No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2000
 ISA 2000 - Installazione e configurazione
 Configurazione ISA ------ Aiuto!!!
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

jogiacla
New Member

21 Posts

Posted - 26/11/2007 :  14:29:19  Show Profile  Reply with Quote
Premettendo che NON conosco assolutamente ISA e che la configurazione della macchina è stata effettuata da una Ditta, ... buongiorno a tutti.
Descrivo brevemente la topologia ed il problema:
COLLEGAMENTI di rete

INTERNET (IP pubblici)
||
ROUTER
||
ISA <==> ROUTER <==> INTRANET (192.168.x.x)
||
LAN (192.168.0.1 - 192.168.0.255)

PROBLEMA
Devo poter configurare 1 o 2 macchine LAN affinchè possano accedere ad un server INTRANET (con indirizzo ... sconosciuto!!) tramite PROXY di cui conosco l'indirizzo (es. 192.168.5.100).

L'attuale configurazione di ISA provvede a discriminare le chiamate tra INTERNET ed INTRANET tramite policy diverse (almeno è quello che riesco a capire), ma così com'è attualmente, non mi permette di accedere al server generando errore di connessione.

Nella speranza di essere stato... sufficientemente chiaro
Anticipatamente ringrazio
Claudio

IsaCab
Moderator

4298 Posts

Posted - 26/11/2007 :  14:32:42  Show Profile  Reply with Quote
Ciao jogiacla,

quote:
possano accedere ad un server INTRANET (con indirizzo ... sconosciuto!!)

Questo capisci bene che in uno scenario TCP/IP non è possibile. Per accedere ad un server devi conoscere l'ip o il nome FQDN (che poi verrà tradotto in IP) del server in questione.

Prova a spiegare meglio il tuo problema.

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Blog - http://giuliomartino.blogspot.com/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

jogiacla
New Member

21 Posts

Posted - 26/11/2007 :  14:44:15  Show Profile  Reply with Quote
Grazie per la sollecita risposta.
Il problema è il seguente.
Nella nostra organizzazione è prevista, da poco, la firma elettronica delle email.
L'autenticazione degli utenti, o più precisamente, la verifica dei certificati di firma avviene tramite un server centralizzato.
NON conosco l'IP della macchina remota, l'unico dato noto è il PROXY.
Il responsabile del servizio mi ha detto che, utilizzando quel PROXY otterrò la comunicazione con il server senza problemi.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 26/11/2007 :  14:49:38  Show Profile  Reply with Quote
Ciao Claudio,,

ma quando parli di proxy ti riferisci ad ISA (quello indicato nel tuo schema) ?

Il server si trova nella Intranet ?

La intranet è una DMZ del tuo ISA ?

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Blog - http://giuliomartino.blogspot.com/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

jogiacla
New Member

21 Posts

Posted - 26/11/2007 :  15:12:25  Show Profile  Reply with Quote
Ciao Giulio,
Quando parlo di PROXY intendo un indirizzo IP che mi ha fornito il responsabile del servizio di cui sopra.
L'unica informazione che ho è che se voglio dialogare con il server... devo obbligatoriamente passare tramite PROXI (quello non facente parte della mia LAN).
Il server è facente parte della INTRANET ma non conosco l'IP.
NON ho DMZ attive.
Per INTRANET intendo la sede centrale (Ove risiede il server di autenticazione) ed una serie di filiali ognuna delle quali utilizza un IP diverso (Filiale 1 = 192.168.10.x - Filiale 2 = 192.168.20.x ecc).

Edited by - jogiacla on 26/11/2007 16:42:44
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 27/11/2007 :  09:05:03  Show Profile  Reply with Quote
Ciao jogiacla,

quote:
Quando parlo di PROXY intendo un indirizzo IP che mi ha fornito il responsabile del servizio di cui sopra.
L'unica informazione che ho è che se voglio dialogare con il server... devo obbligatoriamente passare tramite PROXI (quello non facente parte della mia LAN).

Devo essere sincero, ma non ho capito molto.

quote:
Il server è facente parte della INTRANET ma non conosco l'IP.

??

Purtroppo, non credo di poterti essere di aiuto. Magari aspetta che ci legga Luca e vedrai che appena puo' provvederà a rispondere.

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

jogiacla
New Member

21 Posts

Posted - 27/11/2007 :  12:52:54  Show Profile  Reply with Quote
Scusa per le .. inesattezze che forse ho scritto.
Cercherò di essere chiaro..... spero
La topologia di rete mi sembra chiara.
problema
Da due computer della LAN (che gestisco io e quindi conosco IP, Subnet mask, configurazioni, ecc), devo poter firmare digitalmente le email che vengono spedite sia su INTERNET sia su INTRANET.
INTRANET è ... una serie di domini (non gestiti da me, di cui conosco esclusivamente il range di indirizzi ma che non posso controllare)facenti parte della stessa ditta ma che vengono gestiti da altri amministratori.
Quando vi è la necessità di effettuare determinati servizi, generalmente chiedo l'indirizzo IP della macchina remota che mi viene fornito.
In questo caso, per poter firmare digitalmente le email, devo verificare i certificati di firma su un server che, pur facendo parte della INTRANET, non è direttamente visibile e del quale NON conosco l'IP in quanto non fornitomi.
Per poter accedere a tale server, devo passare attraverso un PROXY, facente anch'esso parte di INTRANET e del quale conosco l'IP.
Il mio problema è: come faccio a settare ISA, che è nel mio dominio, per far navigare in maniera trasparente i due computers verso il PROXY ?
Devo necessariamente conoscere l'IP del SERVER a cui chiedo la verifica dei certificati o mi basta conoscere l'IP del PROXY?

Spero di essermi spiegato, in caso contrario ...
Grazie ancora
Claudio
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 28/11/2007 :  09:14:47  Show Profile  Reply with Quote
Ciao Claudio,

quote:
devo poter firmare digitalmente le email che vengono spedite sia su INTERNET sia su INTRANET.

Ok

quote:
INTRANET è ... una serie di domini (non gestiti da me, di cui conosco esclusivamente il range di indirizzi ma che non posso controllare)facenti parte della stessa ditta ma che vengono gestiti da altri amministratori.

Ok

quote:
Quando vi è la necessità di effettuare determinati servizi, generalmente chiedo l'indirizzo IP della macchina remota che mi viene fornito.

Ok

quote:
In questo caso, per poter firmare digitalmente le email, devo verificare i certificati di firma su un server che, pur facendo parte della INTRANET, non è direttamente visibile e del quale NON conosco l'IP in quanto non fornitomi.

Ok benissimo, io non consco il processo di firma digitale, ma per logica da qualche parte avrai configurato o il client o il server di posta a contattare una autorità di certificazione che ne esegua il processo di verifica ? Per fare questo hai bisogno di indicare o un nome fqdn o un ip di un server che faccia questa operazione.

quote:
Per poter accedere a tale server, devo passare attraverso un PROXY, facente anch'esso parte di INTRANET e del quale conosco l'IP.

E qui io mi perdo (ma per mia ignoranza intendiamoci).
Tu devi accedere a questo server solo ed esclusivamente quando il client invia una email e non sempre e solo per il processo di firma delle email e non per la spedizione.

Ora il tuoi client vedono il proxy in questione ? Se si allora non vedo il problema. Se no, allora devi rendere visibile questo proxy a i client.


quote:
Il mio problema è: come faccio a settare ISA, che è nel mio dominio, per far navigare in maniera trasparente i due computers verso il PROXY ?

Ma perchè parli di navigazione ? Se devi firmare le email cosa centra la navigazione (qui subentra sempre la mia ignoranza in merito) ?

Inoltre questo proxy rispetto ad isa come si trova ? (Interna, External, ?? )

QUi vedrei un chaining da due proxy!!

quote:
Devo necessariamente conoscere l'IP del SERVER a cui chiedo la verifica dei certificati o mi basta conoscere l'IP del PROXY?




quote:
Grazie ancora

Di nulla, non ti sto dando un grande aiuto.

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

jogiacla
New Member

21 Posts

Posted - 28/11/2007 :  13:21:38  Show Profile  Reply with Quote
Ciao Giulio,

ti fornisco alcune altre delucidazioni che, per mancata esperienza da parte mia,... non ho fornito prima.

Rispondendo alla tua ... gradita risposta:
1^ annotazione
Il servizio di Firma elettronica è un servizio gestito ed installato da operatori della sede centrale. Sulle due macchine in LAN che devono eseguire questo servizio, la sede centrale ha installato un programma, lo ha configurato e... se ne sono andati
Quando abbiamo provato a firmare digitalmente le mail in uscita, abbiamo ricevuto un errore che cita: "Il server XXX non è raggiungibile o è OFF LINE".
Contattando questi "pseudo" installatori, la risposta che ci hanno dato è stata: Funziona a tutti tranne che da voi, probabilmente non avete indicato il PROXY.
L'unica differenza tra la sede dove lavoro io e le altre... è proprio ISA.
Mentre TUTTE le filiali lavorano connettendosi direttamente tramite un ROUTER CISCO, alla faccia della sicurezza interna , io ho preteso ed ottenuto l'installazione di ISA per proteggere la mia LAN.
Purtroppo la mia .. ignoranza in materia, mi ha costretto a far configurare il tutto ad una ditta esterna che ora, per mancanza di fondi, non posso più contattare.
2^ annotazione
Devo accedere a questo SERVER solo per verificare i certificati di firma.
Non serve a null'altro (almeno è quello che ci indicano dalla sede centrale).
Se effettuo un ping verso l'indirizzo del PROXI NON ottengo risposta, credo sia dovuto al fatto che ISA è configurato per non rispondere a quel tipo di chiamate; Stesso risultato nel caso di un tracert.
Se gli stessi comandi vengono eseguiti su una macchina collegata bypassando ISA, .... dopo tre punti di passaggio... risposta NULLA.
3^ Annotazione
Forse era più giusto parlare di COMUNICAZIONE anzichè navigazione ,.. scusa
Se guardi lo schema che ho postato la prima volta, ritengo che il PROXY sia ESTERNO.
Da quel poco che capisco e che avete almeno in parte chiarito leggendo i vari post, ISA tratta INTERNET ed INTRANET come fossero due EXTERNAL e differenzia le chiamate in base agli indirizzi IP e/o al suffisso di dominio (quello della ditta).
per chiarezza:
Se cerco www.pippo.it vengo indirizzato su INTERNET, se cerco www.ditta.it oppure www.ditta.commerciale.acquisti.it, vengo indirizzato su INTRANET.
Ben inteso che la navigazione ai siti INTRANET è limitata esclusivamente tra le varie strutture (domini) della Ditta.

Mi chiarisci:" QUi vedrei un chaining da due proxy!!"
Forse è quello che sto cercando

Sperando di non raggiungere la lunghezza del post di castaghir, (che indubbiamente è più preparato di me)....
ti.. riringrazio della disponibilità e gentilezza

Ciao Claudio

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 28/11/2007 :  13:34:55  Show Profile  Reply with Quote
Ciao Claudio,

diciamo che da quello che ci siamo detti, la soluzione più giusta sarebbe proprio il chaining.

Di seguito alcuni link che ti possono aiutare nella configurazione :

http://www.microsoft.com/technet/isa/2000/proddocs/isadocs/cmt_h_routeprimary.mspx?mfr=true

http://www.microsoft.com/technet/isa/2000/proddocs/isadocs/m_p_h_wspchain.mspx?mfr=true

http://www.microsoft.com/technet/isa/2000/proddocs/isadocs/m_c_c_distributed.mspx?mfr=true

Inoltre sarebbe importante che tu iniziassi a pensare una migrazione a ISA2004/2006 (meglio 2006).

quote:
riringrazio della disponibilità e gentilezza

Figurati è sempre un piacere.

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

jogiacla
New Member

21 Posts

Posted - 28/11/2007 :  16:44:21  Show Profile  Reply with Quote
Come sempre..... velocissimo nelle risposte. Grazie

Supponiamo che ..... trovi il denaro per acquistare ISA 2006, ... che riesca a.. tirare su un "serverino" (a tal proposito.. le caratteristiche minime?), che trovi il coraggio per iniziare a conoscere meglio ISA.....

anche se già conosco la vostra risposta.... a priori ...

mi dareste una mano... PASSO PASSO..????

La voglia di imparare c'è, .. l'amore per l'informatica.. pure,... le uniche cose che mi mancano sono l'esperienza e la padronanza della lingua inglese.... quindi c'è la paura di combinare guai!!!

Ma credo che se non vi scoccierete, anche per domande per voi forse banali, riuscirò nell'impresa.

Se vogliamo iniziare ..... iniziamo pure!!
Primo passo ... caratteristiche minime del server.

Se necessario, come credo, ... nuovo post alla vostra prossima risposta.

Grazie in anticipo e ... a presto

Claudio
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 29/11/2007 :  09:36:56  Show Profile  Reply with Quote
Ciao Claudio,

quote:
Supponiamo che ..... trovi il denaro per acquistare ISA 2006, ... che riesca a.. tirare su un "serverino" (a tal proposito.. le caratteristiche minime?), che trovi il coraggio per iniziare a conoscere meglio ISA.....

anche se già conosco la vostra risposta.... a priori ...

mi dareste una mano... PASSO PASSO..????


Se vuoi una buona base per iniziare a fare sul serio con ISA, allora ti consiglio di partecipare allo JumpStart che terremo a Roma a dicembre. Qui parliamo di formazione professionale (Vedi : Ing. Luca Conte) a costi ridicoli (copertura spese).

Per i dettagli leggi qui : http://www.isaserver.it/forum/topic.asp?TOPIC_ID=866

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

jogiacla
New Member

21 Posts

Posted - 29/11/2007 :  15:59:27  Show Profile  Reply with Quote
Ho già inviato la richiesta per ottenere l'autorizzazione alla partecipazione......
Tra un paio di giorni... forse... mi risponderanno.
Nella speranza che la risposta sia positiva...
Intanto ti... anzi.. vi saluto
Ciao
Claudio
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association