none
Ferramenta de monitoramento - ISA Server RRS feed

  • Pergunta

  • Prezados, boa tarde.

    A ferramenta de monitoramento do ISA 2006 em muitos casos não mostra a URL que o usuário tentou acessar. Gostaria de entender mais sobre a ferramenta como o que significa os diversos Initiated Conection e Closed Conection, a ausência das URLs, a ausência do nome de usuário mesmo nos casos em que o ISA Client está instalado na máquina, ausência da rule utilizada naquele Initiated ou Closed ou até mesmo Denied, etc. Preciso obter entendimento completo sobre a ferramenta de forma que eu possa realmente saber detalhes dos acessos.

    Desde já agradeço pelas sempre interessantes dicas que estão por vir.

    Abraços,
    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    quarta-feira, 23 de setembro de 2009 18:12

Respostas

  • Fazzani,

    Mais uma vez agradeço pela prestatividade.

    No caso dos nomes de usuários, minha regra é aplicada a um grupo específico, criado para acesso limitado e apenas para este grupo. Agora pergunto, se no DHCP da minha rede há um apontamento para o gateway direcionando para o ISA e fornecendo essa informação às placas de rede das estações e ainda por cima o cliente do ISA configura o navegador para usar o proxy (ISA) como fica o cliente? Secure NAT, Firewall Client ou Proxy Client? Já que isso faz diferença na autenticação...

    Initiated Conection - Esta dúvida me veio porque há vários destes no Log seguidamente para o mesmo servidor e porta mas não possui URL. Idem para o Closed Conection. Não deveria aparecer a URL que o sujeito está tentando navegar? Eu fui até a estação dele, achei uma janela do IE com um Google aberto (pesquisa google) e enquanto monitorava ao vivo dei um refresh na página. Só apareceu no log o tal do Initiated Conection, sem a URL que estava aberta.

    Ausência de URL - fiz algumas alterações seguindo o tutorial que me passou e amanhã posto os resultados.

    Forte abraço
    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    Respondendo a primeira pergunta, se seu DHCP informa quem é o Gateway apontando para o ISA, os cliente serão automaticamente um cliente Securenat do ISA (para esses tipos de cliente o ISA não autentica, ou seja, todas as regra tem que ser all user), porém se você configurar o browser do cliente o ISA ira entender agora para as requisições HTTP, HTTPS e FTP que esse cliente é um Web proxy cliente (nesse tipo de cliente o ISA autentica os clientes se a regra for para usuarios autenticados). Nesse caso cita a pouco, o clinte vira uma cliente misto, para requisições HTTP, HTTPS e FTP e sai como web proxy client, para os demais protocolos como dns, pptp, ele sai como securenat e a regra para saida desses protocolos tem que ser all users, pq o ISA não autentica securenat. Agora no caso do Firewall cliente, é só quando o estiver instalado o firewall client na maquina do usuario, e esse cliente ja configura o IE como sendo Web Proxy client (http, https, ftp) e os demais protocolos agora sai como firewall cliente e o ISA consegue autenticar esse tipo de cliente.

    Segunda pergunta, então so aparecerá quando for uma requisição do tipo GET, ou seja, o Client deseja entra no SITE www.fazzani.com.br, ele esta fazendo um get, dai o ISA mostra isso no log, dai o ISA analisa as regras  de firewall para ve se libera ou nega, se liberar então o ISA inicia a conexão e gera esse log Initiated Conection dai baixa tudo do site e fecha a conexão e gera o log closed conetion.


    Tendeu.

    No aguardo
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    • Marcado como Resposta Luiz Mercante sexta-feira, 23 de outubro de 2009 18:42
    quinta-feira, 24 de setembro de 2009 01:08
  • Amigão, sim o Firewall client quando instalado, não vou usar o termo substitui o Secunat e sim, as requisições que antes saia por Securenat agora sai pelo Firewall client, e os HTTP e HTTPS sai por web proxy client.


    Então initiated simplesmente é uma iniciação de conxão (transferencia de dados) only this man.


    No aguardo
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    • Marcado como Resposta Luiz Mercante sexta-feira, 23 de outubro de 2009 18:42
    sexta-feira, 25 de setembro de 2009 18:44

Todas as Respostas

  • Prezados, boa tarde.

    A ferramenta de monitoramento do ISA 2006 em muitos casos não mostra a URL que o usuário tentou acessar. Gostaria de entender mais sobre a ferramenta como o que significa os diversos Initiated Conection e Closed Conection, a ausência das URLs, a ausência do nome de usuário mesmo nos casos em que o ISA Client está instalado na máquina, ausência da rule utilizada naquele Initiated ou Closed ou até mesmo Denied, etc. Preciso obter entendimento completo sobre a ferramenta de forma que eu possa realmente saber detalhes dos acessos.

    Desde já agradeço pelas sempre interessantes dicas que estão por vir.

    Abraços,
    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.

    Boa Tarde. Vamos la.


    Ausencia de nome de usuario -> Sua regra de liberação que o usuario esta usando está como All user, ou seja, o usuario sai como anonimo, vc deve colocar a regra para usuarios autenticados ou para grupo que vc desejar.

    Initiated Conection - Como o Nome diz, a conecção se iniciou. Exemplo a abertura de uma pagina na web, Inicio do carragemento da mesmo. (uma ponte entre o ISA e o servidor web).

    Closed Conection - Essa mesma conexão acima, cabou, essa ponte e finalizada.

    Ausencia de URL - Pode ser problemas de configuração de DNS, da uma checada no LInk http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=19


    Se foi util marque como resposta.
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quarta-feira, 23 de setembro de 2009 18:39
  • Oque o Felipe citou acima esta correto...

    Verifique sua configuração de placas do ISA, é muito importante que estejam igual ao tutorial, pois o bom funcionamento do mesmo depende dessa confiuração.

    Quaisquer duvidas volte a postar.

    abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 23 de setembro de 2009 19:58
    Moderador
  • Fazzani,

    Mais uma vez agradeço pela prestatividade.

    No caso dos nomes de usuários, minha regra é aplicada a um grupo específico, criado para acesso limitado e apenas para este grupo. Agora pergunto, se no DHCP da minha rede há um apontamento para o gateway direcionando para o ISA e fornecendo essa informação às placas de rede das estações e ainda por cima o cliente do ISA configura o navegador para usar o proxy (ISA) como fica o cliente? Secure NAT, Firewall Client ou Proxy Client? Já que isso faz diferença na autenticação...

    Initiated Conection - Esta dúvida me veio porque há vários destes no Log seguidamente para o mesmo servidor e porta mas não possui URL. Idem para o Closed Conection. Não deveria aparecer a URL que o sujeito está tentando navegar? Eu fui até a estação dele, achei uma janela do IE com um Google aberto (pesquisa google) e enquanto monitorava ao vivo dei um refresh na página. Só apareceu no log o tal do Initiated Conection, sem a URL que estava aberta.

    Ausência de URL - fiz algumas alterações seguindo o tutorial que me passou e amanhã posto os resultados.

    Forte abraço
    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    quarta-feira, 23 de setembro de 2009 22:17
  • Fazzani,

    Mais uma vez agradeço pela prestatividade.

    No caso dos nomes de usuários, minha regra é aplicada a um grupo específico, criado para acesso limitado e apenas para este grupo. Agora pergunto, se no DHCP da minha rede há um apontamento para o gateway direcionando para o ISA e fornecendo essa informação às placas de rede das estações e ainda por cima o cliente do ISA configura o navegador para usar o proxy (ISA) como fica o cliente? Secure NAT, Firewall Client ou Proxy Client? Já que isso faz diferença na autenticação...

    Initiated Conection - Esta dúvida me veio porque há vários destes no Log seguidamente para o mesmo servidor e porta mas não possui URL. Idem para o Closed Conection. Não deveria aparecer a URL que o sujeito está tentando navegar? Eu fui até a estação dele, achei uma janela do IE com um Google aberto (pesquisa google) e enquanto monitorava ao vivo dei um refresh na página. Só apareceu no log o tal do Initiated Conection, sem a URL que estava aberta.

    Ausência de URL - fiz algumas alterações seguindo o tutorial que me passou e amanhã posto os resultados.

    Forte abraço
    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    Respondendo a primeira pergunta, se seu DHCP informa quem é o Gateway apontando para o ISA, os cliente serão automaticamente um cliente Securenat do ISA (para esses tipos de cliente o ISA não autentica, ou seja, todas as regra tem que ser all user), porém se você configurar o browser do cliente o ISA ira entender agora para as requisições HTTP, HTTPS e FTP que esse cliente é um Web proxy cliente (nesse tipo de cliente o ISA autentica os clientes se a regra for para usuarios autenticados). Nesse caso cita a pouco, o clinte vira uma cliente misto, para requisições HTTP, HTTPS e FTP e sai como web proxy client, para os demais protocolos como dns, pptp, ele sai como securenat e a regra para saida desses protocolos tem que ser all users, pq o ISA não autentica securenat. Agora no caso do Firewall cliente, é só quando o estiver instalado o firewall client na maquina do usuario, e esse cliente ja configura o IE como sendo Web Proxy client (http, https, ftp) e os demais protocolos agora sai como firewall cliente e o ISA consegue autenticar esse tipo de cliente.

    Segunda pergunta, então so aparecerá quando for uma requisição do tipo GET, ou seja, o Client deseja entra no SITE www.fazzani.com.br, ele esta fazendo um get, dai o ISA mostra isso no log, dai o ISA analisa as regras  de firewall para ve se libera ou nega, se liberar então o ISA inicia a conexão e gera esse log Initiated Conection dai baixa tudo do site e fecha a conexão e gera o log closed conetion.


    Tendeu.

    No aguardo
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    • Marcado como Resposta Luiz Mercante sexta-feira, 23 de outubro de 2009 18:42
    quinta-feira, 24 de setembro de 2009 01:08
  • Entendi bem a segunda parte. Na primeira, entendi que quando o cliente é misto acaba virando web proxy pros protocolos de web proxy e SecureNAT pros demais. Mas ainda assim, há o client do ISA instalado. Ele substitui as configurações de SecureNAT pros demais protocolos? Como fica quem tá configurado como SecureNAT, tem ISA Client e ainda tá configurado pra setar o Browser automaticamente?

    Fiz uma análise mais detalhada hoje, depois do sagrado descanço, e percebi que os HTTPS com Initiated e Closed são do Skype que utiliza SSH. Pra finalizar, amanhã discretamente vou fazer o usuário navegar enquanto monitoro pra entender 100% o Log.

    Se possível, posso mandar demo do log para que você entenda.

    Mais uma vez agradeço pela ajuda.

    Luiz Eduardo - MCP Windows Server 2003. Se a resposta ajudou, colabore com o Fórum e classifique.
    quinta-feira, 24 de setembro de 2009 20:06
  • Amigão, sim o Firewall client quando instalado, não vou usar o termo substitui o Secunat e sim, as requisições que antes saia por Securenat agora sai pelo Firewall client, e os HTTP e HTTPS sai por web proxy client.


    Então initiated simplesmente é uma iniciação de conxão (transferencia de dados) only this man.


    No aguardo
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    • Marcado como Resposta Luiz Mercante sexta-feira, 23 de outubro de 2009 18:42
    sexta-feira, 25 de setembro de 2009 18:44