Standard 32bit 2003 Server mit ISA 2006 verkonfiguriert?

[ScoutX]

Problem: Der ISA Server auf einem Standard 2003 R2 32bit System (mit allen Updates und Sp2) soll und muss als Proxyserver herhalten und HTTP als auch andere Protokolle überwachen.
Dieser Server ist nur ein Proxyserver. Es existieren weitere 32bit Standard 2003 Server inklusive des Domänenkontrollers.
Es wurden in den Firewallrichtlinien des ISAs URLs und Domänen in eine Blackliste aufgenommen. Firewallrichtlinienreihenfolge an zweiter Stelle.
Diese Richtlinie gilt für alle Benutzer.
ABER: Benutzer mehrer Gruppen einer Domäne, so auch Domänenadmins wurden in die Ausnahme eingetragen. Ich schrieb, die Richtlinie gilt für alle Benutzer, denn die Ausnahmen werden nicht akzeptiert.
Der einzige Workaround besteht darin, eine spezifische IP in den Verbindungen im Internen Netzwerkverkehr auszunehmen. Wenn man sich dann lokal mit dieser IP und nur lokal, nicht in der Domäne anmeldet, kann man ohne Einschränkungen außerhalb und innerhalb des Netzwerkes über http arbeiten. Innerhalb der Domäne mit der Ausnahme-IP funktioniert es nicht. Ohne Ausnahme-IP und lokaler Anmeldung besteht das Problem auch.

Der ISA Server blockt momentan sogar die Weboberfläche der internen Netzwerkdrucker, obwohl die IPs weder in den Blacklists auftauchen und ich die Domäne als auch die IPs/URLs (unnötigerweise) sogar zu den Ausnahmeseiten eingetragen habe.

Weitere Firewallrichtlinien sind die standardmäßigen Richtlinien 3 und 4, für die Fälle, in der die ersten zwei Regeln nicht greifen. Regel 1 wurde praktisch alles von mir zugelassen und nichts blockiert.

Der Proxyserver steht zwischen dem DSL-Router und dem Backbone des restlichen Domänennetzwerks. Der Proxyserver wird als Standardgateway missbraucht. Die Domäne besteht aus rund 80 Rechnern / Geräten in einem Klasse A Netzwerk ohne IP Änderungen.
DHCP wird nicht benutzt.

Ich muss ISA benutzen, obwohl ich gerne Squidguard einsetzen würde. Befehl von oben.

Zigmaliges Übernehmen der Einstellungen, als auch diverse Neustarts haben nichts gebracht.
Es hat den Anschein, dass ISA die Domänenuser nicht innerhalb der Ausnahmeeinstellungen als Objekte verwalten will. Ich habe sowohl Einzeluser, Gruppen als auch Übergruppen als Ausnahme eingetragen (über Suchfunktion eingefügt). Kein Erfolg. Die Ausnahmen stehen zwar syntaxkonform im Fenster und der ISA-Server hat diese Einstellungen auch übernommen, dass war es dann auch. Es wird weiterhin fleißig alles geblockt und vor allem mehr als in den Blacklists enthalten ist.

 

[Frightener]

Kannst Du mal einen Screenshot der Regeln posten? Ich blicke da bei Dir nicht so ganz durch

 

[ScoutX]

Screenshots erst am Montag möglich. Werde den Beitrag dann entsprechend editieren.
http://technet.microsoft.com/de-de/library/bb794787(en-us).aspx
hat bisher nicht geholfen.

 

[Sommerzeit]

Bitte schick uns auch mal das LOG... eventuell kann man hier sehen welche Regel greift...

Grüße,
Sommerzeit

 

[ScoutX]

Ich habe selbst einige Testlogdurchläufe angestellt und einige Systemrichtlinien umgeschrieben, insbesondere den Http Eintrag erweitert.
Ich habe noch keine Screenshots angefertigt, da ich erst einmal schauen will, ob diese nun greifen.
Der Isa Server scheint die merkwürdige Angewohnheit zu haben, erst nach mehreren Tagen, Richtlinien vollständig umzusetzen.
Interessant ist z.B. der Fall, dass die besagten IP Adressen/ Computer, die ich in der Firewallregel für HTTP Verkehr ins Internet ausgenommen habe, nun auch mit allen Domänenaccounts ohne Probleme funktionieren, so auch die Weboberfläche der Netzwerkdrucker.
Konkret geändert hatte ich bis dato nichts.
Benutzer- oder Gruppenausnahmen funktionieren trotzdem noch nicht. Die Benutzer werden aber im Log als Mitglieder der Domäne ausgewiesen.

Auch sind immernoch einige Seiten zerstückelt, wie http://www.adobe.com/shockwave/welcome/
Der Log zeigt mir zwar Fehler an. Die Ursache konnte ich aber auch noch nicht beseitigen.
Es scheinen desweiteren häufig, aber nicht immer Fehler im Netbiosdienst aufzutreten.

Wenn sich morgen irgendein Fehler konkretisiert, gibt es an der Stelle ein Update.

 

[ScoutX]

Ein Update als 2. Post:

Experimente mit dem ISA Server ergeben für mich deutlich, dass dieses Programm erstens sehr langsam ist (selbst bei wenigen Blacklisteinträgen unter 10000 Gesamteinträgen), jede übernommene Einstellung praktisch die ganzen ISA Serverkonfigurationen neu einliest und dabei ewig braucht (10 Minuten und mehr) und in derzeit auch die Internetverbindung nicht möglich ist. Zweitens scheint die SQL Datenbankstruktur sehr inkonsistent, was äußerst ärgerlich ist. Drittens sind die Ex- und Importfunktionen alles andere als glücklich.
Einen vollständigen Export der Gesamtkonfiguration des aktuellen Systems scheint nicht möglich (512 MB Arbeitspeicher Pentium IV 2 GHz) und wird mit 100% CPU Last und maximaler Speicherlast quittiert - keine Rückmeldung nach 45 Minuten.

Ich selbst konnte die "berühmten" Interner Serverfehler 50 erzeugen und eine externe Webseite komplett nicht mehr zum Laden bringen - unabhängig von jeglicher Cache(de-)aktivierung und Firewallrichtlinien.
Vorgehen war mehrmaliges Laden der Webseite im FF 3.0.7 innerhalb eines kurzen Zeitraumes. Da diese Webseite einen Expired Header hatte, schaffte es der ISA Server diese Webseite ins Nirvana der SQL Datenbank abzulegen, da anscheinend zu dem Zeitpunkt der Cache belegt war und ein Schreiben der Cacheinformationen fehlschlug. Ein Zurücksetzen , deaktivieren oder Löschen des Caches oder anderer Richtlinien (Firewall, HTTP Komprimierung, http zu HTTPs Umleitung) half nichts. Neustart der Systemdienste oder Neustart des gesamten PCs auch nichts. Diese Webseite ist bis heute nicht erreichbar mit besagten internen Fehler.
Amerikanische Foren sprechen von Hidden Stuff: Unerreichbaren, nicht sichtbaren und nicht resettbaren SQL Einträgen.
Zumindest kann ich jedem nur raten, den Webcache nicht zu aktivieren, da mit dieser Funktion allerhand Fehler einhergehen, die ich bewusst provozieren konnte.
Sollte sich so ein Fehler bei wichtigen Seiten einstellen = Neuinstallation.

Zu den Weboberflächen der Drucker: Bei dieser Einstellung sollte man konkret Gesamten Datenverkehr intern zu intern als neue Richtlinie zulassen oder anstatt des gesamten Datenverkehrs zumindest die Drucker in diese Richtlinie hinzufügen. Obwohl ich dachte, die Lösung im vorherigen Post gefunden zu haben, ist nur diese Lösung von Dauer.

Die Adobeseite wurde durch eine "beschädigte" importierte URL Blackliste zerstört, die vom Vorgesetzten stammte. Habe ich die besagte Liste aus der Datenquelle mittels vbs selbst neu als XML erzeugt und importiert, lief diese Seite wieder. Ein Vergleich der beiden XML Dateien ergab keine relevanten Unterschiede (Hidden Stuff im ISA).

Benutzerregeln auf Active Directory Basis funktionieren immer noch nicht. Das Active Directory wird erkannt. Im Abfrageprotokoll tauchen die Benutzer auch als Domänenuser auf, Regeln können nicht darauf angewendet werden.

Fazit bis jetzt: Elendig träges System, bei einem zwar nicht taufrischen aber auch nicht allzuschlechtem Computer, der nichts anderes machen sollte, als den ISA-Server zu verwalten. Die Mindestanforderung scheint bei Benutzung von größeren XML Importen (Blacklisten etc.) exponentiell anzusteigen. Arbeitspeicher und Festplattenperformance sollten wohl deutlich besser sein, als der jetzige PC aufweisen kann.