martedì, novembre 28, 2006

ISA Server 2006 in ITALIANO

A differenza di ISA Server 2000 e 2004 la nuova versione di ISA Server è disponibile anche in lingua italiana.
ISA Server 2006 è stato localizzato anche nelle seguenti lingue:

  • Tedesco
  • Francese
  • Spagnolo
  • Russo
  • Koreano
  • Giapponese
  • Portoghese (Brasiliano)
  • Cinese (Semplice e Tradizionale)

Per chi ha l'abbonamento al Technet PLUS troverà nell'ultima spedizione anche la versione di ISA Server 2006 localizzata.

Personalmente utilizzo sempre la versione di Windows, e di tutti gli applicativi Server, in lingua inglese ma è innegabile che una versione localizzata ha maggiori capacità di penetrazione in un mercato difficile come quello dei prodotti di sicurezza.

Anche noi adesso abbiamo il nostro ISA Server in italiano!

Buon lavoro con ISAServer.it
Luca 

lunedì, novembre 20, 2006

ISA 2006/2004 Connectivity Tasks (2a Parte)

Nella prima parte abbiamo visto sia come funzionano i connectivity verifier sia come crearli e configurarli.

In questo seconda parte vedremo uno scenario dove è possibile impiegare i connectivity verifier per monitorare i server ed i servizi necessari per il corretto funzionamento della nostra infrastruttura.

Tutto dalla consolle di ISA Server.

Scenario
PMI manifatturiera con sedi distribuite sul territorio connesse con la sede centrale via VPN.

E' presente un unico dominio Windows Server 2003, server di posta Exchange Server 2003 e server Web contenente il sito web aziendale.

Sono presenti altri server Windows Server 2003 distributi nella infrastruttura ed altri apparati IP - es. Linux Box - che non appartengono al dominio.

L'obbiettivo è quello di mettere in grado l'amministratore  di ISA Server e della infrastruttura rilevare ed intervenire tempestivamente in caso di avaria di servizi IP - server o apparati - necessari per il corretto funzionamento dell'infrastruttura. Il tutto senza ricorrere a tool terze parti.

Di seguito lo schema:

Tutto questo è possibile ottenerlo configurando opportunamente i connectivity verifier.

Vediamo quali sono i ruoli dei vari server:
Main Site
FW01: Windows Server 2003 Std.Edt. - ISA Server 2006 Std.Edt - Firewall, Cache Server.
DC01: Windows Server 2003 Standard Edt.- Domain Controller, DNS Server, DHCP Server
EX01: Windows Server 2003 Std.Edt. - Exchange Server 2003 Std. Edt. - Mail Server
FS01: Windows 2000 Server - File Server
PR01: Windows NT4 Server - Print Server
R01: Router Cisco- VPN Site-to-Site (VPN01,VPN02)

DMZ
WEB01: Windows Server 2003 Std.Edt. - Web Server Aziendale

Remote Site 01:
DC02: Windows Server 2003 Std.Edt. - Domain Controller, DNS Server, DHCP Server
LX01: Linux Box
R02: Router Cisco - VPN Site-to-Site (VPN01)

Remote Site 02:

FS02: Windows 2000 Server - File Server
R03: Router Cisco - VPN Site-to-Site (VPN02)

Internet:
WEB02:
Windows Server 2003 Std.Edt. - Web Server Aziendale Pubblico in housing presso l'ISP.

Utilizzando le categorie dei connectivity verifier possiamo raggruppare i vari server e apparati IP nel seguente modo:

Active Directory:
DC01, DC02
DHCP: DC01,DC02
DNS: DC01,DC02
Published Servers: EX01,WEB01
Web(Internet): WEB02
Others: R01,R02,R03, LX01,FS01,FS02

Vediamo quanti Connectivity verifier creare e quali metodi usare per ciascun server e/o apparato IP:

DC01*: 3 Connectivity verifier - TCP: LDAP, DNS - PING
DC02*: 3 Connectivity verifier - TCP: LDAP, DNS - PING
EX01**: 1 Connectivity Verifier - PING
WEB01: 1 Connectivity Verifier - HTTP GET
WEB02: 1 Connectivity Verifier - HTTP GET
R01: 1 Connectivity Verifier - PING
R02: 1 Connectivity Verifier - PING
R03: 1 Connectivity Verifier - PING
LX01: 1 Connectivity Verifier - PING
FS01: 1 Connectivity Verifier - PING
FS02: 1 Connectivity Verifier - PING

[*] Non è presente un metodo specifico per testare il funzionamento del servizio DHCP. In questo caso implementiamo il metodo PING ed associamo DC01 al group type DHCP.

[**]
potremmo effettuare verifiche sulle porte POP3,IMAP4,NNTP,SMTP ed anche HTTP. Dobbiamo tener presente pero' che occorre un Connectivity Verifier per ciscuna porta/servizio monitorato. In questo caso ci occorrerebbero, per il server EX01, almeno 5 connectivity verifier.

Seguendo le indicazioni sulla creazione dei connectivity verifier nella prima parte di questo articolo e le informazioni qui riportate possiamo procedere alla loro implementazione. Di seguito vediamo i parametri di configurazione del connectivity verifier per il solo DC01:
 
DC01
1° Connectivity verifier

Connectivity Verifier Name: M-DC01-AD
Monitor...this server or URL: <IP-DC01>
Group Type: Active Directory
Verification method: TCP Connection : LDAP

2° Connectivity verifier
Connectivity Verifier Name: M-DC01-DHCP
Monitor...this server or URL: <IP-DC01>
Group Type: DHCP
Verification method: PING

3° Connectivity verifier
Connectivity Verifier Name: M-DC01-DNS
Monitor...this server or URL: <IP-DC01>
Group Type: DNS
Verification method: TCP Connection : DNS

Utilizzando le indicazioni presente in questo articolo possiamo proeguire con la creazione e configurazione di tutti i connectivity verifier necessari per monitorare, dalla consolle di ISA Server,  la disponbilità di rete dei server e servizi dell'intera infrastruttura.
Al termine del lavoro dovremo aver creato 15 connectivity verifier distribuiti nei sei group type.

Nella Dashboard della Consolle di amministrazione di ISA Server ci troveremo una situazione di questo tipo:

 

In questo articolo abbiamo visto un possibile uso dei connectivity verifier. Nel prossimo articolo vedremo come controllarne, via script, il comportamento analizzandone, al contempo, i limiti.

Buon lavoro con ISAServer.it
Luca Conte

sabato, novembre 18, 2006

Installare ISA Server 2006 VHD (1a Parte)

Prima di scaricare ed utilizzare il disco virtuale (VHD) di ISA Server 2006 è necessario verificare che sul proprio sistema sia installato:

  1. Windows Server 2003, Windows Server 2003 R2 EE (32bit)
  2. Virtual Server 2005 R2

Requisiti HW aggiuntivi per poter utilizzare il VHD
HD: > 10GB
RAM*: > 512MB
La quantità di RAM è solo quella necessaria per poter eseguire la macchina virtuale.

Download del disco virtuale [clic qui]
Per poter installare il disco virtuale (VHD) di ISA Server 2006 è necessario scaricare gratuitamente dal sito Microsoft tre file:

  1. WS03R2EE_ISA.part1.exe (700MB)
  2. WS03R2EE_ISA.part2.rar (700MB)
  3. WS03R2EE_ISA.part3.rar (128.7MB)


Per il donwload è consigliata la registrazione ma NON E' obbligatoria.

Creiamo una cartella sul notro disco locale dove salveremo i file scaricati - es. C:\ISA2006VHD -.

Generare il file VHD
Per poter ottenere il file VHD è necessario decomprimere e combinare il contenuto dei tre file.

Possiamo iniziare il processo di decompressione e combinazione dei file facendo clic sul file eseguibile WS03R2EE_ISA.part1.exe.

E' necessario che siano disponibili tutti e tre i file scaricati, in caso contrario il processo di decompressione e combinazione non andrà a buon fine. Il processo di decompressione e combinazione è del tutto automatico.

Nel prossimo post vedremo come utilizzare il disco virtuale con Virtual Server 2005 R2.

Buon lavoro con ISAServer.it
Luca Conte

venerdì, novembre 17, 2006

ISA Server 2006 su disco Virtuale VHD

Fra le novità del mese di novembre che vale davvero la pena di segnalare nel blog abbiamo il VHD Test Drive Program. L'obiettivo di questo programma è quello di semplificare notevolmente il processo di installazione e configurazione del software di valutazione di casa Microsoft.

Fino ad oggi per poter provare un qualunque prodotto Microsoft - es. ISA Server 2006 - era necessario:

  1. Scaricare il programma di installazione
  2. Installarlo (correttamente)
  3. Configurarlo (correttamente)
  4. Testarlo

I passi 2. e 3. potevano nascondere qualche bella sorpresa - es. incompatibilita' con driver o errata configurazione del prodotto -. Tutto questo si traduceva in ore di lavoro sprecate solo per poter provare il software.

Adesso, per alcuni prodotti, possiamo mettere la parola FINE a questo tipo di approccio.

Per poter testare un prodotto adesso basta avere Virtual Server 2005 R2 (Gratuito) e scaricare il disco virtuale del software di valutazione (Gratuito) - es. ISA Server 2006 - ed il gioco è fatto.

La procedura adesso sarà

  1. Scaricare il disco Virtuale (VHD)
  2. Testarlo in Virtual Server 2005 R2

Di seguito l'elenco dei sistemi di valutazione disponibili come Dischi Virtuali (VHD):

ISA Server 2006 
Exchange Server 2007
SQL Server 2005
Windows Server 2003 R2

Adesso realizzare un ambiente di test con ISA Server 2006 è davvero semplice e veloce. Cosa aspettate?

Buon Lavoro con ISAServer.it...
Luca Conte

domenica, novembre 12, 2006

ISA 2006 - Versioni, costi e piani di sconto

ISA Server 2006 è disponibile in due Versioni:
  • Standard
  • Enterprise
la differenza fra i due prodotti è sostanziale, sia dal punto di vista tecnico che economico.

ISA Server 2006 Standard - monoprocessore - costa: 1740 Euro + IVA
ISA Server 2006 Enterprise - monoprocessore - costa: 6850 Euro + IVA

fonte:
Microsoft Italia

Questi sono prezzi per l'utente finale.

Per ulteriori informazioni - es. programmi di sconto - Fai clic qui.

giovedì, novembre 09, 2006

ISA 2006 - Microsoft, Guida di Valutazione (ITA)

E' disponibile nell'area Download di Microsoft la Guida di Valutazione per ISA Server 2006. Il documento di ca. 90 pagine è in italiano.

Download: ISA Server 2006: Evaluation Guide

Di seguito riporto le categorie in cui è suddiviso il documento:

"...

Pubblicazione protetta delle applicazioni
ISA Server 2006 offre un controllo maggiore sulle risorse della Intranet, che vengono rese meglio disponibili agli utenti a vantaggio della produttività. Protegge inoltre le applicazioni, i servizi e i dati aziendali a tutti i livelli della rete con funzionalità stateful inspection dei pacchetti, filtri a livello di applicazione e strumenti di pubblicazione completi.

Gateway di filiale

ISA Server 2006 consente di semplificare il lavoro di amministratori e utenti con un’architettura firewall e VPN unificata, la gestione della cache Web e della larghezza di banda, un firewall e un motore di filtro ottimizzati e un controllo degli accessi completo.

Protezione dell’accesso al Web

ISA Server 2006 contribuisce alla protezione dell’accesso al Web grazie all’architettura ibrida proxy/firewall, alla granularità dei criteri, all’ispezione approfondita dei contenuti, all’ampia disponibilità di avvisi e alle funzionalità di monitoraggio.

Appendice A

In questa sezione vengono illustrati concetti e argomenti generali non direttamente collegati ai tre scenari principali presentati nel documento.

Appendice B

In questa sezione vengono elencate e descritte brevemente le funzionalità di ISA Server 2006. Per ogni funzionalità viene anche indicato se sia nuova, migliorata o equivalente a una funzionalità esistente in ISA Server 2004.

Appendice C

In questa sezione viene descritto come iniziare a utilizzare ISA Server 2006. Vengono ad esempio elencati i requisiti del sistema e della rete e i percorsi di aggiornamento da ISA Server 2004.

Appendice D

In questa sezione viene descritta l’architettura di ISA Server 2006.

Appendice E

In questa sezione sono elencati collegamenti a ulteriori informazioni relative a ISA Server.
..."

fonte: Guida alla valutazione di Microsoft ISA Server 2006

Buon lavoro con ISAServer.it...

Luca

ISA Server 2004 Appliance (Hardware)

Rimango sorpreso nell'incontrare professionisti IT che implementano infrastrutture basate su tecnologia Microsoft e non sanno che ISA Server 2004 è disponibile anche come Appliance.

HP ProLiant DL320

Rimangono sorpresi nello scoprirlo.
Quella che era la principale critica svanisce come neve al sole...incredibile, bastava davvero poco!

Delle operazioni fatte da Microsoft quella dell'Appliance per ISA Server è la piu' indovinata!

Parafrasando una frase che ricorreva spesso, almeno un tempo, sulle Autostrade, possiamo dire che ISA Appliance c'è, ed aggiungo, ...anche da un pezzo!.

L'elenco dei partner (ENG) che forniscono soluzioni hardware con ISA Server 2006/2004 è qui:

ISA Server Hardware Partners

ed approndimenti (ENG):

http://www.microsoft.com/isaserver/hardware/defaul...


sul sito Italiano abbiamo il link a Network Engines:

Soluzioni Hardware

Buon lavoro con ISAServer.it e gli Appliance

Luca

mercoledì, novembre 08, 2006

ISA 2006/2004 Connectivity Tasks (1a Parte)

Prendendo spunto da un mio recente post sul newsgroup italiano di ISA Server ho deciso di sviluppare, in una forma un pò più completa ed organica, il funzionamento dei Connectivity Verifier di ISA Server 2004/2006. 

Questa funzionalità permette all'amministratore di ISA Server di tenere sotto controllo, nella sezione  Connectivity Verifier del Dashboard, server web - interni o esterni -, servizi TCP - interno o esterni come Active Directory, DNS, DHCP - ed apparati TCP/IP - es. Router, Switch ecc. -. 

 
Il processo di creazione e configurazione di un Connectivity Verifier è molto semplice e veloce. L'intero processo di creazione è gestito dal Connectivity Verifier Wizard, avviabile, una volta selezionata la sezione Connectivity Verifiers, utilizzando il link Create New Connectivity Verifier nei Task.

 

Le principali informazioni che è necessario fornire sono:

  1. Host di destinazione.
  2. Metodo di test.
  3. Gruppo di appartenenza



Host di destinazione (Monitor Connectivity to this...)
E' identificato dalla URL - es. http://www.isaserver.it o www.isaserver.it - oppure dal nome NetBIOS - es. DC01 - o dall'indirizzo IP - es. 192.168.2.10, 80.10.10.0.1 -.
Possiamo inserire host interni - protetti da ISA Server -  o esterni -non protetti da ISA -. 
 
Metodo di test (Verification Method)
E' possibile scegliere fra tre metodi di test:

  1. HTTP GET
  2. PING
  3. TCP Connection

HTTP GET
Utilizza il protocollo HTTP per interrogare l'host di destinazione. La porta di destinazione è quella di default. Il metodo GET è utilizzato per repurerare la pagina di default. Il traffico generato da questo connetivity verifier è riconoscibile dal fatto che l'header HTTP contiene, nella sezione User-Agent, la seguente stringa:

Mozilla/4.0 (ISA Server Connectivity Check)


Network Traffic HTTP Connectivity Verifier 

PING
Utilizza il protocollo ICMP per testare la raggiungibilità dell'host. Il funzionamento è lo stesso del comando ping a linea di comando:

C:\>ping host_di_destinazione 

Se l'host di destinazione non è raggiungibile e/o non risponde - es. firewall che bloccano il traffico ICMP o crash dell'host - il connectivity verifier va in Timeout.

TCP Connection
Il metodo TCP Connection prevede la sola creazione della connessione TCP (3-way handshake) e la sua immediata chiusura.

 
Utilizzando la definizione dei protocolli presenti in ISA Server - anche quelli User defined - è possibile verificare, sull'host di destinazione se la porta utilizzata dal protocollo è aperta.
Se per qualche motivo - es. crash del servizio, blocco da parte di firewall - la porta non è contattabile il connectivity verifier va in Timeout.

Gruppo di Appartenenza (Group Type)
Possiamo decidere di inserire il nostro connectivity verifier in uno dei sei gruppi predefiniti:

  1. Active Directory
  2. DHCP
  3. DNS
  4. Others
  5. Published Servers
  6. Web (Internet)

Di default i connectivity verifier entrano a far parte del group type di tipo Web (Internet).

IMPORTANTE:

L'appartenenza ad un gruppo condiziona, in caso di Time out del singolo connectivity verifier, lo stato dell'intero gruppo.

Quindi è preferibile organizzare coerentemente i connectivity verifier creati. Al group type di tipo Web (Internet) apparterranno i connectivity verifier che tengono sotto controllo i servizi Web, nel group type Active Directory i connectivity verifier che tengono sotto controllo il servizio di directory - i domain controller - ecc.

Una volta creato il Connectivity verifier questo entra subito in funzione effettuando sull'host definito il test selezionato. Se l'esito del test è positivo, verrà visualizzato un segno di spunta bianco su sfondo verde; in caso contrario una croce bianca su sfondo rosso.

In quest'ultimo caso sarà generato un Alert - impostazione di default - registrato nella sezione Alters di ISA Server. L'amministratore di ISA visualizzerà, nella sezione Connectivity Verifiers del Dashboard, lo status di NO CONNECTION alla destra del group type a cui appartiene lo specifico connectivity verifier. In tutti gli altri casi avrò uno status GOOD - test passati - oppure NOT CONFIGURED - nessun connectivity verifier appartiene al gruppo -.

 

Buon Lavoro con ISAServer.it

domenica, novembre 05, 2006

Qualche aggiornamento su ISAServer.it

Lo ammetto, il tempo per lavorare sul Layout di ISAServer.it è sempre molto poco...comunque il materiale comincia ad essere prodotto.

Intanto è stato tradotto il primo articolo di ISAServer.org, scritto da Jim Harrison (www.isatools.org). Il titolo dell'articolo è "Progettare una soluzione con ISA Server in reti complesse".

Questo articolo risulterà particolarmente utile a tutti quegli amministratori che si trovano a dover gestire reti periferiche il cui traffico Internet deve essere convogliato verso ISA Server. La lettura comunque è vivamente consigliata anche a tutti gli amministratori alle prime armi.

Oltre all'articolo di Jim Harrison è presente anche il primo articolo di Giulio Martino, membro del forum di ISAServer.it. L'oggetto dell'articolo è il redirect del traffico HTTP/HTTPS di OWA; la versione di ISA a cui fa riferimento è la 2000.

L'elenco completo degli articoli lo trovate alla pagina web:

http://www.isaserver.it/articoli.htm

Nel Forum di ISAServer.it è possibile inoltre postare domande sugli articoli pubblicati così come proporre un vostro articolo. Un filo diretto con gli autori. Per poter accedere al forum Caffè con gli Autori è necessario registrarsi sul forum di ISAServer.it.

Buon lavoro a tutti con ISAServer.it...