ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher

 

Testbericht Celestix ISA Server-Appliance MSA200i - von Marc Grote und Dieter Rauscher


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server  2006
  • Celestix MSA 2000i

 

Hinweis: Dieser Artikel ist eine Gemeinschaftsarbeit von Marc Grote und Dieter Rauscher. Wir hatten die Gelegenheit, die Celestix-Appliance ein paar wenige Wochen zu testen. Wünschenswert wäre, eine Appliance über einen langen Zeitraum zu testen. Vielen Dank an den Distributor Wick Hill Kommunikationstechnik GmbH, der uns die Appliance zur Verfügung stellte.

Wir konnten vor den Weihnachtstagen eine ISA Server 2006 Appliance der Firma Celestix testen. Celestix ist neben Anbietern wie HP und Pyramid einer der wenigen Anbieter von ISA Server Appliances.

Das hier getestete Modell ist die Celestix MSA 2000i. Es handelt sich hierbei um eine Appliance basierend auf der neuen Scorpio-X Appliance Hardware Plattform von Celestix.

Ein Datenblatt zur Celestix MSA 2000i finden Sie hier. Weitere Modelle mit unterschiedlicher Hard- und Softwareausstattung sind verfügbar. Weitere Infos hier.

Seit neustem liefert Celestix die Appliance auch mit der Software FairShare aus, mit dessen Hilfe Bandbreitenmanagement für ISA Server realisiert werden kann. Mit FairShare kann Bandbreite limitiert und garantiert werden, Prioritäten vergeben werden können und Prioritäten mit Hilfe von DiffServ und 802.1p eingerichtet werden können. Diese Richtlinien können auf unterschiedliche Objekte wie Benutzer, Gruppen, Computer und Zeitpläne angewendet werden.

Merkmale der MSA 2000i

Bei der MSA 2000i handelt es sich um das Einstiegsmodell von Celestix für Arbeitsgruppen-Umgebungen, auch wenn das Gerät aus meiner Sicht in groesseren Abteilungen / Firmen eingesetzt werden kann. Zu den Merkmalen gehören:

  • Läuft mit ISA Server 2006
  • Firewall Durchsatz von 800 Mbps und VPN Durchsatz bis 53 Mbps
  • Sechs Gigabit Ethernet Netzwerkkarten (PCI-Express)
  • 1:1 Active/Passive Failover
  • "Ein Button Backup und Recovery" zum Factory Default oder der letzten als funktionierend bekannten Version
  • QoS (Quality of Service)
  • Integriertes LED zur grundlegenden Netzwerkkonfiguration und zur Übersicht ueber den Status der Appliance
  • Verwaltung lokal, über Webinterface oder Remote_Desktop
  • 1U, Intel Pentium Celeron D CPU mit 2,66 GHz, 1 GB DDR2 RAM, 80 GB SATA-II Festplatte

MSA 2000i

Die folgenden beiden Abbildungen zeigen die MSA 2000i
:

Die Standard IP-Adresse ist 10.1.1.1, kann jedoch problemlos über das Display verändert werden.

Die MSA 2000i hat vier Lüfter auf der Rückseite, ist im Betrieb relativ laut, aber leise als manch anderer 1U Server. Der Geräuschpegel sollte auch gar nicht negativ auffallen, da die Appliance im 19" Format vorliegt und somit als Standort für den Serverraum / Abstellkammer in einem 19"-Rack prädestiniert ist.

Der erste Test erfolgte mit lokal angeschlossenem Monitor, Tastatur und Maus. Nach erfolgtem Start des Systems und Eingabe des kryptischen vordefinierten Start-Kennworts, startet das System ein Windows Server 2003 mit Service Pack 2.

Die ISA Server 2006-Verwaltungskonsole ist die gleiche wie bei jeder normalen ISA Server 2006-Installation. Der einzige Unterschied ist die Integration der Software FairShare der Firma Network Justice. Beim Aufruf der Software wird jedoch auch hier ein externes Verwaltungsprogramm gestartet.

FairShare

Mit Hilfe des FairShare Manager lassen sich so genannte Policies (Richtlinien) erstellen, mit dessen Hilfe der Netzwerkdurchsatz limitiert werden kann.

Die folgende Abbildung zeigt eine neue Policy, für welche eine Bandbreiteneinrichtung für das Subnetz 192.9.200.0/24 eingerichtet wurde. Bei meinem Test konnte ich die Software davon überzeugen, die Bandbreite zu reduzieren, jedoch konnte ich mangels QoS-fähigem Router keine Policies basierend auf RSVP erstellen.

Webkonsole

Die MSA 2000i lässt sich über eine Webkonsole verwalten. Alle gängigen Funktionen können mit Hilfe der Webkonsole verwaltet werden. Der Aufruf der Webkonsole erfolgt über folgenden Aufruf im Browser:

HTTPS://SERVERNAME:10000

Einziger Haken: Für eine Vielzahl der Funktionen der Remoteverwaltung ist eine Remote Desktop Session notwendig, welche nicht über HTTPS, sondern über das normale RDP Protokoll aufgerufen wird.

Die folgende Abbildung zeigt die Routing-Tabelle der MSA 2000i.

Systemwiederherstellung

Die MSA 2000i kann über das Front Display und dem Drehregler wiederhergestellt werden. Es stehen zwei Wiederherstellungsoptionen zur Verfügung:

  • Reset zu Factory Default
  • Reset zu Last Known Good Konfiguration

Um das System wiederherzustellen, muss die Appliance neu gestartet werden

Das LCD Display zeigt die Nachricht, das das System eingeschaltet ist und ein Beepton erklingt

Das System zeigt dann die "System Ready" Nachricht und ein Beepton erklingt

genau bei diesem Beepton drehen Sie den Regler nach rechts

Das System bootet dann in den Rescue Modus und das Display zeigt die folgenden Optionen:

  • Restore Last Good Version
  • Restore Factory Image
  • Cancel (Reboot)

Verwenden Sie wieder den Drehregler zur Auswahl der gewünschten Funktion.

Zusätzlich kann man die Appliance bei lokal angeschlossenem Monitor, Tastatur und Maus in einen recovery-Modus booten. Hierbei wird ein Linux-Derivat gebootet, aber es war mir bei meinem test nicht möglich, den Recovery Vorgang zu Ende zu führen, da die Appliance immer bei dem Laden der USB Geräte hingen blieb. Auch nachdem ich die USB-Tastatur und -Maus während eines neuen Bootvorgangs entfernt hatte, blieb das System an dieser Stelle stehen. Da es sich lt. Dokumentation sowieso nicht um die empfohlene Variante zur Systemwiederherstellung handelt, habe ich mich nicht weiter um die Problemlösung gekümmert..

Frontpanel Display

Die folgende Abbildung zeigt das Celestix MSA 2000i Front Panel Display.

 

Fazit:

Die Appliance ist gut gelungen. Besonders gefällt mir die schnelle Inbetriebnahme. Über das Drehrad und das LCD-Display kann man sehr einfach und schnell zuerst die interne IP-Adresse festlegen und danach per Webkonsole den Rest konfigurieren. Somit ist der ISA Server nach weniger als 10 Minuten einsatzbereit. Setzt man den ISA Server nicht als Appliance ein, muss man sich selber um die Hardware und Softwarelizenzen kümmern, dann selber den Windows Server installieren oder ausrollen und anschließend noch den ISA Server dazu installieren. Das dauert schon mal ne Stunde oder mehr. Zudem sind die meisten Appliances zu einem attraktiven Preis erhältlich. Da muss man dann schon rechnen, was besser, günstiger oder einfacher ist.

Zur subjektiven Performancemessung (nein, wir betreiben kein High-Tech-Messlabor) wurde die MSA als Webproxy in ein Produktivnetz mit 30 Benutzern eingesetzt. Trotz des mit 1 GB sehr gering ausgefallenem Hauptspeicher konnte die Appliance den Webverkehr mit immerhin 4-5 GB pro Tag gut meistern und zeigte keine besonders hohe Prozessorauslastung. Ich hätte sie gerne länger eingesetzt.

Was mich persönlich im Laufe der Zeit etwas nervte ist die ISA Server-Konfiguration über die Weboberfläche. Zugrunde liegt die übliche Windows-eigene Web-Remoteverwaltung, mit der man jeden Windows Server per Webkonsole verwalten kann (sofern installiert und aktiviert). Dazu muss auf der ISA Server-Appliance ein Webserver laufen. Das mögliche Sicherheitsproblem soll an dieser Stelle unberücksichtigt bleiben. Während man die Windows-Konfiguration wie zum Beispiel Netzwerkeigenschaften, Domänenmitgliedschaft etc.) problemlos und schnell per Web ändern kann, wird für die ISA-spezifische Konfiguration im Webbrowser ein speziell angepasstes Remotedesktopfenster eingeblendet, was man weiter oben am Beispiel der Netzwerkdefinition sehen kann. Wenn man von einer Option zur nächsten gehen möchte (zum Beispiel vom Monitoring zu den Firewallrichtlinien und zurück), wird jedes mal die Remotedesktopverbindung beendet und neu aufgebaut. Das dauert jedoch ein paar Sekunden, was den Arbeitsfluss beeinträchtigen kann. Natürlich erleichtert die Weboberfläche gerade einem Neuling den Einstieg in ISA Server ungemein - keine Frage.

Auch gefällt mir gut, dass man nun neben der Weboberfläche auch mit einer normalen Remotedesktopverbindung die Appliance komplett normal konfigurieren kann. So könnte man noch einen eigenen Webfilter oder andere relevante Komponenten installieren. Das ist ein Fortschritt, denn das war nicht immer so bei einer Appliance.

Alles in Allem gefällt mir die Appliance recht gut. Ob das Bundle mit Fair Share jedoch in dieser Zielgruppe einen wirklichen Zusatznutzen bringt weiß ich (noch) nicht wirklich. Bin da für Rückmeldungen dankbar, falls das jemand einsetzt.

 

 

Stand: Friday, 28. August 2009/MG/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher