Archivo de la etiqueta: TMG 2010

Port Forwarding en Forefront TMG

Security-Camera-icon

Una pregunta muy frecuente que la gente siempre hace cuando nos referimos a TMG o inclusive ISA Server es como reenviar puertos a una IP especifica (Port Forwarding).

Un ejemplo muy común es cuando en nuestra red interna tenemos un grabador de video digital (DVR) o alguna cámara IP y necesitamos tener acceso desde de Internet.

En este caso debemos hacer un reenvío de puertos según sean las necesidades del grabador a una IP especifica mediante una regla de publicación de un servidor no web en caso que nuestra relación de red entre el segmento donde se encuentre el DVR e Internet sea NAT o caso contrario una regla de acceso si es ROUTE.

Para ver el escenario, tomaremos como referencia un DVR cualquiera que necesita tres condiciones para su publicación:

1. Puerto 1720 en TCP

2. Puerto 60000 y 60001 en TCP

3. Puertos 60000 y 64999 en UDP

Planteemos el escenario:

Imaginemos que nuestra red interna es 192.168.1.0/24 y nuestra red externa es 170.168.1.0/30 y la relación de red que existe entre ambas redes es de NAT, ósea para este caso especifico traduzco desde y hacia Internet mi red interna en la IP 170.168.1.2, hasta este punto espero me haya explicado bien el escenario Risa.

Paso 1: Definir los puertos, para ello vamos a la opción Firewall Policy > Toolbox (a la derecha de la pantalla) > Protocols > New > Protocol lo cual nos levantara el asistente “New Protocol Definition”.

PF_TMG01

En la primera pantalla nos pide un nombre para el puerto que vamos a definir, en este caso le llamaré DVR-Listener y hacemos clic en siguiente.

En la segunda pantalla definiremos los rangos de los puertos que componen a DVR-Listener haciendo clic en el botón “New

PF_TMG02

Una vez que pulsemos el botón New nos desplegará la ventana para editar los rangos que requerimos en este caso vamos a usar 1720 en TCP, 60000, 60001 en TCP y 60000 y 64999 en UDP, tal como se muestra a continuación

PF_TMG03

Una aclaración adicional es que para los puertos TCP la dirección del puerto debe ser Inbound y para UDP Receive. Luego damos siguiente y cuando nos pregunte si deseamos una conexión segundaria marcamos que no y luego aceptamos todas las ventanas que tengamos…

PF_TMG04 

Paso 2: Regla de Publicación, acá usaremos un regla de publicación de un servidor no web Firewall Policy > Task (a la derecha de la pantalla) > Publish Non-Web Server Protocols y nos levantara el asistente para hacerlo.

PF_TMG05

Con el nombre establecido daremos clic en siguiente, para definir la IP del DVR o Cámara IP, en este caso al DVR le asignaremos 192.168.1.50 y hacemos clic en siguiente…

PF_TMG06

En la siguiente pantalla seleccionaremos el protocolo que creamos anteriormente (DVR-Listener) y hacemos clic en siguiente…

PF_TMG07

En la próxima pantalla seleccionaremos desde cual red vamos a aceptar solicitudes o desde otro punto de vista, cual será el origen de las solicitudes que vamos a aceptar…

PF_TMG08

La siguiente pantalla es un resumen de la configuración y finalmente pulsamos el botón Finish para de esta forma ya tenemos el reenvío de puertos configurado.

Como ven esta es la forma que tenemos en ISA Server o TMG para hacer Port Forwarding.

Hasta la próxima !!!

Etiquetado , ,

Setup Failed to Install ADAM.\r\n (0x80074e46)

Untitled - Copy

A continuación veremos un poco de Troubleshooting para solucionar el mensaje de error: Setup Failed to Install ADAM.\r\n (0x80074e46) que se puede producir durante la instalación de Forefront TMG. 

Como ven el mensaje de error es poco intuitivo y además no nos dice por donde deberíamos de empezar a buscar o que información debemos buscar para obtener mas información, así que les comentaré los pasos que seguí para resolver el problema.

Ambiente:

Acá estamos instalando sobre un HP ML150 G6, con Windows Server 2008 R2 Estándar y Forefront TMG 2010 también estándar.

Recopilando Información:

Bueno como ya dije antes, el mensaje no es muy intuitivo lo único que podemos reconocer en el error es la palabra ADAM lo cual sabemos que en Windows Server 2008 cambio a AD LDS el cual es un rol indispensable para TMG ya que sobre el montaremos el Storage con la configuración de nuestro ambiente, por lo que buscaremos en esta ruta %windir%\debug el registro de eventos de instalación para obtener mas información.

Analizando la Información:

Con el log en mano, veamos que dice:

Untitled2

Como verán hay un par de eventos que se repiten constantemente: The trust relationship between this workstation and the primary domain failed y The wizard could not access the registry.

Troubleshooting:

Bueno para el primer mensaje (The trust relationship between this workstation and the primary domain failed) hay un comando que podemos usar para verificar la relación de confianza entre el equipo y su dominio, seria algo así: nltest /sc_verify:midominio.com veamos la salida de este comando:

Untitled3

Como ven en la salida de nltest la relación de confianza esta bien establecida, así que en este punto podríamos descartar esa opción.

Acá solo nos queda analizar que aplicaciones o configuraciones de nuestro sistema operativo nos podrían estar denegando el acceso al registro, por lo que apuntamos a dos posibles opciones, anti-virus (si existiera) y el AUC.

Solución:

Al menos en mi caso deshabilitando el anti-virus y el AUC me dejo instalar sin problemas, luego buscando información para documentar este post encontré una entrada del equipo de ISA Server / TMG donde explican algunos otros escenarios donde se podría producir este error, el link sería este:

http://blogs.technet.com/b/isablog/archive/2010/07/07/troubleshooting-error-setup-failed-to-install-adam-r-n-0x80074e46-and-0x80070643-while-trying-to-install-tmg-2010.aspx

Información Adicional:

https://jimcesse.wordpress.com/2011/11/16/como-hacer-troubleshooting/

 

Hasta la próxima !!!

Etiquetado , ,

Update 1 Para Forefront TMG 2010 Service Pack 2

El pasado 11 de enero, Microsoft publico el Rollup 1 para TMG Service Pack 2 el cual resuelve unos 12 problemas entre ellos:

 

RU1_TMGSP2

Para obtener mayor información: http://support.microsoft.com/kb/2649961/en-us

 

Hasta la próxima !!!

Etiquetado , ,

Tipos de Reglas en ISA Server / Forefront TMG

FWPolicy1

Un tema que muchas veces causa confusión entre las personas que se inician en Forefront TMG o sus predecesores es cuales tipos de reglas existen, como puedo crearlas y sobre todo, sobre que escenario debo usar una u otra.

Para aclarar un poco este tema, voy a escribir un poco acerca de las opciones que tenemos disponibles para administrar la configuración o políticas de nuestra red.

Inicialmente quisiera aclarar que tanto ISA Server como Forefront TMG son Firewall de tipo Top-Down lo que significa que se evalúan las reglas de arriba hacia abajo (por eso es importante el orden en que se encuentren las reglas ) y una vez que se encuentre alguna regla que permita o deniegue el trafico las demás reglas no son evaluadas.

Básicamente vamos a tener cuatro tipos de reglas con las que podremos interactuar en nuestro ambiente: Reglas de Acceso, Reglas de Publicación, Reglas del Sistema y Reglas de Red.

1. Reglas de Acceso: estas reglas controlan el acceso entre las redes que tengamos definidas en el servidor Forefront TMG / ISA Server y en conjunto con las reglas de red, definirán que y como compartimos los recursos entre las mismas.

2. Reglas de Publicación: estas reglas controlan el acceso de trafico entrante (Inbound) a los servidores que tengamos publicados detrás de ISA Server / Forefront TMG en esta clasificación tenemos varios sub-tipos de reglas como son: publicaciones web, publicaciones Exchange, publicaciones SharePoint o publicaciones de servidores no web como FTP o DNS.

3. Reglas del Sistema: estas son un conjunto de reglas predeterminadas que controlan el acceso desde y hacia la red Local Host (ósea el propio servidor ISA Server / Forefront TMG) además habilitan la infraestructura necesaria para administrar la conectividad y la seguridad de la red.

4. Reglas de Red: acá básicamente se define la relación entre dos redes que pertenezcan a ISA Server / Forefront TMG, estas relaciones pueden ser de tipo Ruta o Traducción (NAT).

Mas Información:

http://technet.microsoft.com/es-ar/library/dd897107.aspx

http://technet.microsoft.com/es-es/library/dd440991.aspx

http://technet.microsoft.com/es-ar/library/bb794729.aspx

 

Hasta la próxima !!!

Etiquetado , ,

5 Razones Para Aplicar el Service Pack 2 a TMG 2010

Hoy quisiera compartir con ustedes un excelente post del blog de Yuri Diogenes donde nos explica 5 razones por las cuales debemos aplicar el Service Pack 2 a nuestro ambiente TMG… Que lo disfruten.

http://blogs.technet.com/b/yuridiogenes/archive/2011/10/14/five-reasons-you-should-apply-forefront-tmg-2010-sp2.aspx

 

Hasta la próxima !!!

Etiquetado ,

Forefront TMG 2010 Service Pack 2

Una nota rápida… Ya se encuentra disponible el Service Pack 2 para TMG 2010, este Service Pack incluye las mejoras que se incluían dentro Service Pack 1 y el Rollup 4, adicionalmente incluye las siguientes características:

Nuevos informes
• El nuevo informe de actividad de sitio muestra la transferencia de datos entre los usuarios y sitios web específicos.
 
Páginas de error
• Las páginas de error tienen una nueva apariencia.
• Ahora es más fácil personalizar las páginas de error e incluir objetos incrustados.
 
Autenticación Kerberos
• Ahora puede utilizar autenticación Kerberos al implementar una matriz con equilibrio de carga de red (NLB).

Toda la información acerca de esta actualización la pueden encontrar en estos link’s:

1. Notas de la Versión: http://technet.microsoft.com/es-cr/library/ee207138.aspx

2. Guía de Instalación: http://technet.microsoft.com/en-us/library/ff717843.aspx

3. Descarga del Service Pack: http://www.microsoft.com/download/en/details.aspx?id=27603

 

Hasta la próxima !!!

Etiquetado , ,

¿Como funcionan los URL Sets?

Internet-url-icon

En ISA Server / TMG existen una serie de objetos de red en los que podemos apoyar nuestra reglas de configuración como Network Sets, Computers Sets, Address Ranges, Domain Name Sets, URL Sets, entre otros.

Cada uno de estos objetos cumplen con un objetivo diferente, sin embargo en esta ocasión vamos a ver específicamente el uso y la configuración de los URL Sets.

¿Que es un URL Sets?

Pensemos que un URL Sets es un objeto tipo grupo o contenedor, donde podemos almacenar direcciones web para luego denegar o permitir el trafico en nuestra configuración de Firewall.

¿Como crear un URL Sets?

Iniciamos la consola de administración de TMG, buscamos la opción de Firewall Policy > Toolbox > Network Objects > URL Sets.

Step1

Una vez posicionados en la opción URL Sets hacemos clic derecho y buscamos la opción New URL Set.

Step2

Una vez en el cuadro New URL Set Rule Element personalizamos el campo Name y podemos agregar direcciones con el botón Add luego salvamos los cambios pulsando OK. En este paso ya tendríamos el objeto listo para ser usado en una regla.

¿Como se procesan los URL Sets?

Como cualquier regla dentro de ISA Server / TMG es evaluada en el orden que se que encuentra, si la regla 5 deniega un terminado trafico pero la regla 10 lo permite, ese trafico siempre será negado ya que una vez que se evalúa una regla y esta coincide las demás no son evaluadas.

Adicional a lo anterior, para URL Sets existen otras consideraciones:

  1. Solo procesa el trafico HTTP, HTTPS y FTP over HTTP para cualquier otro protocolo el URL Sets es ignorado.
  2. No se pueden especificar direcciones IP.
  3. Si especificamos un puerto como parte de la dirección ese puerto será retirado de la solicitud e ignorado, por ejemplo: http://a.com:55 se convierte a http://a.com.
  4. Si especificamos path o wildcard dentro de la dirección y el trafico es HTTPS no será evaluada, por ejemplo: a.com/ no aplicaría para HTTPS, caso contrario si declara a.com donde si aplicaría para ese trafico.

Para obtener una lista completa de consideraciones, por favor visite este enlace: http://technet.microsoft.com/en-us/library/cc441706.aspx.

Según lo que hemos visto acerca de los URL Sets, este objeto nos podría facilitar bastante la creación de reglas y la forma en la que administramos el Firewall ya que este objeto es reutilizable (lo podríamos usar en una o varias reglas), sin embargo también vimos que tiene sus limitaciones, en la vida real considero que para permitir trafico HTTPS desde un grupo de clientes hasta una pagina web, es mejor utilizar un Domain Name Sets de igual forma aplicaría si quisiéramos permitir otros protocolos diferentes a los soportados por URL Sets.

 

Hasta la proxima !!!

Etiquetado , ,

Conectores de Verificación – Parte 2

 

Como vimos en la primera parte la configuración de los conectores es bastante sencilla… Hoy veremos como cambiar el comportamiento de la alerta en caso que el conector falle o pierda contacto con el servicio que supervisa.

Estos serian los pasos:

Iniciamos la consola de administración de TMG, vamos a la opción Monitoring > Alerts > Configure Alert Definitions (en el panel de tareas).

 

Step1

En cuadro Alert Properties buscamos la alerta llamada No Connectivity y hacemos clic en la opción de editar.

 

Step2

 

En la siguiente venta Alert Actions seleccionamos la pestaña Actions marcamos la opción Send e-mail y configuramos los requisitos que nos piden.

 

Step3

 

Una vez finalizada la configuración guardamos todos los cambios, aplicamos la configuración y esperamos a que la misma se refresque.

Cada vez que el conector pierda contacto con el servicio que monitorea nos llegara un mail notificando el evento, algo similar a este ejemplo:

Forefront TMG name: TMG-01

The connectivity verifier "LDAP-GC-01" reported an error when trying to connect to DC-01.

Reason: The request has timed out.

 

Conclusiones:

 

Como hemos visto en los dos post la configuración de los conectores es bien sencilla y extremadamente útil, podríamos llegar a tener un pool interesante de conectores monitoreando nuestra infraestructura y notificándonos en caso que alguno falle.

Un tip adicional que tenemos que considerar con el servidor SMTP es que debe soportar conexiones anónimas y que debe de haber una regla de acceso permitiendo a nuestro servidor TMG (localhost)  realizar conexiones SMTP a ese servidor.

Información adicional:

Conectores de Verificación – Parte 1

http://technet.microsoft.com/en-us/library/cc441459.aspx

Hasta la próxima !!!

Etiquetado , ,