Neuerungen in ISA Server 2006 SP1


Die Informationen in diesem Artikel beziehen sich auf:


ISA Server 2006 ist bereits seit geraumer Zeit verfügbar, allerdings gab es bis zum heutigen Tag kein Service Pack für ISA Server, lediglich eine Reihe von Hotfixen standen zur Verfügung. Seit einigen Monaten gibt es eine private Beta von ISA Server 2006, welche jetzt durch die finale Version ersetzt wurde.

Seit dem 02.07.2008 ist das Service Pack 1 (SP1) von ISA Server 2006 verfügbar. Sie koennen das Service Pack auf der folgenden Webseite downloaden.

ISA Server 2006 SP1 hat neben einer Reihe von Problembehebungen und Erweiterungen, eine Reihe von Neuerungen, welche in diesem Artikel beschrieben werden. Die Erweiterungen von ISA Server 2006 SP1 werden am Ende des Artikels ohne tiefere Betrachtung erlaeutert.

ISA Server 2006 SP1 liefert eine Reihe von Neuerungen um, so die Vermutung des Autors, die zeit bis zur naechsten ISA Server Version - Microsoft Forefront Threat Management Gateway (TMG) zu ueberbruecken.

Nach erfolgter Installation des SP1 finden sich eine Reihe von Erweiterungen im System.

Aenderungsnachverfolgung

Zu einer der wichtigsten Aenderungen gehoert nach Meinung des Autors die Aenderungsnachverfolgung, mit welcher jede Konfigurationsaenderung am ISA Server protokolliert werden kann und Administratoren so A) eine Uebersicht ueber die Aenderungen am System haben und B) um zu sehen, welcher Administrator Aenderungen am System vorgenommen hat, damit man eine Revision betreiben kann.

Die Aenderungsnachverfolgung findet man in der Ueberwachung der ISA Server 2006-Verwaltungskonsole.

im ersten Schritt muss die Aenderungsnachverfolgung konfiguriert werden.

Aktivierung der Aenderungsnachverfolgung. Angabe der Beschraenkung auf eine maximale Anzahl von Eintraegen.

Bei jeder Aenderung wird jetzt nach einer Beschreibung zur Konfigurationsaenderung gefragt. Einstellungen koennen auch für weitere Dokumentationszwecke exportiert werden.

Ebenfalls in den Ueberwachungsfunktionen kann jetzt nach Eintraegen in der Aenderungsnachverfolgung gesucht werden und sich ein Ueberblick ueber die durchgefuehrten Aenderungen am System verschafft werden.

Web Publishing Test

zu den ebenfalls sehr sinnhaften Erweiterungen von ISA Server 2006 SP1 gehoert die neue Funktion der Moeglichkeit, eine Webserververoeffentlichungsregel auf korrekte Funktion zu testen, bevor diese in den Produktivbetrieb geht.

Der Test Button funktioniert für folgende Regeln:

Sie finden den Test-Button in jeder Webveroeffentlichungsregel auf der Registerkarte Allgemein.

Klicken Sie auf Regel testen und ISA Server 2006 versucht anhand der Einstellungen in der Veroeffentlichungsregel eine Namensaufloesung zu den angegebenen Servern durchzufuehren.

Wenn eine Verbindung nicht hergestellt werden konnte, werden die Ergebnisse entsprechend angezeigt.

Etwas aergerlich, zumindest in meiner Test VM und meinem ISA 2006 als Appliance:
Wenn der Test waehrend der Pruefung abgebrochen werden soll, dauert es einige Sekunden bis zu knapp einer Minute, bis der Test wirklich beendet wird.

Die folgende Fehlermeldung weisst auf diesen Umstand hin.

Datenverkehrssimulator

Diese neue Funktion ermoeglicht "Was waere wenn Szenarien", indem ISA-Administratoren verschiedene Webzugriffe simulieren koennen. Die notwendigen Firewallzugriffe für die grundlegenden Protokolle. welche mit dem Datenverkehrssimulator geprueft werden sollen, muessen allerdings schon existieren.

Der Datenverkehrssimulator steht für folgende Simulationen zur Verfügung:

Sie finden den Datenverkehrssimulator in der ISA Server 2006-Verwaltungskonsole unterhalb des Knoten Konfiguration - Problembehandlung. Der Datenverkehr kann auch auf anderen ISA Servern simuliert werden, wenn auf dieses Systeme administrativer Zugriff besteht.

Zusaetzlich kann die Diagnoseprotokollierung, welche weiter unten in diesem Artikel erwaehnt wird, auf den simulierten Traffic angewendet werden um weitere Auswertungsmoeglichkeiten zu haben.

Es stehen eine Vielzahl von Simulations-Moeglichkeiten zur Verfügung. Wenn Sie alle Optionen konfiguriert haben, klicken Sie auf den Button Starten und die Simulation wird gestartet und das Ergebnis am unteren Rand des Fensters angezeigt.

Wichtig:

Der Datenverkehrssimulator ueberprueft Regeln nur dahingehend, was durch das Firewallmodul zugelassen oder verweigert wird. Ob Datenverkehr basierend auf Anwendungsfiltereinstellungen oder einem HTTP-Filter geblockt oder zugelassen wird, ist dem Datenverkehrssimulator nicht bekannt. Dies bedeutet, dass selbst bei zulaessigem simulierten Datenverkehr echter Datenverkehr durch einen Filter geblockt sein kann

Diagnoseprotokolllierung

Die Diagnoseprotokollierung protokolliert das Verhalten der Richtlinien in ISA Server 2006. Die Diagnoseprotokollierung protokolliert Informationen einzelner Protokolle, indem der Datenfluss eines bestimmten Pakets verfolgt wird. Die Diagnoseprotokollierung  meldet den Paketstatus und stellt Informationen zur Datenverkehrverarbeitung und zur Regelzuordnung zur Verfügung. Die Diagnoseprotokollierung kann über die Registerkarte Diagnoseprotokollierung des Knoten Problembehandlung in der ISA Server 2006-Verwaltungskonsole konfiguriert werden. Wenn die Diagnoseprotokollierung aktiviert ist, werden Ereignisse für den Firewallrichtlinien-Zugriff und für Authentifizierungsprobleme automatisch protokolliert.

Bevor man sich die gesammelten Ergebnisse der Diagnoseprotokollierung anzeigen lassen kann, muss die Diagnoseprotokollierung deaktiviert werden.

Nachdem Daten gesammelt worden sind, können ISA-Administratoren die Ergebnisse filtern oder alle Ergebnisse anzeigen lassen.

Verbesserungen vorhandener Funktionen in ISA Server 2006 SP1
 

Microsoft hat viele Funktionen von ISA Server 2006 in ISA Server 2006 SP1 verbessert. Die nachfolgenden Informationen stammen groessenteils aus dem Support Whitepaper, welches de, ISA Server 2006 Download beiliegt.

Multicastunterstuetzung fuer integrierten NLB-Modus

ISA Server 2004 / 2006 ohne Hotfix unterstützten den integrierten NLB-Modus nur im Unicastmodus. Multicast war nur ohne integrierten NLB-Modus verfügbar. Im nicht integrierten Modus war jedoch bidirektionale Affinitaet (Bi-Directional Affinity, BDA) nicht verfügbar und offiziell nicht supported. Microsoft hat zwar vor einiger Zeit einen Hotfix für den Multicast Betrieb veroeffentlicht, dieser war jedoch sehr umstaendlich zu implementieren.
Im Unicastmodus reserviert ISA Server 2006 eine einzelne virtuelle IP-Adresse Array-Knoten im NLB-Cluster. Der NLB-Treiber weist allen Computern eine neue Unicast-MAC-Adresse zu, die mit der virtuellen IP-Adresse verwendet wird. Wenn Datenverkehr am Interface auflaeuft, kann der Switch nicht zwischen Ports unterscheiden. Da alle Computer im Cluster die gleiche virtuelle Adresse gemeinsam verwenden, wird Datenverkehr daher an alle Ports im Switch gesendet. Dies fuehrt zu einer Switchueberflutung (sogenanntes Switch Flooding). Im Multicastmodus hingegen reserviert NLB eine Multicast-MAC-Adresse für alle Computer im NLB-Cluster. Multicast in Kombination mit IGMP (Internet Group Management Protocol) verhindert, dass alle Ports überflutet werden.

Domaenenuebergreifende KCD-Authentifizierung (Kerberos Constrained Delegation)

Anmeldeinformationen von Benutzern in einer anderen Domäne als ISA Server 2006, die sich jedoch in der gleichen Active Directory Gesamtstruktur befinden, koennen nun an eine intern veroeffentlichte Website delegiert werden, wenn Kerberos Constrained Delegation verwendet wird.

Sekundaere Clientzertifikatueberpruefung ohne Zuordnung zu Active Directory

Clientzertifikate, welche als Authentifizierungsverfahren für die formularbasierte Authentifizierung (Forms-based Authentication, FBA) in ISA Server 2006 verwendet werden, muessen nicht anhand von Active Directory-Benutzerkonten ueberprueft werden. Bisher war in diesem Szenario die Domaenenmitgliedschaft für ISA Server zwingend erforderlich. Der Administrator musste in diesem Fall sicherstellen, dass jedes Clientzertifikat einem Benutzerkonto in Active Directory zugeordnet ist. Wenn FBA mit Active Directory als primaere Authentifizierungsmethode konfiguriert war, war diese Authentifizierung für ISA Server nur in der Domaene verfügbar. Mit der neuen Option kann ISA Server in der Arbeitsgruppe Clientzertifikate akzeptieren, die von einer beliebigen Zertifizierungsstelle ausgestellt wurden, für die ein Zertifikat im vertrauenswuerdigen Stammzertifizierungsstellen-Speicher vorhanden ist.

Hinweis:

Das ISA Server Support Team weist an dieser Stelle extra noch mal auf eine moegliche Richtigstellung hin, weil diese Funktion scheinbar von einigen ISA-Administratoren falsch interpretiert wurde:

"Die Aenderung bei der Zertifikat basierten Authentifizierung ist nur für Client-Zertifikate als SEKUNDAERE Authentifizierungsmethode in Verbindung mit der FBA-Authentifizierung gedacht. Wenn Sie Client-Zertifikate als primaere Authentifizierungsmethode verwenden, muss ISA Server 2006 weiterhin Mitglied der Domaene sein!

Unterstützung für die Verwendung von Serverzertifikaten mit mehreren SAN-Einträgen (Subject Alternative Name, alternativer Antragstellername)

Zertifikate mit mehreren SAN-Einträgen werden nun unterstützt. SAN-Zertifikate werden sehr haeufig in Exchange Server 2007-Implementierungen verwendet. Bis ISA Server 2006 SP1 konnte ISA Server 2006 nur den Antragstellernamen (allgemeiner Name = Common Name) eines Serverzertifikats oder den ersten Eintrag in der SAN-Liste verwenden.

RSA SecurID unterstuetzt oeffentlichen Timeout

Für RSA SecurID-Authentifizierung wurde eine neue Form eingefuehrt, die dem Benutzer die Option zur Verfügung stellt, einen oeffentlichen oder privaten Sitzungstimeout auszuwaehlen. In frueheren Versionen bestand für die SecurID-Authentifizierung nur die Option eines oeffentlichen Sitzungstimeouts.

Verbesserte Cookieverarbeitung beim Lastenausgleich von Webveröffentlichungen

ISA Server speichert im Cookie nun die Domaene des Servers, mit dem der Benutzer verbunden ist. Selbst wenn zwei separate Regeln für die gleiche Serverfarm vorhanden sind, wird der Benutzer nicht an einen anderen Server innerhalb der Farm umgeleitet. Eine Behebung dieses Problems war zuvor in einem privaten Hotfix enthalten.

Filtern von RPC-Datenverkehr nach UUID

Sie können nun RPC-Datenverkehr (Remote Procedure Call, Remoteprozeduraufruf) basierend auf der UUID (Universally Unique Identifier) für eine Zugriffsregel filtern. In früheren Versionen war eine Zugriffsregel auf RPC-Datenverkehr nicht durch eine UUID eingeschränkt.
Das RPC-gefilterte Protokoll kann der Protokollliste hinzugefügt werden, indem Sie Neues RPC-Protokoll in der Option Protokolle in der Toolbox auswaehlen. Nun koennen Sie die UUIDs für die Einschraenkung von Clients hinzufügen. Eine Behebung dieses Problems war zuvor in einem privaten Hotfix enthalten.

Verbesserungen der Alarmfunktion

Die Verbesserungen der Alarmfunktion umfassen Folgendes.

Neuer Leistungsindikator

Es wurde ein neuer Leistungsindikator hinzugefuegt, um die Kilobytes pro Sekunde für HTTP/HTTPS-Anforderungen und -Antworten zu messen. Dieses Feature dient als Indikator, mit dem Administratoren ermitteln koennen, wie die Leistung für einen Prozess für HTTP- und HTTPS-Anforderungen und -Antworten verbessert werden kann. Der Leistungsindikator filtert Rauschen aus, beispielsweise einen Remote- oder schwachen Webserver, der zu langsam reagiert, und außerordentlich große Antworten wie etwas große Dateien oder RPC-ueber-HTTP.

Stand: Freitag, 04. Juli 2008/MG. - http://www.it-training-grote.de