Hallo Leutz,
schon laenger verfuegbar, habe ich das Tool heute das erste Mal verwendet – Den ISA Server 2006 Capacity Planner:
http://www.microsoft.com/isaserver/capacityplanner.swf
Gar nicht schlecht. Liefert IMHO keine ueberraschenden Ergebnisse, aber man(n) ist auf der sicheren Seite.
Gruss Marc
Hallo Leutz,
ich moechte auf ein Spezialtreffen der besonderen Art der NTUG (NT User Group) hinweisen:
Am 06.02.2009 trifft sich die NTUG bei unserem Mitglied Wolfgang Christmann – Christmann Informationstechnik (www.christmann.info) in der Ilseder Hütte 10c in 31241 Ilsede in der Zeit von 10-15:00 Uhr.
Die Agenda:
10:00 – 11:00 Uhr – Windows 7 Demo – Daniel Melanchthon
11:00 – 11:15 Uhr – Networking
11:15 – 12:00 Uhr – Automatisierte Exchange/SBS/Blackberry Installation – Gunnar Billung-Meyer und Bjoern Kalkbrenner
12:00 – 13:00 Uhr – Mittagsimbiss und Networking
13:00 – 14:00 Uhr – Was ist neu in Windows Vista SP2 – Daniel Melanchthon
14:00 – 14.15 Uhr – Networking
14.15 – 15:00 Uhr – ISA Server 2006 Appliance und das Surfmaster Tool – Marc Grote
15:00 – Open End – Auf Wunsch kann dann eine Fuehrung durch die Raeumlichkeiten der Christmann Informationstechnik durchgefuehrt werden und die selbst entwickelten Produkte vorgestellt werden.
ich wuerde mich ueber zahlreiche Teilnehmer freuen, auch neue Interessenten fuer die NTUG sind herzlich eingeladen. Weitere Informationen zur NTUG findet Ihr hier: http://www.it-training-grote.de/ntug.php
Anmeldungen nehme ich ab sofort per e-mail entgegen.
Gruss Marc
Hallo Leutz,
das KB Update http://support.microsoft.com/kb/956570/en-us scheint wohl auf einigen ISA Systemen fuer Funktionsprobleme im RRAS/VPN/PPTP zu sorgen.
Konkret auessern sich die Probleme nach dem Einspielen des Updates darin, dass keine PPTP Client und S2S Verbindungen mehr aufgebaut werden koennen. In der RRAS Konsole tauchen keine PPTP VPN-Ports mehr auf, obwohl diese in der RRAS Konfig und in der ISA VPN Konfiguration eingetragen sind.
ich hatte das Problem neulich auch bei einem Kunden und ISA Server 2006 Enterprise. ISA VPN deaktivieren und erneut aktivieren, sowie RRAS disable/enable fuehrten zu keiner Loesung. Die Deinstallation des Hotfix half auch nicht.
Weitere Admins, welche von Problemen berichten…
Newsgroups:
microsoft.public.de.german.isaserver – 19.11.2008 – Toni – RRAS Probleme
microsoft.public.isa.vpn – 04.12.2008 – Thomas Bittner – PPTP Client und S2S Probleme
Also obacht beim Einspielen des Hotfixes. Ich bin in meiner spaerlichen Zeit dabei herauszubekommen, ob sich das Problem auf eine bestimmte Konfiguration eingrenzen laesst. Wer also auch Probleme hat, schreibt mir bitte eine Antwort in den Blog, ich versuche dass dann zu analysieren und ggfs. eskalieren zu lassen.
Update 09.12.2008: Nach einigen Feedbacks und Kontakt mit Jim Harrison von Microsoft, welcher derzeit noch keinen zuordenbaren Fehler zu dem KB sieht, hatte Thomas K.H. Bittner den Hinweis gegeben, dass man das mit dem KB Artikel gelieferte Script ausfuehren kann um den Patch zu deinstallieren.
Update: 10.12.2008: Es gibt einen Hinweis von MS: http://blogs.technet.com/isablog/archive/2008/12/09/exception-list-script-for-isa-server-and-forefront-tmg-udp-updates.aspx
Gruss Marc
Hallo Leutz,
ich berichte Live von der Hausmesse der Christmann Informationstechnik – TEO Village, wo neben vielen Innovationen der Firma heute eine erste Version der ISA Server Appliance TEO-SECURE-L vorgestellt wurde, sowie die erste Version des Surfmaster.
Hier einige Bilder der Veranstaltung:
Gruss Marc
Hallo Leutz,
Redline Software hat vor einiger Zeit ein Toolkit mit einer Reihe von interessanten Tools fuer ISA Server herausgebracht.
Infos zu Redline findet Ihr hier: http://www.redline-software.com/ger/
Infos zum Toolkit:
http://www.redline-software.com/ger/products/tk/
Inhalt des Toolkit:
Config Viewer
Keywords Finder
MDF Viewer
Pascal Script Studio
Config Backup
Response Modifier
Client Host Name Resolver
Client User Name Resolver
URL Normalizer
Advanced Web Routing Rules
SSL Decoder
Headers Modifier
Kurzer Review von mir:
http://www.it-training-grote.de/download/ISA-Toolkit.pdf
Gruss Marc
…Hallo Allerseits,
Marc erwähnte vor ein paar Tagen eine kleinen Diskussion von uns beiden zum Thema URL-Filter umgehen (http://www.it-training-grote.de/blog/?p=263). Wie angedroht möchte ich hier auf eine kleine Doku verlinken, die ich zu dem Thema erstellt habe: www.aixperts.de/dox/url-filter-umgehen.pdf
Gruss, Karsten…
|<-|
Vor ein paar Tagen habe ich einen kleinen Erfahrungsbericht zu einem aktuellen Kundenprojekt in die deutschsprachige ISA-NG gestellt. Diesen poste ich als ersten fachlichen Beitrag noch einmal hier:
Für besagten Kunden haben wir ein ISA2006 Enterprise-Array bestehend aus zwei Knoten eingerichtet. Haupteinsatzzweck ist momentan Reverse-Proxying zwecks sicherem Zugriff auf OWA und EAS.
Nachdem wir das NLB aktiviert hatten fingen die ersten Probleme an: das Array und die Swichte wollten nicht miteinander atmen. Die Firmware auf den Switchen konnte mit dem NLB nicht umgehen. Einen der installierten ISAs haben wir daraufhin auf Eis gelegt und den anderen via modifizierter masksourcemac mit den Switchen zum sprechen gebracht (http://support.microsoft.com/kb/193602).
Nach passenden strategischen Vorbereitungen wurden die zwei redundant ausgelegten Core-Switche auf eine aktuelle (NLB-fähige) Firmware gepatcht. Kein Vorgang, der mal eben so schnell erledigt werden konnte. Wir reden hier von einer recht sensiblen Infrastruktur, in der man sich so gut wie keinerlei Ausfälle leisten kann. Ergo mussten alle Backbone-Admins zum Core-Switch-patchen antanzen, da der gesammte Backbone an den guten Teilen hängt.
Lange Rede kurzer Sinn: Switche gepatcht, VLAN aufgespannt – NLB-Funktionalität auf den Switchen für das VLAN eingeschaltet – ISAs ins VLAN reingehängt – masksourcemac rausgenommen – beide ISA-Knoten hochgefahren um das Array zu vervollständigen.
Erste Tests ergaben, das die eingehende Last (wie gesagt hauptsächlich reverse-proxy für OWA und EAS) nur auf einem der ISA-Knoten hängt (nämlich auf dem, der eh die letzten Wochen/Monate lief). Der neue (aus dem dornröschenschlaf erweckte) ISA hatte nur ein paar ausgehende Connects zu verzeichnen (aus der Admin-Abteilung selber), eingehende aber gar keine. Um dies zu forcieren und die Redundanz zu testen haben wir auf dem “alten” ISA den Firewalldienst beendet. Jetzt wurde es spannend: es klappten keinerlei Zugriffe mehr aufs OWA/EAS. Wir bekamen von Extern noch via telnet einen “offenen Port” auf dem Zielsocket angezeigt (IP:443), aber sobald wir mit dem Browser aufs OWA zugreifen wollten kam es zu einer absolut nichtssagenden Fehlermeldung, gleiches Verhalten via EAS, sprich pushmail.
Wir versuchten das Problem einzugrenzen und haben einige Tests vorgenommen, bei denen wir folgendes festgestellt haben: ausgehende Zugriffe (WPC) klappten einwandfrei! Flux einen neuen Http-Listener gebaut und unverschlüsselt sowie unauthentifizert auf eine interne Http-Präsenz zugegriffen: einwandfrei! Die Webveröffentlichungsregel modifiziert (extern http – intern https): einwandfrei! Sobald ich allerdings in den Webveröffentlichungsregeln den fürs OWA/EAS angelegten Https-Listener verwendet habe fuhr uns die Karre an die Wand, sprich: Fehlermeldung. Nebenbei sei erwähnt, das die Authentifizierungsmethoden und -delegierungen korrekt eingestellt waren. Auch die Switchte auf der internen und externen Seite konnten wir ausschließen, da die Connects schon bis zum ISA durchgereicht wurden.
Dann klingelte es bei mir irgendwo im Hinterstübchen. Keine Ahnung ob ich darüber mal in einer der einschlägigen ISA-Ngs was gelesen habe, oder bei Dr.Tom. Ich hatte durch die Tests bestätigt bekommen, das eigentlich alles funzt, nur die Https-Connects zu diesem einen jetzt neu in Betrieb genommenen ISA scheiterten. Zertifikatsfehler oä Signifikantes waren aber nirgendswo irgendswo ersichtlich (ja, die Zertifikate sitzen im richtigen Zertifikatsspeicher). Unnötig zu erwähnen, das sämtliche Logs clean waren.
Ich habe daraufhin den Weblistener geöffnet und unter der Registerkarte “Zertifikate” über die Schaltfläche “Zertifikate auswählen” das passende OWA-Zertifikat nochmals ausgewählt und dieses nochmal übernommen (obwohl dies ja schon passend konfiguriert war). Tata, die Zugriffe funktionierten direkt einwandfrei auf allen Array-Members. Unfassbar. Vor dem Aktualisieren des NLB sind auf beiden ISA-Hosts die Zertifikate importiert worden. In stiller Abwesenheit von einem ISA-Knoten (aufgrund der oben genannten Switch-Problematik) haben wir einen Weblistener auf der per NLB eingerichteten VIP gebaut. Als dann nach dem Switchupdate der zweite Host reanimiert wurde hat er diese Konfiguration (warum auch immer) nicht einwandfrei übernommen oder umgesetzt. Erst wo beide Knoten online waren und ich dann das Zertifikat nochmals zugeordnet habe klappt das Ganze.
Vielleicht sagen jetzt einige von euch: ja klar, ist doch logisch, liegt da und daran. Mir wars ehrlich neu und hat uns auch einige Zeit und Energie gekostet (für einen an und für sich lapidaren Konfigurationsschritt).
Jens Mander…
|<-|
Hallo Leutz,
der Name ist Programm. Nachdem der beliebte Surfblocker (http://www.gslahr.og.bw.schule.de/ml/tools.html) nicht mehr weiterentwickelt wird und viele Schulen und Bildungseinrichtungen sich wieder eine derartige Loesung wuenschen, haben Christmann Informationstechnik (www.christmann.info) und ich uns der Problematik angenommen.
Meine ersten Versuche nutzten das Script von Jason Fossen (www.isascripts.org), (einem ISA Server MVP), um per VB-Script einzelne Firewallregeln zu aktivieren und zu deaktivieren. Das funktionierte im Ansatz schon ganz gut, aber meinen bescheidenen Programmier-/Script-Kenntnissen, waren da schnell Grenzen gesetzt, so dass ich mich mit Wolfgang Christmann darauf einigte, eine Loesung von den genialen Programmierern bei Christmann erstellen zu lassen. In den letzten zwei Tagen hat Gunnar (einer der Programmierer) also Hand angelegt und anhand einer von mir zur Verfuegung gestellten VM mit ISA eine funktionsfaehige Version gebaut.
Erste Informationen zu dem “Programm” findet Ihr hier:
http://www.it-training-grote.de/download/surfmaster.pdf
Vorgefuehrt wird die erste Version auf der TEO-Village Veranstaltung – der Hausmesse von Christmann Informationstechnik (http://www.teo-village.de).
Hier nochmal der ausdrueckliche Hinweis: Es handelt es sich um eine Beta Version, das Design muss noch erstellt werden und einige Tests muessen wir auch noch durchfuehren. Es geht in dem ersten Blogeintrag lediglich darum, darauf hinzuweisen, dass bald eine neue Loesung zur Verfuegung stehen wird. Ob der Entwicklungsname “Surfmaster” bleibt und ob das “Programm” kostenlos oder gegen einen kleinen Kostenbeitrag zur Verfuegung gestellt wird, ist noch nicht klar. Ich halte Euch auf dem laufenden.
Gruss Marc
Hallo Leutz,
ich dachte immer, ISA 2006 kann man nicht mit SP1 slipstreamen (komisches Wort), aber es geht doch:
1. Kopieren der ISA 2006 CD nach C:\ISA Server 2006 Standard
2. Kopieren des ISA Server 2006 SP1 nach C:\ISA Server 2006 Standard\FPC
3. ISA SP1 hinzufuegen: C:\ISA Server 2006 Standard\FPC>Msiexec /a MS_FPC_Server.msi /p ISA2006-KB943462-X86-ENU.msp
4. Den Anweisungen des SP1 Wizard folgen
5. Autorun aus dem Ordner C:\ISA Server 2006 Standard ausfuehren
Source: http://blogs.technet.com/yuridiogenes/
Gruss Marc
Hallo Leutz,
die Welt ist ja soooo booeeesse musste ich heute wieder erfahren.
Anlass war ein Newsgroup Posting in der deutschen ISA NG, wo der OP fragte, wie man absolut zuverlaessig Webseiten sperren kann.
Unsere Antwort: Absolut zuverlaessige Sperrung gibt es nicht, Blacklisten, so dynamisch sie auch sind, koennen nie sicherstellen, dass alles unbefugte geblockt wird. Bleiben also Whitelisten, halte ich aber fuer zu aufwaendig und ausserdem sollten alle arbeitenden Menschen, mit anderen Mitteln angehalten werden, nicht privat zu surfen oder unschoene Seiten aufzurufen. So etwas ist mit Dienstvereinbarungen, dem offiziellen Verbot der privaten Internet Nutzung usw. moeglich (niemand sperrt heutzutage ja auch die Telefone und Faxgeraete, sowei Kopierer fuer eine private Nutzung, Sondertelefonnummer mal abgesehen).
Aber gut, es geht aber darum, dass man trotz URL Filterung ne Ménge Schindluder treiben kann, wie mir Karsten Hentrup alias Jens Mander heute per PM mitteilte.
So spontan hat er zwei Ideen:
1) Mit translate.google ist das moeglich
Man laesst sich 2x google sich selber übersetzen und dann laesst dann die Wunschsite übersetzen. Das surfen ist recht unkomfortabel, da jede URL uebersetzt werden muss
2) http://de.wikipedia.org/wiki/Picidae_(Website)
http://www.picidae.net/
URLs werden als Grafiken gespeichert und ueber einen Proxy zur Verfuegung gestellt. Das Prinzip steht und faellt mit der Anzahl der Proxy Server im Internet, da man sonst die Proxies alle blocken koennte.
Habe ich natuerlich beides gleich mal ausprobiert und es funzt 🙁
Sobald Karsten wieder etwas stressfreier ist, wird er auch ein kleines Paper dazu schreiben, welches wir hier auf der Seite publishen.
Nur gut, dass ich solche Probleme nicht habe, ich oeffne immer nur “saubere” Webseiten und beim Kunden mache ich alles mit meiner UMTS-Karte 🙂
Gruss Marc
