Remove From My Forums

Ferramenta de monitoramento - ISA Server

Pergunta
0

Entrar para Votar

Prezados, boa tarde.

A ferramenta de monitoramento do ISA 2006 em muitos casos não mostra a URL que o usuário tentou acessar. Gostaria de entender mais sobre a ferramenta como o que significa os diversos Initiated Conection e Closed Conection, a ausência das URLs, a ausência do nome de usuário mesmo nos casos em que o ISA Client está instalado na máquina, ausência da rule utilizada naquele Initiated ou Closed ou até mesmo Denied, etc. Preciso obter entendimento completo sobre a ferramenta de forma que eu possa realmente saber detalhes dos acessos.

Desde já agradeço pelas sempre interessantes dicas que estão por vir.

Abraços,
Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.

quarta-feira, 23 de setembro de 2009 18:12

Responder

|

Citação

Respostas

1

Entrar para Votar
Fazzani,

Mais uma vez agradeço pela prestatividade.

No caso dos nomes de usuários, minha regra é aplicada a um grupo específico, criado para acesso limitado e apenas para este grupo. Agora pergunto, se no DHCP da minha rede há um apontamento para o gateway direcionando para o ISA e fornecendo essa informação às placas de rede das estações e ainda por cima o cliente do ISA configura o navegador para usar o proxy (ISA) como fica o cliente? Secure NAT, Firewall Client ou Proxy Client? Já que isso faz diferença na autenticação...

Initiated Conection - Esta dúvida me veio porque há vários destes no Log seguidamente para o mesmo servidor e porta mas não possui URL. Idem para o Closed Conection. Não deveria aparecer a URL que o sujeito está tentando navegar? Eu fui até a estação dele, achei uma janela do IE com um Google aberto (pesquisa google) e enquanto monitorava ao vivo dei um refresh na página. Só apareceu no log o tal do Initiated Conection, sem a URL que estava aberta.

Ausência de URL - fiz algumas alterações seguindo o tutorial que me passou e amanhã posto os resultados.

Forte abraço
Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
Respondendo a primeira pergunta, se seu DHCP informa quem é o Gateway apontando para o ISA, os cliente serão automaticamente um cliente Securenat do ISA (para esses tipos de cliente o ISA não autentica, ou seja, todas as regra tem que ser all user), porém se você configurar o browser do cliente o ISA ira entender agora para as requisições HTTP, HTTPS e FTP que esse cliente é um Web proxy cliente (nesse tipo de cliente o ISA autentica os clientes se a regra for para usuarios autenticados). Nesse caso cita a pouco, o clinte vira uma cliente misto, para requisições HTTP, HTTPS e FTP e sai como web proxy client, para os demais protocolos como dns, pptp, ele sai como securenat e a regra para saida desses protocolos tem que ser all users, pq o ISA não autentica securenat. Agora no caso do Firewall cliente, é só quando o estiver instalado o firewall client na maquina do usuario, e esse cliente ja configura o IE como sendo Web Proxy client (http, https, ftp) e os demais protocolos agora sai como firewall cliente e o ISA consegue autenticar esse tipo de cliente.

Segunda pergunta, então so aparecerá quando for uma requisição do tipo GET, ou seja, o Client deseja entra no SITE www.fazzani.com.br, ele esta fazendo um get, dai o ISA mostra isso no log, dai o ISA analisa as regras de firewall para ve se libera ou nega, se liberar então o ISA inicia a conexão e gera esse log Initiated Conection dai baixa tudo do site e fecha a conexão e gera o log closed conetion.

Tendeu.

No aguardo
Fazzani - MCP, MCSA, MCTS-ISA,VISTA
- Marcado como Resposta Luiz Mercante sexta-feira, 23 de outubro de 2009 18:42
quinta-feira, 24 de setembro de 2009 01:08

Responder

|

Citação
1

Entrar para Votar
Amigão, sim o Firewall client quando instalado, não vou usar o termo substitui o Secunat e sim, as requisições que antes saia por Securenat agora sai pelo Firewall client, e os HTTP e HTTPS sai por web proxy client.

Então initiated simplesmente é uma iniciação de conxão (transferencia de dados) only this man.

No aguardo
Fazzani - MCP, MCSA, MCTS-ISA,VISTA
- Marcado como Resposta Luiz Mercante sexta-feira, 23 de outubro de 2009 18:42
sexta-feira, 25 de setembro de 2009 18:44

Responder

|

Citação

Todas as Respostas

0

Entrar para Votar

Prezados, boa tarde.

A ferramenta de monitoramento do ISA 2006 em muitos casos não mostra a URL que o usuário tentou acessar. Gostaria de entender mais sobre a ferramenta como o que significa os diversos Initiated Conection e Closed Conection, a ausência das URLs, a ausência do nome de usuário mesmo nos casos em que o ISA Client está instalado na máquina, ausência da rule utilizada naquele Initiated ou Closed ou até mesmo Denied, etc. Preciso obter entendimento completo sobre a ferramenta de forma que eu possa realmente saber detalhes dos acessos.

Desde já agradeço pelas sempre interessantes dicas que estão por vir.

Abraços,
Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.

Boa Tarde. Vamos la.

Ausencia de nome de usuario -> Sua regra de liberação que o usuario esta usando está como All user, ou seja, o usuario sai como anonimo, vc deve colocar a regra para usuarios autenticados ou para grupo que vc desejar.

Initiated Conection - Como o Nome diz, a conecção se iniciou. Exemplo a abertura de uma pagina na web, Inicio do carragemento da mesmo. (uma ponte entre o ISA e o servidor web).

Closed Conection - Essa mesma conexão acima, cabou, essa ponte e finalizada.

Ausencia de URL - Pode ser problemas de configuração de DNS, da uma checada no LInk http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=19

Se foi util marque como resposta.
Fazzani - MCP, MCSA, MCTS-ISA,VISTA

quarta-feira, 23 de setembro de 2009 18:39

Responder

|

Citação
0

Entrar para Votar

Oque o Felipe citou acima esta correto...

Verifique sua configuração de placas do ISA, é muito importante que estejam igual ao tutorial, pois o bom funcionamento do mesmo depende dessa confiuração.

Quaisquer duvidas volte a postar.

abraços
Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

quarta-feira, 23 de setembro de 2009 19:58

Responder

|

Citação

Moderador
0

Entrar para Votar

Fazzani,

Mais uma vez agradeço pela prestatividade.

No caso dos nomes de usuários, minha regra é aplicada a um grupo específico, criado para acesso limitado e apenas para este grupo. Agora pergunto, se no DHCP da minha rede há um apontamento para o gateway direcionando para o ISA e fornecendo essa informação às placas de rede das estações e ainda por cima o cliente do ISA configura o navegador para usar o proxy (ISA) como fica o cliente? Secure NAT, Firewall Client ou Proxy Client? Já que isso faz diferença na autenticação...

Initiated Conection - Esta dúvida me veio porque há vários destes no Log seguidamente para o mesmo servidor e porta mas não possui URL. Idem para o Closed Conection. Não deveria aparecer a URL que o sujeito está tentando navegar? Eu fui até a estação dele, achei uma janela do IE com um Google aberto (pesquisa google) e enquanto monitorava ao vivo dei um refresh na página. Só apareceu no log o tal do Initiated Conection, sem a URL que estava aberta.

Ausência de URL - fiz algumas alterações seguindo o tutorial que me passou e amanhã posto os resultados.

Forte abraço
Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.

quarta-feira, 23 de setembro de 2009 22:17

Responder

|

Citação
1

Entrar para Votar
Fazzani,

Mais uma vez agradeço pela prestatividade.

No caso dos nomes de usuários, minha regra é aplicada a um grupo específico, criado para acesso limitado e apenas para este grupo. Agora pergunto, se no DHCP da minha rede há um apontamento para o gateway direcionando para o ISA e fornecendo essa informação às placas de rede das estações e ainda por cima o cliente do ISA configura o navegador para usar o proxy (ISA) como fica o cliente? Secure NAT, Firewall Client ou Proxy Client? Já que isso faz diferença na autenticação...

Initiated Conection - Esta dúvida me veio porque há vários destes no Log seguidamente para o mesmo servidor e porta mas não possui URL. Idem para o Closed Conection. Não deveria aparecer a URL que o sujeito está tentando navegar? Eu fui até a estação dele, achei uma janela do IE com um Google aberto (pesquisa google) e enquanto monitorava ao vivo dei um refresh na página. Só apareceu no log o tal do Initiated Conection, sem a URL que estava aberta.

Ausência de URL - fiz algumas alterações seguindo o tutorial que me passou e amanhã posto os resultados.

Forte abraço
Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
Respondendo a primeira pergunta, se seu DHCP informa quem é o Gateway apontando para o ISA, os cliente serão automaticamente um cliente Securenat do ISA (para esses tipos de cliente o ISA não autentica, ou seja, todas as regra tem que ser all user), porém se você configurar o browser do cliente o ISA ira entender agora para as requisições HTTP, HTTPS e FTP que esse cliente é um Web proxy cliente (nesse tipo de cliente o ISA autentica os clientes se a regra for para usuarios autenticados). Nesse caso cita a pouco, o clinte vira uma cliente misto, para requisições HTTP, HTTPS e FTP e sai como web proxy client, para os demais protocolos como dns, pptp, ele sai como securenat e a regra para saida desses protocolos tem que ser all users, pq o ISA não autentica securenat. Agora no caso do Firewall cliente, é só quando o estiver instalado o firewall client na maquina do usuario, e esse cliente ja configura o IE como sendo Web Proxy client (http, https, ftp) e os demais protocolos agora sai como firewall cliente e o ISA consegue autenticar esse tipo de cliente.

Segunda pergunta, então so aparecerá quando for uma requisição do tipo GET, ou seja, o Client deseja entra no SITE www.fazzani.com.br, ele esta fazendo um get, dai o ISA mostra isso no log, dai o ISA analisa as regras de firewall para ve se libera ou nega, se liberar então o ISA inicia a conexão e gera esse log Initiated Conection dai baixa tudo do site e fecha a conexão e gera o log closed conetion.

Tendeu.

No aguardo
Fazzani - MCP, MCSA, MCTS-ISA,VISTA
- Marcado como Resposta Luiz Mercante sexta-feira, 23 de outubro de 2009 18:42
quinta-feira, 24 de setembro de 2009 01:08

Responder

|

Citação
0

Entrar para Votar

Entendi bem a segunda parte. Na primeira, entendi que quando o cliente é misto acaba virando web proxy pros protocolos de web proxy e SecureNAT pros demais. Mas ainda assim, há o client do ISA instalado. Ele substitui as configurações de SecureNAT pros demais protocolos? Como fica quem tá configurado como SecureNAT, tem ISA Client e ainda tá configurado pra setar o Browser automaticamente?

Fiz uma análise mais detalhada hoje, depois do sagrado descanço, e percebi que os HTTPS com Initiated e Closed são do Skype que utiliza SSH. Pra finalizar, amanhã discretamente vou fazer o usuário navegar enquanto monitoro pra entender 100% o Log.

Se possível, posso mandar demo do log para que você entenda.

Mais uma vez agradeço pela ajuda.
Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.

quinta-feira, 24 de setembro de 2009 20:06

Responder

|

Citação
1

Entrar para Votar
Amigão, sim o Firewall client quando instalado, não vou usar o termo substitui o Secunat e sim, as requisições que antes saia por Securenat agora sai pelo Firewall client, e os HTTP e HTTPS sai por web proxy client.

Então initiated simplesmente é uma iniciação de conxão (transferencia de dados) only this man.

No aguardo
Fazzani - MCP, MCSA, MCTS-ISA,VISTA
- Marcado como Resposta Luiz Mercante sexta-feira, 23 de outubro de 2009 18:42
sexta-feira, 25 de setembro de 2009 18:44

Responder

|

Citação

Produtos

Resources

Solutions

Atualizações

Avaliações

Sites relacionados

Treinamento

Certificações

Outros recursos

Por produtos

Outros links

Não é um IT Pro?

Usuário com melhor resposta

Ferramenta de monitoramento - ISA Server

Pergunta

Respostas

Todas as Respostas