Управлявайте ISA Server дистанционно, независимо от блокирането
MS ISA Server (всички, включително TMG) има такава предполагаема функция: блокиране.
Същността му е, че ако ISA не може да пише регистрационни файлове, тогава той попада в блокиране, забранявайки всякакви входящи / изходящи TCP / IP връзки на всички интерфейси.
Ясно е, че единственият начин да извадите сървъра от блокиране е да дойдете до него пеша и да го подредите на място. Мисля, че няма нужда да убеждаваме обществото, че тази перспектива е ужасна и трябва да се избягва. Но как?
Съображенията за сигурност са цитирани като причини за това поведение от ISA Server. Например, по-добре е, отколкото потенциален хакер да атакува системата в момент, когато тя не може да пише логове, според които някой уж ще изчисли злия хакер по-късно (да, как).
Според мен това явно е неразумен мащаб на параноя, особено на фона на факта, че ISA може да работи тихо, без да пише никъде логове (а това е пълно престъпление според описаната по-горе логика).
И тъй като много регистрационни файлове се записват или в MS SQL, или в MSDE2000 (включен), поради тези причини понякога журналите спират да се записват там. Достатъчно е да заредите MS SQL със сериозна заявка за около двадесет минути, тъй като той започва (независимо от мощността на процесора) да сгъва логове толкова плътно, че ISA да му размахва химикалка и да изпадне в локдаун. Или просто свийте огромна база данни през нощта - това е мястото, където ISA пада. Не говоря за ситуации, в които MS SQL се намира на друг сървър. А що се отнася до MSDE2000, има известни проблеми с изтичане на памет (не знам дали са решени или не), когато известните условия съвпадат само с Geitz.
Естествено, много администратори се интересуват как да се отърват от тази, Бог да ме прости, функция. В интернет има стон. За щастливите собственици на версия 2004 има WB скрипт (ключови думи 'ISA 2004lockdown disable script', който след коригиране на синтактични грешки ви позволява да деактивирате заключването, когато е невъзможно да пишете регистрационни файлове. Но по наблюдение на мнозина в ISA 2006 не работи (проверено днес - не работи). Никой досега не е направил валиден сценарий за 2006 г.
Мислех, че единственият начин да извадя ISA от блокиране е или да го сваля, или да принудя услугата fwsrv да стартира. Оказа се обаче, че за изключване на блокирането (когато fwsrv е изключен) е достатъчен командния ред net stop fweng /Y, който дезактивира пакета филтър драйвер, който всъщност блокира всичко.
След това сървърът с ISA става отдалечено достъпен, но също така не е защитен! Мисля, че въпреки това за мнозина все още ще бъде по-предпочитано, отколкото например да си свалиш задника от стола си и да се завлечеш в друг град или в другия край на града, само за да стартираш ISA Server локално в някакъв претоварен клон.
Антиблокирането може да се реализира по различни начини. Идеята е при спиране на услугата fwsrv (което се случва поради факта, че е невъзможно да се пишат логове), например, да изпратите текстово съобщение до системния администратор и след известно време да спрете fweng (например с cron), за да дадете възможност на системния администратор да се свърже дистанционно (например като radmin) и да реши проблема, без да става от стола си. Администраторът, например, може бързо да деактивира записването, като отиде на сървъра, стартира fwsrv (fweng ще стартира автоматично) и след това бавно разбере как и какво със стандартните инструменти за отдалечено администриране.