EventID 14109 - The ISA Server Standard Edition cannot run

Sono stati segnalati problemi con ISA Server 2006 dopo l'applicazione della patch MS09-12 per Windows Server 2003 SP1/SP2. Il problema segnalato interessa solo la versione Standard in esecuzione su sistemi con un numero totale di core superiore a 4.

Dopo il riavvio del server ISA non riparte generanto un EventID 14109. Il problema è risolvibile modificando il boot.ini del server ed inserendo il parametro /numproc=4 , forzandolo così ad utilizzare solo 4 processori.

Di seguito il post completo di Jim Harrison sul blog del Team di sviluppo di ISA Server:

"...We've received several reports of ISA Server Standard Edition restart failures after installation of last week's security updates.

The error message observed in this circumstance is: "Event ID 14109 (The ISA Server Standard Edition cannot run. Either the server is using more than 4 processors....)."

Notes:
1. this specific problem only affects ISA Server Standard Edition and only when it's running on a computer that has a total of more than 4 CPU cores.
2. this issue does not affect Forefront TMG (MBE)

The problem occurs when you install the MS09-012 patch under very specific circumstances.  The Windows Sustained Engineering team is producing a detailed explanation of this behavior for the MS09-012 bulletin articles and will post that as soon as it's ready.

In the meantime, you can employ the following workaround to put your ISA Server back in service:

1. log on to the computer using a local administrator account
2. click the Start button, select Run
3. in the Run dialog, enter cmd and click OK
4. in the command window
    a. type attrib -a -s -r -h c:\boot.ini and hit Enter
    b. type notepad c:\boot.ini and hit Enter
5. at the end of the line under [operating systems], enter /numprocs=4
Note: if you have multiple boot entries, you should add this entry to the end of the line that is used to boot the default OS instance where ISA Server runs
6. save the boot.ini file
7. in the command window, type attrib +a +s +r +h c:\boot.ini and hit Enter
8. reboot your computer..."
fonte: ISA Team Blog

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti
MS09-12 - Vulnerabilities in Windows Could Allow Elevation of Privilege (959454)
KB959454 - MS09-012: Vulnerabilities in Windows could allow elevation of privilege
KB833721 - Opzioni dei parametri disponibili per i file Boot.ini di Windows XP e di Windows Server 2003
Download - Security Update for Windows Server 2003 (KB956572)
Donwload - Security Update for Windows Server 2003 (KB952004)

Aggiornamento e/o Migrazione da ISA Standard a ISA Enterprise

Non è possibile un Upgrade da ISA Server 2006 Standard a ISA Server 2006 Enterprise.
A corollario di questa affermazione: Non è possibile esportare la Configurazione (Backup) così come la sola Firewall Policy di ISA Server 2006 Standard ed importarla in ISA Server 2006 Enterprise.  

I principali percorsi possibili e supportati sono:

Upgrade da	ISA 2006 SE	ISA 2006 EE
ISA 2000 SE	No	No
ISA 2000 EE	No	No
ISA 2004 SE	Sì	No
ISA 2004 EE	No	Sì
ISA 2006 SE	-	No
ISA 2006 EE	No	-

 

In questo caso il NON supportato non va interpretato come troppo spesso viene fatto, sbagliando!!, in:  "non si potrebbe ma si puo' fare, anche se Microsoft dice di no (chissa' perché poi!!!)" ma come un chiaro e deciso "NON si può fare".
Infatti se provate ad eseguire una delle seguenti operazioni, ecco quello che otterrete.

Upgrade in-place da SE a EE
ISA 2006 SE SP1 installato ed in esecuzione.
Avvio del del programma di Setup di ISA 2006 EE SP1 sullo stesso server (Upgrade).

Il programma di Setup, dopo pochi secondi ed il primo Next, visualizzerà questa finestra:


Repair? di cosa? Ancora non è stata nemmeno installata la versione Enteprise!  Come vedete non esiste nessuna opzione Upgrade. 
Forti dello spirito masochistico che tipicamente contraddistingue un IT Admin si procede con l'operazione di Repair...nessun errore viene generato...dopo poco il programma di setup visualizza il pulsante Finish. 
Speranzosi del miracolo lanciate la vostra Management consolle e cosa vi trovate davanti? 
La vostra versione di ISA 2006 Standard Edition SP1...nessun upgrade!!

Nota: Se la versione di ISA 2006 SE non è SP1 e provate a lanciare il setup di ISA 2006 EE SP1 si blocca prima ancora di arrivare alla sezione di Program Maintenance 


Migrazione da SE a EE
Cosa abbiamo a disposizione:
FPolicySE.xml - Firewall Policy esportata da ISA Server 2006 SE
BackupSE.xml - Configurazione completa di ISA Server 2006 SE

Installazione ex-novo di ISA Server 2006 EE su singolo server (CSS+ISA) con stesso nome macchina di ISA SE  e stesso hardware.

Proviamo a vedere cosa succede:
A - Importazione Firewall Policy
Una volta lanciata la Management Console di ISA Server 2006 EE provate ad importare la Firewall Policy FPolicySE.xml di ISA 2006 SE ed ottenete:

codice di errore 0xc00403a4 che recita:
"Enterprise Edition settings cannot be imported into Standard Edition, and Standard Edition settings cannot be imported into Enterprise Edition..."

B - Importazione della Configurazione - Import (Restore)
Una volta lanciata la Management Console di ISA Server 2006 EE provate ad importare la Firewall Policy BackupSE.xml di ISA 2006 SE ed ottenete:

lo stesso codice di errore 0xc00403a4 che recita:
"Enterprise Edition settings cannot be imported into Standard Edition, and Standard Edition settings cannot be imported into Enterprise Edition..."

Per domande e commenti sul forum di ISAserver.it, non perdete i prossimi Technical Days su Bologna ed i webcast.

Luca

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti
Upgrade Guide for ISA Server 2006 Standard Edition
Upgrade Guide for ISA Server 2006 Enterprise Edition
Upgrading ISA Server 2004 Enterprise Edition to ISA Server 2006 Enterprise Edition
Troubleshooting an ISA Server Enterprise Edition Upgrade: What if I forget to export user permission settings?
Troubleshooting Setup
Why Upgrade to ISA 2006 Firewalls
KB948680-Description of the Microsoft server applications that are supported on Windows Server 2008

Download

Forefront Edge Security Downloads

Configurare correttamente il TCP/IP per ISA Server 2006 Standard

Di seguito vi riporto lo schema corretto per configurare il TCP/IP di ISA Server in configurazione Edge (LAN,WAN). In particolare è necessario porre particolare attenzione a DOVE è definito il default gateway, il DNS e l'ordine del Binding delle interfacce di rete.

La LAN è configurata nel seguente modo:

LAN

La WAN invece in questo:

WAN

Il binding - Start | Control Panel | Network Connections dopodichè Advanced | Advanced Settings - delle interfacce di rete deve essere il seguente, con la LAN in testa all'elenco e poi la WAN:

BINDING

Nota: Il processo di risoluzione dei nomi su Internet è affidato al server DNS interno (JMP-DC) configurato per utilizzare i Forwarder; tipicamente il server DNS dell'ISP.

FORWARDES

Configurazione della Firewall Policy di ISA Server
Durante il processo di setup, per verificare che tutti funzioni in maniera corretta durante il processo di risoluzione dei nomi, creare una Access rule del tipo All Open così fatta:
 
Per domande e commenti vi aspetto sul forum di ISAserver.it

Luca

Unable to retrieve data from: JMP-ISA02

Credo che sia capitato a molti di scontrarsi con un problema legato alla sincronizzazione della configurazione fra il CSS ed i nodi ISA Server. Ovviamente stiamo parlando della versione Enterprise. Di seguito vi illustro una situazione che genera questo tipo di errore con relativa soluzione.  Come sempre la disattenzione crea solo problemi...

Consideriamo una infrastruttura Enterprise con ISA Server 2006 EE SP1 costituita da 1 CSS, 2 Nodi ISA e 1 DC.

Tutti i server sono membri del dominio corp.isaserver.it:
JMP-DC  :  Domain Controller
JMP-CSS : Configuration Storage Server e ISA Management
JMP-ISA01 : Nodo 1 ISA Server 2006 SP1
JMP-ISA02 : Nodo 2 ISA Server 2006 SP1

Nota: Chi ha partecipato ad ISA Server Jumpstart conosce bene queste macchine!!

I nodi JMP-ISA01 e JMP-ISA02 sono configurati con 3 NIC: 1 - LAN, 1 - HB, 1 - WAN
JMP-DC e JMP-CSS sono configurati con una sola NIC.

Le interfacce di JMP-ISA01 sono configurate nel seguente modo

LAN

WAN

Al termine della installazione e configurazione dell'Array tutto funziona correttamente, NLB ecc. Lanciando la Management Console si vedono chiaramente i due nodi in linea:

Per un qualunque motivo ci troviamo a dover modificare la configurazione delle interfacce di rete LAN e WAN. In questo caso dobbiamo scambiare la configurazione della LAN con quella della WAN su entrambi i nodi. Al termine del processo di scambio, lanciando la Management Console su JMP-CSS, solo uno dei due nodi risulta, online.


L'aspetto curioso è che se lanciate la Management Console da JMP-ISA01 o JMP-ISA02 i nodi risultano in linea (come difatto erano). Le modifiche fatte alla configurazione dell'array sono comunque propagate a JMP-ISA02. L'array funziona correttamente, l'NLB funziona correttamente...insomma è tutto funzionante, solo che per JMP-CSS il nodo JMP-ISA02 non è in linea. Questo pone un problema durante la fase di Monitoring in quando, essendo non in linea per JMP-CSS, non posso analizzare i log di JMP-ISA02 da JMP-CSS. L'unica soluzione sarebbe andare direttamente su JMP-ISA02...ma non e' una soluzione.

Da JMP-CSS lanciando un ping verso JMP-ISA02 (il nodo che è visto fuori linea) si ottiene un risultato che svela l'arcano (errore):

Dal reply risulta infatti che JMP-ISA02 è risolto via NETBIOS e non via DNS - tutti i nodi sono membri del dominio e sono configurati per usare il DNS -. JMP-ISA02 è invece risolto via NETBIOS. Controllando la zona corp.isaserver.it su JMP-DC è mancante il RR di JMP-ISA02.
Andando ad analizzare la configurazione del TCP/IP dell'interfaccia di rete LAN di JMP-ISA02 risulta mancante proprio il flag su Register this connection's addresses to DNS. Non è stato settato durante lo scambio di configurazione fra le interfacce LAN e WAN. Sulla WAN infatti non deve essere configurato, sulla LAN invece Sì.

 

A questo punto, abilitato il flag sulla interfaccia LAN e registrato JMP-ISA02 sul DNS con un bel ipcoconfig -registerdns il problema si è magicamente risolto. Infatti da JMP-CSS lanciando la ISA Management console i due nodi risultano nuovamente in linea.
Nota: Per vedere immediatamente gli effetti su JMP-CSS è necessario lanciare un ipconfig -flushdns, chiudere e aprire la ISA Management Console.

La lezione imparata da questa situazione è la seguente: Registrare tutte le modifiche fatte alla configurazione dei nodi ed in particolar modo le impostazioni del TCP/IP legate alla registrazione del nome host sul server DNS. 

Quindi:

1. Controllare la zona primaria per verificare l'esistenza del RR che punta al nodo fuori linea

2. Verificare che il flag Register this connection's addresses in DNS sia impostato per tutte le interfacce LAN dei nodi dell'array.

Ancora una volta il DNS dimostra la sua grande importanza.

Domande e commenti sul forum di ISAserver.it

Luca

Nuovo forum su ISA Server & Privacy

Sul forum di ISAserver.it è stato aperto un nuovo forum sulle problematiche legate alla privacy; il particolare al trattamento/analisi dei Log ed alle procedure adottate o da adottare per la tutela della privacy. Fulcro del forum e' sempre ISA Server, no video sorveglianza o altro.

Il forum è raggiungibile facendo clic qui.

 

Il forum è riservato ai membri della Community. Un luogo dove poter parlare dei problemi e delle difficilta' incontrate.

Sito di riferimento: http://www.garanteprivacy.it/

HTTP Filter, le Application Signature - un elenco (quasi) completo

Spesso sul forum di ISAserver.it viene chiesto l'elenco delle piu' comuni signature (firme) di applicazioni Web. Queste signature posso essere utilizzate con l'HTTP filter di ISA Server 2004/2006 sia per impedire l'accesso ad Internet da parte di applicazioni interne, sia per proteggere i server Web pubblicati.
Per avere una idea della flessibilita' degli HTTP Filter basta leggere l'articolo di Giulio Martino - ISA Server 2006 / 2004 : Come bloccare Skype - su ISAserver.it.

NEWS!!
Il 14 Novembre - subito dopo ISA Server Jumpstart - si terrà a Roma c/o Holiday Inn Express, dalle 14.00 alle 18.00, il Technical Day Rilevare/Bloccare attacchi e software malevolo con Microsoft ISA Server 2006 durante il quale sarà mostrato come rilevare le signature e bloccare software malevolo utilizzando le funzionalità native di ISA e software gratuito. I posti disponibili sono solo 10.  Le iscrizioni sono aperte e si chiudono il 6 Novembre. Ulteriori informazioni sui Technical Days sono disponibili sul sito web: http://days.isaserverjumpstart.com.
================================

L'elenco delle signature è stato realizzato e aggiornato da Wayne Murphy sul proprio sito web. Quello che trovate di seguito è un estratto dell'elenco completo attualmente disponibile sul sito di Wayne. L'elenco di Wayne non è completo ed esaustivo ma rappresenta un valido aiuto per inziare ad utilizzare gli HTTP Filter e dare anche una risposta a chi, sul forum di ISAserver.it, richiede delle signature.  

Category	Application	Location	HTTP Header	Signature	Tested
?	abot	Request Headers	User-Agent:	abot/	No
Interesting	Active Bookmark	Request Headers	User-Agent:	ActiveBookmark	No
IM	AOL Messenger (and all Gecko Browsers)	Request Headers	User-Agent:	Gecko/	Yes
Malware	Apropos Spyware from People OnPage Inc	Request Headers	User-Agent:	Apropos	No
Malware	Apropos Spyware from PeopleOnPage Inc	Request Headers	User-Agent:	EnvoloAutoUpdater	No
Interesting	AskBar.com Browser Plugin	Request Headers	User-Agent:	AskBar	No
Interesting	AT&T Connection Services Manager	Request Headers	User-Agent:	AT&T CSM	No
Web Browser	Avant Browser	Request Headers	User-Agent:	Avant	No
P2P	Bearshare	Response header	Server	Bearshare	Yes
P2P	BitTorrent	Request Headers	User-Agent:	BitTorrent	Yes
Web Browser	Code Guru Browser	Request Headers	User-Agent:	CodeguruBrowser	No
Malware	CoolWebSearch Spyware	Request Headers	User-Agent:	Feat Ext	No
Malware	CoolWebSearch Spyware	Request Headers	User-Agent:	Feat2 Installer	No
Malware	CoolWebSearch Spyware	Request Headers	User-Agent:	Feat2 updater	No
Malware	CoolWebSearch Spyware	Request Headers	User-Agent:	firestarter	No
Malware	CoolWebSearch Spyware	Request Headers	User-Agent:	iefeatsl	No

fonte: Applicationsignatures.com

Se rilevate errori o inesattezze segnalatemelo via posta elettronica. Verrà creata una apposita sezione nell'area software di ISAserver.it per contenere un elenco di signature aggiornato dalla Community di ISAserver.it.

L'elenco completo delle signature sarà visibile ed aggiornabile solo ai membri della Community, tramite la sezione del forum ISA Server Signature. Al momento non e' prevista alcuna restrizione sulla partecipazione dei membri della Community a quest'area del forum.

Luca

Aggiornata la sezione Hardware di ISAserver.it

E' stata aggiornata la sezione Hardware di ISAserver.it; sono presenti solo le soluzioni hardware disponibili in Italia con i relativi riferimenti - Nome, Indirizzo, Telefono - dei relativi distributori/rivenditori.

Le informazioni sono fornite così come sono. Se rilevate inesattezze vi pregherei di comunicarmelo via posta elettronica.

Rivenditori/Distributori:
La sezione Hardware è aperta - gratuitamente - a distributori/rivenditori di appliance ISA Server/IAG 2007.
Per essere inseriti basta scrivermi una mail a lconte@isaserver.it indicando chiaramente il prodotto distribuito/venduto ed i riferimenti per essere contattati. Una volta validata la richiesta sarete automaticamente inseriti.

ISA 2006 & Windows 2008 - Questo matrimonio non sà da fare

Se state pensando di installare ISA Server 2006 su Windows Server 2008 (32/64bit) cosi' da poter sfruttare anche la nuovissima VPN SSL (SSTP)...bene, lasciate subito perdere NON SI PUO'!!

Yuri Diogenes - Support Engineer del Team di supporto ISA Server -, al pari di Don Rodrigo, mette la parola fine a possibili speculazioni su ISA Server 2006/Windows 2008:

1) Can I install ISA Server 2006 in a Windows Server 2008?

No. TMG will be the first Microsoft Firewall that you can install on Windows Server 2008 system.

2) Can I install ISA Server 2006 in a 64bits System?

No. TMG will allow that.

3) Can I join and ISA Server 2006 to a Windows Server 2008 Domain?

Yes you can. We will update the articles below with that info:

http://technet.microsoft.com/en-us/library/bb794821.aspx

http://technet.microsoft.com/en-us/library/bb794807.aspx

4) Does ISA Server 2006 support SSL VPN?

No, but you can publish SSL VPN through ISA Server. Here it is a great article from Tom Shinder that explains how to do that:

http://www.isaserver.org/tutorials/Publishing-Windows-Server-2008-SSL-VPN-Server-Using-ISA-2006-Firewalls-Part1.html

5) Can I publish Secure FTP using II7 through ISA Server 2006?

Not in a supported manner. FTPS is not supported on ISA, for more information check the official article here: http://technet.microsoft.com/en-us/library/bb794745.aspx
fonte: Yuri Diogenes Blog

Grazie Yuri!!

Virtualizzare ISA Server/Forefront TMG - il video di Jim Harrison

E' disponibile una video intervista con Jim Harrison - Program Manager ISA SE - sul portale Technet Edge.
In questo video Jim parla proprio della problematiche (e soluzioni) inerenti la virtualizzazione di ISA Server /Forefront TMG, in particolare chiarisce alcuni dubbi sul supporto di ISA/TMG Virtualizzato.
Un video da non perdere.

Consiglio inoltre la lettura, se lo fate prima di vedere il video meglio, di questo white paper segnalato nel mio precedente post: Virtualizzare ISA Server 2006/Forefront TMG - Considerazioni sulla protezione

Nota: Vi rimando anche al Video di Yossi Siles - PM di Forefront TMG - segnalato in un mio vecchio post del dic 2007. Per vedere il video di Yossi Siles fare clic qui.

Per visualizzare il video di Jim Harrison fare clic qui

Grazie Jim!!

nAppliance sponsor ufficiale di ISA Server Jumpstart 2008 - 29/30 Ott - Milano

E' con soddisfazione ed orgoglio che vi comunico la notizia che un nuovo sponsor si è affiancato a Microsoft Italia e GFI Software Ltd nel sostenere ISA Server Jumpstart 2008: nAppliance. 


nAppliance produce Appliance ISA Server 2006 (Standard/Enteprise) e IAG 2007, soluzioni hardware su cui è in esecuzione il firewall Microsoft con una versione hardened di Windows Server 2003.
 

nAppliance offers a broad range of ready-to-deploy security appliances for organizations to protect network users, devices, applications, and data. nAppliance solutions are scalable multifunction security platforms that provide layered defenses against threats to networks and Microsoft applications. Managed through a single appliance interface, nAppliances enhance security, simplify centralized operations, and lower TCO.
nAppliance is a fully-owned subsidiary of Iron Systems. Established in 1996, Iron Systems is an innovative, customer-focused provider of customized network infrastructure products such as network servers, storage and appliances. nAppliance is based in San Jose, California.

Webcast "Presentazione di ISA Server Jumpstart" - 9 Ottobre - 14.30-15.30

Giovedì prossimo (9 Ottobre) dalle 14.30 alle 15.30 si terrà il webcast "Presentazione di ISA Server Jumpstart".

L'obiettivo del webcast è descrivere il programma di ISA Server Jumpstart 2008 - Milano che si terrà il prossimo 29/30 Ottobre, far conoscere gli speaker/trainer, gli sponsor, fornire informazioni sugli skill richiesti, i requisiti HW/SW dei portatili da utilizzare, le modalita' di iscrizione e pagamento. Sarà possibile porre domande e chiarire così dubbi sull'organizzazione di ISA Server Jumpstart 2008.

Durante il Webcast sarà comunicata la data ufficiale di chiusura delle iscrizioni ed indicazioni per poter far fruttare al meglio la due giorni.

Un'intera ora per conoscere "ISA Server Jumpstart 2008 - Milano". 

Da non perdere: Durante il webcast sarà data la possibilità, a chi ancora non lo avesse fatto, di potersi iscrivere ad ISA Server Jumpstart a condizioni "riservate"!

Per registrarsi e partecipare al Webcast iscriversi qui

Ecco come ISA Server analizza il traffico!

Uno degli aspetti abbastanza "confusi" nella documentazione di ISA Server riguarda proprio i metodi di analisi del traffico di rete.

Infatti, non si trova documento che non parli di deep inspection, deep packet inspection, deep application inspection... ma, lasciando da parte le diverse variazioni sul tema deep inspection, quello che non viene detto è fino a quale livello di profondità arriva l'analisi del traffico di rete da parte di ISA Server: Livello 7, Livello 4, Livello 3?

Leggendo l'articolo di Jim Harrison - Program Manager, ISA SE si è fatta un pò chiarezza.  

In sintesi, con ISA Server non ha molto senso parlare di Packet-Layer inspection ma invece di Application-layer inspection che prevede una analisi combinata di:

• Data stream evaluation
• Protocol behavior evaluation

Un metodo più complesso, più costoso dal punto di vista Hardware (RAM, CPU) ma che trova il suo perché se  visto nell'ottica di protocolli come l'HTTP, SMTP ecc. e l'escalation di attacchi a livello applicativo.

Oss.: Quando si parla di Packet, si fa solitamente riferimento al livello 3 (Network) dello stack OSI. A questo livello troviamo il protocollo IP, è infatti frequente l'utilizzo combinato di IP Packet. Al livello 4 (Transport) si parla invece solitamente di Datagram. Al livello 4 troviamo i protocolli TCP e UDP. Con il termine deep packet inspection si intende l'analisi approfondita del traffico a partire dal livello 3 (IP).

Riporto per completezza un estratto del documento:

"...

the actions that ISA Server performs on and as a result of many common protocols are frequently not based on “deep packet inspection”, but “data stream” and “protocol behavior” evaluation.
(...)
...the concept of “packet-level” functionality is rarely accurate.The more accurate statement to describe ISA Server behavior is “application-layer inspection”, which encompasses the concepts of data stream and protocol behavior analysis.
..."
fonte: Microsoft

L'articolo orginale, in lingua inglese, di cui consiglio caldamente la lettura è scaricabile qui.

Luca

Virtualizzare ISA Server 2006/Forefront TMG - Considerazioni sulla protezione

Siete in procinto di partire con progetti di virtualizzazione? Avete pensato di virtualizzare il vostro ISA Server 2006 ed i relativi servizi Web e Applicativi? Volete rendere sicura la vostra "nuova" soluzione di virtualizzazione?

Prima di partire e trovarsi ad affrontare "nuovi" problemi la cui soluzione, in produzione, puo' essere difficoltosa; vi consiglio di dedicare un pò del vostro tempo alla lettura di questo documento:
Security Considerations with Forefront Edge Virtual Deployments

pubblicato su Microsoft Technet e scritto da Jim Harrison e Gershon Levitz . 

Questo documento ha l'indubbio pregio della sintesi, di andare subito al succo delle questioni e fornire indicazioni delle Best Practise da seguire. La ricca sezione di collegamenti ed il glossario lo completano. 

Luca

ISA Server 2006 supportato in Hyper-V...ma con un dubbio!

L'articolo MSKB957006 - Microsoft server software and supported virtualization environments, aggiornato al 20 Agosto 2008, riporta con una sintesi estrema (anche troppa), la seguente frase:

"...
Microsoft Internet Security and Acceleration (ISA) Server

Microsoft ISA Server is supported.

..."

Ovviamente questo è molto positivo, specialmente per chi ha in essere oppure è in procinto di  partire con la virtualizzazione di ISA Server 2006, ma non chiarisce se il supporto è esteso a tutti gli scenari, in particolare alla configurazione Edge con ISA esposto direttamente su Internet.

Perchè questo dubbio?

Il motivo è che già nella MSKB897614 - Windows Server System software not supported within a Microsoft Virtual Server environment era riportata, con altrettanta sintesi, la frase:

"...
Note Microsoft ISA Server 2006 is supported within a Microsoft Virtual Server 2005 R2 environment.

..."

Che, dal punto di vista formale, eccezion fatta per l'ambiente di Virtualizzazione - da una parte Hyper-V, dall'altra Virtual Server - ha lo stesso significato della precedente; cioè supportato...però.

Andando a leggere il documento Troubleshooting Unsupported Configurations, si scopre che il supporto è valido solo in specifici scenari, infatti:

"...
ISA Server Support in a Virtual Environment

Problem: ISA Server 2004 is not supported in a virtual environment. ISA Server 2006 is supported in specific scenarios.

Solution: Installation of ISA Server 2006 on Microsoft Virtual Server 2005 R2 is supported. However, when ISA Server 2006 is running on a virtual server, it cannot protect the Windows operating system that hosts the Virtual Server software. With Virtual Server, ISA Server (2006 n.d.r) should not be used in an edge firewall scenario, and this configuration is not supported. You can use (...)

..."

Entrambe le MSKB affermano che ISA Server 2006 è supportato pero' il White Paper dice che su Virtual Server non lo è del tutto. Per Hyper-V valgono le stesse limitazioni? 

Le motivazioni addotte di non supporto per Virtual Server permangono anche su Hyper-V: ISA Server 2006 è eseguito in una Child Partiton (VM), mentre la Parent Partition (Windows Server 2008) non è protetta da ISA.
Richiedere una installazione Core di Windows 2008 nella parent partition?

Certo è che se ISA Server/Forefront TMG in Edge sono supportati su Hyper-V si aprono davvero delle applicazioni molto interessanti.

Luca