smu
Goto Top

ISA Server 2006 - Konfigurationsproblem

Es scheint er hat ein Eigenleben

Wir haben uns aus verschiedenen Beweggründen dazu entschieden einen
ISA-Server 2006 aufzusetzen.

Der ISA-Server 2006 wurde auf einem deutschen, aktuell gespatchten, Windows Server 2003 aufgesetzt.
Die Installation verlief reibungslos.

Das Problem ergibt sich mit dem Anlegen von Firewallrichtinien.

Ich verstehe die Grundlogik so, dass der ISA-Server grundsätzlich erst einmal alles blockt und die einzelnen Richtlinien, sei es vom Wizard oder manuell erzeugt, diese grundsätzlichen Richtlinien entsprechend partiell relativieren.

Jedoch kommen Ereignisse vor die einen nachdenklich stimmen.

Ich gebe einen Port frei und das fällt im Dialog ja nicht schwer zu sagen
verweigern oder zulassen (in diesem Fall zulassen) und aktiviere diese Regel.
Nennen wir die Regel "Regel-A".

Dann lasse ich die Protokollierung mitschneiden und erlebe die Aussage
"Verbindung verweigert" "Firewallrichtlinie Regel-A"

und das lässt sich verschiedentlich wiederholen.

Beindruckend ist auch das die Wizard -generierte Regel "Mailserver freigeben" auch nicht
zufriedenstellend funktioniert.

Nun wie auch immer - ich habe das Ding inzwischen wieder neu aufgesetzt
es ist aber wieder die gleiche Schei....

Nun vermute ich das entweder das Produkt einfach schlecht ist oder
es mir am Intellekt fehlt die Funktionsweise zu erkennen.

Ich wäre dankbar für etwas Feedback um entscheiden zu können
sich weiterhin auf dieses Produkt einzulassen oder nicht.

SMU

Content-ID: 51220

Url: https://administrator.de/contentid/51220

Ausgedruckt am: 05.11.2024 um 13:11 Uhr

catachan
catachan 09.02.2007 um 10:39:51 Uhr
Goto Top
ohne dir jetzt nahetreten zu wollen, aber der isa server 2006 ist eigentlich ein produkt das gut funktioniert. ich denke du hast einfach noch nicht genug erfahrung mit firewalls. um das ding bedienen zu können muss man firewall grundlagen können und sich auch mit tcpip halbwegs auskennen.

eines ist beim isa server jedoch zu beachten: die firewallregeln brauchen teilweise etwas bis sie aktiv werden.

solltest du jedoch mehr zu deiner config posten kann ich dir helfen den fehler zu finden.
SMU
SMU 09.02.2007 um 11:15:14 Uhr
Goto Top
.. Du trittst mir nicht zu nahe.
Wer von sich behauptet das er keine Fehler macht der lügt.

Also folgende Situation.

Hardwarefirewall Sonicwall Pro2040
Backbone 2 MBit symetrisch

6 active VPN Channels

lokales Netzwerk mit 4 Segmenten

9 Server im lokalen Netzwerk, davon 2 Exchange 1x FrontEnd, 1x BackEnd.
Lokal alle Server auf Basis Windows Server 2003
4 Server im VPN Netzwerk davon 2x mit Windows 2000 Server

Das Netzwerk ist ok und die Sonicwall fängt erst mal recht gut ab.
Über den ISA Server sind die Exchange Server veröffentlicht.

Die VPN-Steuerung läuft komplett über die SonicWall.

Der ISA Server läuft auch als Proxy und die Clients bekommen die Proxykonfiguration per Gruppenrichtlinie.

Alle Server und Clients arbeiten in einer Domain.

Ohne ISA-Server funktionierte das Ganze bislang schmerzfrei.

Wenn der ISA Server es dann irgendwann einmal gestattet das ein Port durchgelassen wird dann geht das ja auch.

Nun ich denke das man bei dem Zulassen oder Verweigern von Ports kaum etwas falsch machen kann. Es ist auch nicht der Punkt an dem ich Datenpakete zähle.

Mein Problem leigt einfach nur darin das ich offensichtlich nicht erkenne was mehr priorisiert wird. Die Systemrichtlinie oder die eigenen Firewallrichtlinien.

Von Hardwarefirewalls kenne ich es so, daß die Systemrichtlinie bis auf ein paar Grundlagen erst einmal alles verweigert und man dann Port für Port , je nach Anforderung, freigibt.

Was meinst Du mit "die Regeln brauchen etwas Zeit" ?
Von wieviel Zeit sprechen wir hier ?
catachan
catachan 09.02.2007 um 11:18:26 Uhr
Goto Top
das mit der letzten firewallregel (default rule) ist beim isa genauso.
die systemrichtlinien kannst über ein symbol in der firewallkonfiguration einblenden.

wenn du ne enterprise edition installiert hast, dann gibt es auch ncoh die unternehmenregeln. die kannst du ebenfalls einblenden.

wenn du alles eingeblendet hast, wird dir auch sehr schnell klar wie die priorisierung funktioniert. er geht die liste von oben nach unten durch => systemrichtlinien kommen zuerst und dann deine
SMU
SMU 09.02.2007 um 12:54:36 Uhr
Goto Top
Nun ich weiß wie ich etwas ein oder ausblende und wie man das ISA-Server-Ding bedient.

Das woran ich scheitere, daß sind an sich die Dinge wie Portfreischaltung, weil das Teil dann einfach mal nicht das macht was man vereinbart hat.

Es kommt einem vor wie ein schlechter Witz.

Die globale Aussage von einem Systemhaus das ISA-Server 2006 gut läuft und das es keine Probleme gibt. Nun ja - irgendwie kann ich es nicht glauben.

Denn schon schon rein statistisch ist es kaum möglich das man eine Situation zu 100 % verbockt.

...und ganz ahnungslos bin ich ja nun auch nicht
Ruffy1984
Ruffy1984 05.04.2011 um 11:54:32 Uhr
Goto Top
Hallo,

ich administriere auch einen ISA 2006 und habe bis jetzt keine Probleme damit gehabt...

Wenn man eine neue Firewallrichtlinie erstellt und dadurch die wpad.dat ändert ist es sinnvoll den Internet Explorer neuzustarten.

WIe betreibst du denn den ISA Server, läuft er bei dir im single Nic oder hast du 2 Netzwerkkarten , eine für intern und eine für extern(internet).
Ruffy1984
Ruffy1984 05.04.2011 um 11:58:34 Uhr
Goto Top
Mein Problem leigt einfach nur darin das ich offensichtlich nicht erkenne was mehr priorisiert wird. Die Systemrichtlinie oder die
eigenen Firewallrichtlinien.


Wenn du eine Firewallrichtlinie erstellst zb... von intern --> Domänennamenssatz(*.Bild.de)...für Protokolle( HTTP,HTTPS) da wird natürlich die FIrewallrichtlinie priorisiert nach den Systemrichtlinien.
Du Hast bei den FIrewallrichtlinien auch Reihenfolgen, der ISA arbeitet die von oben nach unten ab...