Многие администраторы ISA Server долгое время ожидали выхода ISA Server 2006 Service Pack 1. К моменту написания этой статьи ISA Server 2006 Service Pack 1 все еще не доступен в версии RTM, а лишь в бета версии.
ISA Server 2006 Service Pack 1 имеет много усовершенствований в ISA Server 2006 и больше новых функций, чем все остальные пакеты обновления. Количество новых функций настолько велико, что лично я предпочитаю называть ISA Server 2006 Service Pack 1 ‘ ISA Server 2006 R2.
Обилие новых и улучшенных функций, возможно, является причиной столь длительной задержки выпуска следующей версии ISA Server 2006, которая теперь называется Microsoft Forefront TMG (Шлюз управления угрозами — Threat Management Gateway).
Все изменения конфигурации ISA Server можно сохранить для последующего просмотра. Это обеспечит администраторов более полной информацией о том, что было изменено, а в случае наличия нескольких администраторов можно будет посмотреть, кто произвел эти изменения. Функция отслеживания изменений конфигурации может также использоваться в качестве перечня сервера, содержащего информацию о том, что изменилось в конфигурации ISA.
Как большинство из администраторов ISA Server знает, настройка безопасного правила публикации веб сервера с HTTPS на HTTPS или HTTP моста может быть сложной, так как необходимо учитывать многие факторы: вам необходимо выбирать правильные сертификаты, разрешение имен очень важно, и т.д. Поскольку в ISA Server 2006 Service Pack 1 новая кнопка тестирования правила веб публикации была интегрирована в ISA Server 2006 Service Pack 1, она поможет вам тестировать созданные вами правила публикации веб сервера. Затем ISA Server будет проверять, доступен ли внутренний сервер (Internal Server) со стороны ISA Server и за брандмауэром.
Новая функция симулятора трафика в ISA Server 2006 – это отличная возможность для симуляции сетевого трафика через ISA Server 2006. Симулятор трафика будет отправлять имитируемый трафик через службу правил ISA Server, в то время как реальный трафик будет проходить через ISA. Новый симулятор трафика можно сравнить с функцией групповой политики Active Directory, называемой результаты групповой политики и результирующие наборы политик (RSOP – Resultant Sets of Policies). Это новая функция очень полезна для нас, администраторов ISA Server, так как она позволяет нам быстро проверять, работают ли наборы правил, как предполагалось.
Запрос журналов диагностики не является новой функцией в ISA Server 2006, поскольку она уже была представлена на ISA Server 2004 Service Pack 3, но эта функция будет улучшена в ISA Server 2006 Service Pack 1. Запрос логов диагностики является функцией, предназначенной для конкретных проблем, связанных с правилами брандмауэра ISA Server Firewall, поэтому ее нужно включать только в целях диагностирования, а после решения проблемы, запись журналов диагностики нужно отключать, поскольку она потребляет системные ресурсы. Функция запроса логов диагностики в ISA Server 2006 Service Pack 1 упрощает процесс просмотра только тех данных, которые связаны с текущим процессом диагностики.
Кластеры ISA Server 2006 NLB используют одноадресную передачу (Unicast) по умолчанию, и этого нельзя было изменить, пока компания Microsoft не выпустила обновление для ISA Server 2006 NLB. Использование одноадресной рассылки NLB могло мешать использованию двунаправленной родственности (BDA). В режиме одноадресной передачи всем узлам ISA в массиве ISA Server назначен единый виртуальный IP адрес. Драйвер NLB назначает новый адрес unicast MAC всем компьютерам, которые используются Virtual IP (VIP). Когда трафик доходит до ISA Server, коммутатор направляет весь трафик на все порты. Такое поведение может вызвать переполнение коммутатора. Многоадресная передача не использует такой метод и имеет некоторые другие преимущества перед одноадресной передачей, но также не лишена потенциальных недостатков. В режиме многоадресной передачи, NLB присваивает multicast MAC адрес всем компьютерам в кластере. Многоадресная передача совместно с протоколом управления группами (Internet Group Management Protocol – IGMP) не позволяет переполнять порты. Усовершенствования поддержки многоадресной передачи описаны в статье базы знаний Microsoft KB, An update enables multicast operations for ISA Server integrated NLB. Применение этих усовершенствований было сложным. В ISA Server 2006 Service Pack 1 эта функция была интегрирована.
Долгожданная функция для всех администраторов Exchange Server, которая заключается в необходимости публиковать такие службы Exchange, как Outlook Web Access (OWA) и Outlook Anywhere, должна использовать цифровые сертификаты, чтобы обезопасить сетевой трафик. Exchange Server 2007 поддерживает использование SAN (Subject Alternate Names) сертификатов, созданных центром сертификации Windows Server 2003 CA (SAN поддержку нужно включить через Certutil.exe). Сертификат SAN может содержать более одного имени сервера на одном сертификате, поэтому вы можете публиковать различные службы Exchange, используя только один сертификат. Проблема ISA Server 2006 заключается в том, что ISA Server 2006 не поддерживает сертификаты SAN. ISA Server 2006 всегда использует первое имя, найденное на сертификате, и игнорирует остальные. Благодаря ISA Server 2006 Service Pack 1 вы можете использовать сертификаты SAN ‘ отлично!
Теперь мандаты пользователей, расположенных на доверенном домене, можно делегировать на внутренне опубликованный веб сайт при использовании KCD
Для RSA SecurID аутентификации была создана новая форма, которая дает пользователю возможность выбирать между публичным и частным таймаутом сессии.
ISA Server 2006 Service Pack 1 теперь сохраняет доменное имя сервера, к которому подключен пользователь. ISA Server сохраняет домен в виде объекта cookie с тем, чтобы пользователь не был перенаправлен на другой сервер в группе веб серверов.
В ISA Server 2006 без пакета обновления можно было публиковать службы RPC на основе Universally Unique Identifier (UUID), но не в правиле доступа. Теперь протокол RPC можно добавить в список протоколов путем выбора Новый RPC протокол в опции Протоколы в Панели инструментов ISA Servers, чтобы можно было создавать правила исходящего доступа с фильтруемым RPC трафиком.
ISA Server 2006 включает некоторые новые усовершенствования системы уведомлений.
Новый указатель уведомлений
Когда генерируется новый тип уведомления об ошибке, верхняя часть панели подробностей теперь выделяется красным цветом. Это очень удобная черта для того, чтобы проверять, какие уведомления являются новыми в ISA Server, поэтому больше нет необходимости просматривать информацию о времени генерации уведомления.
Новое уведомление об ошибке протоколирования
Если ISA Server не смог протоколировать трафик в MSDE или локальный текстовый файл, то ISA Server входит в режим ограниченной функциональности (Lockdown), чтобы защитить брандмауэр. Новый указатель оповещения запускается, когда процесс протоколирования занимает более пятнадцати секунд. Это поможет администраторам ISA обнаруживать проблемы протоколирования еще до того, как ISA Server войдет в режим ограниченной функциональности.
Новый счетчик производительности Windows был добавлен, чтобы измерять килобайты в секунду для HTTP/HTTPS запросов/ответов. Эта функция служит в качестве указателя, чтобы помочь администраторам определить, как улучшить производительность процесса HTTP/HTTPS запросов/ответов.
Каждый раз когда вы меняете конфигурацию ISA Server 2006, открывается диалоговое окно, после того как вы нажимаете Применить, чтобы сохранить ISA Server политику. Это диалоговое окно позволяет вам отслеживать изменения.
Рисунок 1: Описание изменений конфигурации
Вы можете просмотреть все изменения во вкладке ISA Server Monitoring под названием Change Tracking.
Рисунок 2: Журнал регистрации изменений
Функцию отслеживания можно включать и выключать в консоли ISA. Найдите объект ISA Server и выберите свойства. Можно также ограничивать количество записей.
Рисунок 3: Включение/отключение отслеживания изменений
В каждом правиле публикации вы увидите новую кнопку под названием Test. Эта новая функция используется для проверки функциональности правила публикации.
Рисунок 4: Кнопка тестирования
Если вы нажмете на кнопку тестирования, откроется новое окно, и вы увидите, что сервер ISA пытается связаться с сервером и путями, которые вы настроили в правиле публикации.
Рисунок 5: Результаты проверки правила веб публикации
Новый симулятор трафика в ISA Server 2006 Service Pack 1 позволяет вам симулировать трафик, который проходит через ISA Server. Симулятор трафика доступен для всех сценариев публикации и правил на ISA Server 2006.
Рисунок 6: Симулятор трафика
После того, как вы ввели необходимую для проверки информацию, нажмите кнопку запуска и увидите результаты. В этом примере, запрос разрешен через правило брандмауэра, но имя невозможно разрешить.
Рисунок 7: Тестирование URL
Фильтр запросов журнала диагностики теперь интегрирован в консоль ISA Server, и информацию теперь проще найти.
Рисунок 8: Усовершенствованный журнал диагностики
Протоколирование диагностики отслеживает все компоненты политики ISA Server. Эта функция улучшает обычный просмотр логов в ISA Server 2006 путем отслеживания потока специфических пакетов через службу правил ISA. Она представляет отчет о прогрессе пакетов, а также информацию о работе с трафиком и соответствии правил.
В этой статье я рассказал о некоторых усовершенствованиях в ISA Server 2006 Service Pack 1. ISA Server 2006 SP1 содержит много новых и улучшенных функций, но вам нужно время, чтобы дождаться следующего главного обновления с ISA Server 2006 на Microsoft Forefront TMG (Threat Management Gateway).
www.isaserver.org
Tags: Exchange, ISA Server, mac, monitoring, nat, traffic