ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
HTTP Redirector
Webauthentifizierung
Cacheregeln
Proxyeinstellungen per GPO
Socket Pooling W2k
Socket Pooling W2k3
Alarmkonfiguration
SQL Logging
Protokollierung
Paketfilterung
SMTP Anwendungsfilter

 

Alarmkonfiguration


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2000

 

Der ISA Server bietet die Möglichkeit, eine vordefinierte Reaktion auf ein bestimmtes Ereignis auszuführen. Beispielsweise können Eindringversuche protokolliert werden, der Administrator kann per Mail benachrichtigt werden, wenn ein Dienst heruntergefahren wurde oder wenn sonst ein (kritisches) Ereignis eintritt.

Um dem Administrator etwas Arbeit abzunehmen, liefert der ISA Server serienmäßig eine ganze Reihe Alarmdefinitionen mit. Eine vollständige Übersicht finden Sie hier.

Schauen wir uns einen Eintrag an (der auch angepasst werden kann):


Hier findet man den Namen und eine Beschreibung...

Folgende Ereignisse stehen zur Verfügung:

Alarmierungsaktionsfehler Die dem Alarm zugeordnete Aktion ist fehlgeschlagen.
Asymmetrische Installation Nur Enterprise Edition
Cachecontainer-Initialisierungsfehler Die Cachecontainerinitialisierung ist fehlgeschlagen und die Initialisierung wurde ignoriert.
Cachecontainerwiederherstellung abgeschlossen Die Wiederherstellung eines einzelnen Cachecontainer wurde abgeschlossen.
Fehler bei der Cachedateigrößenänderung Die Größe der Cachedatei konnte nicht verkleinert werden.
Cacheinitialisierungsfehler Der Webcacheproxy wurde aufgrund eines globalen Fehlers deaktiviert.
Cachewiederherstellung abgeschlossen Der Cacheinhalt wurde wieder hergestellt.
Cacheschreibfehler Der Versuch, Inhalt in den Cache zu schreiben, ist fehlgeschlagen.
Cacheobjekt ignoriert Während der Cachewiederherstellung wurde ein Objekt mit in Konflikt stehenden Informationen ermittelt. Dieses Objekt wurde verworfen.
Client/Server-Kommunikationsfehler Zwischen dem Firewallclient und dem ISA Server-Firewalldienst ist ein Kommunikationsfehler aufgetreten.
Komponentenladefehler Eine Erweiterungskomponente <%Modulname%> konnte nicht geladen werden.
Konfigurationsfehler Die ISA Server-Konfiguration <%Speicherpfad%> ist ungültig.
Fehler bei Wählen bei Bedarf Die DFÜ-Verbindung konnte nicht erstellt werden, da entweder keine Antwort empfangen wurde oder die Leitung besetzt ist.
DNS-Eindringung Ein Hostnamenüberlauf, Längenüberlauf, hohe Ports in Zone oder Zonenübertragungsangriff ist aufgetreten.
Ereignisprotokollfehler Die Ereignisinformationen konnten nicht in das Systemereignisprotokoll protokolliert werden.
Fehler beim Abrufen des Objekts Das Objekt <URL>konnte nicht geladen werden. <Fehler>
Arrayinterne Anmeldeinformationen Nur Enterprise Edition
Eindringversuch festgestellt Ein externer Benutzer hat versucht einzudringen.
Ungültige Anmeldeinformationen für Wählen bei Bedarf Ungültige Anmeldeinformationen für Wählen bei Bedarf
Ungültige ODBC-Protokoll-Anmeldeinformationen Der angegebene Benutzername oder das Kennwort ist für diese ODBC-Datenbank ungültig.
Verworfenes IP-Paket Ein IP-Paket, das von der Richtlinie nicht zugelassen wird, wurde verworfen.
IP-Protokollverletzung Es wurde ein Paket mit ungültigen IP-Adressoptionen ermittelt. Das Paket wurde verworfen.
IP-Fehler Die IP-Paketquelladresse ist ungültig.
Protokollierungsfehler Das Protokoll für <Dienstname> ist fehlgeschlagen.
Veränderte Netzwerkkonfiguration Es wurde eine Netzwerkkonfigurationsänderungen, die ISA Server betrifft, gemeldet.
Betriebssystem-Komponentenkonflikt Eine der folgenden Komponenten steht in Konflikt mit dem Betriebssystem: NAT-Editor, ICS oder RRAS.
Zu großes UDP-Paket Ein UDP-Paket wurde von ISA Server verworfen, weil es größer als die in der Registrierung festgelegte UDP-Paketgröße ist.
POP-Eindringung Ermittelt POP-Pufferüberläufe.
Berichtszusammenfassungs-Erstellungsfehler Beim Erstellen der Berichtzusammenfassung aus den Protokollierungsdateien ist ein Fehler aufgetreten.
Ressourcenzuweisungsfehler Ressourcenzuweisungsfehler (z. B. zuwenig Speicher)
RPC-Filter: Konnektivität wurde geändert Die Konnektivität zum Veröffentlichungs-RPC-Dienst <Servername> wurde verändert. <Zusätzliche Bedingung>
Serververöffentlichungsfehler Die Serververöffentlichungsregel kann nicht angewendet werden.
Dienstinitialisierungfehler Dienstinitialisierungfehler
Dienst antwortet nicht Ein ISA Server-Dienst wurde beendet oder angehalten.
Dienst heruntergefahren Der Dienst <%Dienstname%>wurde beendet.
Der Dienst wurde gestartet. Der Dienst <%Dienstname%>wurde gestartet.
SMTP-Filterereignis SMTP-Filterereignis
SOCKS-Konfigurationsfehler Der in den SOCKS-Eigenschaften angegebene Port wird von einem anderen Protokoll verwendet.
SOCKS-Anfrage abgewiesen Die SOCKS-Anfrage wurde wegen einer Richtlinienverletzung abgewiesen.
Der Server befindet sich außerhalb des Arraystandorts. Nur Enterprise Edition
Nicht registriertes Ereignis Ein nicht registriertes Ereignis wurde signalisiert. Ereigniskennung: %1
Upstreamverkettungs-Anmeldeinformationen Falsche Upstreamverkettungs-Anmeldeinformationen
Webproxy-Routingfehler Der ISA Server-Webproxydienst konnte die Anfrage an einen Upstreamproxyserver nicht umleiten.
Webproxyrouting-Wiederherstellung Der Webproxy hat das Routing zum Upstreamproxyserver wieder aufgenommen.
Fehler in der WMT aktiven Datenstromaufteilung Beim Aufteilen des WMT aktiven Datenstroms ist ein Fehler aufgetreten.

Manche Ereignisse erlauben eine weitere Bedingung, die dann im Feld "Zusätzliche Bedingung" ausgewählt werden kann:

Damit Sie nicht mit einer Vielzahl von Alarmmeldungen überflutet werden, können Sie noch die Ausführungsbedingungen festlegen:

In der Standardeinstellung wird der Alarm sofort wieder ausgelöst (und ggfs. sofort wieder angezeigt). Legen Sie eine Zeitspanne fest, wann der Alarm in Folge frühestens wieder angezeigt werden soll.

Nachdem alle Ereignisbedingungen festgelegt sind können auf der nächsten Seite die Ereignisaktionen definiert werden:

Wenn der Administrator (oder eine andere Person) zeitnah eine Mail-Benachrichtigung erhalten soll, sobald ein Ereignis eingetreten ist, aktivieren Sie "E-Mail senden" und geben Sie einen SMTP-Server und den/die Empfänger der Mail ein. Damit zugeordnet werden kann, woher die Nachrichten kommen können sie im Feld Von: noch einen Absender ein, der den ISA Server eindeutig kennzeichnet. Mit dem Test-Button können Sie sofort überprüfen, ob die eingetragenen Daten korrekt sind.

Tipp: Viele Mobilfunknetzbetreiber bieten Ihren Kunden eine individuelle Mailadresse an (z.B. Rufnummer@Betreiber.de).

Zusätzlich zur Mail-Benachrichtigung kann auch ein Programm (oder ein Script) ausgeführt werden, das wiederum verschiedene Aktionen startet. Wählen Sie dazu das Kontrollkästchen Programm aus und geben dann den an einer Eingabeaufforderung auszuführenden Befehl sowie das Konto ein, unter dem das Programm ausgeführt werden soll, wenn beim Auftreten der Alarmbedingung eine Anwendung ausgeführt werden soll.

Über die Option "An Windows 2000-Ereignisprotokoll melden" wird das Ereignis im Eventlog des Computers protokolliert.

Zum Beenden des ISA Servers wählen Sie das Kontrollkästchen Ausgewählte Dienste beenden aus und klicken dann zur Auswahl der ISA Server-Dienste, die beim Auftreten der Alarmbedingungen beendet werden sollen, auf Auswählen.

Zum Starten von ISA Server wählen Sie das Kontrollkästchen Ausgewählte Dienste starten aus und klicken dann zur Auswahl der Dienste, die beim Auftreten der Alarmbedingungen gestartet werden sollen, auf Auswählen.

Wenn die vordefinierten Alarme nicht ausreichen können selbstverständlich jederzeit neue hinzugefügt werden, die bestehenden können auch verändert oder gelöscht werden.

 

Gehen Sie mit den Alarm-Benachrichtigungen sorgfältig und bedächtig um. Es empfiehlt sich z.B. nicht, jedes Ereignis sofort als Mail zu versenden. In der Praxis kann es durchaus vorkommen, dass ein Server mehrere Dutzend PortScans am Tag aushalten muss. Wenn der Administrator darüber jedes mal eine Mail bekommt ist sein Postfach bald überfüllt und/oder der interne Mailserver streikt wegen Überlastung, obwohl er gar nicht das eigentliche Angriffsziel war.

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher