mercoledì, novembre 08, 2006

ISA 2006/2004 Connectivity Tasks (1a Parte)

Prendendo spunto da un mio recente post sul newsgroup italiano di ISA Server ho deciso di sviluppare, in una forma un pò più completa ed organica, il funzionamento dei Connectivity Verifier di ISA Server 2004/2006. 

Questa funzionalità permette all'amministratore di ISA Server di tenere sotto controllo, nella sezione  Connectivity Verifier del Dashboard, server web - interni o esterni -, servizi TCP - interno o esterni come Active Directory, DNS, DHCP - ed apparati TCP/IP - es. Router, Switch ecc. -. 

 
Il processo di creazione e configurazione di un Connectivity Verifier è molto semplice e veloce. L'intero processo di creazione è gestito dal Connectivity Verifier Wizard, avviabile, una volta selezionata la sezione Connectivity Verifiers, utilizzando il link Create New Connectivity Verifier nei Task.

 

Le principali informazioni che è necessario fornire sono:

  1. Host di destinazione.
  2. Metodo di test.
  3. Gruppo di appartenenza



Host di destinazione (Monitor Connectivity to this...)
E' identificato dalla URL - es. http://www.isaserver.it o www.isaserver.it - oppure dal nome NetBIOS - es. DC01 - o dall'indirizzo IP - es. 192.168.2.10, 80.10.10.0.1 -.
Possiamo inserire host interni - protetti da ISA Server -  o esterni -non protetti da ISA -. 
 
Metodo di test (Verification Method)
E' possibile scegliere fra tre metodi di test:

  1. HTTP GET
  2. PING
  3. TCP Connection

HTTP GET
Utilizza il protocollo HTTP per interrogare l'host di destinazione. La porta di destinazione è quella di default. Il metodo GET è utilizzato per repurerare la pagina di default. Il traffico generato da questo connetivity verifier è riconoscibile dal fatto che l'header HTTP contiene, nella sezione User-Agent, la seguente stringa:

Mozilla/4.0 (ISA Server Connectivity Check)


Network Traffic HTTP Connectivity Verifier 

PING
Utilizza il protocollo ICMP per testare la raggiungibilità dell'host. Il funzionamento è lo stesso del comando ping a linea di comando:

C:\>ping host_di_destinazione 

Se l'host di destinazione non è raggiungibile e/o non risponde - es. firewall che bloccano il traffico ICMP o crash dell'host - il connectivity verifier va in Timeout.

TCP Connection
Il metodo TCP Connection prevede la sola creazione della connessione TCP (3-way handshake) e la sua immediata chiusura.

 
Utilizzando la definizione dei protocolli presenti in ISA Server - anche quelli User defined - è possibile verificare, sull'host di destinazione se la porta utilizzata dal protocollo è aperta.
Se per qualche motivo - es. crash del servizio, blocco da parte di firewall - la porta non è contattabile il connectivity verifier va in Timeout.

Gruppo di Appartenenza (Group Type)
Possiamo decidere di inserire il nostro connectivity verifier in uno dei sei gruppi predefiniti:

  1. Active Directory
  2. DHCP
  3. DNS
  4. Others
  5. Published Servers
  6. Web (Internet)

Di default i connectivity verifier entrano a far parte del group type di tipo Web (Internet).

IMPORTANTE:

L'appartenenza ad un gruppo condiziona, in caso di Time out del singolo connectivity verifier, lo stato dell'intero gruppo.

Quindi è preferibile organizzare coerentemente i connectivity verifier creati. Al group type di tipo Web (Internet) apparterranno i connectivity verifier che tengono sotto controllo i servizi Web, nel group type Active Directory i connectivity verifier che tengono sotto controllo il servizio di directory - i domain controller - ecc.

Una volta creato il Connectivity verifier questo entra subito in funzione effettuando sull'host definito il test selezionato. Se l'esito del test è positivo, verrà visualizzato un segno di spunta bianco su sfondo verde; in caso contrario una croce bianca su sfondo rosso.

In quest'ultimo caso sarà generato un Alert - impostazione di default - registrato nella sezione Alters di ISA Server. L'amministratore di ISA visualizzerà, nella sezione Connectivity Verifiers del Dashboard, lo status di NO CONNECTION alla destra del group type a cui appartiene lo specifico connectivity verifier. In tutti gli altri casi avrò uno status GOOD - test passati - oppure NOT CONFIGURED - nessun connectivity verifier appartiene al gruppo -.

 

Buon Lavoro con ISAServer.it