Blog di ISAserver.it

mercoledì, aprile 22, 2009

MS09-008 - Impedisce la distribuzione della configurazione con WPAD

error E' stato gia' segnalato sul blog di ISAserver.it da Mauro Cerutti che la patch ha una influenza diretta sul comportamento del DNS per ISA Server.
La patch introduce in Windows Server 2000/2003 la block list, funzionalità originariamente presente solo in Windows 2008.
Con la block list sono bloccate le query DNS inerenti il resource record WPAD, utilizzato per configurare automaticamente i client ISA Server di tipo Firewall Client e WebProxy Client.
Il funzionamento della block list è abbastanza semplice:
confronta la parte più a sinistra della query DNS (hostname) con il contenuto della lista. Se il servizio DNS trova una corrispondenza, la query non ottiene risposta.

Questo comportamento è valido solo per le query indirizzate a zone primarie/secondarie presenti sul server DNS.

E' importante mettere in evidenza che la block list è attiva solo sui server DNS dove è applicata la patch relativa alla vulnerabililità MS09-008 e non è stato ancora configurato il resource record WPAD. La block list non è attiva su installazioni già in essere con WPAD.

Ad oggi, a seguito dell'installazione della patch, sui sistemi Windows 2000 SP4, Windows 2003 SP1+, Windows 2008 è attiva la block list. Quindi se partite con un deployment che prevede l'utilizzo del WPAD per ISA Server su un DNS 2000/2003/2008 dovete sbloccare l'entry WPAD sul server DNS.

Windows 2000/2003
si deve intervenire direttamente sul registry di sistema nella sezione:
HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

Il servizio DNS deve essere riavviato per rendere attive le modifiche.

Windows Server 2008
si può utilizzare il comando DNSCMD per disattivare la block list
DNSCMD /config /enableglobalqueryblocklist 0

DHCP Server
Se si distribuisce la configurazione tramite DHCP server non corriamo rischi di blocco A MENO CHE NON UTILIZZIAMO come server di distribuzione un server che abbia nome host WPAD o alias WPAD. In quest'ultimo caso la block list entrerebbe in gioco bloccando la risoluzione dei nomi. Solitamente la configurazione WPAD punta direttamente all'FQDN di ISA Server - es. FI-ISA01.isaserver.it -, se non direttamente con l'indirizzo IP dell'interfaccia di rete interna.
L'articolo KB968732 di Microsoft comunque nella sezione FAQ, punto 6. dice:

"...I have a WPAD server deployed in my network. Will I be affected?
Answer: No. If you have WPAD deployed in a network, and you already have the name WPAD registered in DNS, then it will not be blocked. However, if you have WPAD in the network and it uses DHCP to distribute the wpad.dat file with nothing in DNS, then the DNS query for WPAD will be blocked..."

A mio avviso l'affermazione non sembra corretta in quanto la block list entra in gioco solo su hostname WPAD e nel caso in cui, come frequentemente avviene, ISA Server è anche il server di distribuzione - con hostname ovviamente diverso dal "WPAD" - il blocco risulta inapplicabile. Se la DHCP Option usa l'FQDN di ISA la query DNS NON SARA' BLOCCATA, risolvendo e ditribuendo tranquillamente la configurazione ai client Firewall Client e WebProxy.

Di seguito il tracciato in cui il server DHCP comunca la client la configurazione DHCP Option 252:

e subito dopo la query verso il server DNS per la risoluzione del nome

...con relativa risposta. Ovviamente la block list era attiva sul server DNS ma come è giusto aspettarsi su hostname NON WPAD non interviene.

Per domande e commenti vi aspetto sul forum di ISAserver.it, oppure sul blog.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti

Microsoft Security Bulletin MS09-008 – Important
KB961063-MS09-008: Description of the security update for DNS server: March 10, 2009
KB968732-Changes to DNS server behavior after you install the security update for DNS server
Windows Server 2008 DNS Block Feature - ISA Team Blog
DNS Server Global Query Block List
Windows DNS and the Kaminsky bug
Automatic Discovery (WPAD) vs DNS Server Global Query Block List (W2k8) - ISAserver.it
Automatic Discovery con ISA Server 2006/2004

Etichette: DHCP, DNS, Security Update, WPAD

martedì, aprile 21, 2009

EventID 14109 - The ISA Server Standard Edition cannot run

error Sono stati segnalati problemi con ISA Server 2006 dopo l'applicazione della patch MS09-12 per Windows Server 2003 SP1/SP2. Il problema segnalato interessa solo la versione Standard in esecuzione su sistemi con un numero totale di core superiore a 4.

Dopo il riavvio del server ISA non riparte generanto un EventID 14109. Il problema è risolvibile modificando il boot.ini del server ed inserendo il parametro /numproc=4 , forzandolo così ad utilizzare solo 4 processori.

Di seguito il post completo di Jim Harrison sul blog del Team di sviluppo di ISA Server:

"...We've received several reports of ISA Server Standard Edition restart failures after installation of last week's security updates.

The error message observed in this circumstance is: "Event ID 14109 (The ISA Server Standard Edition cannot run. Either the server is using more than 4 processors....)."

Notes:
1. this specific problem only affects ISA Server Standard Edition and only when it's running on a computer that has a total of more than 4 CPU cores.
2. this issue does not affect Forefront TMG (MBE)

The problem occurs when you install the MS09-012 patch under very specific circumstances. The Windows Sustained Engineering team is producing a detailed explanation of this behavior for the MS09-012 bulletin articles and will post that as soon as it's ready.

In the meantime, you can employ the following workaround to put your ISA Server back in service:

1. log on to the computer using a local administrator account
2. click the Start button, select Run
3. in the Run dialog, enter cmd and click OK
4. in the command window
a. type attrib -a -s -r -h c:\boot.ini and hit Enter
b. type notepad c:\boot.ini and hit Enter
5. at the end of the line under [operating systems], enter /numprocs=4
Note: if you have multiple boot entries, you should add this entry to the end of the line that is used to boot the default OS instance where ISA Server runs
6. save the boot.ini file
7. in the command window, type attrib +a +s +r +h c:\boot.ini and hit Enter
8. reboot your computer..."
fonte: ISA Team Blog