Virtualizzare ISA Server in produzione è possibile

Qui di seguito sono riportate le configurazioni virtualizzate supportate da Microsoft con Microsoft Virtual Server 2005 R2 :

ISA Server 2000 – Non supportato*.
ISA Server 2004 – Non supportato*.
ISA Server 2006 – Supportato ma con limitazioni**.

(*) Non supportato anche quando è parte di una installazione SBS Premium Edition. SBS PE è supportato in ambienti virtualizzati solo quando ISA Server non è parte dell'installazione - KB840319 -.

(**)Non sono supportate le configurazioni di tipo Edge, con ISA Server 2006 sulla frontiera. Sono invece supportate configurazioni dove sia presente un altro firewall - es. un altro Microsoft ISA Server - non virtualizzato a protezione della frontiera. Configurazioni supportate:
• Forward Proxy.
• Web e Server Publishing.
• Caching.

Osservazioni:
Anche se non espressamente indicato è logico dedurre che non sia supportata anche la configurazione che prevede l’installazione di ISA Server 2006 come firewall di backend in una installazione Back-to-Back (segue approfondimento!).


Update del 5.6.07:
La topologia di rete Edge - da non confondere con il Template di ISA Server - prende in considerazione i seguenti scenari:
- Edge: ISA Server connesso con una interfaccia alla rete Internal e l'altra connessa alla rete External.
- Back-to-Back:
Front End - ISA Server connesso con una interfaccia alla rete External e l'altra connessa alla rete Perimetrale (DMZ).
Back End - ISA Server connesso con una interfaccia alla rete Perimetrale (DMZ) e l'altra connessa alla rete Internal.
- Three-Legs: ISA Server con almeno tre interfacce, una connessa alla rete External, una connessa alla rete Perimetrale (DMZ) e l'altra connessa alla rete Internal.

Quindi la mia osservazione è confermata! Non è supportata la configurazione che prevede l’installazione di ISA Server 2006 come firewall di backend in una installazione Back-to-Back.

Di seguito l'estratto dal documento ufficiale Microsoft:
"...
Network Topology Considerations
ISA Server is commonly used in the following network topologies:
• Edge configuration.
This includes the following topologies:
• ISA Server protecting the edge, with one adapter connected to the Internal network, and the other connected to the External network.
• A back-to-back configuration, with ISA Server as the front firewall protecting the edge, with an adapter connected to the External network and an adapter connected to a perimeter network. A back-end firewall (which may be ISA Server or a third-party product) configured between the perimeter network and the Internal network.
• A three-legged configuration, with ISA Server configured with three network adapters connected to the Internal network, the External network, and a perimeter network.
..."
fonte:
Microsoft Technet
**********
Al momento il supporto prende in considerazione solo Microsoft Virtual Server 2005 R2 e non altri ambienti di virtualizzazione come VMWare Server o ESX Server.

Di seguito il comunicato ufficiale in lingua inglese:
“....
ISA Server Support in a Virtual Environment
Problem: ISA Server 2004 is not supported in a virtual environment. ISA Server 2006 is supported in specific scenarios.
Solution: Installation of ISA Server 2006 on Microsoft Virtual Server 2005 R2 is supported. However, when ISA Server 2006 is running on a virtual server, it cannot protect the Windows operating system that hosts the Virtual Server software. With Virtual Server, ISA Server should not be used in an edge firewall scenario, and this configuration is not supported. You can use this configuration securely in other scenarios, for example:
• A laboratory deployment.
• A production environment in which ISA Server 2006 on Virtual Server provides Web proxy services such as forward proxy, publishing, and caching, and is protected by an edge firewall such as an additional ISA Server computer or array.
• There is no workaround for ISA Server 2004.
...”

Riferimenti:
Troubleshooting Unsupported Configurations in ISA Server
KB840319
KB897614
ISA Server Team Blog
Microsoft Virtual Server 2005 R2
Microsoft ISA Server 2006

Buon Lavoro con ISAServer.it
Luca