2009 Global Product Excellence - Firewall Solution

Microsoft ISA Server 2006, per il 2009, è stato votato come miglior prodotto nella categoria Firewall Solution.
La votazione è stata fatta da utenti finali; da chi in ultima analisi utilizza quotidianamente il prodotto e può saggiarne "davvero" le potenzialità.

Va anche detto che sono stati premiati anche altri due prodotti Microsoft:
Categoria: Document Protection
Prodotto: Microsoft Forefront Security for SharePoint
Categoria: Identity Management Solution
Prodotto: Microsoft Identity Lifecycle Manager 2007

Per consultare l'elenco completo dei prodotti premiati fare clic qui.

Anche se non direttamente connesso al premio conferito ad ISA dagli utenti è importante ricordare che ISA Server 2006 STD/ENT ha conseguito la certificazione Common Criteria EAL 4+.

Per domande e commenti vi aspetto sul forum di ISAserver.it, oppure sul blog.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti
InfoSecurity Products Guide
Certificazione CC EAL 4+
Common Criteria

ISA Best Practise Analyser (BPA) versione 7 disponibile per il download

E' stata aggiornata, arricchendola di nuovi controlli e nuova documentazione il BPA (Best Practise Analyser) di Microsoft dedicato a ISA Server ed ora anche a Forefront TMG (MBE)passando dalla versione 6.0.1.100 alla versione 7!..Anche qui :-)

Cosa è stato introdotto in questa versione:

"...

New Checks – We have added 15 new IsaBPA rules, and are collecting almost all ISA/TMG properties as well as environmental properties (all in all we collect around 1500 settings). These settings are compared against ~235 rules. The focus on this release was targeting Configuration Storage Server and Active Directory authentication issues. This new suite joins Hardware, OS, Authentication, OWA, SSL Certificates; Site-to-site VPN with IPsec, WPLB, logging, NLB related issues and 3rd party software suites that were introduced in previous versions of IsaBPA.

Enhanced IsaBPA viewer - We have enhanced the IsaBPA configuration viewer, so it is now possible for Microsoft support engineers and the technically savvy ISA/TMG engineer to view the server configuration from the BPA report itself.

New IDP scenarios – The ISA Data Packager was enhanced to gather both IAG data as well as the ISA/TMG Firewall Client data. We also support data collection from Forefront TMG Medium Business Edition and above, and collect Configuration Change Tracking data.

BPA2Visio enhancement – The BPA2Visio visualization tool now includes BPA warnings and errors on the pictorial representation of the deployment in question, next to the violating links. Each node in the diagram contains now more data.

More documentation – The IsaBPA help file has been augmented to over 130 pages. You can easily find information about how to operate IsaBPA, information about specific checks, and how to fix issues that IsaBPA has detected.

Bug fixes – We fixed several bugs and issues that were discovered in previous versions.

..."
fonte: Technet ISA Blog

Installazione
ISA BPA deve essere installato direttamente sul server dove e' installato ISA Server / Forefront TMG. La funzionalità BPA2Visio può essere utilizzata su una macchina non ISA (raccomandato), visto che richiede la presenza di Visio.  Non installate Visio su ISA!!!
E' possibile aggiornare direttamente la versione di ISA BPA gia' installata. L'operazione di aggiornamento/installazione si conclude in pochi minuti.

Requisiti software
E' richiesto almeno il .NET Framework 1.1; se avete gia' installato il .NET framework 2.0 allora non vi occorre altro.

Video
Di seguito ho realizzato un breve video che illustra la procedura di installazione/aggiornamento

Per utilizzare al meglio ISA BPA, sfruttandone le potenzialità/funzionalità, è possibile far riferimento a due recenti post di Yuri Diogenes (Microsoft Security Support Escalation Engineer):
Using ISABPA for Proactive and Reactive Work with ISA Server – Part 1 of 2
Using ISABPA for Proactive and Reactive Work with ISA Server – Part 2 of 2

Potete inviare una mail di feedback, anche di commento o per segnalare bug, al team di sviluppo scrivendo alla mail isabpa@microsoft.com

E' possibile scaricare ISA BPA v7, della dimensione di ca. 15MB, facendo clic qui

Per domande e commenti vi aspetto sul forum di ISAserver.it, oppure sul blog.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti
Annuncio sul blog del team di sviluppo di ISA Server
Download di ISA BPA v.7
Using ISABPA for Proactive and Reactive Work with ISA Server – Part 1 of 2
Using ISABPA for Proactive and Reactive Work with ISA Server – Part 2 of 2

Resource Guide for Using Microsoft NLB with ISA Server 2006 Enterprise Edition

Ottimo post di Jason Jones sul proprio blog inerente NLB - UNICAST/MULTICAST - con ISA Server 2006 Enterprise Edition.
Se avete un array di server ISA dovete leggerlo. Ovviamente il testo è in lingua inglese.

Il post lo potete leggere qui

Luca

Gli Antivirus File/Process/Memory-Scanner ha senso installarli su ISA Server?

E' stato pubblicato sul sito Technet di Microsoft un interessante articolo di Jim Harrison e Yuri Diogenes che fa luce su un classico dubbio che interessa gli amministratori di ISA Server:
I tradizionali software Antivirus - es. Symantec, F-Secure ecc. - che effettuano File/Process/Memory-Scanning ha senso installarli su ISA Server?

Ecco la risposta:

"....

The File Scan Antivirus (...) is a type of antivirus that usually doesn’t have too much in the way of benefits when installed on a computer running ISA Server. The main reason is that we will generally not use ISA Server as a file share or other role that is not purely web proxy/cache and firewall. Therefore, this type of antivirus might not use the full potential since it will not be asked for.

..."

fonte: Microsoft Technet

Quindi i tradizionali File/Process/Memory-Scanning non apportano alcun vantaggio quando sono installati su ISA Server; anzi possono drenare preziose risorse ed influenzare negavitamente il funzionamento del firewall/Proxy.

In quale caso è necessario installare software antivirus NON Http-aware?

Quando è imposto dalle policy aziendali oppure quando il server (pratica non raccomandata a meno che non sia un SBS) svolge altri ruoli - es. File Server -. In questi casi, con File/Process/Memory-Scanner, è necessario prendere le dovute precauzioni escludendo dalla scansione le seguenti cartelle, file e processi:

Cartella di installazione ISA Server	%ProgramFiles%\Microsoft ISA Server
Cartella MSDE	%Program Files%\Microsoft SQL Server\MSSQL$MSFW
Cartella ADAM	%ProgramFiles%\Microsoft ISA Server \Adam Data\
File ADAM	Adamntds.dit ADAM .log files Temp.edb Edb.chk
File di CACHE	Drive:\urlcache\Dir1.cdat - vedi KB887311
File di Log	%ProgramFiles%\Microsoft ISA Server\ISA logs - vedi KB309422
Processi ISA Server	dsmain.exe (ADAM service – solo Enterprise Edition) wspsrv.exe (Microsoft Firewall service) mspadmin.exe (Microsoft ISA Server Control service) isastg (Microsoft ISA Server Storage) w3prefch.exe (Microsoft ISA Server Job Scheduler) sqlsvr.exe (MSSQL$MSFW service – solo con MSDE logging)
Altri (KB822158)
%windir%\SoftwareDistribution\Datastore	Datastore.edb
%windir%\SoftwareDistribution\Datastore\Logs	Edb*.log Res1.log Res2.log Edb.chk Tmp.edb

fonte: Microsoft Technet

Discorso diverso invece per i software Antivirus del tipo HTTP Aware - es. GFI WebMonitor - , in quanto progettati appositamente per integrarsi con ISA Server e quindi rappresentano la scelta ideale. Soluzioni antivirus progettate per integrarsi con ISA Server sono presenti nell'area Microsoft Partner Content Security.

Ulteriori raccomandazioni sono disponibili nel documento originale, scaricabile qui

ISA Server 2006 Service Pack 1 disponibile per il download

E' stato finalmente rilasciato il tanto atteso Service Pack 1 per ISA Server 2006. Sono numerose le funzionalità interessanti che sono state introdotte. Sono inoltre disponibili dei demo che ne illustrano il funzionamento.

Per scaricare il Service Pack 1 fare clic qui

ISA Server 2006 SP1 in Action (Demo)

Pur non essendo ancora stato rilasciato il Service Pack 1 è possibile prendere visione delle nuove funzionalità introdotte tramite i seguenti video realizzati da Yuri Diogenes (Support Engineer di Microsoft). Di seguito le demo realizzate e pubblicamente visionabili:

"...
Demo 1 – Configuration Change Tracking

This demo shows the functionalities of this new feature and how to easily identify what change was done in the Firewall Policy.

Demo 2 – Web Publishing Rule Test Button

Very cool feature that can be used proactively to see if the publishing rule is working (prior to put in production) or reactively while troubleshooting an issue.

Demo 3 – Traffic Simulator

Tired to wait for the user to be able to see the error that he is receiving when accessing a web site? Now you can do your own simulation with this tool.

Demo 4 – Diagnostic Logging Query

With this integration you will be able to understand exactly what is going on when ISA is processing your request.

..."

Ulteriori informazioni sono disponibili qui

ISA Server 2006 Service Pack 1

Dal blog del team di sviluppo di ISA Server sono state annunciate le novità che saranno introdotte con il primo service pack per ISA Server 2006.

Leggendo il post si rimane colpiti più dalle funzionalità che sono state introdotte che non dai fix cumulativi. Vediamone alcune, direttamente dal blog Microsoft:

"...

Configuration Change Tracking — logs all configuration changes applied to ISA Server configuration to help you backtrack through your change history.

Web Publishing Rule Test Button — helps you verify that the rule configuration agrees with what is set at the published web server and provides specific suggestions when they disagree.

Traffic Simulator — simulates network traffic as it would be seen by the ISA rules engine and gives you specific information about traffic processing along the way.

Diagnostic Logging Query — an extension to the Diagnostic Logging feature provided in the Supportability Pack, this feature makes it much easier to see only the data that is relevant to the current troubleshooting effort.

..."

Per chi ha implementato la soluzione NLB con Array ISA troverà "finalmente" integrato il supporto per l'utilizzo della modalità Multicast. Infatti:

"...
Support for Network Load Balancing (NLB) multicast and multicast with IGMP operations (KB 938550)

Support for certificates with multiple Subject Alternative Name (SAN) entries in published web servers

Kerberos Constrained Delegation (KCD) authentication supports trusted-domain user accounts (KB 942637 )

..."

Ulteriori dettagli sono reperibili direttamente sul blog Microsoft (Inglese).

Nota: Il Service Pack 1 non è ancora disponibile per il download pubblico. Non cercatelo sul sito Microsoft. Le informazioni riportate sono solo una anteprima sulle funzionalità che troverete nell'SP1.

Quando sarà rilasciato seguiranno articoli sul suo funzionamento.

Windows Vista + One Care: Il mistero delle connessioni VPN

Un problema che si verifica su postazioni Windows Vista con Microsoft One Care in esecuzione è l'impossibilità di creare connessioni VPN uscenti.

Il problema è stato evidenziato da NSW sul forum di ISAServer.it  In questo articolo vedremo cosa fare per poter creare su Windows Vista connessioni di rete funzionanti per creare una VPN Client/Server con il nostro ISA Server 2006.

Scenario:
Dominio Active Directory: corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge, VPN Server 
JMP-NB: Client non di dominio - Notebook - con Windows Vista Business e Microsoft One Care

JMP-ISA è configurato come server VPN per consentire l'accesso da remoto al dominio corp.isaserver.it. La configurazione di ISA Server come VPN Server è opertiva e funzionante così come l'accesso al rete interna da parte dei client VPN. La configurazione di ISA Server 2006 come server VPN sarà oggetto di un nuovo articolo.

PROBLEMA RISCONTRATO su JMP-NB:
Creando una connessione VPN tramite il Wizard di Windows Vista, quindi nessuna impostazione particolare ma la sola impostazione di default, si verifica il seguente errore quando tentiamo di connetterci al nostro server VPN - vpn.isaserver.it -:

 
Controllando il registro eventi di Windows Vista e non si ottengono altre informazioni, che permettano di capire l'origine del problema:

 
Allo stato attuale non riusciamo a connettere la nostra postazione Windows Vista alla rete interna di corp.isaserver.it.

MICROSOFT ONE CARE
Su JMP-NB è in esecuzione Microsoft One Care. Andiamo a verificare come si comporta One Care con le connessioni VPN. Lanciamo Microsoft One Care ed andiamo nella sezione Firewall e poi facciamo clic sul pulsante Impostazioni avanzate. 

 
Dopodichè selezioniamo la sezione Porte e protocolli e, scorrendo l'elenco delle porte e protocolli, vediamo che la voce Rete privata virtuale (IPSec o PPTP) non è abilitata. Con questa configurazione, quella di default, Microsoft One Care NON consente la creazione di connessioni VPN uscenti.
Per risolvere il "mistero" delle connessioni VPN abilitiamo la voce Rete privata virtuale (IPSec o PPTP) e facciamo clic su OK.

Chiudiamo le finestre di One Care facendo clic su OK. Adesso proviamo nuovamente a connetterci alla rete interna di corp.isaserver.it tramite il nostro server VPN.

CONNETTIAMOCI VIA VPN A CORP.ISASERVER.IT
Su JMP-NB lanciamo la connessione VPN a corp.isaserver.it e  vedremo andare a buon  fine la connessione...

 
...in più ci viene proposta la schermata di selezione, sempre da Microsoft One Care, del livello di protezione.


Connettiamoci alla rete aziendale selezionando Domestica o di lavoro. Adesso siamo connessi alla rete interna di corp.isaserver.it. Per scrupolo verifichiamo la connettività con il dominio corp.isaserver.it con qualche semplice test.

TEST DI CONNETTIVITA'
Facciamo due semplici test di connettività per verificare l'effettiva raggiungibilità dei server interni.
1° test: 
Ping sul domain controller JMP-DC.corp.isaserver.it
Esito: OK

 
2° test: 
Accesso allo share \\JMP-DC.corp.isaserver.it\SYSVOL sul domain controller.
Esito: OK

COSA REGISTRA ISA SERVER 2006
Se lanciamo la consolle di amministrazione di ISA Server 2006 vedremo che nella sezione Monitoring | Session | Session Type VPN Clients, sarà visualizzata la nostra connessione VPN.

 
Nella sezione Monitoring | Logging vedremo il tracciato record della connessione PPTP

Conclusione
In questo breve articolo abbiamo visto come consentire connessioni VPN uscenti da sistemi Microsoft Windows Vista che utilizzano Microsoft One Care come prodotto di protezione. Lascia effettivamente perplessi il fatto che non venga notificato, sia negli eventi di sistema sia negli eventi di One Care, il blocco della connessione VPN da parte di quest'ultimo. Non ho fatto una verifica con One Care su Windows XP, ma mi aspetto che il problema sia identico visto che la causa è One Care e non Windows. Come server VPN abbiamo utilizzato ISA Server 2006, ma poteva trattarsi di un qualunque altro server VPN Windows.

Per domande su One Care vi rimando ai newsgroup Microsoft, per ciò che riguarda invece ISA Server con domande, commenti o suggerimenti il luogo ideale è sempre il forum di ISAServer.it.
Buona lettura

Utilizzare i Certificati wildcard per pubblicare via SSL più siti Web

In questo articolo vedremo come utilizzare ISA Server 2006 per pubblicare via SSL più siti web interni con un solo web listener ed una sola web publishing rule.

ISA Server 2006 sarà configurato in maniera tale che la comunicazione su Internet sia protetta mediante l'uso di HTTPS, mentre la comunicazione in LAN con i server Web - in particolare fra ISA ed il server Web pubblicato - avvenga via HTTP.
I siti web a cui gli utenti Internet avranno accesso sono:

https://intranet.corp.isaserver.it ed anche https://www.corp.isaserver.it

Gli hostname www e intranet sono creati nella zona primaria corp.isaserver.it in hosting su un server DNS pubblico.

Scenario:
Dominio: corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge
JMP-MAIL: Web server

Sul JMP-MAIL sono in esecuzione i seguenti siti Web:

• intranet.corp.isaserver.it
• www.corp.isaserver.it

Nota: in questo articolo non vedremo la generazione del certificato digitale del tipo *.corp.isaserver.it e la sua installazione su ISA Server 2006. Sarà oggetto di un nuovo articolo.

Per raggiungere il nostro obiettivo dobbiamo per prima cosa creare un Web listener.

CREAIMO UN WEB LISTENER PER HTTPS
Lanciamo la consolle di amministrazione di ISA Server 2006 e facciamo clic sul nodo Firewall Policy. Dopodiché, nella sezione Toolbox selezioniamo Netwrok Objects e poi la cartella Web Listeners. Con il tasto destro del mouse selezioniamo New Web Listener.... Creiamo un Web listener con le seguenti caratteristiche:

Name: Secure Listener
Client connection: Secure (SSL/HTTPS)
Listen on: External
Client Authentication Method: No Authentication
SSO Enabled: No

 
Applichiamo le modifiche per salvare il Web listener che abbiamo appena creato.

 
Se non abbiamo commesso errori vedremo il nostro Secure Listener nell'elenco dei Web listeners.


Completata questa operazione possiamo passare alla pubblicazione dei siti web interni in hosting su JMP-MAIL.

PUBBLICHIAMO I SERVER WEB
Dalla Consolle di gestione di ISA Server 2006, lanciamo il wizard per la pubblicazione di un server web; nella  sezione dei Tasks selezionare Publish Web sites.

 
seguiamo le istruzione del wizard ed inseriamo i seguenti valori:

Name: Secure Web Sites Publishing
Action: Allow
Publishing Type: Publish a single Web site
Connect the published Web server using HTTPS: No
Site: jmp-mail.corp.isaserver.it
Public Name: All incoming names
Listener: Secure Listener
Accepted user sets: All users

Importante: Durante la creazione della regola Secure Web Sites Publishing , nella sezione Internal Publishing Details, è necessario selezionare la voce Forward the original host header instead of the actual one specified.... Di default questa voce non è selezionata.


In caso contrario verrà inviato al server web interno l'host header jmp-isa.corp.isaserver.it, impedendo così un corretto indirizzamento da parte di IIS al sito web corretto.

Salviamo la configurazione in ISA Server 2006 Standard Edition facendo clic su Apply.

A questo punto vedremo la nuova publishing rule nella Firewall Policy di ISA Server 2006.

 
La configurazione è completata. Verifichiamo che tutto funzioni correttamente collegandoci da un client Internet ai due siti Internet pubblicati.

ACCESSO DA INTERNET AL SITO WEB  intranet.corp.isaserver.it
Da un client Internet lanciamo il browser ed inseriamo nella barra degli indirizzi la URL: https://intranet.corp.isaserver.it. 

 
vediamo di seguito cosa ha registrato ISA Server 2006 nei log


Nota: In rosso è evidenziata la prima connessione fra il client Internet e ISA Server sulla porta 443, in blu la prima connessione fra ISA ed il server web interno sulla porta 80, in verde la connessione fra il client Internet ed il server web con ISA che fa da gateway con HTTS per la comunicazione su Internet e HTTP per la comunicazione con il server web interno.

ACCESSO DA INTERNET AL SITO WEB  www.corp.isaserver.it
Da un client Internet lanciamo il browser ed inseriamo nella barra degli indirizzi la URL: https://www.corp.isaserver.it. 

Anche in questo caso abbiamo avuto accesso dal nostro client Internet  al nostro server web interno, comunicando via HTTPS su Internet, ed utilizzando HTTP fra ISA ed il server Web.

Conclusioni:
Utilizzando un certificato digitale installato su ISA Server 2006 con FQDN  *.dominio Internet pubblico, possiamo pubblicare, utilizzando le indicazioni di questo articolo quanti siti web vogliamo, garantendo che l'accesso pubblico sia protetto via SSL. Tutti i siti web devono essere ospitati sullo stesso server web, in questo caso era jmp-isa. Il reindirizzamento verso il sito web corretto viene operato da IIS, non da ISA Server 2006, sfruttando le informazioni contenute nell'host header inserito dall'utente nel campo indirizzo del proprio browser.

Per domande, approfondimenti e commenti, il luogo ideale è il forum di ISAServer.it

Buon lavoro con ISAServer.it

Automatic Discovery con ISA Server 2006/2004

Una delle funzionalità più comode disponibili con ISA Server è la possibilità di configurare automaticamente sia i Web Proxy Client che i Firewall Client installati.

In questo post vedremo il funzionamento dell'automatic discovery mediante l'utilizzo del protocollo WPAD - Web Proxy Automatic Discovery Protocol -.

Sia il firewall client che il Web Proxy client - Internet Explorer 5 e versioni successive - supportano WPAD.

Il processo di configurazione  è abbastanza semplice, infatti il client deve:

1. localizzare ISA Server all'interno della rete
2. scaricare il file di configurazione da ISA Server

Il primo punto prevede:

• Configurazione del server DNS e/o DHCP
• Configurazione di ISA Server per la pubblicazione della configurazione

Scenario:
Dominio: corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge
JMP-MAIL: DHCP server

Configurazione del server DNS
Lanciamo la consolle di Amministrazione del server DNS utilizzato dai client. Andiamo in JMP-DC > Forward Lookup Zones > corp.isaserver.it.

Creiamo un nuovo alias wpad con le seguenti caratteristiche:
alias name: wpad
FQDN for target host: jmp-isa.corp.isaserver.it
 

Nella zona corp.isaserver.it vedremo il resource record wpad.corp.isaserver.it.

 
Utilizzeremo la configurazione del DNS quando non utilizziamo il server DHCP per distribuzione della configurazione.

Osservazione: Configurare sia DNS che DHCP non è un problema, l'importante è ricordarsi che sono stati configurati entrambi. La differenza fra le due modalità risiede principalmente nel fatto che, di default, il client DHCP scarica la configurazione dalla porta 8080 di ISA Server, mentre il client NON DHCP scaricano la configurazione dalla porta 80 di ISA Server.

La configurazione del server DNS è finita!

Configurazione del server DHCP
Lanciamo la consolle di configurazione del server DHCP.
Con il tasto destro del mouse facciamo clic sul server jmp-mail.corp.isaserver.it e facciamo clic sulla voce Set Predefined Options...

Dopodiché facciamo clic sul pulsante Add ed inseriamo i seguenti valori:
Name: wpad
Data Type: String
Code: 252
Description: ISA Server WPAD

facciamo clic su OK ed inseriamo nel campo:
value: http://jmp-isa.corp.isaserver.it:8080/wpad.dat



Facciamo clic su OK ed il gioco è fatto!

Adesso rendiamo attiva la nuova opzione. Sempre dalla consolle di amministrazione del DHCP facciamo clic con il tasto destro del mouse sulla cartella Server Options e selezioniamo Configure Options.... Fra le opzioni disponibili selezioniamo la 252 WPAD e facciamo clic su OK.

 

Sarà visibile la nuova opzione nella consolle di amministrazione del server DHCP

 
Il nostro server DHCP è configurato e pronto per svolgere al meglio il proprio lavoro. Adesso tutti i client DHCP sono in grado di rilevare automaticamente ISA Server...

Il lavoro ancora non è finito, dobbiamo configurare ISA Server...niente di più facile!!

Configuriamo ISA Server 2006
Lanciamo la consolle di Amministrazione di ISA Server, andiamo nella sezione Configuration > Networks. 
Facciamo clic con il tasto destro del mouse sull'oggetto network che pubblicherà le informazioni di configurazione e ne visualizziamo le proprietà - basta un doppio clic sull'oggetto -. In questo caso l'oggetto Internal.
Selezioniamo la sezione Automatic Discovery e selezioniamo la voce Publish Automatic discovery information for this network.


Facciamo clic su OK e salviamo le modifiche nella configurazione di ISA Server ed il gioco è fatto!!

Il lavoro è praticamente finito, basterà verificare che i Web Proxy Client ed i Firewall Client siano configurati per rilevare automaticamente la configurazione.

Configurazione di Internet Explorer:



Configurazione del Firewall Client:

 
Il lavoro è completato!!

Domande e Commenti sul forum di ISAServer.it

Buon lavoro!

Pubblicare un Server HTTPS con ISA Server 2006

In questo post vedremo come pubblicare con ISA Server 2006 un server HTTPS presente in LAN. Sul server WEB e' gia' presente un certificato digitale SSL per la crezione di connessioni sicure. Il server web sarà raggiungibile da Internet tramite la URL:
https://www.corp.isaserver.it

ISA Server 2006 Standard, che chiameremo JMP-ISA, è configurato in modalita' Edge - 2NIC: 1 Internal, 1 External -. ISA Server è membro del dominio Active Directory corp.isaserver.it. La NIC External connette ISA Server 2006 direttamente ad Internet con un indirizzo IP pubblico.

Il server web interno è installato su un server membro del dominio, che chiameremo JMP-MAIL. Sul server è presente il certificato digitale SSL associato al dominio www.corp.isaserver.it. Questo è l nome di dominio che sarà utilizzato dagli utenti Internet per accedere al nostro server Web HTTPS. 

Tralasciamo la configurazione del server IIS per l'hosting di siti web SSL e la configurazione dei server DNS, interno e pubblico, per il reindirizzamento verso il sito HTTPS per gli utenti interni al dominio e gli utenti Internet. Una nota, verificare sempre che l'FQDN utilizzato dagli utenti Internet sia mappato sull'indirizzo IP pubblico di ISA Server.

Vediamo la pubblicazione del sito HTTPS con ISA Server 2006 Standard.

Una volta lanciata la Management Consolle di ISA Server 2006 basta andare nella sezione Firewall Policy e lanciare, dalla sezione Tasks il wizard Publish Non-Web Server protocols. Ci basterà inserire le seguenti informazioni:

Name: Secure Corporate Web Site
Published Server: <IP privato di JMP-MAIL>
Published Service: HTTPS Server
Listen on: External

 
Una volta le modifiche nella Firewall Policy possiamo procedere con la verifica di accesso al server HTTPS interno:

 

Ci basta lanciare Internet Explorer ed inserire la URL del server web pubblicato: https://www.corp.isaserver.it

Vediamo nella barra degli indirizzi l'utilizzo del protocollo HTTPS ed in basso a destra il simbolo lucchetto. Facendo doppio clic sul lucchetto è possibile visualizzare il certificato digitale installato sul server IIS che ne certifica l'autenticità:

L'operazione di pubblicazione del server SSL è stata estremamente semplice e veloce. In un prossimo post vedremo come installare la CA per la generazione di certificati digitali utilizzabili per proteggere server Web, server di posta e creare tunnell IPSec.

Presto sarà disponibile il nuovo programma degli eventi tecnico formativi di ISAServer.it. Aggiornamenti sia sul blog, sul forum che sul portale CTTDays.org.

Buon lavoro con ISAServer.it

ISA Server JumpStart - ROMA

Fra poche settimane ci sarà l'edizione su ROMA di "ISA Server JumpStart".
Chi ha gia' aderito ricevera' a breve il modulo di iscrizione uficiale; inoltre per questa edizione sara' disponibile anche il Workbook.
I posti per il JumpStart sono limitati quindi consiglio di preiscriversi - non e' impegnativo ma ha priorita' per la partecipazione -.
In questa sessione inoltre vedremo a confronto CISCO PIX con ISA Server 2006 Standard...

Per preiscriversi, ed aver accesso al prezzo riservato di 149Euro al giorno, è necessario essere membri della Community di ISAServer.it. Essere membri della community è gratuito.

Il modulo per preiscriversi e ulteriori informazioni sulla sede dell'evento le trovate sul forum a questa pagina

Per i partecipanti sono previste condizioni particolari di pernotto presso la sede del JumpStart. Ulteriori informazioni saranno presenti nella mail di accompagnamento al modulo di iscrizione ufficiale.

Ottobre record per ISAServer.it

Il mese di Ottobre è stato un mese importante per due motivi, il primo, per la realizzazione del primo evento tecnico italiano interamente dedicato a ISA Server - ISA Server JumpStart -, che ha avuto in Reggio Emilia - 30/31 Ottobre - la prima tappa e la seconda sara' a Roma il 18/19 Dicembre prossimo; un vero successo.
E di questo non posso che ringraziare la Community di ISAServer.it. Grazie!

Il secondo motivo e' l'incremento consistente degli accessi ad ISAServer.it.

ISAServer.it è passata dai 50.000 page view del mese di Settembre agli oltre 80.000 page view di Ottobre; un incremento di oltre il 60% a conferma del trend di crescita e del processo di consolidamento della Community di ISAServer.it.

Da dopo l'estate le iniziative finalizzate alla Community si sono fatte piu' consistenti e continue, vedi: The Great ISA Opportunity con GFI Software Ltd, ISA Server JumpStart con la sponsorizzazione di Microsoft Corp e GFI Software Ltd, Windows Security Essentials, che si concluderà Mercoledì prossimo...e per il 2008 altre novita' sono in programma.

GFI Software Ltd è sponsor ufficiale di ISAServer.it e delle sue iniziative in presenza, a cui si aggiunge Microsoft Corp per la sponsorizzazione di ISA Server JumpStart.

Un grazie di cuore a tutti i professionisti e appassionati di ISA Server che quotidianamente rinnovano la loro fiducia visitando ISAServer.it, partecipando agli eventi, scrivendo articoli e postando sul forum...Grazie!

CISCO PIX vs ISA 2006 @ ISA Server JumpStart - ROMA

Durante l'edizione del 18/19 Dicembre a ROMA ho preparato una sessione dove si vedranno a confronto il noto firewall CISCO - CISCO PIX - e ISA Server 2006. L'obiettivo della sessione è quello di mettere a confronto i due prodotti, analizzarne le diversita' e le similitudini sia dal punto di vista delle funzionalita' e delle modalita' di amministrazione.

Il punto di vista sarà quello dell'amministratore Windows.

Mi sono inoltre attivato per riuscire ad ottenere anche un Appliance ISA 2006, ma non posso garantire di averlo disponibile per dicembre.

Se siete in contatto con aziende interessate a fornire l'Appliance per la due giorni basta scrivermi una mail...

ISA Server JumpStart: UN GRANDE SUCCESSO

Devo ringraziare di cuore tutti i partecipanti a "ISA Server JumpStart" di Reggio Emilia, che si è appena concluso.

E' stato un vero successo sia dal punto di vista tecnico che umano.

Con piacere ho visto il nascere di nuove amicizie e collaborazioni professionali fra i partecipanti e alla luce di ciò, proprio per favorire la creazione di un network di professionisti, verrà creata la newsletter privata ISAPRO@ISASERVER.IT.

Tutti i partecipanti a ISA Server JumpStart riceveranno a breve la richiesta di iscrizione.

Gli argomenti da affrontare sono stati tanti sia nella giornata di Training che in quella di Laboratory, ma ci siamo riusciti!! Tutti gli argomenti in programma sono stati affrontati.
La giornata di Training si e' conclusa alle 19.00, ben oltre l'orario previsto - 17.30 - nel programma ufficiale....è stata colpa di Giulio Martino (aka ISACab) che con il suo intervento sul VOIP e l'integrazione ha suscitato molto interesse. Grande Giulio!

Lo spirito e' stato quello di un confronto aperto su ISA Server che ha permesso di mettere sul campo dubbi, problematiche e affrontarli con serieta' e professionalità.

Adesso è in arrivo il Windows Security Essentials di fine novembre 26/27/28 a Reggio Emilia, e poi la tappa su ROMA di ISA Server JumpStart, in attesa sempre dell'uscita della Beta pubblica di ISA Server 2008.

Un grazie sincero a tutti i partecipanti e a presto!!

Windows Security Essentials - 26/27/28 Novembre - RE

Windows Security Essentials
26/27/28 Novembre - Reggio Emilia
c/o Hotel Holiday Inn - Via Meuccio Ruini 7
a 199 € al giorno

[visualizza la locandina]

Ulteriori informazioni sono disponibili sul forum di ISAServer.it oppure scrivimi una mail a lconte@isaserver.it.

Nota: L'evento è riservato ai soli membri della Community di ISAServer.it. Per la giornata di Laboratory è richiesto l'uso del proprio notebook.

ISA Server JumpStart - 18/19 Dicembre - ROMA

ISA Server JumpStart
18/19 Dicembre - ROMA
c/o Hotel Holiday Inn - Via Giorgio Perlasca 50 -
a 149 Euro+IVA al giorno

Sono lieto di annunciare che il 18/19 Dicembre 2007, ISA Server JumpStart si replicherà a ROMA.

Stesso programma, contenuti e modalita' di erogazione - notebook richiesto per la giornata di Laboratory - dell'edizione del 30/31 Ottobre di Reggio Emilia:
http://www.isaserver.it/blog/2007/09/isa-server-jumpstart-3031-ottobre-re.html

Questo evento, e le relative condizioni economiche, è riservato ai soli membri del forum di ISAServer.it.

Diventare membri del forum di ISAserver.it è gratuito.

E' disponibile on.line il modulo per preiscriversi (accessibile solo agli iscritti del forum).

Preiscriversi è importante perche' mi permette di organizzare al meglio l'evento, mantenere bassi i costi e rappresenta l'unico modo per poter ricevere il modulo di iscrizione ufficiale.

Nota: La preiscrizione non e' vincolante ma vi da un canale prioritario di partecipazione.

Ulteriori informazioni su come preiscriversi sono presenti nel forum di ISAServer.it

Grazie anticipatamente per la vostra collaborazione

Questo evento ha ricevuto il sostegno ufficiale di Microsoft e GFI Software.

I problemi fra ISA ed il SP2 di Windows Server 2003 - La terza via

Dal rilascio del Service Pack 2 di Windows Server 2003, sono numerose le segnalazioni sul forum di ISAServer.it relative a problemi di connettivita' di varia natura, prima fra tutte le VPN. Una delle funzionalità di ISA Server più utilizzate.

Le soluzioni possibili in questi casi erano due:
- Rimuovere il Service Pack 2
- Supporto Tecnico Microsoft

Ovviamente la prima soluzione non e' raccomandabile, ma e' fattibile e gratuita. La seconda e' raccomandabile ma onerosa.

Ulteriori info sui problemi SP2/ISA sono presenti sul Blog Ufficiale del team Microsoft per ISA Server.

Esiste comunque una terza via, per gli utenti SBS 2003, installare la Patch KB936594. La Patch "dovrebbe" risolvere tutti gli annosi problemi di networking che si sono presentati, ma NON BASTA, in quanto il punto chiave è uno: AGGIORNARE ANCHE I DRIVER DELLE SCHEDE DI RETE dei server affinche' siano compatibili con le specifiche NDIS 5.2 - Ndis.sys 5.2.3790.4123 - o superiore.

Questo vale anche per installazioni NON SBS.

"...
You must have drivers that are compatible with NDIS 5.2 or with a later version.
..."
Fonte: Microsoft

Di seguito un dettaglio dei problemi di Networking riscontrati con la SP2 e risolvibili con l'applicazione della patch 936594 (in inglese):
"...
• When you try to connect to the server by using a VPN connection, you receive the following error message: Error 800: Unable to establish connection.
• You cannot create a Remote Desktop Protocol (RDP) connection to the server.
• You cannot connect to shares on the server from a computer on the local area network.
• You cannot join a client computer to the domain.
• You cannot connect to Microsoft Exchange Server from a computer that is running Microsoft Outlook.
• You can only connect to Web sites that are hosted on the server or on the Internet by using a secure sockets layer (SSL) connection. In this scenario, you cannot connect to a Web site that does not use SSL encryption.
• You experience slow network performance.
• You cannot create an outgoing FTP connection from the server.
• The DHCP Server service crashes.
• Clients experience slow domain logons.
• Network Address Translation (NAT) clients that are located behind Windows SBS 2003 experience intermittent connection failures.
• You experience intermittent RPC communications failures.
• Clients that are configured as SecureNat clients may be unable to connect to the Internet.
• Some Outlook clients may be unable to connect to Exchange.
• You cannot run the Configure E-mail and Internet Connection Wizard successfully.
• Microsoft Internet Security and Acceleration (ISA) Server blocks RPC communications.
• Clients cannot visit the http://companyweb Web site.
• You cannot browse Internet Information Services (IIS) Virtual Directories.
..."
Fonte: Microsoft

Per chi ha installato il Service Pack 2 di Windows Server 2003 ed ha riscontrato problemi di Networking DEVE seguire le indicazioni riportate nell'articolo KB936594 -.

Scarica la patch [qui]

SBS 2003 e ISA 2004
Gli Amministratori di ISA Server 2004 su SBS 2003 PE dovono installare anche uno specifico update - KB930414 -.

Si consiglia vivamente la lettura dell'articolo principale della Knowledge base Microsoft - KB936594 -.