Category Archives: Forefront

ISA Server 2006 Enterprise – Unicast to Multicast

Posted on by

Hallo Leutz,

ISA Server 2006 NLB kann ja standardmaessig nur Unicast und mit einem Update vor SP1, bzw. mit SP1 auch Multicast NLB.
Ich habe dazu hier berichtet:
http://www.it-training-grote.de/blog/?p=167
Etwas OT: Teaming und NLB
http://www.it-training-grote.de/blog/?p=169
Gestern traf mich ein Hilferuf aus dem BFW Bad Pyrmont ein, das nach umfangreichen Netzwerkaenderungen (neues Netzwerk hinzugefuegt), die 4 ISA Enterprise Knoten im Cluster Probleme mit der Performance bereiten.
Saemtlicher Netzwerktraffic verdoppelt sich und die Performance leidet – ein Zeichen fuer NLB Probleme mit Unicast. Der Netzwerkguru hatte im Vorfeld schon den ganzen Traffic analysiert und MRTG installiert, so dass schon eine Vorab Diagnose vorlag!
Nach einigen Stunden Fernwartung, E-Mails lesen und Telefonaten, kamen wir zur Entscheidung, einen Vor-Ort Termin fuer Samstag zu vereinbaren und das Problem zu analysieren und ggfs. alle ISA Server auf Multicast umzustellen – was wir dann schlussendlich auch getan haben. Was dabei zu beachten ist, steht hier: http://www.it-training-grote.de/download/nlb-unicast-to-multicast.pdf

Viel Spass

Gruss Marc Grote

Microsoft Forefront TMG – Firewall Lockdown Modus

Posted on by

Hallo Leutz,

der Firewall Lockdown Modus in MS Forefront TMG wurde etwas entschaerft.
Was ist der Firewall Lockdown Modus:
http://support.microsoft.com/kb/838711/en-us
Und wie kann man den ausschalten?:
http://technet.microsoft.com/en-us/library/cc302466.aspx

Wie laeuft das in TMG? TMG Logdaten werden dann in eine binaere Datei (eine Queue) geschrieben, welche sich LLQ (Large Logging Queue) nennt, wenn der SQL Server nicht erreichbar ist oder nur sehr langsam reagiert. Wenn der SQL Server wieder Online ist, werden die LLQ-Daten in die Datenbank geschrieben
http://technet.microsoft.com/en-us/library/dd183731.aspx
Konfigurierbar sind die LLQ-Settings ueber die Registry, einige Funktionen kann man in der TMG MMC konfigurieren.
Damit duerften sich die Auswirkungen des Lockdown Modus etwas entschaerfen und das Feature noch besser genutzt werden.

Gruss Marc

ISA Server 2006 SP1 publishing the W2K8 FTP service

Posted on by

Hallo Leutz,

Wegen eines Newsgroup Postings in der englischen ISA Server Newsgroup, dass sich Windows Server 2008 FTP Server nicht mehr ueber ISA Server veroeffentlichen lassen, weil sich bei Windows Server 2008 und Windows Vista die Dynamic Port Range beim FTP geaendert hat (http://support.microsoft.com/kb/929851/en-us), habe ich das ganze mal nachgestellt und daraus eine Kurzanleitung gebaut.

Das Ergebnis vorweg: Windows Server 2008 FTP laesst sich auch ueber ISA 2006 veroeffentlichen. Der FTP-Filter kommt auch mit den Aenderungen klar, aber ich konnte endlich auch mal produktiv mit dem neuen FTP-Server in Windows 2008 spielen und den in Windows 2008 integrierten FTP-Server deinstallieren

http://www.it-training-grote.de/download/ftp-w2k8-isa2006.pdf

Gruss Marc

Static NAT / 1:1 NAT mit ISA Server 2006

Posted on by

Hallo Leutz,

nein, kein Scherz: Es geht wirklich, wenn auch ISA Server es selbst nicht kann, aber Collectivesoftware hat mal wieder zugeschlagen und ein kleines, aber feines Tool mit dem Namen IPBinder fuer die bekannte NAT-Problematik bei ISA Server 200x herausgebracht:

http://www.collectivesoftware.com/Products/IPbinder

Ich werde das Produkt in den naechsten Tagen testen und einen Report erstellen. Die Doku laesst bereits viel erhoffen.

Gruss Marc

ISA Server 2006 – Enabling Multicast NLB

Posted on by

Hallo ISA Freunde,

wie jedem ISA Admin und Consultant bekannt sein sollte, ist das ISA 2004 / 2006 Enterprise NLB immer Unicast und nicht jeder/jede Komponente mag Unicast. Scheinbar auch nicht VMWare wie die diversen Postings in den deutschen und englischen Newsgroups berichten. Mit Virtual Server kein Problem, aber nicht jeder nutzt Virtual Server!

Seit einigen Wochen gibt es ein Update, welches ISA Server 2006 Enterprise auch Multicast NLB beibringt, die Implementierung ist jedoch sehr aufwaendig.

Mit SP1 hat sich das verbessert und der notwendige Hotfix ist im Service Pack enthalten, aber wie geht es weiter?

Der KB-Artikel vor SP1 beschreibt folgende Vorgehensweise:
http://support.microsoft.com/kb/938550/en-us

Alles in allem sehr aufwaendig. Mit SP1 soll das ganze jetzt einfacher geworden sein…
Mal schauen. Bei einem Kunden hatte ich heute einen ISA 2006 EE Workshop in VMWare-Umgebungen und als wir das NLB aktivierten (im Unicast Modus) gab es besagte Probleme. Also ran an die Umschaltung auf Multicast NLB, aber wie bei SP1? Die Vorgehensweise vor SP1 ist ja klar.
Google ist mein Freund. Also folgendes gefunden:
Tom Shinder: http://blogs.isaserver.org/shinder/2008/07/15/isa-scripting-without-scripting-isa/
ISA Team: https://blogs.technet.com/isablog/archive/2008/07/13/isa-scripting-without-scripting-isa.aspx

Die Vorgehensweise lt. KB-Artikel:
http://support.microsoft.com/kb/938550/en-us

NLB deaktivieren (bei unserem Versuch musste NLB aktiviert sein, da sonst die Fehlermeldung kommt, dass NLB nicht im integrierten Modus laeuft)

Ausfuehren von NLBCLEAR.EXE – Bestandteil von RemoveAllNLBSetting.cmd, welches kostenlos bei Microsoft herunterladbar ist und auf jedem Array Member ausgefuehrt werden muss (unsere Erfahrung zeigt, dass man auch die VIP manuell vom System entfernen kann, ohne NLBCLEAR auszufuehren)

Ausfuehren des Skript aus KB938550 oder SP1 von ISA installieren.

Das Skript aus KB938550 ausfuehren auf dem primaeren CSS (Ermitteln des primaeren CSS (Schema Master, da Schema Erweiterung notwendig ist)) mit Hilfe des Skripts von Jim Harrison (siehe weiter oben – ISA Team Blog) 

ISA NLB erneut aktivieren

ISA Dienste auf allen Array Membern neu starten oder Rechner booten (meine Vorgehensweise)

Danach konnten wir prima mit NLB in unserem Cluster unter VMWare arbeiten.

BTW: Andre Partecke schreibt uebrigens in der deutschen ISA Newsgroup, dass er auch auf Hyper-V Multicast NLB aktivieren musste, um ISA 2006 EE NLB Cluster zum Laufen zu bringen.

Gruss Marc

ISA Server 2006 – OA, OWA FBA RADIUS OTP, EAS mit einer IP

Posted on by

Hallo ISA Freunde, aeh Forefront Freunde,

bei ISA Server 2004 wurden immer zwei Listener mit zwei IPs und zwei Zertifikaten fuer die Veroeffentlichung von FBA und Basic Auth benoetigt, es sein denn, man verfolgte folgenden genialen Ansatz:

“ISA Server 2004: Supporting Both Basic and Forms-based Authentication with a Single External IP Address and Web Listener (v1.1)” http://www.isaserver.org/tutorials/2004pubowamobile.html

Der Artikel macht sich das Konzept zu nutze, einen Listener auf einen weiteren LOCALHOST Listener weiter zu leiten.

Mit ISA Server 2006 ist das nicht mehr zwingend notwendig, wenn FBA und Basic Auth ueber einen Listener verwendet werden soll, da ISA Server 2006 ein Fallback von FBA auf Basic Auth macht. Leider funktioniert das nicht bei OA (Outlook Anywhere) und NTLM.

Bei einem Kunden kam heute die Anforderung, einen ISA mit einem Bein in der DMZ fuer OA, OWA RADIUS OTP und EAS zu veroeffentlichen.

Wir haben einige Zeit gebastelt und es dann schliesslich hinbekommen mit drei Exchange Web Client Veroeffentlichungen und nur einem Listener und einer Public IP und einem Public Cert, sowohl OA (Outlook Anywhere) zu veroeffentlichen, EAS (Exchange Active Sync) und OWA mit RADIUS OTP und Kerberos Constrained Delegation fuer Aladdin Smartcards.

Dem Prinzip zu Grunde gelegt ist zu 90% der Artikel von Tom und Kai fuer ISA 2004.

Wer das ganze also auch mal implementieren muss, denkt an den ISA 2004 Artikel oder fragt mich. Im Rahmen meiner beruflichen Taetigkeit bin ich gerne bereit zu helfen. Einen Artikel fuer www.msisafaq.de zu erstellen, werde ich leider aus Zeitgruenden nicht in den naechsten Monaten realisieren koennen.

Gruss Marc

ISA Server 2006 SP1 ist verfuegbar

Posted on by

Hallo ISA Freunde,

ISA Server 2006 SP1 ist verfuegbar.

Download:

http://www.microsoft.com/downloads/details.aspx?FamilyID=d2feca6d-81d7-430a-9b2d-b070a5f6ae50&DisplayLang=en

Neuerungen:

http://www.isaserver.org/tutorials/ISA-Server-2006-Service-Pack1-New-features-enhancements.html

http://www.it-training-grote.de/blog/?p=121

http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx

Gruss Marc

ISA Server 2006 – Review Software Captivate

Posted on by

Hallo ISA Freunde,

Collective Software hat mal wieder ein Tool veroeffentlicht, mit dessen Hilfe ISA Administratoren einen zusaetzlichen Authentifizierungsprozess oder Legal Disclaimer in ausgehenden Datenverkehr einbauen koennen. Zusaetzlich ist es mit der Software moeglich, Benutzer auf eine Standard Webseite zu lenken, auch wenn man keine zentrale Startseite per GPO vergeben kann. Benutzer in einem WLAN-Segment koennen auch per MAC-Adresse gelogged werden.

Ich habe mal eine kleine Anleitung zur Installation und Bedienung des Tools erstellt:
http://www.it-training-grote.de/download/Captivate.pdf

Gruss Marc

ISA Server 2006 SP1 Features

Posted on by

Hallo ISA Freunde,

im Sommer 2008 ist es soweit und das lang ersehnte ISA Server 2006 SP1 wird verfuegbar sein.

Im ISA Team Blog gab es heute einen neuen Eintrag mit den Funktionen von ISA Server 2006 SP1. Zu den neuen / erweiterten Funktionen gehoeren:

Neue Funktionen:
Change Tracking
Traffic Simulator
Filtering the diagnostic log
Configuring diagnostic logging
Diagnostic Logging Query

Erweiterte Funktionen
Multicast support for integrated NLB
New performance counter
Alert Improvements
Filtering RPC Access rule traffic by UUID
Improve Web Publishing Load Balancing (WPLB) cookie handling
RSA SecurID supports public timeout
Support for use of server certificates containing multiple Subject Alternative Name (SAN) entries
Client certificate validation without mapping to Active Directory
KCD authentication for cross domain user accounts

Detaillierte Informationen:
http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx

Gruss Marc