Konfiguration einer Konnektivitätsverifizierung
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Im Artikel Übersicht Monitoring wurde eine Zusammenfassung aller Überwachungsfunktionen des ISA Server 2004 gegeben. Das vorliegende Kapitel beschreibt die Möglichkeit, den ISA so einzurichten, dass er bestimmte andere Server oder Dienste auf deren Verfügbarkeit überprüft und je nach Zustand Maßnahmen ergreift.
Es gibt drei Methoden zur Überprüfung der Konnektivität:
- HTTP-"GET"-Anforderung senden.
Wenn diese Methode konfiguriert wurde, sendet ISA Server eine HTTP-GET-Anforderung und wartet auf die Antwort. Mit dieser Methode können Sie überprüfen, ob ein Webserver ausgeführt wird und für ISA Server erreichbar ist.
- Pinganforderung senden.
Wenn diese Methode konfiguriert wurde, sendet ISA Server eine Anforderung (ICMP ECHO_REQUEST) an den angegebenen Server und wartet auf die entsprechende Antwort (ICMP ECHO_REPLY). Mit dieser Methode können Sie überprüfen, ob ein Server ausgeführt wird und für ISA Server erreichbar ist.
- TCP-Verbindung über dieses Protokoll herstellen.
Wenn diese Methode konfiguriert wurde, versucht ISA Server, eine TCP-Verbindung mit einem bestimmten Port auf dem angegebenen Server herzustellen. Mit dieser Methode können Sie überprüfen, ob ein bestimmter Dienst auf dem Server ausgeführt wird und für ISA Server erreichbar ist.
Um eine neue Konnektivitätsverifizierung einzurichten oder sich bestehende anzeigen zulassen, wählt man die Registerkarte "Konnektivität" im Knoten "Überwachung" der ISA Server Management Konsole aus.
In diesem Beispiel ist noch keine Überprüfung konfiguriert. Somit kann nur entweder eine neue erstellt werden oder es kann eine (z.B. von einem anderen ISA Server exportierte) XML-Datei mit Überprüfungsregeln importiert werden.
Die erste Seite des Assistenten verlangt wie immer die Eingabe eines Regelnamens. Hier sollte (wie immer) ein "sprechender" Name eingetragen werden.
In den Verbindungsdetails kann man entweder einen FQDN oder eine IP Adresse des zu überwachenden Systems angeben. Ebenso kann mittels der "Durchsuchen"-Funktion ein Ziel im AD ausgewählt werden. Im oberen Beispiel soll die Verfügbarkeit des externen Mailservers überprüft werden.
Beim Konfigurieren einer Konnektivitätsverifizierung für einen Server kann diese in eine der folgenden Gruppen eingestuft werden: Active Directory, DHCP, DNS, Veröffentlichte Server, Web (Internet) und Andere. Der Servergruppenstatus wird in der Übersichtsansicht (Dashboard) angezeigt.
Zum Schluss die übliche Zusammenfassungsmeldung mit allen eingegebenen Details.
Lässt man sich anschließend die Eigenschaften der neu erstellten Regel anzeigen, kann man noch zwei weitere Optionen konfigurieren:
Zum einen kann der Schwellenwert konfiguriert werden, nach dem der ISA Server de Verbindung als nicht zustande gekommen ansieht. Ergänzend dazu kann noch festgelegt werden, ob bei einem Fehler ein Alarm ausgelöst wird. Wenn nicht, wird lediglich in der Management Konsole eine Warnung ausgegeben.
Damit die Überprüfungsregel aktiv wird, muss - wie immer bei einer Konfigurationsänderung - diese übernommen werden:
Anschließend wird die Regel ausgeführt.
In diesem Beispiel wurde festgestellt, dass der zu überprüfende Mailserver nicht erreichbar ist. Als Grund (-> Ergebnis) wird genannt: "Nicht aufgelöster Name". Folgende Ergebnisse können gemeldet werden:
- Verifizierung
In diesem Moment wird die Regel angewendet und der Zielserver überprüft - x ms
x gibt die Zeitspanne in Millisekunden an, innerhalb der eine Antwort empfangen wurde - Fehler
Der Zielserver konnte nicht erreicht werden (Deutet meist auf ein temporäres Problem oder eine erforderliche Proxyauthentifikation hin)
Folgende Tabelle (aus der Online Hilfe) gibt Auskunft, welches Ergebnis bei einer HTTP-Anfrage in Abhängigkeit der Rückmeldung des Webservers geliefert wird:
| HTTP-Antwort vom überwachten Server | Konnektivitätsverifizierungsstatus |
| 1xx, 2xx oder 3xx | OK. Dies ist die Antwortzeit in Millisekunden. |
| 401 (Webserverauthentifizierung erforderlich) | OK. Dies wird nicht als Fehler eingestuft, da die Meldung vom Webserver zurückgegeben wurde. |
| 407 (Proxyauthentifizierung erforderlich) | Fehler (Windows Server 2003). Dies wird als Fehler eingestuft, da die Konnektivität zum eigentlichen Webserver nicht ermittelt werden kann. |
| 407 (Proxyauthentifizierung erforderlich) | Authentifizierung erforderlich (Windows 2000 Server). |
| 4xx (außer 401 und 407) oder 5xx | Fehler |
| Zeitüberschreitung der Anforderung | Zeitüberschreitung |
| Der Servername konnte nicht aufgelöst werden | Nicht aufgelöster Name. |
| ISA Server ist nicht verfügbar | Verifizierung nicht möglich (Firewalldienst ist nicht verfügbar) |
Sofern die Alarmfunktion nicht deaktiviert wurde, wird bei einem Verbindungsfehler ein Alarm angezeigt:
Abhängig von diesem Alarmevent können dann verschiedene Maßnahmen eingeleitet werden. Damit wird sich ein eigenständiger Artikel beschäftigen.
Unabhängig von der Alarmierung wird der Status der Konnektivitätsverifizierung im Dashboard angezeigt:
Stand: Friday, 28. August 2009/DR.
