lunedì, dicembre 15, 2008

ISA Server 2006 Supportato in produzione (anche) su Virtual Server

news Il supporto di ISA Server su ambienti virtualizzati ha sempre destato qualche perplessità. Con l'uscita di Hyper-V le cose sono cambiate anche sul fronte Virtual Server per cio' che riguarda il supporto di ISA Server 2006. I vincoli sulla configurazione di ISA Server su Virtual Server 2005 R2 sono caduti - es. solo configurazione come Proxy e non in Edge -.
La configurazione in Edge è supportata ma NON RACCOMANDATA con Virtual Server. Questa condizione si estende a tutti gli ambienti di virtualizzazione hosted di terze parti, quale ad esempio VMWare Server. 

Ho raccolto qui di seguito le versioni di ISA Server e gli ambienti di virtualizzazione Microsoft e non (hypervisor e hosted). Ho inserito anche IAG SP2, ormai di prossimo rilascio. Al termine del post, nella sezione riferimenti, trovate tutti i link inerenti il supporto di ISA Virtualizzato.

Commenti e suggerimenti sono ben accetti.

 

ISA 2006

ISA 2004

ISA 2000

IAG SP2*

Virtualizzazione con Hypervisor

        

Windows Server 2008 with Hyper-V

No

No

Microsoft Hyper-V Server 2008

No

No

VMWare ESX 3.5 Update 2

****

No

No

****

VMWare ESXi

No

No

No

No

Citrix XenServer 5

****

No

No

****

Citrix XenServer Express Edition

No

No

No

No

Virtualizzazione Hosted

        

Microsoft Virtual Server

**

No

No

No

VMWare Server

***

No

No

No

Microsoft Virtual PC

*****

No

No

No


(*) Di prossimo rilascio. IAG SP2 è disponibile come Virtual Machine.
(**) E' supportata ma non raccomandata.
(***) E' supportata ma non raccomandata. Il supporto Microsoft potrebbe richiedere di ricreare il problema su un server fisico oppure su hypervisor Microsoft - Hyper-V - o terze parti certificati SVVP - es. ESX 3.5 U2, Citrix XenServer 5 -.  
(****) Il sistema operativo della Virtual machine deve essere fra quelli supportati dal programma SVVP.  ISA Server 2006 deve essere in esecuzione su un OS Windows Server 2003 SP2 o superiore.
(*****) Non in produzione, ma per Demo e formazione.

Buon lavoro

Luca

Riferimenti
ISA Server 2006 - Microsoft Support Lifecycle
KB957006 - Microsoft server software and supported virtualization environments
KB897614 - Windows Server System software not supported within a Microsoft Virtual Server environment
KB867613 - Microsoft Virtual Server support policy
KB897615 - Criteri di supporto per i prodotti software Microsoft in esecuzione con software di virtualizzazione dell'hardware di terze parti
Security Considerations with Forefront Edge Virtual Deployments
Windows Server Virtualization Validation Program (SVVP)

Etichette: , ,

posted by Luca Conte MCSE MCT MCSA VCP @ 17:27   0 comments

sabato, novembre 29, 2008

Installare Network Monitor (Step-by-Step)

In questo post vedremo come installare la versione di Microsoft Network Monitor disponibile in forma nativa con la versione server di Windows. La versione di Windows a cui farò riferimento è la 2003 R2 SP2.

IMPORTANTE: In tutti i casi in cui vi troviate ad utilizzare un analizzatore di protocollo, o strumenti di diagnosi di rete, verificate sempre, sempre, sempre di essere autorizzati per il loro uso e di NON violare la privacy dei vostri utenti!!


Dove è necessario installare Network Monitor? Ovunque abbiamo la necessità di analizzare il traffico. Preferibilmente su una postazione dedicata al monitoraggio da connettere, all'occorenza, alla rete interna o esterna. Solo in caso di vera necessità installiamolo sulla macchina ISA Server. 

IMPORTANTE: Verificate di avere disponibili il CD/DVD o share contenente i file di installazione di Windows Server. Saranno rischiesti allo step 5.

00 1. Andare su Start | Control Panel | Add or Remove Programs
2. Fare clic su Add or Remove Windows Components 01
02 3. Selezionare Management and Monitoring Tools e poi fare clic su Details
4. Selezionare Network Monitor Tools e poi fare clic su OK 03
04 5. Fare clic su Next per avviare l'installazione. Quando richiesto indicare la posizione dei file di installazione di Windows Server.
5. Fare clic su Finish per completare l'installazione. 06

Possiamo verificare la corretta installazione di Microsoft Network Monitor andando a visualizzare le proprietà del TCP/IP della connessione di rete. Sarà presente un nuovo driver di rete Network Monitor Driver.

07

Possiamo lanciare Microsoft Network Monitor da Start | All Programs | Administrative Tools | Network Monitor

08

Appena lanciamo Network Monitor è necessario indicare l'interfaccia di rete da utilizzare per l'acquisizione del traffico. Facciamo clic su OK e selezioniamo l'interfaccia di rete da utilizzare (questa potrà essere cambiata anche in un secondo momento).

IMPORTANTE: L'interfaccia di rete, per essere utilizzabile da Network Monitor, deve supportare la modalità promiscua.

09 10


A questo punto il nostro Network Monitor è installato e pronto all'uso.

11 12

 

Mi auguro che questo post vi sia utile.
Per domande e commenti scrivete tranquillamente sul forum di ISAserver.it.

Luca

Etichette: , ,

posted by Luca Conte MCSE MCT MCSA VCP @ 15:53   0 comments

sabato, novembre 01, 2008

Unable to retrieve data from: JMP-ISA02

Credo che sia capitato a molti di scontrarsi con un problema legato alla sincronizzazione della configurazione fra il CSS ed i nodi ISA Server. Ovviamente stiamo parlando della versione Enterprise. Di seguito vi illustro una situazione che genera questo tipo di errore con relativa soluzione.  Come sempre la disattenzione crea solo problemi...

Consideriamo una infrastruttura Enterprise con ISA Server 2006 EE SP1 costituita da 1 CSS, 2 Nodi ISA e 1 DC.
image

Tutti i server sono membri del dominio corp.isaserver.it:
JMP-DC  :  Domain Controller
JMP-CSS : Configuration Storage Server e ISA Management
JMP-ISA01 : Nodo 1 ISA Server 2006 SP1
JMP-ISA02 : Nodo 2 ISA Server 2006 SP1

Nota: Chi ha partecipato ad ISA Server Jumpstart conosce bene queste macchine!!

I nodi JMP-ISA01 e JMP-ISA02 sono configurati con 3 NIC: 1 - LAN, 1 - HB, 1 - WAN
JMP-DC e JMP-CSS sono configurati con una sola NIC.

Le interfacce di JMP-ISA01 sono configurate nel seguente modo

LAN    
image image image

WAN    
image image image


Al termine della installazione e configurazione dell'Array tutto funziona correttamente, NLB ecc. Lanciando la Management Console si vedono chiaramente i due nodi in linea:

image

Per un qualunque motivo ci troviamo a dover modificare la configurazione delle interfacce di rete LAN e WAN. In questo caso dobbiamo scambiare la configurazione della LAN con quella della WAN su entrambi i nodi. Al termine del processo di scambio, lanciando la Management Console su JMP-CSS, solo uno dei due nodi risulta, online.

image
L'aspetto curioso è che se lanciate la Management Console da JMP-ISA01 o JMP-ISA02 i nodi risultano in linea (come difatto erano). Le modifiche fatte alla configurazione dell'array sono comunque propagate a JMP-ISA02. L'array funziona correttamente, l'NLB funziona correttamente...insomma è tutto funzionante, solo che per JMP-CSS il nodo JMP-ISA02 non è in linea. Questo pone un problema durante la fase di Monitoring in quando, essendo non in linea per JMP-CSS, non posso analizzare i log di JMP-ISA02 da JMP-CSS. L'unica soluzione sarebbe andare direttamente su JMP-ISA02...ma non e' una soluzione.

Da JMP-CSS lanciando un ping verso JMP-ISA02 (il nodo che è visto fuori linea) si ottiene un risultato che svela l'arcano (errore):

image

Dal reply risulta infatti che JMP-ISA02 è risolto via NETBIOS e non via DNS - tutti i nodi sono membri del dominio e sono configurati per usare il DNS -. JMP-ISA02 è invece risolto via NETBIOS. Controllando la zona corp.isaserver.it su JMP-DC è mancante il RR di JMP-ISA02.
Andando ad analizzare la configurazione del TCP/IP dell'interfaccia di rete LAN di JMP-ISA02 risulta mancante proprio il flag su Register this connection's addresses to DNS. Non è stato settato durante lo scambio di configurazione fra le interfacce LAN e WAN. Sulla WAN infatti non deve essere configurato, sulla LAN invece Sì.

image 

A questo punto, abilitato il flag sulla interfaccia LAN e registrato JMP-ISA02 sul DNS con un bel ipcoconfig -registerdns il problema si è magicamente risolto. Infatti da JMP-CSS lanciando la ISA Management console i due nodi risultano nuovamente in linea.
Nota: Per vedere immediatamente gli effetti su JMP-CSS è necessario lanciare un ipconfig -flushdns, chiudere e aprire la ISA Management Console.

image

La lezione imparata da questa situazione è la seguente: Registrare tutte le modifiche fatte alla configurazione dei nodi ed in particolar modo le impostazioni del TCP/IP legate alla registrazione del nome host sul server DNS. 

Quindi:

1. Controllare la zona primaria per verificare l'esistenza del RR che punta al nodo fuori linea

2. Verificare che il flag Register this connection's addresses in DNS sia impostato per tutte le interfacce LAN dei nodi dell'array.

Ancora una volta il DNS dimostra la sua grande importanza.

Domande e commenti sul forum di ISAserver.it

Luca

Etichette: , ,

posted by Luca Conte MCSE MCT MCSA VCP @ 18:17   0 comments