ISA 서버 필터 익스텐션 드라이버를 로드하는 도중에 오류가 발생하여 실패하는 경우에는 다음과 같은 이벤트 로그를 볼 수 있다.

Event type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7000
User: N/A

Description: The ISA Server Packet Filter Extension Driver service failed to start due to the following error: This driver has been blocked from loading.

문제의 원인은 윈도우 2003 서버 운영 체제에서 ISA 2000을 설치할 때 발생하는데 바로 ISA Server Packet Filter Extension 드라이버를 차단하여 서비스를 시작할 수 없다.

해결방안은 아래의 링크에서 필요한 업데이트를 다운로드하여 설치한다.

http://www.microsoft.com/downloads/details.aspx?familyid=77d89f87-5205-4779-b1ab-fc338283b2d9&displaylang=en

또는, ISA 2000의 서비스팩 2를 설치한다. ISA 2000 sp2에는 윈도우 2003 스탠다드/서버/엔터프라이즈 에디션에서 ISA를 설치할 수 있게 하는 픽스가 포함되어 있다.

http://www.microsoft.com/downloads/details.aspx?FamilyID=C8D3D98B-1CD4-406A-A04A-2AA2547D09A3&displaylang=en


출처: http://support.microsoft.com/kb/555427/en-us
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    이 글의 원래 주제는 'ISA 2004에 연결한 VPN 클라이언트가 인터넷을 사용할 수 있도록 구성하기'라고 해야 정확합니다. 하지만, 방화벽을 다뤄본 관리자라면 스플릿 터널링(Split Tunneling)이라는 용어로 보다 쉽게 알 수 있을 것으로 보여 제목을 변경하였습니다.

    목차
    #1. 개요
    #2. VPN 설정
    #3. 네트워크 규칙 구성
    #4. 액세스 규칙 설정
    #5. VPN 클라이언트 구성
    #6. 연결 테스트
    #7. 마치며


    #3. 네트워크 규칙 설정

    ISA 서버를 VPN 서버로 설정한 이후에는 ISA에서 네트워크 어댑터간에 연관 관계를 지정합니다. 즉, 네트워크에 규칙이 없는 경우에는 네트워크 간에 트래픽이 서로 오갈 수 없습니다.

    ISA 서버에서는 NAT(네트워크 주소 변환) 라우팅(Routing) 네트워크 규칙을 지정할 수 있습니다.

    일반적으로 VPN 클라이언트는 공인 IP를 가져야할 경우가 거의 없으므로 보통 외부 네트워크 인터페이스에 VPN 클라이언트가 NAT을 이용하여 접속하게 합니다.

    기본 외부 네트워크에 NAT을 설정하는 방법은 다음과 같습니다.

    1. ISA 관리 도구에서 서버 이름을 확장하고, Configuration 노드를 확장합니다.

    2. Networks 노드를 클릭하고 오른쪽 세부 창에서 Networks 탭을 클릭합니다.

    3. Tasks 탭에서  Create a New Network 링크를 클릭합니다.

    4. New Network Wizard 마법사를 시작합니다. 네트워크의 이름을 입력하고 Next 버튼을 클릭합니다.

    5. Network Traffic Sources 페이지에서 Add 버튼을 클릭합니다. Add Network Entities 대화상자에서 Networks 폴더를 클릭하고 VPN Clients 항목을 클릭합니다. Close 버튼을 클릭합니다. 그리고 Next 버튼을 클릭합니다.

    사용자 삽입 이미지

    6. Network Trafic Destinations 페이지에서 Add 버튼을 클릭합니다. Add Network Entities 대화상자에서 Netwroks 폴더를 클릭하고 Enternal 항목을 더블 클릭합니다. Close 버튼을 클릭하고 Next 버튼을 클릭합니다.

    7. Network Relationship 페이지에서 Network Address Translation(NAT)을 선택하고 Next 버튼을 클릭합니다.

    사용자 삽입 이미지

    8. Completing the New Network Rule Wizard 페이지에서 Finish 버튼을 눌러 마법사를 끝냅니다.

    지금까지 네트워크의 규칙에 대해 알아 보았습니다. 이 후에는 어떤 트래픽을 네트워크 간에 소통시킬 지에 대한 프로토콜 규칙에 대해 알아 보도록 하겠습니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      이 글의 원래 주제는 'ISA 2004에 연결한 VPN 클라이언트가 인터넷을 사용할 수 있도록 구성하기'라고 해야 정확합니다. 하지만, 방화벽을 다뤄본 관리자라면 스플릿 터널링(Split Tunneling)이라는 용어로 보다 쉽게 알 수 있을 것으로 보여 제목을 변경하였습니다.

      목차
      #1. 개요
      #2. VPN 설정
      #3. 네트워크 규칙 구성
      #4. 액세스 규칙 설정
      #5. VPN 클라이언트 구성
      #6. 연결 테스트
      #7. 마치며


      #2. VPN 설정

      ISA 서버에서 VPN 서버로 사용할 수 있도록 설정합니다. 마이크로소프트의 제품답게 그리 어렵지 않습니다. VPN을 설정하면서 가장 유의해야 할 부분이 바로 DHCP와 주소 범위(Static address pool)입니다.

      VPN 클라이언트가 VPN 서버로 접속할 때에는 대부분 미리 구성한 DHCP 설정을 가져가도록 구성합니다. 따라서, DHCP로 할당해 주는 주소 범위과 ISA 서버의 클라이언트가 사용하는 주소 범위가 중복되지 않도록 유의해야 합니다.

      예를 들어, 내부 네트워크가 192.168.0.1 - 192.168.0.255라고 가정하고, VPN 클라이언트가 사용할 네트워크를 192.68.0.50 - 192.168.0.75라고 한다면 내부 네트워크는 이를 제외해야 합니다.

      여기에서는 VPN 클라이언트에 DHCP로 IP를 할당하도록 설정하는 예를 들어 보겠습니다. 다음과 같이 진행합니다.

      1. ISA 관리 콘솔을 열고 서버 이름을 확장하고 Vitrual Private Networks (VPN) 노드를 클릭합니다.

      2. Task Pane 부분에서 Tasks 탭을 클릭하고, Enable VPN Client Access 링크를 클릭합니다.

      3. Apply 버튼을 클릭하고, Ok 버튼을 클릭합니다.

      4. ISA 방화벽 서비스를 재시작합니다.

      VPN Client 설정은 이외에도 PPTP를 지원할지 L2TP를 지원할지 등에 대한 부분이 남아 있습니다. 이 부분은 독자의 몫으로 남겨 둡니다.

      다음 기사는 네트워크 액세스 규칙을 작성하는 방법에 대해 설명합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        이 글의 원래 주제는 'ISA 2004에 연결한 VPN 클라이언트가 인터넷을 사용할 수 있도록 구성하기'라고 해야 정확합니다. 하지만, 방화벽을 다뤄본 관리자라면 스플릿 터널링(Split Tunneling)이라는 용어로 보다 쉽게 알 수 있을 것으로 보여 제목을 변경하였습니다.

        목차
        #1. 개요
        #2. VPN 설정
        #3. 네트워크 규칙 구성
        #4. 액세스 규칙 설정
        #5. VPN 클라이언트 구성
        #6. 연결 테스트
        #7. 마치며


        #1. 개요

        ISA 서버는 방화벽, 웹 가속을 위한 캐싱 기능을 제공하지만 VPN 서버의 기능 또한 제공합니다. VPN은 외부(인터넷 등)의 클라이언트가 ISA를 통해 내부 네트워크로 연결하여 마치 회사 내에 있는 것처럼 자원을 사용할 수 있습니다. 하지만, ISA의 VPN 기능에서는 VPN 클라이언트가 인터넷을 사용할 수 없는 치명적인 약점을 지니고 있습니다.

        ISA 2000이 출시될 때에는 이러한 기능의 제한으로 인해 많은 논쟁거리를 가져왔지만 그 이후에 ISA 2004가 출시되면서 이 기능을 사용할 수 있는 방법이 발견(!)되어 널리 사용될 수 있었습니다.

        ISA 서버의 내부에 위치한 클라이언트는 SecureNAT 클라이언트 또는 웹 프록시 클라이언트이어야만 인터넷을 사용할 수 있습니다. 하지만, ISA VPN 서버에 접속한 VPN 클라이언트는 이러한 클라이언트가 아닌 VPN 링크이므로 나타날 수 밖에 없습니다.

        ISA 관리자는 VPN 클라이언트에서 스플릿 터널링(Split Tunneling)을 사용하여 이 문제점을 해결하기 위해 시도하지만 이러한 시도는 오히려 잠재적인 보안상 문제점을 가져왔습니다. 기본적으로 윈도우의 VPN 클라이언트 소프트웨어는 원격 네트워크의 기본 게이트웨이 주소를 사용합니다. 즉, 로컬이 아닌 네트워크(ex. 인터넷)로 향하는 모든 연결을 자동적으로 VPN 인터페이스를 통해 포워딩된다는 의미입니다.

        인터넷으로 향하는 모든 패킷은 VPN 연결을 통해 전달되지만 연결을 실패합니다. 왜냐 하면 ISA 2000 방화벽에서는 VPN 클라이언트의 SecureNat 클라이언트 연결을 허용하지 않습니다.
        사용자 삽입 이미지

        하지만, 만약에 VPN 클라이언트가 ISA VPN 서버에 연결된 이후에 SecureNAT 클라이언트가 아닌 방화벽/웹 프록시 클라이언트로 설정한다면 이러한 문제점을 해결할 수 있는 실마리를 가질 수 있습니다.

        이렇게 설정하는 것은 보안상 더 나은 선택이지만 단점으로는 방화벽 클라이언트 즉 사용자가 특정한 상황에서 VPN으로 연결할 때에 일부 설정을 직접 변경해야 하는 부담이 있습니다.
        사용자 삽입 이미지

        ISA 2004에서는 VPN 클라이언트가 연결하더라도 인터넷에 연결할 수 있도록 문제점이 해결되었습니다. 물론 VPN 클라이언트에서 스플릿 터널링을 구성할 필요도 없습니다.

        다음 강좌에서는 ISA 2004에서 VPN을 어떻게 구성하는지에 대해 설명합니다.


        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          최근 ISA Server 2004 Standard/Enterprise Edition의 서비스팩 3가 발표되었습니다. 이 글은 SP3에서 제공하는 향상된 기능이나 보완된 기능을 중점으로 알려 드립니다.

          SP3에서는 다음의 기능들이 추가되거나 향상되었습니다

          • 로그 뷰어 기능 향상
          • 로그 필터링 기능 향상
          • 로그 필터 관리 기능 향상
          • 새로운 진단 로깅 기능
          • ISA 방화벽 BPA와 통합

          3. 로그 필터 관리 기능 향상

          기존 버전까지에서는 관리자가 직접 작성한 로그 필터를 가져오기하거나 내보내기를 하려면, Edit Filter 대화상자에서 Import Filter 또는 Export Filter 버튼을 눌러 처리했습니다. 이러한 처리 방식은 Edit Filter 대화상자에서는 적절한 인터페이스라고 할 수 있지만, 단순한 작업을 번거롭게 처리하는 귀찮음이 있었습니다. 아래 그림과 같이 Save FilterLoad Filter 버튼을 사용하여 현재의 필터 설정을 손쉽게 가져오기하거나 내보내기할 수 있습니다.
          사용자 삽입 이미지

          또한, 서비스팩3에서는 추가적인 필터링 옵션을 제공하는데 아래 그림과 같이 Not One ofOne of 조건이 그것입니다.
          사용자 삽입 이미지

          예를 들어, Filter by 드롭다운 리스트박스에서 Protocol을 선택하고 Not One of 옵션을 선택하는 경우 Value 박스에서 선택할 수 있는 값을 볼 수 있게 됩니다. 로그에서 볼 필요가 없는 엔트리를 체크합니다. 이는 로그 파일에서 Not Contains 조건을 여러개 주는 등의 작업보다 편리합니다.
          사용자 삽입 이미지


          4. 새로운 진단 로깅 기능

          ISA 2004 SP3에서 가장 주목을 받는 기능이 바로 새로 추가된 진단 로깅 기능입니다. 진단 로깅 기능을 사용하여 관리자는 ISA 방화벽을 통과하거나 연결하는 연결에 대한 정보를 세부적으로 살펴 볼 수 있습니다. 진단 로깅에 포함되는 정보에는 ISA 방화벽이 각각의 규칙별로 어떻게 평가하고 처리하는지 심도있게 검토할 수 있습니다.

          아래 그림에서는 진단 로깅 기능의 구성 인터페이스를 보여 줍니다. 다음과 같이 2가지 유형의 이벤트를 로그로 남길 수 있습니다.

          • Firewall Policy - 웹 프록시 트래픽 등 방화벽 정책 규칙에 대한 로그 정보
          • Authentication - 방화벽 정책 규칙 인증에 대한 로그 정보

          저장된 로그 데이터를 보는 방법에는 여러가지가 있지만, 이에 대해 별도의 기사를 통해 제공할 예정이기 때문에 자세히 설명하지는 않습니다.
          사용자 삽입 이미지


          5. ISA 방화벽 BPA와 통합

          ISA 방화벽 BPA(Best Practices Analyzer)은 일반 적인 설치 절차에 대한 안내와 ISA 방화벽에서 발생할 수 있는 구성 오류를 찾을 수 있는 도구입니다. ISA 방화벽 BPA는 ISAinfo 도구와 통합되어 제공되며, 시스템과 ISA 방화벽 구성에 대한 충분한 이해를 도울 수 있도록 보여 줍니다.

          실제 ISA 방화벽 BPA은 별도로 다운받을 수 있으며 실제 서비스팩3에 포함되어 있지는 않습니다. 하지만, 일단 설치한 다음부터는 ISA 방화벽 콘솔에서 Troubleshooting 노드에서 ISA 방화벽 BPA를 사용할 수 있습니다.

          ISA 방화벽 BPA를 실행하고 나면 여러분은 ISA 방화벽의 구성 정보에 대한 세부 보고서를 볼 수 있으며 발생한 문제점에 대해서도 알려 줍니다. 아래 그림은 ISA 방화벽 BPA를 실행한 화면으로 어떤 문제점이 있으며 이를 어떻게 해결할 지에 대한 추가적인 정보도 보여 줍니다.
          사용자 삽입 이미지

          좀더 자세한 정보는 ISA 방화벽 BPA의 도움말을 참고하기 바랍니다. 이 도움말에는 수많은 흥미진진한 정보가 포함되어 있으며 ISA 방화벽을 사용하면서 발생할 수 있는 문제점에 대한 해결책도 제시합니다.

          또한, 보고서에서는 사용한 BPA의 버전, ISA 방화벽의 버전 및 서비스팩 버전, 시스템 디스크의 용량, 프로세서의 갯수, 기타 유용한 정보도 보여줍니다. 그리고 이러한 보고서를 파일로 저장하여 분석을 하기 위해 Jim Harrison에게 보낼 수도 있습니다.
          사용자 삽입 이미지


          마지막으로 익스체인지 2007 서버의 게시 지원을 들 수 있다. 하지만, 실제로는 익스체인지 2007 서버를 게시하는 작업이 그리 만만치는 않습니다.다. 이에 대한 자세한 정보는 별도의 기사를 통해 제공할 예정이므로 기대하시기 바랍니다.

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요

            최근 ISA Server 2004 Standard/Enterprise Edition의 서비스팩 3가 발표되었습니다. 이 글은 SP3에서 제공하는 향상된 기능이나 보완된 기능을 중점으로 알려 드립니다.

            SP3에서는 다음의 기능들이 추가되거나 향상되었습니다

            • 로그 뷰어 기능 향상
            • 로그 필터링 기능 향상
            • 로그 필터 관리 기능 향상
            • 새로운 진단 로깅 기능
            • ISA 방화벽 최적 분석기와 통합


            1. 로그 뷰어 기능 향상

              ISA에서는 기존 버전에서도 로그 뷰어 기능은 꽤 쓸만했었읍니다만, 이제 로그를 필터링함으로써 좀더 세분화하여 분석할 수 있습니다. 또한, 로그를 볼 때 불필요한 필드들은 생략하도록 함으로써 좀 더 나은 시인성을 제공합니다.

              아래 그림과 같이, SP3에서는 Log Viewer라는 새로운 탭이 제공되고, 맨 하단에는 쿼리한 결과를 보여 줍니다.

              로그의 각 필드에는 다음의 값 중에 선택하여 볼 수 있습니다.

            • Log type
            • Status
            • Rule
            • Service
            • Destination
            • Protocol
            • User

                        추가정보는 다음과 같습니다.

            • Number of bytes sent
            • Processing time
            • Original client IP address
            • Client Agent

                        보통 모든 필드를 선택하지는 않으며, 아래 그림과 같이 필요한 정보만을 간략히 볼 수 있습니다.



            1. 로그 필터링 기능 향상

              위의 그림에서 보면, 각 로그마다 색깔이 다르게 나오는 것을 볼 수 있습니다. SP3에서 새롭게 제공하는 기능 중의 하나가 바로 이 색깔로 로그의 종류를 쉽게 구분할 수 있습니다.

            • 초록색
              • 허용한 연결
              • 사용자가 격리지역을 해소(VPN 격리지역을 사용)
            • 검은색
              • 차단한 연결
              • 차단한 VPN 연결
              • 연결 상태
              • 초기화한 연결
              • 초기화한 VPN 연결
            • 빨간색
              • 거부한 연결
              • 거부한 연결 시도
              • 거부한 VPN 연결 시도
            • 주황색
              • 격리지역 시간초과

            아래 그림은 기본적으로 제공하는 색상표입니다. 물론, 관리자는 자신이 원하는 대로 색깔을 바꿀 수 있으며 color 버튼을 통해 변경할 수 있습니다. 또한, 색상표를 내보내기하거나 가져오기하는 등 간편하게 백업 및 복원할 수 있는 방법을 제공합니다.

             

            연재는 이어집니다.

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요


              지난 5월 2일, 마이크로소프트는 ISA 2004의 서비스 팩3을 출시했습니다. 이번 서비스팩에서는 무인 설치 모드, 관리 설치 모드 둘다 지원하며, 설치시에는 로그를 기록함으로써, 발생가능한 문제점을 점더 확실하게 찾아 낼 수 있읍니다.

              물론, 한글 버전은 없습니다.

              그리고, 그동안 문제점으로 알려졌던 다양한 부분을 해결하였습니다.

              Service Pack 3 addresses the following issues, and includes the hotfixes described in the following Microsoft Knowledge Base articles:

              • 905662, Information about the version of Firewall Client for ISA Server that was released in September 2006

              • 914448, Error message when Web browser clients that are located behind an ISA Server 2004 firewall try to access certain external Web sites: "502 Proxy Error"

              • 914957, Error message when you query the log files in ISA Server 2004, Standard Edition

              • 915045, Error message when you try to access a Web site from a Web browser client that is located behind a computer that is running ISA Server 2004 with SP2: "Error Code: 502 Proxy Error"

              • 915421, Error message when a Web browser tries to access external Web sites from behind an ISA Server 2004 computer that has Service Pack 2 installed

              • 915422, Some content is unavailable when a user or a program tries to access a Web site through a computer that is running ISA Server 2004 Service Pack 2

              • 915461, ISA Server 2004 blocks UDP traffic between two networks

              • 915912, You cannot configure ISA Server 2004 to use different servers for RADIUS authentication and for RADIUS accounting

              • 916152, The Firewall service stops responding and Event IDs 14079, 1000, and 14057 are logged in the Application event log in ISA Server 2004

              • 916573, Error message in OWA when you try to download a .zip file from a server that is running ISA Server 2004 Service Pack 2: "500 Internal Server Error. Not implemented (-2147467263)"

              • 916705, After you configure the rules on a ISA Server 2004 Service Pack 2 (SP2)-based computer, the computer may try to authenticate users

              • 894679, Users who do not have the appropriate permissions can receive restricted content from ISA Server 2004

              • 917051, The Web Proxy Filter in ISA Server 2004 may log requests with an incorrect access rule when you use overlapped HTTP protocols

              • 917134, The "Background Intelligent Transfer Service" option is incorrectly available for any non-Microsoft Update cache rule that you create in ISA Server 2004

              • 917145, RPC clients cannot use Kerberos authentication to authenticate with a server that you publish behind ISA Server 2004, Enterprise Edition

              • 917265, Error message when client computers that are behind a proxy server access Web sites that are published by using ISA Server 2004: "404 Not Found. The requested item could not be located (12028)"

              • 917718, The ISA Server Control service may not start after you rename and then restart a computer that is running ISA Server 2004

              • 917803, You cannot query the Win32_PerfRawData_W3Proxy_ISAServerWebProxy performance counter by using WMI

              • 917903, You cannot join a computer that is running a 64-bit version of Windows Vista to a Windows domain on which ISA Server 2004 is configured as a firewall

              • 917936, An Office Outlook client that connects through ISA Server 2004 may be unable to reconnect for 24 hours

              • 919170, A hotfix is available to let you use a different upstream port for Secure Sockets Layer tunneling in Microsoft Internet Security and Acceleration (ISA) Server 2004

              • 919515, Multiple events are logged when you enable Web caching and set the FPCCacheConfiguration.QueueRequests COM property to True in ISA Server 2004

              • 919620, Internal firewall client computers and SecureNAT client computers cannot connect to external servers

              • 919871, Application filter events are not triggered on a computer that is running ISA Server 2004 with Service Pack 2

              • 920356, You experience a two minute delay when you access an HTTP Web site from an HTTPS Web site by using Internet Explorer configured as an ISA Server 2004 SP2 Web proxy client

              • 920715, Web Proxy clients do not directly access a Web site that you enter in the "Directly access these servers or domains" list in ISA Server 2004 SP2

              • 920893, ISA Server 2004 Enterprise Edition may stop responding if the firewall does not go into lockdown mode when MSDE logging fails

              • 920913, ISA 2004 EE not following RFC 2616 regarding HOST header

              • 921363, Data that is contained in the Filter Information column may be truncated when you turn on HTTP Compression in the Microsoft Internet Security and Acceleration Server 2004 log viewer

              • 921944, A client computer takes longer than expected to connect to a Web site through an ISA Server 2004 Web proxy server

              • 922440, The Microsoft Firewall service on an ISA Server 2004 Standard Edition-based computer may stop responding to client computer requests, and Event ID: 7031 and Event ID: 14057 may be logged in Event Viewer

              • 922635, Error message when you view an ISA 2004 SSL Web site: "Error Code: 500 Internal Server error. The context has expired and can no longer be used"

              • 922790, A memory leak may occur when you use ISA Server 2004 to publish a Web site that uses link translation

              • 922851, You receive a blank page when your Web browser submits a POST request to an ASP Web site over an ISA Server 2004 access rule that requires client authentication

              • 922899, An ISA Server 2004 Web chaining rule may not redirect requests to the specified port

              • 922946, ISA Server 2004 Standard Edition may stop responding if the firewall does not go into lockdown mode when MSDE logging fails

              • 923318, Error message in SecureNAT clients after you configure a Web chaining rule to forward HTTP as HTTPS in ISA Server 2004: "The target principal name is incorrect"

              • 923322, A large file download fails when an ISA Server 2004 SOCKS client computer uses passive mode FTP

              • 923324, Virtual memory allocation for the Microsoft Firewall service increases by as much as 512 MB in ISA Server 2004

              • 923765, The Microsoft Firewall service stops responding to client computer requests and Event IDs 7034, 14057, and 1000 are logged after you publish an Outlook Web Access server in ISA Server 2004

              • 923766, A client computer may not be authenticated by ISA Server 2004 when you use integrated Windows authentication

              • 924404, Heap corruption when the compression filter issues error alerts/events

              • 924405, Client computers cannot download attachments when you use ISA Server 2004 forms-based authentication and run a third-party OWA add-in program to manage attachments

              • 925230, Error message when internal SecureNAT client computers access a Web site that is published by ISA Server 2004: "Cannot find server or DNS Error"

              • 925231, Error message when you access Outlook Web Access through ISA Server 2004: "Error Code: 500 Internal Server Error. The data area passed to a system call is too small."

              • 927265, Authentication fails when client computers use Internet Explorer 7 to authenticate with an upstream ISA Server computer through a downstream ISA Server computer that does not require authentication

              • 927778, Cookies from a published Web site are randomly lost after you publish an application that uses forms-based authentication in ISA Server 2004

              • 928273, Users may receive slow responses when you enable the Cache Array Routing Protocol in ISA Server 2004, Enterprise Edition

              • 929018, ISA Server 2004 may randomly stop responding to new TCP traffic

              • 931951, Stingray: WPAD script resolves different CARP exceptions to different nodes

              • 933523, ISA 2004 EE: Authentication + filter content causes triple HTTP POST

              출처: http://www.microsoft.com/downloads/details.aspx?FamilyID=D2752DF9-7249-4CEA-B4D4-DFA53686186F&displaylang=en
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요


                이 자료는 라우팅 및 원격 액세스 서비스를 실행하는 Windows 2003 컴퓨터 또는 LAN에 있는 클라이언트들이 DSL 라우터에 연결된 ISA 2004/2006 컴퓨터를 연결하는 방법에 대해 설명한다.

                DSL 라우터를 사용한다면 모든 클라이언트와 Windows 2003 서버 컴퓨터에서 PPPoE(Point to Point Protocol over Ethernet) 드라이버를 사용할 필요는 없다. 이러한 네트워크 환경에서는 DLS 라우터와 라우팅만 정확히 구성해 주면 된다.

                다음의 예제는 간단한 라우팅 구성을 가진 네트워크 구성이다.

                Internet |--| IP-address_from_ISP - DSL_Router - 192.168.1.1 |--| 192.168.1.2 - Windows_Server_2003 - 192.168.168.249 |--| Hub_or_switch |--| Clients


                네트워크 구성은 다음의 값으로 구성된다:

                DSL router

                IP address: 192.168.1.1
                Subnet Mask: 255.255.255.0
                Windows 2003-based server

                DSL network adapter IP address: 192.168.1.2
                Subnet Mask: 255.255.255.0
                Gateway: 192.168.1.1
                LAN network adapter IP address: 192.168.168.249
                Subnet Mask: 255.255.255.0

                DSL 네트워크 어댑터의 기본 게이트웨이는 DSL 라우터의 IP 주소이다.

                Client workstation

                LAN network adapter IP address: 192.168.168.10
                Subnet Mask: 255.255.255.0,
                Gateway: 192.168.168.249


                모든 클라이언트가 사용하는 게이트웨이 주소는 Windows 20003 서버 컴퓨터의 LAN 네트워크 어댑터의 주소로 설정한다. DNS 주소는 DSL 라우터에 설정된 경우에만 그 엔트리를 입력한다.

                클라이언트에서 연결하는데 문제가 발생하면 DSL 라우터의 라우팅 테이블을 점검한다. 여러분은 보통 HTTP 웹 페이지(ex. http://192.168.0.1)를 통해 대부분의 장비를 관리할 수 있다. 라우팅 테이블이 존재하지 않느다면 다음과 같이 고정 라우팅 경로를 추가한다.

                Active Routes
                Network_Destination: 192.168.168.0
                Netmask: 255.255.255.0
                Gateway: 192.168.1.2
                Interface: 192.168.1.1
                Metric: 1

                ISA Server에는 기본적으로 라우팅 기능을 탑재하고 있다. ISA Server의 라우팅 기능에 대한 자세한 내용은 도움말을 참고하길 바란다. 참고로, 내부 네트워크와 LAT(Local Address Table)에 대한 정확한 설정에 대한 정보가 필요하다면 KB300876를 참고한다.

                출처: MS-KB837453
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요


                  ISA 2004 또는 ISA 2006을 실행하는 서버 컴퓨터에서 Microsoft Firewall 서비스를 시작하려고 할 때 다음과 같은 이벤트 오류 메시지를 발생하는 경우가 있다.

                  시스템 이벤트 로그:
                  Event type: Error
                  Event Source: Service Control Manager
                  Event Category: None
                  Event ID: 7024
                  Date: date
                  Time: time
                  User: N/A
                  Computer: computername
                  Description: The Microsoft Firewall service terminated with service-specific error 2147549183 (0x8000FFFF).
                  For more information, see Help and Support Center at http://support.microsoft.com.

                  애플리케이션 이벤트 로그:

                  Event type: Error
                  Event Source: Microsoft ISA Server Web Proxy
                  Event Category: None
                  Event ID: 14146
                  Date: date
                  Time: time
                  User: N/A
                  Computer: computername
                  Description: ISA Server failed to load Web Filter DLL C:\Program Files\Microsoft ISA Server\\LinkTranslation.dll. The error code shown in the Data area of the event properties indicates the cause of the failure.
                  For more information, see Help and Support Center at http://support.microsoft.com.
                  Data:
                  0000: ff ff 00 80 ÿÿ.€

                  Event type: Error
                  Event Source: Microsoft ISA Server Web Proxy
                  Event Category: None
                  Event ID: 21159
                  Date: date
                  Time: time
                  User: N/A
                  Computer: computername
                  Description: Web filters cannot be initialized, or updated changes cannot be applied. To resolve this error, Check recent changes made to Web filters configuration.
                  For more information, see Help and Support Center at http://support.microsoft.com.
                  Data:
                  0000: ff ff 00 80 ÿÿ.€

                  Event type: Error
                  Event Source: Microsoft ISA Server Web Proxy
                  Event Category: None
                  Event ID: 14127
                  Date: date
                  Time: time
                  User: N/A
                  Computer: computername
                  Description: The Web Proxy service could not initialize (error code 501.2643.4.0.1872.0). The internal error code in the Data area of the event properties indicates the cause of the failure.
                  For more information, see Help and Support Center at http://support.microsoft.com.
                  Data:
                  0000: ff ff 00 80 ÿÿ.€

                  Event Type: Error
                  Event Source: Microsoft ISA Server Web Proxy
                  Event Category: None
                  Event ID: 14127
                  Date: date
                  Time: time
                  User: N/A
                  Computer: computername
                  Description: The Web Proxy service could not initialize (error code 505.83.4.0.1872.0). The internal error code in the Data area of the event properties indicates the cause of the failure.
                  For more information, see Help and Support Center at http://support.microsoft.com.
                  Data:
                  0000: ff ff 00 80 ÿÿ.€

                  Event Type: Error
                  Event Source: Microsoft Firewall
                  Event Category: None
                  Event ID: 14060
                  Date: date
                  Time: time
                  User: N/A
                  Computer: computername
                  Description: Cannot load an application filter Web Proxy Filter ({4CB7513E-220E-4C20-815A-B67BAA295FF4}). FilterInit failed with code 0x8000ffff. To attempt to activate this application filter again, stop and restart the Firewall service.
                  For more information, see Help and Support Center at http://support.microsoft.com.

                  Event Type: Error
                  Event Source: Microsoft Firewall
                  Event Category: None
                  Event ID: 14001
                  Date: date
                  Time: time
                  User: N/A
                  Computer: computername
                  Description: Firewall Service failed to initialize. Previous event log entries might help determine the proper action.
                  For more information, see Help and Support Center at http://support.microsoft.com.


                  이러한 이벤트 로그가 발생하는 이유는 방화벽 정책 가운데 게시 정책(publishing rule)이 올바르지 않기 때문이다. 따라서, 이 문제를 해결하려면, 먼저 올바르지 않은 정책이 무엇인지 찾아야 하고, 그 잘못된 부분을 바로 잡으면 된다.

                  1. ISA 관리 콘솔을 실행한다.

                  2. 왼쪽 트리 구조에서 ServerName을 확장한다.

                  3. Firewall Policy를 클릭하고 Web Publishing rule을 클릭하고 Edit Selected Rules을 클릭한다.

                  4. Link Translation 탭을 클릭하고, Replace absolute links in Web pages 체크 박스를 해제하고, Ok를 클릭한다.(ISA 2006에서는 Apply link translation to this rule 체크 박스)

                  5. 방화벽 정책을 업데이트하기 위해 Apply 버튼을 클릭하고, OK를 클릭한다.

                  이제 방화벽 서비스를 다시 시작해서 동일한 이벤트 로그가 발생하는지 확인한다. 웹 게시 규칙이 여러 개인 경우 모두 다 테스트해야 할 경우도 있다.

                  잘못된 게시 규칙을 찾게 되면, 그 규칙을 제거하거나 link translation dictionary 엔트리를 편집한다.

                  참고: 여러분이 새로운 웹 게시 규칙을 작성할 때 Replace absolute links in Web pages 체크박스를 선택하면, 작성하는 규칙에 새로운 link translation dictionary가 자동으로 생성된다.

                  출처: MS-KB837864
                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요

                    소개

                    SecureNAT 클라이언트에서 외부 호스트로 ICMP 트래픽(핑~)을 허용하게 하는 방법을 소개한다.


                    추가 정보

                    ISA Server에서는 기본적으로 보안에 충실하도록 구성되어 있기 때문에, SecureNAT 클라이언트는 ICMP 트래픽을 ISA Server를 통해 전달하도록 방화벽 정책을 가지지 않는다면, 허용하지 않는다.

                    따라서, ISA Server 컴퓨터에서 ICMP 패킷을 주고 받도록 허용하는 방화벽 정책을 설정해야 한다. 게다가, ISA Server 컴퓨터에서는 IP 라우팅 기능은 반드시 켜야 한다.


                    IP 라우팅 설정(ISA 2004)

                    1. 시작 -> 프로그램 -> Microsoft ISA Server -> ISA Server Management를 클릭한 다.

                    2. 서버이름을 확장한다.(참고: 만약 ISA Server Enterprise Edition에서 어레이가 구성된 경우에는 한 단계 더 확장한다)

                    3. Configuration을 확장하고, General을 클릭한다.

                    4. 오른쪽 세부 창에서, Additional Security Policy 아래 Define IP Preference를 클릭한다.

                    5. IP Preference에서 IP Routing 탭을 클릭한다.

                    6. Enable IP routing 체크박스에 반드시 체크되어야 한다. 그리고, 확인 버튼을 눌러 닫는다.(참고: 기본적으로 체크되어 있으므로 확인 과정으로만 생각한다)


                    IP 라우팅 설정(ISA 2006)

                    1. 시작 -> 프로그램 -> Microsoft ISA Server -> ISA Server Management를 클릭한 다.

                    2. 서버이름을 확장한다.(참고: 만약 ISA Server Enterprise Edition에서 어레이가 구성된 경우에는 한 단계 더 확장한다)

                    3. 오른쪽 세부 창에서, Configure IP Protection을 클릭한다.

                    4. IP Routing 탭에서 Enable IP Routing 체크박스에 체크를 하고, 확인 버튼을 누른다.


                    출처: MS-KB838251
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus

                      댓글을 달아 주세요



                      Web Analytics Blogs Directory