problema descrito?, alguna limitación del W2008r2 con Isa Server 2006?, alguna sugerencia que pueda aplicar para resolver el problema?

Muchas gracias por las respuestas.

Answer 1

Verifica lo siguiente:

1. Que el DC tenga configurado como DNS primario su propia dirección IP.
2. Que el DC, tenga configurado en las propiedades del servicio de DNS algún forwarder, pueden ser los de google (8.8.8.8 y 4.4.8.8) o los de OpenDNS (280.67.222.222 y 208.67.220.220).
3. Que las máquinas de los clientes tengan configurado com DNS primario la dirección IP del controlador de dominio.
4. Que el ISA tenga configurado como DNS primario la dirección IP del controlador de dominio tanto en el adaptador interno como en el externo.
5. Que el ISA tenga alguna regla que permita que el controlador de dominio salga a internet por medio del protocolo de DNS (Puerto 53 UDP), el puerto 53 en TCP no lo necesitas ya que este se usa para tranferencias de zonas.
6. Que el ISA tenga una regla que permita que los usuarios salgan en protocolo http y https para que puedan navegar.

Cuando pierdas conectividad con Internet, debes verificar en qué parte está el problema, estas pruebas también las puedes realizar mientras todo esté funconando bien para que veas las respuestas que recibes y puedas comparar cuando tengas problemas:

1. Desde el ISA:
   1. Crea una regla que permita tráfico ICMP desde localhost hacia la red externa (para poder hacer un ping al gateway del ISA).
   2. Haz un ping al gateway que tiene asignado al ISA para verificar que hay tráfico entre tu proveedor de internet y el ISA.
   3. Crea una regla que permita tráfico ICMP desde la red interna a localhost (para poder hacer un ping desde el DC a la IP interna del ISA).
   4. Haz un ping desde el DC a la IP interna del ISA para ver si hay conectividad desde el DC al ISA.

Si todo esto funciona bien, verifica que esté funcionando la resolución de DNS

1. Desde el DC, carga un CMD
   1. ejecuta nslookup y trata de resolver varios nombres de dominio público, ej: www.microsoft.com, www.tooltorials.com, etc.
   2. Si no te funciona, es posible que tengas un problema con la resolución de DNS.

Comments

Gracias Victor,
Hice la revisión y aplique tus recomendaciones pero el problema persiste, el DNS viene trabajando sin problemas y resuelve bien mientras no se bloquea la comunicación hacia el ISA.
Como alternativa voy a poner una tarjeta de RED independiente en el DC solo para la conexión del ISA... actualmente viene usando la configuración que se generó al activar Hyper-V donde la conexión física se comparte con una virtual.
Veremos cómo me va y ahí les cuento.

Answer 2

hola. el problema radica que un controlador de dominio y un isa server no deven estar en el mismo equipo, es una regla basica.

se de casos de un small bussines en el que han convivido y los dolores de cabeza son grandes.

lo mejor es que el isa este en un equipo dedicado (ya que estas en el baile, actualizate a TMG, si se puede, por la licencia digo)

Comments

Gracias Dirck,
Si no fui claro, el ISA si esta en forma independiente... pero aun así se bloquea a veces por horas.