Service Pack 1 für ISA Server 2006
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2006
ISA Server 2006 ist bereits seit geraumer Zeit verfügbar, allerdings gab es bis zum heutigen Tag kein Service Pack für ISA Server, lediglich eine Reihe von Hotfixen standen zur Verfügung. Seit einigen Monaten gibt es eine private Beta für das Service Pack 1 von ISA Server 2006, welche jetzt durch die finale Version ersetzt wurde.
Seit dem 02.07.2008 ist das Service Pack 1 (SP1) von ISA Server 2006 verfügbar. Sie können das Service Pack auf der folgenden Webseite downloaden.
ISA Server 2006 SP1 hat neben einer Reihe von Problembehebungen und Erweiterungen, eine Reihe von Neuerungen, welche in diesem Artikel beschrieben werden. Die Erweiterungen von ISA Server 2006 SP1 werden am Ende des Artikels ohne tiefere Betrachtung erläutert.
ISA Server 2006 SP1 liefert eine Reihe von Neuerungen um, so die Vermutung des Autors, die zeit bis zur nächsten ISA Server Version - Microsoft Forefront Threat Management Gateway (TMG) zu überbrücken.
Nach erfolgter Installation des SP1 finden sich eine Reihe von Erweiterungen im System.
Änderungsnachverfolgung
Zu einer der wichtigsten Änderungen gehört nach Meinung des Autors die Änderungsnachverfolgung, mit welcher jede Konfigurationsänderung am ISA Server protokolliert werden kann und Administratoren so A) eine Übersicht über die Änderungen am System haben und B) um zu sehen, welcher Administrator Änderungen am System vorgenommen hat, damit man eine Revision betreiben kann.
Die Änderungsnachverfolgung findet man in der Überwachung der ISA Server 2006-Verwaltungskonsole.
im ersten Schritt muss die Änderungsnachverfolgung konfiguriert werden.
Aktivierung der Änderungsnachverfolgung. Angabe der Beschränkung auf eine maximale Anzahl von Einträgen.
Bei jeder Änderung wird jetzt nach einer Beschreibung zur Konfigurationsänderung gefragt. Einstellungen können auch für weitere Dokumentationszwecke exportiert werden.
Ebenfalls in den Überwachungsfunktionen kann jetzt nach Einträgen in der Änderungsnachverfolgung gesucht werden und sich ein Überblick über die durchgeführten Änderungen am System verschafft werden.
Web Publishing Test
Zu den ebenfalls sehr sinnvollen Erweiterungen von ISA Server 2006 SP1 gehört die neue Funktion der Möglichkeit, eine Webserververöffentlichungsregel auf korrekte Funktion zu testen, bevor diese in den Produktivbetrieb geht.
Der Test Button funktioniert für folgende Regeln:
- Exchange Web Client Access Publishing Wizard
- SharePoint Site Publishing Rule Wizard
- Web Site Publishing Wizard
- Web Publishing für einen Webserver ueber HTTP
- Web Publishing für einen Webserver ueber HTTPS
Sie finden den Test-Button in jeder Webveröffentlichungsregel auf der Registerkarte Allgemein.
Klicken Sie auf Regel testen und ISA Server 2006 versucht anhand der Einstellungen in der Veroeffentlichungsregel eine Namensaufloesung zu den angegebenen Servern durchzufuehren.
Wenn eine Verbindung nicht hergestellt werden konnte, werden die Ergebnisse entsprechend angezeigt.
Etwas ärgerlich, zumindest in meiner Test VM und meinem ISA 2006 als
Appliance:
Wenn der Test während der Prüfung abgebrochen werden soll, dauert es einige
Sekunden bis zu knapp einer Minute, bis der Test wirklich beendet wird.
Die folgende Fehlermeldung weißt auf diesen Umstand hin.
Datenverkehrssimulator
Diese neue Funktion ermöglicht "Was wäre wenn Szenarien", indem ISA-Administratoren verschiedene Webzugriffe simulieren können. Die notwendigen Firewallzugriffe für die grundlegenden Protokolle. welche mit dem Datenverkehrssimulator geprüft werden sollen, müssen allerdings schon existieren.
Der Datenverkehrssimulator steht für folgende Simulationen zur Verfügung:
- Webzugriff
- Nicht aus dem Web erfolgender Zugriff
- Webveröffentlichung
- Serververöffentlichung
Sie finden den Datenverkehrssimulator in der ISA Server 2006-Verwaltungskonsole unterhalb des Knoten Konfiguration - Problembehandlung. Der Datenverkehr kann auch auf anderen ISA Servern simuliert werden, wenn auf dieses Systeme administrativer Zugriff besteht.
Zusätzlich kann die Diagnoseprotokollierung, welche weiter unten in diesem Artikel erwähnt wird, auf den simulierten Traffic angewendet werden um weitere Auswertungsmöglichkeiten zu haben.
Es stehen eine Vielzahl von Simulations-Möglichkeiten zur Verfügung. Wenn Sie alle Optionen konfiguriert haben, klicken Sie auf den Button Starten und die Simulation wird gestartet und das Ergebnis am unteren Rand des Fensters angezeigt.
Wichtig:
Der Datenverkehrssimulator überprüft Regeln nur dahingehend, was durch das Firewallmodul zugelassen oder verweigert wird. Ob Datenverkehr basierend auf Anwendungsfiltereinstellungen oder einem HTTP-Filter geblockt oder zugelassen wird, ist dem Datenverkehrssimulator nicht bekannt. Dies bedeutet, dass selbst bei zulässigem simulierten Datenverkehr echter Datenverkehr durch einen Filter geblockt sein kann
Diagnoseprotokolllierung
Die Diagnoseprotokollierung protokolliert das Verhalten der Richtlinien in ISA Server 2006. Die Diagnoseprotokollierung protokolliert Informationen einzelner Protokolle, indem der Datenfluss eines bestimmten Pakets verfolgt wird. Die Diagnoseprotokollierung meldet den Paketstatus und stellt Informationen zur Datenverkehrverarbeitung und zur Regelzuordnung zur Verfügung. Die Diagnoseprotokollierung kann über die Registerkarte Diagnoseprotokollierung des Knoten Problembehandlung in der ISA Server 2006-Verwaltungskonsole konfiguriert werden. Wenn die Diagnoseprotokollierung aktiviert ist, werden Ereignisse für den Firewallrichtlinien-Zugriff und für Authentifizierungsprobleme automatisch protokolliert.
Bevor man sich die gesammelten Ergebnisse der Diagnoseprotokollierung anzeigen lassen kann, muss die Diagnoseprotokollierung deaktiviert werden.
Nachdem Daten gesammelt worden sind, können ISA-Administratoren die Ergebnisse filtern oder alle Ergebnisse anzeigen lassen.
Verbesserungen vorhandener Funktionen in ISA Server 2006 SP1
Microsoft hat viele Funktionen von ISA Server 2006 in ISA Server 2006 SP1 verbessert. Die nachfolgenden Informationen stammen größtenteils aus dem Support Whitepaper, welches de, ISA Server 2006 Download beiliegt.
Multicastunterstützung für integrierten NLB-Modus
ISA Server 2004 / 2006 ohne Hotfix unterstützten den integrierten NLB-Modus
nur im Unicastmodus. Multicast war nur ohne integrierten NLB-Modus verfügbar. Im
nicht integrierten Modus war jedoch bidirektionale Affinitaet (Bi-Directional
Affinity, BDA) nicht verfügbar und offiziell nicht unterstützt. Microsoft hat
zwar vor einiger Zeit einen Hotfix für den Multicast Betrieb veröffentlicht,
dieser war jedoch sehr umständlich zu implementieren.
Im Unicastmodus reserviert ISA Server 2006 eine einzelne virtuelle IP-Adresse
Array-Knoten im NLB-Cluster. Der NLB-Treiber weist allen Computern eine neue
Unicast-MAC-Adresse zu, die mit der virtuellen IP-Adresse verwendet wird. Wenn
Datenverkehr am Interface aufläuft, kann der Switch nicht zwischen Ports
unterscheiden. Da alle Computer im Cluster die gleiche virtuelle Adresse
gemeinsam verwenden, wird Datenverkehr daher an alle Ports im Switch gesendet.
Dies führt zu einer Switchüberflutung (sogenanntes Switch Flooding). Im
Multicastmodus hingegen reserviert NLB eine Multicast-MAC-Adresse für alle
Computer im NLB-Cluster. Multicast in Kombination mit IGMP (Internet Group
Management Protocol) verhindert, dass alle Ports überflutet werden.
Domaenenuebergreifende KCD-Authentifizierung (Kerberos Constrained Delegation)
Anmeldeinformationen von Benutzern in einer anderen Domäne als ISA Server 2006, die sich jedoch in der gleichen Active Directory Gesamtstruktur befinden, können nun an eine intern veröffentlichte Website delegiert werden, wenn Kerberos Constrained Delegation verwendet wird.
Sekundäre Clientzertifikatüberpruefung ohne Zuordnung zu Active Directory
Clientzertifikate, welche als Authentifizierungsverfahren für die formularbasierte Authentifizierung (Forms-based Authentication, FBA) in ISA Server 2006 verwendet werden, müssen nicht anhand von Active Directory-Benutzerkonten überprüft werden. Bisher war in diesem Szenario die Domänenmitgliedschaft für ISA Server zwingend erforderlich. Der Administrator musste in diesem Fall sicherstellen, dass jedes Clientzertifikat einem Benutzerkonto in Active Directory zugeordnet ist. Wenn FBA mit Active Directory als primäre Authentifizierungsmethode konfiguriert war, war diese Authentifizierung für ISA Server nur in der Domäne verfügbar. Mit der neuen Option kann ISA Server in der Arbeitsgruppe Clientzertifikate akzeptieren, die von einer beliebigen Zertifizierungsstelle ausgestellt wurden, für die ein Zertifikat im vertrauenswürdigen Stammzertifizierungsstellen-Speicher vorhanden ist.
Hinweis:
Das ISA Server Support Team weist an dieser Stelle extra noch mal auf eine mögliche Richtigstellung hin, weil diese Funktion scheinbar von einigen ISA-Administratoren falsch interpretiert wurde:
"Die Änderung bei der Zertifikat basierten Authentifizierung ist nur für Client-Zertifikate als sekundäre Authentifizierungsmethode in Verbindung mit der FBA-Authentifizierung gedacht. Wenn Sie Client-Zertifikate als primäre Authentifizierungsmethode verwenden, muss ISA Server 2006 weiterhin Mitglied der Domäne sein!
Unterstützung für die Verwendung von Serverzertifikaten mit mehreren
SAN-Einträgen (Subject Alternative Name, alternativer Antragstellername)
Zertifikate mit mehreren SAN-Einträgen werden nun unterstützt.
SAN-Zertifikate werden sehr häufig in Exchange Server 2007-Implementierungen
verwendet. Bis ISA Server 2006 SP1 konnte ISA Server 2006 nur den
Antragstellernamen (allgemeiner Name = Common Name) eines Serverzertifikats oder
den ersten Eintrag in der SAN-Liste verwenden.
RSA SecurID unterstützt öffentlichen Timeout
Für RSA SecurID-Authentifizierung wurde eine neue Form eingeführt, die dem Benutzer die Option zur Verfügung stellt, einen öffentlichen oder privaten Sitzungstimeout auszuwählen. In früheren Versionen bestand für die SecurID-Authentifizierung nur die Option eines öffentlichen Sitzungstimeouts.
Verbesserte Cookieverarbeitung beim Lastenausgleich von Webveröffentlichungen
ISA Server speichert im Cookie nun die Domäne des Servers, mit dem der Benutzer verbunden ist. Selbst wenn zwei separate Regeln für die gleiche Serverfarm vorhanden sind, wird der Benutzer nicht an einen anderen Server innerhalb der Farm umgeleitet. Eine Behebung dieses Problems war zuvor in einem privaten Hotfix enthalten.
Filtern von RPC-Datenverkehr nach UUID
Sie können nun RPC-Datenverkehr (Remote Procedure Call, Remoteprozeduraufruf)
basierend auf der UUID (Universally Unique Identifier) für eine Zugriffsregel
filtern. In früheren Versionen war eine Zugriffsregel auf RPC-Datenverkehr nicht
durch eine UUID eingeschränkt.
Das RPC-gefilterte Protokoll kann der Protokollliste hinzugefügt werden, indem
Sie Neues RPC-Protokoll in der Option Protokolle in der Toolbox auswählen. Nun
können Sie die UUIDs für die Einschränkung von Clients hinzufügen. Eine Behebung
dieses Problems war zuvor in einem privaten Hotfix enthalten.
Verbesserungen der Alarmfunktion
Die Verbesserungen der Alarmfunktion umfassen Folgendes.
- Neuer Alarm für Protokollierungsfehler
- Eine neuer Alarm zur Zeitüberschreitung des Schreibvorgangs (Long Write Time Excessive) zeigt an einen Fehler der ISA Server-Protokollierung an. Wenn der Protokollierungsvorgang länger als 15 Sekunden dauert, wird dieser Alarm standardmäßig generiert.
- Neuer Alarm für die Überschreitung des Schwellenwerts des virtuellen Speichers des Microsoft-Firewalldiensts
Neuer Leistungsindikator
Es wurde ein neuer Leistungsindikator hinzugefügt, um die Kilobytes pro
Sekunde für HTTP/HTTPS-Anforderungen und -Antworten zu messen. Dieses Feature
dient als Indikator, mit dem Administratoren ermitteln koennen, wie die Leistung
für einen Prozess für HTTP- und HTTPS-Anforderungen und -Antworten verbessert
werden kann. Der Leistungsindikator filtert Rauschen aus, beispielsweise einen
Remote- oder schwachen Webserver, der zu langsam reagiert, und außerordentlich
große Antworten wie etwas große Dateien oder RPC-über-HTTP.
Stand:
Friday, 28. August 2009/MG. -
http://www.it-training-grote.de
