Aynı array içindeki ISA Server'lar üzerinde farklı logların görülmesi
Her ne kadar bu blog’un amacı IIS ve web development olsa da, zaman zaman ISA Server ile ilgili karşılaşmış olduğum enteresan problem ya da çözümler ile ilgili makaleler de yayınlamanın faydalı olacağını düşünüyorum.
Bu makalede, web proxy ya da firewall çözümü olarak ISA Server kullanan müşterilerimin çok sık karşılaştığı bir problemden bahsetmek istiyorum.
Bilindiği gibi, ISA Server, Enterprise ve Standard Edition olmak üzere iki farklı sürüm olarak gelmektedir. Eğer Enterprise Edition sürümünü kullanıyorsanız ve birden fazla ISA’yı NLB’li olarak çalıştırıyorsanız, ISA loglarını arabirim üzerinden takip ederken her iki ISA Server arabiriminde farklı loglar görebilirsiniz. Normalde, NLB içindeki tüm ISA Server’lar üzerinde Monitoring > Logging ekranına gelirseniz, array içindeki tüm ISA’lar üzerinden geçen trafiği görürsünüz. Ancak bazı durumlarda, her bir ISA üzerinde aynı trafiği farklı şekilde görme problemi yaşayabilirsiniz.
Örneğin, web proxy olarak ISA’yı kullanan bir client’ın trafiğini görmek istediğinizde, log ekranında bir filitre yaratarak, client IP adresine göre filitreleme yaptığınız zaman array içindeki bütün ISA’lar üzerinde aynı sonucu alırsınız. Ancak, bazı durumlarda bir ISA Server üzerinde doğru logları görürken başka bir ISA üzerinde hiçbir log görmeyebilir ya da tanımladığınız filitre doğru çalışmayarak bütün trafiği gösterebilir.
Bu problem, array içindeki ISA’lara yüklenen hot fix (güncelleme paketleri) ya da Service Pack seviyelerinin birbirinden farklı olması durumunda yaşanmaktadır. Örneğin, array içinde ISA 1 ve ISA 2 isimli makineler olsun ve her biri üzerinde ISA Server 2006 EE çalışıyor olsun. ISA 1 makinesi üzerinde ISA 2006 Service Pack 1 kurulu olsun ama ISA 2 makinesi üzerindeki ISA 2006 üzerinde SP1 kurulu olmasın. Bu durumda, logları incelerken her makinede farklı ve tutarsız loglar görme ihtimaliniz var.
Bu sorunu gidermek için, array içindeki her ISA’nın güncellemesinin aynı olduğuna dikkat etmeniz gerekmektedir. Örneğin bir ISA, SP1’li ise, diğer ISA’nın da SP1’li olması gerekmektedir.
ISA’lar üzerinde hangi hot fix ya da service pack’lerin kurulu olduğunu nasıl anlarız?
Bunun en kolay ve güvenilir yolu, ISA Server Best Practices Analyzer (IsaBPA) kullanmanızdır:
· IsaBPA’i ISA’lar üzerine yükledikten sonra Microsoft ISA Server -> ISA Tools altında yer alan ISA Server Best Practices Analyzer’ı çalıştırın.
· Karşınıza gelecek olan ekranda “Select options for a new scan” seçeneğini seçin.
· Scan type olarak Health Check seçili olsun ve “Start scaning”e tıklayarak IsaBPA’in ISA konfigürasyonunu toplamasını başlatın. ISA’nızın versiyonu ve ne şekilde kullandığınıza (konfigürasyonunuza) göre bu işlemin tamamlanması farklı olacaktır.
· IsaBPA çalışmasını bitirince, “View a report of this Best Practices scan” seçeneğini seçerek raporun sonuçlarını görebilirsiniz. Bu rapor üzerinde ISA kurulumu ve işletim sisteminin ISA’nın çalışmasını doğrudan etkileyeceği bazı ayarları hakkında raporlar göreceksiniz. Bu yazının konusu olmadığı için bu raporların neler olduğu üzerinde şimdilik durmayacağım.
· ISA üzerinde kurulu olan güncellemelerin neler olduğu ile ilgilendiğimiz için, üst kısımda “Tree reports”u seçin ve karşınıza gelen raporlarda “ISA Installation” kısmından “Installed ISA QFEs” seçeneği üzerine gelin. Burada ISA üzerine yüklü olan güncellemeleri ve support.microsoft.com sitesinde yayınlanmış olan ilgili KB (bilgi bankası) makalesinin numaralarını görebilirsiniz.
· Array içindeki her ISA üzerinden bu raporları toplayarak yüklü olan güncellemeleri kıyaslayarak her ISA’nın aynı versiyonla çalışmasını sağlayabilirsiniz.
NOT: Benzer problemi, ISA Server Management Console’u bir client makine üzerine kurduğunuz ve bir başka makinedeki ISA Server’a bağlandığınız zaman da yaşayabilirsiniz. Dolayısıyla, ISA Server üzerindeki en son güncelleme neyse, ISA MMC’nin çalıştığı client üzerine de aynı güncellemeyi geçmeniz gerekmektedir.
GÜNCELLEME (12/12/08): Bazı müşterilerim, IsaBPA'in çalışması sırasında sorunlarla karşılaştıklarını bildirdiler ve bu durumda ISA Server güncellemelerinin aynı olup olmadığını nasıl öğrenebileceklerini sordular. Bu durumda, ISA Server üzerinde Add / Remove Programs panelini açarak ve Show updates kutusunu işaretleyerek ISA Server altında yüklü olan güncellemeleri görebilirsiniz ve diğer ISA'lar ile karşılaştırabilirsiniz.
Geçerli olduğu platformlar:
ISA Server 2004
ISA Server 2006
Kaynaklar:
Microsoft Internet Security and Acceleration (ISA) Server Best Practices Analyzer (BPA) Tool
--
AMB