ISA Server for the
Enterprise
Clients
Client Overview
Internet
SecureNAT Client
ISA Server
Web Proxy Client
Improve the performance of Web requests for
internal clients.
Do not require you to deploy client
software or configure client computers.
Firewall Client
Allow Internet access only for
authenticated users.
Configuring Web Proxy Clients
Local Area Network (LAN) Settings
Automatic configuration
Automatic configuration may override manual settings. To ensure
the use of manual settings, disable automatic configuration.
Automatically detect settings
2
Use automatic
configuration
script
Type
the IP address
or
1
Select the Use a
proxy server
check box.
name
of the ISA Server computer in
the Address box.
Proxy Server
3
Use a proxy server
Address:
192.168.1.200
Port: 8080
Bypass proxy server for local addresses
OK
Type the port
number in the Port
box, and then click
OK.
Cancel
Installing and Configuring
Firewall Clients
ISA Server
Group Policy
MSPClnt\Setup.exe
Webinst/default.htm
Client Computer
Client types

SecureNAT


Nessun client software nè configurazione
Gestito dal firewall service


Firewall client

Gestito dal firewall service


Richieste HTTP ridirezionate al web proxy service
se è abilitato il servizio redirector
Richieste HTTP ridirezionate al web proxy service
se è abilitato il servizio redirector
Web proxy client

Gestito dal web proxy service
Authentication

SecureNAT


Firewall client




Nessuna user authentication; posso usare
solo l’indirizzo IP per gestire gli utenti
Inoltra le credenziali utente
Si autentica per tutti i protocolli
C’è un’eccezione
Web proxy client

Inoltra le credenziali utente
Firewall client authentication
Exemption

Scenario


Utente è SOLO FW client
HTTP redirector filter è attivato


Le credenziali Utente sono perse



Manda le richieste HTTP dei FW client al web
proxy
Firewall service non le inoltra
Nei Logs vedo “anonymous ID”
Soluzione

Configurare redirector perchè rifiuti richieste
HTTP da FW e SecureNAT client
Firewall client



Intercetta tutte le chiamate WinSock: le
chiamate a un indirizzo esterno sono
ridirezionate a ISA Server
Layered service provider; lavora con tutti i
protocolli IP
Supporta l’autenticazione utente; puo
settare permission per protocollo e porta

Non è necessario gestire gli indirizzi
Firewall client operation
Establishing a connection
WS app
connect {77.1.1.2:23}
WinSock
WSP
Winsock
Provider
connect to 77.1.1.2:23
[OK - 10.1.1.2:1200]
ISA
Server
10.1.1.2
Internet
Server
77.1.1.2
connect {10.1.1.2:1200}
Firewall client operation
Porte usate

1745/TCP: refresh della configurazione


1745/UDP: controllo della connessione


MSPCLNT.INI e MSPLAT.TXT
Negoziazione del data channel
Porta: data connection
Risoluzione DNS

SecureNAT

Deve accedere al server DNS server — ISA
Server non “proxa” la risoluzione DNS


Firewall client

La risoluzione DNS è effettuata da ISA Server
o dal client


E’ necessaria una protocol rule DNS
Depende dalle impostazioni in MSPCLNT.INI
Web proxy client

La risoluzione DNS è effettuata da ISA Server
Configurazione del DNS

E’ necessario configurare correttamente il
DNS




Sulla scheda esterna di ISA Server se non
abilito il DNS forwarding
Sulla scheda interna se un DNS server
interno (LAT) può forwardare in Internet
La scheda con impostato il DNS deve essere
“Bindata” come prima
I Firewall clients sono “speciali”…
DNS configuration
Firewall client

La risoluzione dipende dalle impostazioni per ogni
applicazione in MSPCLNT.INI o in Wspcfg.ini

Locale o proxied
Wspcfg.ini, è messo nella cartella
dell’applicazione e NON viene sovrascritta da
ISA
“Common configuration” è locale




Come il SecureNAT
Error 14120

Avviene se il FW client accede un server pubblicato:
 Il traffico esce e rientra in ISA Server
Demo: gestione di un Array
Benefici di ISA Server
Enterprise Edition
Scalabilità
Permette di scalare le funzionalità di ISA Server
usando gli array, Network Load Balancing, e CARP.
Cache Distribuita e
gerarchica
Aumenta le performance e la fault tolerance della
cache.
Active Directory
Contiene la configurazione e le informazioni sulle
policy e viene usata per applicare i controlli di
accesso a utenti e gruppi.
Policy
Permette di creare policy a livello di array e
enterprise.
Installazione di ISA Server in un
Array
Start
Run Setup +
modifica dello Schema di AD
Installa ISA Server come Array
Crea l’Array
Seleziona l’impostazione delle
Enterprise Policy Setting
Seleziona l’impostazione delle
Custom Policy
Finish
Demo: gestione di un Array
Gestione delle Network
Connection




Overview del Routing
Configurazione del Routing per le
richieste dai Web Proxy Client
Configurazione del Routing per le
richieste dai Firewall Client e SecureNAT
Client
Automatic Discovery
Routing Overview
Array 3
Overseas ISP
Array 2
Local Requests
Array 1
Corporate Office
ISA Server
Overseas Branch Office
Demo: gestione delle regole
di Routing
Automatic Discovery
2 Una entry WPAD sul
1 Client contatta il DNS o
il DHCP per ottenere
informazionei su ISA.
DHCP o sul DNS Server
punta a ISA Server.
Alias Name
FQDN
WPAD isa.domain.msft
DNS or DHCP
Server
Client
4 Il Client inoltra le richieste
Internet a ISA Server
basandosi sulle informazioni
di configurazione.
3 Il Client ritrova le informazioni
ISA Server
isa.domain.msft
di configurazione da ISA
Server.
Understanding CARP
Array Membership List
Server 1
Server 2
Server 3
Server 4
Server 5
Server 1
Internet
Server 2
Server 3
Server 4
array.dll?Get.Info.v1
Server 5
Web Proxy Client
Configuring CARP
LONDON Properties
Policies
General
LONDON
Auto Discovery
Performance
Security Properties
Outgoing Web Requests
Incoming Web Requests
General Array Memberships
Identification
Use the same listener configuration for all internal IP addresses.
Intra-array communication
Use this IP address for intra-array communication:
Configure listeners individually per IP address
Server
LONDON
IP Address Display N… Authentic… Server C…
<All inter…
Integrated
131 . 107 . 3 . 1
Add…
TCP port:
8080
SSL port:
8443
Remove
Edit…
Enable SSL listeners
Connections
Connection settings
Find…
Load Factor
Specify the load factor for this server. This number indicates the
relative cache availability of this server compared to the rest of the array
members:
100
Configure…
Ask unauthenticated users for identification
Resolve requests within array before routing
Select to
enable CARP.
OK
Cancel
Type a number
to set the load
factor.
Apply
OK
Cancel
Apply
Understanding Network Load
Balancing
ISA Server Array
Internet
Cache
Cache
Cache
Published Server
Connettere una Rete Remota a
una Rete Locale
172.16.0.0
Local Network
172.16.0.200
ISA MILANO
131.0.0.180
ISA TORINO
10.4.100.200
Remote Network
Internet
131.0.0.80
VPN Tunnel