ISA Server 2006 EE vs. Weblistener…

Vor ein paar Tagen habe ich einen kleinen Erfahrungsbericht zu einem aktuellen Kundenprojekt in die deutschsprachige ISA-NG gestellt. Diesen poste ich als ersten fachlichen Beitrag noch einmal hier:

Für besagten Kunden haben wir ein ISA2006 Enterprise-Array bestehend aus zwei Knoten eingerichtet. Haupteinsatzzweck ist momentan Reverse-Proxying zwecks sicherem Zugriff auf OWA und EAS.

Nachdem wir das NLB aktiviert hatten fingen die ersten Probleme an: das Array und die Swichte wollten nicht miteinander atmen. Die Firmware auf den Switchen konnte mit dem NLB nicht umgehen. Einen der installierten ISAs haben wir daraufhin auf Eis gelegt und den anderen via modifizierter masksourcemac mit den Switchen zum sprechen gebracht (http://support.microsoft.com/kb/193602).
Nach passenden strategischen Vorbereitungen wurden die zwei redundant ausgelegten Core-Switche auf eine aktuelle (NLB-fähige) Firmware gepatcht. Kein Vorgang, der mal eben so schnell erledigt werden konnte. Wir reden hier von einer recht sensiblen Infrastruktur, in der man sich so gut wie keinerlei Ausfälle leisten kann. Ergo mussten alle Backbone-Admins zum Core-Switch-patchen antanzen, da der gesammte Backbone an den guten Teilen hängt.
Lange Rede kurzer Sinn: Switche gepatcht, VLAN aufgespannt – NLB-Funktionalität auf den Switchen für das VLAN eingeschaltet – ISAs ins VLAN reingehängt – masksourcemac rausgenommen – beide ISA-Knoten hochgefahren um das Array zu vervollständigen.

Erste Tests ergaben, das die eingehende Last (wie gesagt hauptsächlich reverse-proxy für OWA und EAS) nur auf einem der ISA-Knoten hängt (nämlich auf dem, der eh die letzten Wochen/Monate lief). Der neue (aus dem dornröschenschlaf erweckte) ISA hatte nur ein paar ausgehende Connects zu verzeichnen (aus der Admin-Abteilung selber), eingehende aber gar keine. Um dies zu forcieren und die Redundanz zu testen haben wir auf dem “alten” ISA den Firewalldienst beendet. Jetzt wurde es spannend: es klappten keinerlei Zugriffe mehr aufs OWA/EAS. Wir bekamen von Extern noch via telnet einen “offenen Port” auf dem Zielsocket angezeigt (IP:443), aber sobald wir mit dem Browser aufs OWA zugreifen wollten kam es zu einer absolut nichtssagenden Fehlermeldung, gleiches Verhalten via EAS, sprich pushmail.

Wir versuchten das Problem einzugrenzen und haben einige Tests vorgenommen, bei denen wir folgendes festgestellt haben: ausgehende Zugriffe (WPC) klappten einwandfrei! Flux einen neuen Http-Listener gebaut und unverschlüsselt sowie unauthentifizert auf eine interne Http-Präsenz zugegriffen: einwandfrei! Die Webveröffentlichungsregel modifiziert (extern http – intern https): einwandfrei! Sobald ich allerdings in den Webveröffentlichungsregeln den fürs OWA/EAS angelegten Https-Listener verwendet habe fuhr uns die Karre an die Wand, sprich: Fehlermeldung. Nebenbei sei erwähnt, das die Authentifizierungsmethoden und -delegierungen korrekt eingestellt waren. Auch die Switchte auf der internen und externen Seite konnten wir ausschließen, da die Connects schon bis zum ISA durchgereicht wurden.

Dann klingelte es bei mir irgendwo im Hinterstübchen. Keine Ahnung ob ich darüber mal in einer der einschlägigen ISA-Ngs was gelesen habe, oder bei Dr.Tom. Ich hatte durch die Tests bestätigt bekommen, das eigentlich alles funzt, nur die Https-Connects zu diesem einen jetzt neu in Betrieb genommenen ISA scheiterten. Zertifikatsfehler oä Signifikantes waren aber nirgendswo irgendswo ersichtlich (ja, die Zertifikate sitzen im richtigen Zertifikatsspeicher). Unnötig zu erwähnen, das sämtliche Logs clean waren.

Ich habe daraufhin den Weblistener geöffnet und unter der Registerkarte “Zertifikate” über die Schaltfläche “Zertifikate auswählen” das passende OWA-Zertifikat nochmals ausgewählt und dieses nochmal übernommen (obwohl dies ja schon passend konfiguriert war). Tata, die Zugriffe funktionierten direkt einwandfrei auf allen Array-Members. Unfassbar. Vor dem Aktualisieren des NLB sind auf beiden ISA-Hosts die Zertifikate importiert worden. In stiller Abwesenheit von einem ISA-Knoten (aufgrund der oben genannten Switch-Problematik) haben wir einen Weblistener auf der per NLB eingerichteten VIP gebaut. Als dann nach dem Switchupdate der zweite Host reanimiert wurde hat er diese Konfiguration (warum auch immer) nicht einwandfrei übernommen oder umgesetzt. Erst wo beide Knoten online waren und ich dann das Zertifikat nochmals zugeordnet habe klappt das Ganze.

Vielleicht sagen jetzt einige von euch: ja klar, ist doch logisch, liegt da und daran. Mir wars ehrlich neu und hat uns auch einige Zeit und Energie gekostet (für einen an und für sich lapidaren Konfigurationsschritt).

Jens Mander…

|<-|

ohoh…

… Hallo Allerseits,

Marc war so wahnsinnig, mich als weiteren Autor für dieses Blog einzutragen. Sein Vertrauen mißbrauchend werde ich jetzt hier ebenfalls spammen.

😉

Spaß beiseite, wer wissen will um wen es sich hier handelt, Infos zu mir findet ihr hier: www.hentrup.net.

Karsten Hentrup… aka Jens Mander…

|<-|

ISA Server 2006 Surfmaster Beta 1

Hallo Leutz,

der Name ist Programm. Nachdem der beliebte Surfblocker (http://www.gslahr.og.bw.schule.de/ml/tools.html) nicht mehr weiterentwickelt wird und viele Schulen und Bildungseinrichtungen sich wieder eine derartige Loesung wuenschen, haben Christmann Informationstechnik (www.christmann.info) und ich uns der Problematik angenommen.

Meine ersten Versuche nutzten das Script von Jason Fossen (www.isascripts.org), (einem ISA Server MVP), um per VB-Script einzelne Firewallregeln zu aktivieren und zu deaktivieren. Das funktionierte im Ansatz schon ganz gut, aber meinen bescheidenen Programmier-/Script-Kenntnissen, waren da schnell Grenzen gesetzt, so dass ich mich mit Wolfgang Christmann darauf einigte, eine Loesung von den genialen Programmierern bei Christmann erstellen zu lassen. In den letzten zwei Tagen hat Gunnar (einer der Programmierer) also Hand angelegt und anhand einer von mir zur Verfuegung gestellten VM mit ISA eine funktionsfaehige Version gebaut.

Erste Informationen zu dem “Programm” findet Ihr hier:
http://www.it-training-grote.de/download/surfmaster.pdf
Vorgefuehrt wird die erste Version auf der TEO-Village Veranstaltung – der Hausmesse von Christmann Informationstechnik (http://www.teo-village.de).
Hier nochmal der ausdrueckliche Hinweis: Es handelt es sich um eine Beta Version, das Design muss noch erstellt werden und einige Tests muessen wir auch noch durchfuehren. Es geht in dem ersten Blogeintrag lediglich darum, darauf hinzuweisen, dass bald eine neue Loesung zur Verfuegung stehen wird. Ob der Entwicklungsname “Surfmaster” bleibt und ob das “Programm” kostenlos oder gegen einen kleinen Kostenbeitrag zur Verfuegung gestellt wird, ist noch nicht klar. Ich halte Euch auf dem laufenden.

Gruss Marc

TEO-Village vom 21.11.2008 – 22.11.2008

Hallo Leutz,

die Firma Christmann Informationstechnik (www.christmann.info) veranstaltet am Freitag den 21. und Samstag den 22. November in der Ilseder Huette 10c in Ilsede die jaehrliche Hausmesse TEO-Village. Es werden verschiedene energiesparende TEO-Produkte und Business-Loesungen vorgestellt. Begonnen wird am Freitag um 13 Uhr. Anders als beim letztjaehrigen TEO-Village können die TEO-Produkte dieses mal auch Samstags von 10 – 16 Uhr in Augenschein genommen werden.

Durch meine enge Zusammenarbeit als Technologieberater bei der Fa. Christmann, durfte ich schon in Projekten einige TEO-Server in Betrieb nehmen und mich auch auf der Client Seite von Modellen wie TEO-X und TEO Mini ueberzeugen lassen. TEO ist die Abkuerzung fuer Thin Economic Office – einem Konzept fuer besonders energiesparende Rechner. Weitere Informationen findet Ihr auf der Webseite http://www.teo-systems.de/

Teo-Village Flyer:
http://www.it-training-grote.de/download/teo-village-flyer.pdf
TEO-Village Einladung:
http://www.it-training-grote.de/download/einladung-teo-village-2008.pdf

Gruss Marc

Slipstreaming ISA 2006 mit SP1

Hallo Leutz,

ich dachte immer, ISA 2006 kann man nicht mit SP1 slipstreamen (komisches Wort), aber es geht doch:

1. Kopieren der ISA 2006 CD nach  C:\ISA Server 2006 Standard
2. Kopieren des ISA Server 2006 SP1 nach C:\ISA Server 2006 Standard\FPC
3. ISA SP1 hinzufuegen: C:\ISA Server 2006 Standard\FPC>Msiexec /a MS_FPC_Server.msi /p ISA2006-KB943462-X86-ENU.msp
4. Den Anweisungen des SP1 Wizard folgen
5. Autorun aus dem Ordner C:\ISA Server 2006 Standard ausfuehren

Source: http://blogs.technet.com/yuridiogenes/

Gruss Marc

URL-Filter von Firewalls umgehen

Hallo Leutz,

die Welt ist ja soooo booeeesse musste ich heute wieder erfahren.
Anlass war ein Newsgroup Posting in der deutschen ISA NG, wo der OP fragte, wie man absolut zuverlaessig Webseiten sperren kann.
Unsere Antwort: Absolut zuverlaessige Sperrung gibt es nicht, Blacklisten, so dynamisch sie auch sind, koennen nie sicherstellen, dass alles unbefugte geblockt wird. Bleiben also Whitelisten, halte ich aber fuer zu aufwaendig und ausserdem sollten alle arbeitenden Menschen, mit anderen Mitteln angehalten werden, nicht privat zu surfen oder unschoene Seiten aufzurufen. So etwas ist mit Dienstvereinbarungen, dem offiziellen Verbot der privaten Internet Nutzung usw. moeglich (niemand sperrt heutzutage ja auch die Telefone und Faxgeraete, sowei Kopierer fuer eine private Nutzung, Sondertelefonnummer mal abgesehen).

Aber gut, es geht aber darum, dass man trotz URL Filterung ne Ménge Schindluder treiben kann, wie mir Karsten Hentrup alias Jens Mander heute per PM mitteilte.

So spontan hat er zwei Ideen:
1) Mit translate.google ist das moeglich
Man laesst sich 2x google sich selber übersetzen und dann laesst dann die Wunschsite übersetzen. Das surfen ist recht unkomfortabel, da jede URL uebersetzt werden muss
2) http://de.wikipedia.org/wiki/Picidae_(Website)
http://www.picidae.net/
URLs werden als Grafiken gespeichert und ueber einen Proxy zur Verfuegung gestellt. Das Prinzip steht und faellt mit der Anzahl der Proxy Server im Internet, da man sonst die Proxies alle blocken koennte.
Habe ich natuerlich beides gleich mal ausprobiert und es funzt 🙁

Sobald Karsten wieder etwas stressfreier ist, wird er auch ein kleines Paper dazu schreiben, welches wir hier auf der Seite publishen.

Nur gut, dass ich solche Probleme nicht habe, ich oeffne immer nur “saubere” Webseiten und beim Kunden mache ich alles mit meiner UMTS-Karte 🙂

Gruss Marc

“Das Ding” im “Das Ei” in Hannover

Hallo Leutz,

da ich gestern und heute in Hannver zu tun habe, bin ich gestern Abend mit Frank Solinske im “Das Ei” in Hannover gewesen und wir haben einen kleinen Fleischteller gegessen 🙂

Was war denn so drauf?
1 Riesenschnitzel
1 grosses Steak?
1 Putenschnitzel
3 Nuernbeger Bratwuerstchen
3 Cevapcici
Ca. 400 Gramm Bratkartoffeln
Salatbeilage, diverse Sossen

Absolut lecker

Gruss Marc

ISA Server 2006 Enterprise – Unicast to Multicast

Hallo Leutz,

ISA Server 2006 NLB kann ja standardmaessig nur Unicast und mit einem Update vor SP1, bzw. mit SP1 auch Multicast NLB.
Ich habe dazu hier berichtet:
http://www.it-training-grote.de/blog/?p=167
Etwas OT: Teaming und NLB
http://www.it-training-grote.de/blog/?p=169
Gestern traf mich ein Hilferuf aus dem BFW Bad Pyrmont ein, das nach umfangreichen Netzwerkaenderungen (neues Netzwerk hinzugefuegt), die 4 ISA Enterprise Knoten im Cluster Probleme mit der Performance bereiten.
Saemtlicher Netzwerktraffic verdoppelt sich und die Performance leidet – ein Zeichen fuer NLB Probleme mit Unicast. Der Netzwerkguru hatte im Vorfeld schon den ganzen Traffic analysiert und MRTG installiert, so dass schon eine Vorab Diagnose vorlag!
Nach einigen Stunden Fernwartung, E-Mails lesen und Telefonaten, kamen wir zur Entscheidung, einen Vor-Ort Termin fuer Samstag zu vereinbaren und das Problem zu analysieren und ggfs. alle ISA Server auf Multicast umzustellen – was wir dann schlussendlich auch getan haben. Was dabei zu beachten ist, steht hier: http://www.it-training-grote.de/download/nlb-unicast-to-multicast.pdf

Viel Spass

Gruss Marc Grote