Bueno, hace algun tiempo que no alimentamos este blog con una bonita anecdota.
El cliente esta vez tiene un marido informático el cual además trabaja en la parte de seguridad dentro del mundo de la informática con lo que la paranoia en seguridad y firewalls es importante. Durante la fase de diseño hemos presentado diversas configuraciones con firewalls por software por hardware, etc. pero al final se optó por la más versatil, y aparentemente eficiente que fue ISA Server que la incluye Windows 2003 Server for Small Business Premium edition.
Bien, en nuestro diseño de implementación nos la prometiamos felices ya que bueno, SBS sus asistentes, sus instalaciones automatizadas, la integración blah, blah, todo genial.
Bien pues el escenario de instalación más o menos como sigue, un servidor 2000 Server en producción con un Active directory funcionando y protegido de internet por un Firewall Linksys básico. Instalamos el CD1 de SBS, hasta que es un 2003 Funcional y antes de convertirlo en un SBS full-equip continuando la instalación lo unimos al dominio, lo convertimos en controlador, y le asignamos los roles y lo convertimos en catalogo global.
Pues nada, dale manolo, instalamos el resto, exchange, administración, sharepoint, etc... todo de maravilla. Venga vamos a por el isa y nos ponemos a configurar equipos con exchange...
Vale instalamos ISA, y arrancamos con un error, evento en ISA 14147, que las rutas que figuran en un adaptador no corresponden con la ip. Revisamos las configuraciones, cada tarjeta con sus ips correctas, la de internet con su puerta de enlace, la interna sin puerta de enlace y con sus dns. Configuramos las politicas reiniciamos un millon de veces, probamos mil configuraciones, y nada, el firewall arranca, pero en el estado en la consola de ISA nos muestra una cruz roja con 4 interrogaciones.
Instalamos SP3, desinstalamos, ejecutamos el Asistente de configuración de internet se autoconfigura todo de maravilla, pero nada pelotita roja, e interrogaciones. Cambiamos los rangos de ips, y nada, modificamos las rutas a mano, nada. Configuramos RRAS para ver interfaces e intentar controlar las cosas pero nada.
Bueno, conseguimos una pista y es que los usuarios de sistema "Network Service" y "Local Service" deben figurar en la política local de "Generar auditoría", bien, vamos. Editas la politica local (donde deben figurar) y misteriosamente (o no tanto) no nos permite añadir usuarios (evidente, es un controlador de dominio no podemos usar politicas locales). Lo intentamos de todas las formas conocidas y no hay forma.
Mi compi sigue indagando por los grupos de google y da con un articulo, el cual se deriva del párrafo anterior. La verdad es que el párrafo de añadir los usuarios de las politicas locales era el que más sonaba, lo que indica que tenemos un problema de permisos, y efectivamente resulta que el problema radica en que el servicio "Microsoft Firewall" (el alma de ISA) se está ejecutando con las credenciales de "Network Service" y al cambiar para que se ejecute con el usuario "Local Service" reincias, y voila!, todo funciona de maravilla....aparentemente...
Vega, dale, vamos a ponernos como locos a configurar outlooks (esta historia nos ha llevado casi 24 horas resolverla), pues claro, en nuestra felicidad inmensa por reparar el problema de ISA añadimos el outlook a Exchange y se acaba la felicidad... pero al instante.... Nada, nada esto es un problema de reglas y listo.......5 horas más tarde (y no es mi primer ISA server) no hay forma de con reglas, sin reglas, cambiado todo, permitiendo nada, imposible....venga tio vamos por la calle de enmedio, desinstala.........10 minutos.... reinstala (sin SPx).....intenta ahora el outlook.... plafff... a funcionar... joder y por que ahora funciona..... no preguntes y tira pa lante...
La teoría es que el cambio de usuario de Network Service por Local Service cambio los permisos en algún punto y reconfiguro alguna entrada probablemente en el Registry de manera que esta última reinstalación se ha hecho de manera correcta y no como ha ocurrido en todas las ocasiones anteriores....
Que triste es la vida del informático...... bueno espero haberte ahorrado unos minutos de lucha...
P.D.: Gracias a mi compi que se lo curro .... y bien..
1 comentario:
Recuerdo cierta presentacion de microsoft en la que nos presentaban las bondades de SBS 2003 con sus asistentes y lo facil que era migrar un sistema o la actualización.......
Cada dia odio mas el Active Directory, total luego todo el mundo le da permisos completos a los usuarios y a la mierda la supuesta gestion y funcionalidad del mismo todo por ahorrarnos problemas y no parecer gilipollas tocando reglas delante de un cliente que te mira mal contando las horas que pasas en su empresa.
Publicar un comentario