ISA Server 2004 Service Pack 2 – Installation und Konfiguration - Von Marc Grote
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Seit dem 31.01.2006 ist das ISA Server 2004 Service Pack 2 für die Standard und Enterprise Version in verschiedenen Sprachen verfügbar. Die drei deutschen ISA MVP Dieter Rauscher, Christian Gröbner und Marc Grote hatten bereits vor einigen Monaten die Möglichkeit, die Beta Version des SP2 zu testen. Neben normalen Hotfixen und anderen kleinen Fehlerbehebungen hat Microsoft eine Reihe von Updates und Erweiterungen in das Service Pack 2 eingebaut, welche in diesem Artikel nach der Installation des Service Pack 2 beschrieben werden.
Ursprünglich waren die neuen Funktionen als ISA Server 2004 Branch Office Update geplant, zumindest wurde dies auf der Teched 2005 und auf der Microsoft Webseite so angekündigt. Nun sind diese Funktionen direkt in das ISA Server 2004 SP2 eingegangen.
Microsoft empfiehlt allen Kunden dringend, SP2 auf allen Computern mit ISA
Server 2004 Standard und Enterprise Edition zu installieren. Sie sollten auf
jeden Fall das ISA Server 2004 SP2 umfassend testen und dann schnellstmöglich
auf Ihre ISA Server Systeme ausrollen.
ISA Server 2004 SP2 enthält folgende Updates:
- Jedes Softwareupdate seit der Veröffentlichung von ISA Server 2004 (Service Packs sind kumulativ)
- Hotfixe für jedes Problem welches an den Microsoft Support Services (PSS) berichtet wurde und von Microsoft als Grund genommen wurde um das Problem mit einem Hotfix zu beheben.
- Verbesserungen beim CARP (Cache Array Routing-Protokoll) in der ISA Server 2004 Enterprise Edition
- Neue Zertifikatalarme
- BITS (Background Intelligent Transfer Service) Caching für Windows Updates
- Diffserv für Quality of Service
Alle Informationen zu den Updates in ISA Server 2004 finden Sie hier. Zur Zeitpunkt der Erstellung dieses Artikels (01.02.2006) war der Link allerdings noch nicht aktiv.
Dieser Artikel soll Ihnen einen Überblick über die Funktionen und Erweiterungen von ISA Server 2004 SP2 geben. Die Änderungen werden in Zukunft in weiteren Artikeln auf www.msisafaq.de veröffentlicht.
Wichtiger Hinweis vor der Installation:
Auf Computern mit Windows Installer 3.0 können Sie dieses Update mithilfe von Software in der Systemsteuerung deinstallieren. Zum Deinstallieren des Updates muss der Windows Installer 3.0 aber bereits vor der Installation des Updates installiert sein.
Wichtiger Hinweis für die Enterprise Edition:
-
ISA Server 2004 SP2 muss auf dem Konfigurationsspeicherserver (CSS) und auf allen ISA Server-Enterprise-Arraymitgliedern installiert werden.
Die ISA Server-Dienste starten möglicherweise nach einer Installation oder Deinstallation von ISA Server 2004 SP2 nicht mehr, wenn das ISA Server 2004 Array-Mitglied nicht mit dem Konfigurationsspeicherserver synchronisiert wurde. Ist das der Fall müssen die ISA Server Dienste auf dem Array Mitglied erneut gestartet werden. Damit baut das Array-Mitglied eine Verbindung zum Konfigurationsspeicherserver auf.
Weitere kleine Stolperfallen:
- Nach der Installation von ISA Server 2004 SP2 werden Sie möglicherweise anhand eines ISA Alarms darauf hingewiesen, dass der Cache nicht initialisiert wurde. Dieser Alarm kann ignoriert werden. Diesem Alarm folgt in der Regel ein zweiter Alarm, der darauf hinweist, dass die Cachewiederherstellung durchgeführt wurde und der ISA Server-Cache voll funktionsfähig ist.
- Sind ISA Server-Dienste installiert, wechselt ISA Server 2004 bei der Installation in den Lockdownmodus. Nach der Installation müssen die ISA Server-Computer oder Arraymitglieder neu gestartet werden.
- Das Firewallclient Update in ISA Server 2004 SP2 ist identisch mit dem Firewallclient Update in ISA Server 2004 SP1. Sie müssen das Update also nicht erneut anwenden.
Installation des ISA Server 2004 SP2
Dieser Artikel beschreibt die Installation des ISA Server 2004 SP2 für die Standard Version. Sie erhalten das ca. 12 MB große Paket hier. Starten Sie die Installation durch Ausführen des Installationspaketes und folgen den Anweisungen des Installations-Assistenten.
Im nächsten Schritt müssen die Lizenzbedingungen nach dem Durchlesen des Lizenzvertrags angenommen werden um die Installation fortzusetzen.
nach kurzer Zeit ist das Service Pack 2 installiert. Nach einem Mausklick auf die Schaltfläche Fertig stellen müssen Sie den ISA Server 2004 neu starten.
Nach erfolgtem Neustart des ISA Server 2004 Computers wird ein Fenster mit einer Webseite eingeblendet welche Sie dazu auffordert, Microsoft Update zu aktivieren und das ISA Server 2004 Sicherheitshandbuch zu lesen um die Angriffsfläche für ISA Server 2004 zu verringern. Diese Tätigkeit sollten Sie schon bei der Installation von ISA Server 2004 durchgeführt haben, ein Review der Umgebung kann jedoch in diesem Zusammenhang nicht schaden.
Auf den ersten Blick fällt der neue Eintrag zur Verbesserung der Benutzerfreundlichkeit in der ISA Server 2004 Verwaltungskonsole auf. Es handelt sich dabei um ein Verfahren zur Verbesserung der Kundenzufriedenheit von Microsoft.
ISA Server 2004 SP2 verwendet ein Error Level Tracing, welches im Hintergrund läuft und diese Informationen im Bedarfsfall an den Microsoft Product Support Service übermittelt. Der Tracing Mechanismus überträgt keine personenbezogen Daten an Microsoft. Die Tracing Funktionalität kann eine negative Auswirkung auf die ISA Server Performance haben. Die Tracing Funktion legt eine 400 MB große Datei im Verzeichnis %windir%\debug\isalog.bin an. Sie können die Tracing Funktionalität in der Registry modifizieren:
Der Pfad lautet: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ISATrace
Um die Größe des Trace Files zu verändern, ändern SIe den Wert für
CircularlLogSizeMB.
Um das Tracing zu deaktivieren, setzen Sie den Eintrag BootTracing auf
den Wert 0. Sie müssen das Trace File manuell löschen.
Wenn Sie das Kundenfeedback nicht nutzen wollen, klicken Sie auf den Radiobutton Nein, ich möchte nicht teilnehmen.
Nach der Installation des Service Packs erscheint die neue Versionsnummer für ISA Server nicht im Detailbereich der ISA Server-Verwaltung (unter Konfiguration). Sie können sich die aktuelle Version in der ISA Management Konsole anzeigen lassen, indem Sie in der Menüleiste auf Hilfe und Info über Microsoft ISA Server 2004 klicken.
Windows Update Caching
Eine der neuen Funktionen ist die Möglichkeit des Cachens von Updates welche über den BITS (Background Intelligent Transfer Service) Dienst übertragen werden. BITS wird für verschiedene Verfahren verwendet, um Updates im Hintergrund zu laden, wenn ausreichend Bandbreite zur Verfügung steht. BITS wird zum Beispiel für Windows Update und WSUS (Windows Server Update Services) verwendet.
Zur Erstellung einer Cacheregel für Microsoft Update klicken Sie in der ISA Server Verwaltungskonsole auf den Cache Knoten und erstellen dort die Cacheregel.
Der Regelname kann nicht verändert werden.
Von dem Cacheregel-Assistenten wird automatisch eine Domänennamensatz erstellt, welcher alle Windows Update relevanten Seiten enthält.
Diffserv
In ISA Server 2000 gab es die Möglichkeit zur Erstellung von Bandbreitenregeln. Da dieses Feature in ISA Server 2000 kaum genutzt wurde, beziehungsweise nur funktionierte, wenn auch die restlichen Netzwerkkomponenten eine Bandbreitenregelung unterstützten, verzichtete Microsoft in ISA Server 2004 auf diese Funktion. In ISA Server 2004 SP2 bietet Microsoft aufgrund einiger weniger Kundenanforderungen eine Paketpriorisierung mit Diffserv. Diffserv ist eine Erweiterung des IP-Protokolls welche Flags im IP Header nutzen kann um bestimmte Daten zu priorisieren. Die Einrichtung von Diffserv ist nicht trivial. Auch hier muss die restliche Netzwerkumgebung Diffserv unterstützen. Für die Einrichtung von Diffserv ist ein fundiertes Wissen über dieses Protokoll und Priorisierung im Allgemeinen erforderlich und wird aus diesem Grund in diesem Artikel nicht näher beschrieben. Für die Verwendung von Diffserv wird ein Diffserv-Filter in der ISA Server 2004-Verwaltungskonsole installiert.
Zur Konfiguration von Diffserv können Sie die Diffserv-Einstellungen in der ISA Server 2004 Verwaltungskonsole verwenden.
Die Paketpriorisierung ist eine globale Einstellung und betrifft sämtlichen HTTP-Netzwerkverkehr welcher durch ISA Server läuft. Der Diffserv Filter in ISA Server 2004 scannt jede URL oder Domäne und ordnet dieser verschiedene Paketprioritäten basierend auf den Diffserv Bits zu.Sie können Diffserv Prioritäten konfigurieren, welche den Prioritäten Ihrer Router im Netzwerk entsprechen. Es sei hier nochmal der Hinweis gegeben, dass Router im SOHO Segment diese Funktion nicht unterstützen. Sie sollten sich also vorher genau überlegen, ob Sie dieses Feature implementieren wollen oder können.
Diffserv unterstützt keine Bandbreitenkontrolle per User und ist
ausschließlich auf HTTP und HTTPS limitiert unter Verwendung des Webproxy
Clients.
Weitere Informationen zu Diffserv finden Sie
hier.
HTTP-Komprimierung
ISA Server 2004 SP2 bietet die Möglichkeit zur Nutzung der HTTP Komprimierung. HTTP Komprimierung verwendet den GZIP und Deflate Algorithmus welcher in Windows Server 2000 und Internet Explorer 4 und höher enthalten ist. ISA Server 2004 SP2 kann jetzt den komprimierten HTTP-Inhalt pro Netzwerk dekomprimieren und mit komprimierten Inhalten arbeiten und diese mit Hilfe von ALF (Application Layer Filtering) filtern.
Die Konfiguration erfolgt wie die Diffserv Konfiguration in der ISA Server 2004 Verwaltungskonsole in den globalen HTTP-Richtlinieneinstellungen. Sie können den Filter pro Netzwerk aktivieren und die Komprimierung festlegen.
Klicken Sie auf Komprimierung festlegen um die Komprimierungsregeln zu definieren.
ISA Server 2004 SP2 kann auf Anfragen mit komprimierten HTTP-Inhalten antworten wenn diese von Clients für das Netzwerk angefordert werden oder komprimierte Inhalte von Webseiten anfordern.
Sie können festlegen für welche Inhaltstypen (MIME-Types) HTTP-Komprimierung verwendet werden soll.
Die folgenden Inhalte können nicht komprimiert werden:
• video
• audio
• application/x-tar
• x-world/x-vrml
• application/zip
• application/x-gzip
• application/x-zip-compressed
• application/x-compress
• application/x-compressed
• application/x-spoon@@
In der Registerkarte Inhaltsüberprüfung können Sie festlegen, ob eingehende komprimierte Pakete dekomprimiert werden soll, damit ISA Server 2004 die Inhalte filtern kann. Das Dekomprimieren und erneute Komprimieren der Inhalte kann die Serverleistung negativ beeinflussen.
Neue Zertifikatalarme
Die Konfiguration von Zertifikaten für sichere Webserververöffentlichungen und OWA-Veröffentlichungen ist für unerfahrene Administratoren nicht einfach umzusetzen. Microsoft hat versucht, dieser Anforderung Rechnung zu tragen und hat einige Zertifikatalarme eingebaut, die darauf hinweisen sollen, was mit Zertifikaten zum Beispiel in den Weblistenern gemacht werden muss.
Weitere kleinere Änderungen:
Die Übernahme von Konfigurationsänderungen an der ISA Server 2004 Konfiguration werden jetzt wesentlich schneller durchgeführt.
CARP (Cache Array Routing Protocol) Erweiterungen
In ISA Server 2004 bis SP2 wurde das Array Mitglied für die Verwendung von CARP basierend auf dem Hostnamen aus dem Host Header entnommen. In ISA Server 2004 SP2 wurde diese Funktion verändert um Verteilung von gecachten Webinhalten zu verbessern, wenn die Array Server stark ausgelastet sind und um den Internet Explorer besser zu unterstützen. In ISA Server 2004 SP2 wird auch der Hostname für das Hash-basierte Routing verwendet um festzulegen, welches ISA Array Mitglied die Anfrage bedient. CARP ordnet dann jede Anforderung für einen bestimmten Host wie www.it-training-grote.de eine bestimmten ISA Server 2004 Array-Mitglied zu.
Übersicht über die enthaltenen Updates:
Eine Übersicht über alle in ISA Server 2004 enthaltenen Fehlerbehebungen finden Sie hier (Bitte entschuldigen Sie die schlechte Übersetzung, aber dieser Artikel wurde wie auch die Knowledge Base Artikel von Microsoft automatisch übersetzt, vom Autor einfach übernommen und die Qualität reicht von echt lustig bis sehr schlecht)::
- 892144 "So installieren Sie ISA Server 2004 Standard Edition Firewall Client Service Pack 1"
- 894458 "Nur jede zweite E-mail-Benachrichtigung erreicht möglicherweise den Empfänger in Internet Security and Acceleration Server 2004, wenn Sie so der Warnung von No Connectivity konfigurieren, eine E-mail-Benachrichtigung an einem SMTP-Server zu senden"
- 894483 "Benutzer erhält A "Fehlercode 502: Proxy-Fehler. Falscher Parameter. (87)"Fehler, wenn sie bestimmte URL besuchen, nachdem Sie Inhalt HTTP konfigurieren, dass die Filterung auf Signaturen oder Erweiterungen in ISA Server 2004 abhing"
- 894485 "Sie können nicht auf ein ISA Server 2004 Web site durch einen Hardwaregleiche zugreifen, der für Verwendung lokalen Dreiecks konfiguriert ist"
- 894609 "Ein Update ist verfügbar, Configuration Storage Server-Kontoeinstellungen zu hindern, abzulaufen, wenn Sie Zertifikat-Authentifizierung für ISA Server 2004 Enterprise Edition verwenden"
- 894679 "Benutzer, die nicht über die entsprechenden Berechtigungen verfügen, können eingeschränkten Inhalt von ISA Server 2004 empfangen"
- 895190 "Die tägliche Zusammenfassung und der Protokollbericht enthalten Details Netzwerkverkehr nicht, der über einen Computer mit ISA Server 2004 übermittelt wird "
- 895202 "Wenn ihr Browser eine Postanforderung zu einer ASP-Webseite durch ISA Server 2004 sendet, zeigen Sie möglicherweise eine leere Seite an"
- 895320 "Einträge zu protokollieren, die der Regel entsprechen setzt ISA Server 2004 fort, nachdem Sie die Protokollierung für eine Webveröffentlichungsregel ausschalten"
- 896055 "Sie können einer statischen IP-Adresse für Clients Computer in einer VPN-Verbindung in Microsoft Internet Security and Acceleration Server 2004 zwischen Standort nicht zuweisen "
- 896495 "Der Firewall-Dienst kann nicht in ISA und ISA Server 2004, nachdem Sie ein Zertifikat auswählen, starten für ein SSL-Listener"
- 897075 "Sitzungsverwaltung von Status funktioniert möglicherweise nicht erwartet, wenn ISA Server 2004 auf eine Website zugreift, die die Round-Robin-Funktion von DNS verwendet, um Ladeausgleich zu erreichen"
- 897716 "RPC-Daten werden möglicherweise blockiert und Outlook kann möglicherweise nicht in Windows Server 2003 mit SP1 gestartet werden"
- 897717 "IInternet Security and Acceleration Server 2004 reagiert nicht mehr oder wird langsam ausgeführt, nachdem Sie ein Weblistener so, formularbasierte OWA-Authentifizierung zu verwenden, konfigurieren"
- 898066 "Update: Sie können ein anderes SSL-Zertifikat nicht zu jedem Gruppenmitglied in einem ISA Server 2004 Enterprise Edition-based-Array verwenden"
- 898553 "Wenn an denselben Adapter IP-Adressen aus mehreren Sub-Netzen gebunden sind, reagiert ISA Server 2004 möglicherweise nicht mehr "
- 898623 "Wenn Sie eine neue Zugriffsregel oder wann Sie Änderungen auf einer vorhandenen Zugriffsregel in ISA Server 2004 anwenden, erstellen, tritt eine Verzögerung bei Benutzern auf, die mit dem Internet verbunden werden"
- 898717 "Update: Wenn Sie ISA Server 2004 Enterprise Edition installieren und wenn den Server auf einem vorhandenen Array hinzufügen, wird "Maximale Anzahl zulässiger VPN-Clients" der Wert zurückgesetzt"
- 899137 "Um eine Regel in ISA Server 2004 zu löschen, können Sie die ISA Server-Verwaltung-COM-Objekte nicht verwenden"
- 899476 "FTP-Befehle funktionieren nicht, wenn das Clientcomputer eine Verbindung zu einem Downstream-ISA Server-Computer herstellt, zu dem Firewall-Verkettung konfiguriert ist"
- 900249 "Wenn Sie versuchen, das OWA-Clients auf der formularbasierten Authentifizierungsseite zu re-authenticate, kann eine "Unknown Request" Fehlermeldung in ISA Server 2004 Ihnen angezeigt werden"
- 900256 "w3pinet verliert bei der Verwendung von passivem FTP für jede FTP GET-Anforderung 49 AFD-Endpunkte"
- 900919 "Sie können eine Pfadanweisung nicht angeben, die auf einem Platzhalter-Zeichen endet, wenn Sie eine Webveröffentlichungsregel in ISA Server 2004 erstellen"
- 901109 "Wenn ein Clientcomputer eine Anforderung für eine URL stellt, die nicht in beliebigem LDT in ISA Server 2004 festgelegt wird, wird die DFÜ-Verbindung mit einem Remotenetzwerk ständig gewählt"
- 902414 "Sie können die Details von dem Datenverkehr nicht verfolgen, der über das Webproxyfilter in ISA und ISA Server 2004 übermittelt wird"
- 903746 "Die automatische Konfiguration sollte interne Anforderungen nicht an den Proxyserver leiten"
- 903940 "Sie können die "Webbrowser" Registerkarte auf einem Computer nicht deaktivieren, auf dem Firewallclient für ISA Server 2004 ausgeführt wird"
- 904825 "PPTP-Veröffentlichung: GRE-Pakete werden nicht basierend auf Serververöffentlichungseinstellungen geändert"
- 905556 "Die GetUserToken-Rückruffunktion gibt nicht zurück, dass die Benutzerid erwartet einem authentifiziert Benutzer wenn eine Verbindung von Firewallclients zu einem Remote-Standort durch ISA Server 2004 herstellt"
- 905655 "Nachdem Sie den Bericht konfigurieren, um Nullbenutzer in ISA Server 2004 anzuzeigen, zeigt ein Bericht mindestens einen Benutzer an"
- 905767 "Die ReturnAuthRequiredIfAuthUserDenied-Einstellung von Eigenschaft funktioniert nicht, wenn die Zugriffsregeln eine Inhaltstypenregel in ISA Server 2004 enthalten"
- 908501 "Web-Proxy-Clients können auf einige Website durch ISA Server 2004 nicht zugreifen"
- 909062 "Die Anforderung für eine Clientcomputerverbindung schlägt fehl, oder der Client braucht sehr lange, um über einen Downstream-ISA-Server-2004-Proxyserver die Verbindung zu einer sicheren Website herzustellen"
Stand: Friday, 28. August 2009/MG. - http://www.it-training-grote.de
