ISA Server Best Practices Analyzer Tool; Microsoft un ISA Server sorunlarını anlamak, yorumlamak ve çözmek için bizlere yardımcı olmak üzere ürettiği bir araçtır. Pek çok ISA sorunu her ne kadar kural bazlı olsa da bazı durumlarda temel konfigürasyon hataları da görüşmektedir. Kurallar her ne kadar incelense de bu konfigürasyon hataları hep gözden kaçmakta ve bu da ISA Server ın işleyişini kötü yönde etkilemektedir. Bende bu makalemde Best Practices Analyzer Tool ( BPAT ) kullanımı ile ISA Server sorunlarını anlama ve çözmeyi anlatacağım.
BPAT yı aşağıdaki adresten ücretsiz bir şekilde indirmeniz mümkündür
http://www.microsoft.com/downloads/details.aspx?FamilyID=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063&displaylang=en
Aracı indirdikten sonra kurulumuna geçiyoruz
Kurulum çok detaylı değil, yani standart bir kurulum işleminden sonra aracı kullanmaya başlıyoruz.
İlk olarak yeni bir tarama yapmak için sol tarafta bulunan kısa yollar dan “Start a Scan” kısmına tıklıyoruz.
Tarama işlemi için bir isim veriyoruz , daha sonra nasıl bir tarama yapacağımız beliriyoruz . Ben “All tasks” diyerek bütün tarama işlemlerini kapsamasını sağlıyorum .
Tarama işlemini başlatıyoruz.
Tarama işlemi bittikten sonra “View a report of this Best Practices scan” link ine tıklıyoruz ve raporu görüyoruz
Evet, , elimde yeni kurulmuş ve standart ayarları yapılmış bir ISA Server Enterprise Edition var , böyle bir yapıda 7 adet sorun , uyarı ve öneri buluyor . Bu kavramlar çok önemlidir , yukarıdaki şekilden aslında ciddi bir hata , 5 uyarı , bir adet ise öneri bulunmaktadır . Zaten görünümde “All Issues” sekmesi seçili olduğu için hepsini görebiliyorum , eğer ISA için acil sorunları görmek istiyorsanız sekmeyi değiştirebilirsiniz .
Yukarıda görüldüğü gibi sadece kritik durumlardan haberdar oluruz. Gelelim Bu aracın kullanımına . ISA konusunda tecrübeli yöneticiler ISA nın kurulumundan ayarlanmasına kadar çok titiz davranırlar ve genellikle minimum hata ile bu işlemler gerçekleşir , ancak bu konuda tecrübeli olmayan yöneticiler için BPAT çok yardımcı olacaktır .
Raporumuza geri dönerek incelemeye başlayalım
Detayını görmek için uyarının üzerine bir kere tıklıyorum , burada sorun ile ilgili kısa bir açıklama yapılıyor , eğer bu açıklama yeterli ise sorunu çözerek bu uyarıyı ortadan kaldırabilirsiniz . Ancak bu açıklama yeterli gelmiyor veya açıklama sorunu çözmek için yeterli değil ise “ Tell me more about this issue and how to resolve it “ linkine tıklıyoruz
Bu sorun ile ilgili detaylı bir açıklama alıyoruz. Peki, sorunları açıklayarak anlatımı güçlendirmek istersek , ilk uyarı bize derki ; ISA nın Enterprise Default rule ları geçerlidir , yani siz ISA yı kurmuşsunuz ama hiç kural yazmamışsınız veya varsa da kurallarınız şu anda aktif değil demektedir . Bendeki durumda aynen uyarıya uyuyor .
Yani bende bir adet kural var ancak kural “Disable” durumda olduğu için beni uyarıyor . Bende bu uyarıyı dikkate alarak kuralımı “enable” yapıyorum . Diğer uyarıya geçersek
Bu problemde ise şirketinizdeki Lokal DNS server ın gelen internet isteklerini çözmesi için internete erişmesi gerektiğini ancak şu anda mevcut bulunan izinler ile bunu gerçekleşemeyeceğini belirtiyor . BU demektir ki lokal dns internete erişemiyor o nedenle internet üzerindeki veya bir başka deyişle kendi üzerinde tuttuğu zone dışında diğer zone lara ait çözümlemeleri yapamayacağını belirtiyor . Kuralım “internal ve localhost tan external “ a doğru olduğu ve ilk uyarıyı aldıktan sonra “Enable “ yaptığım için bu uyarıyı dikkate alıyorum , yani bir sonraki taramada bu uyarının olmayacağını biliyorum .
Bu uyarıda ise şirket içerisindeki bir DC ile istemci makineler arasında sorunlar olacağı konusundadır . Yani ISA Server BPAT bu makinenin aynı zamanda bir DC olduğunu algılıyor , ancak “internal” ile “localhost yani ISA “ arasında bir izin kuralı olmadığı için domain de sorunlar çıkacağı konusunda uyarıda bulunuyor , bunun için bende hemen şirket içi ile ISA arasında izin kuralı yazıyorum .
Yukarıda yazdığım “1” numaralı kural ile bu sorunu da çözmüş bulunuyorum. Diğer bir soruna geçelim
Bu uyarıda ise , ISA Server üzerinde saklanan bir sertifika olmadığı belirtiliyor . ISA Server şirket içerisindeki kaynakları ( Exchange , Web vb.. ) şirket dışına yayınlayabilir . Bu yayını SSL kullanarak yapar ve bu sayede güvenli bir kaynak paylaşımı yapılmış olur . Bu güvenli paylaşımın esasında da SSL teknolojisi yatmaktadır . SSL in temelini ise sertifikalar oluşturur . Sertifikalar iki anahtardan oluşmaktadır ; Public key ve Private key . Public key ile veriler şifrelenirken Private ket ile o şifrelenen veriler açılır . Bizde ISA Server üzerinden SSL li web sitesi vb kaynak yayını yapmak için ISA üzerinde mutlaka bir sertifikaya sahip olmalıyız. Ama biz SSL ile bir yayın yapmayacak isek bu ISA Server ın çalışmasını etkileyecek bir uyarı değildir.
Bu uyarıda ise , ISA Server ın sahip olduğu her iki interface ede ağ geçidi ( gateway ) yazdığımızı belirtiyor . ISA Server IP yapılandırmasında iç interface için gateway tanımlanmaz , sadece dış interface için bir gateway tanımlaması yapılmaktadır. Bende yanlışlıkla ( J ) iç interface için tanımladığım ağ geçidini siliyorum ve böylece bu uyarıdan da kurtulmuş oluyorum .
ISA Server ın kurulu olduğu sistemdeki fiziksel RAM miktarının 512MB tan az olduğunu belirtiyor . Evet, gerçektende şu anda kurulu ISA Server 256 ram üzerinde çalışmakta ve buda ISA için Sistem gereksinimlerinde olmakla beraber performanslı çalışması için yeterli bir durum değildir. Eğer donanımı upgrade etme imkânınız varsa RAM miktarınızın minimum 512 mb olmasına dikkat edin.
MTU (Maximum Transmission Unit ) nun maksimum değerinin bulunması için Windows 2003 üzerinde bulunan “Discovery” özelliğinin kapalı olduğunu belirtiyor . Bu değer iletişimde gönderilecek paketlerin maksimumu boyutlarını temsil eder . En fazla 1500 olan bu değerin en kararlı ama bir o kadarda yüksek olanını bulmak için kullanılan bu özelliğin nasıl açılacağını görüyoruz . İlgili kayıt defteri anahtarını değiştirerek bu özelliği açıyorum .
Bu sayede elimdeki bütün sorunları gözlemlemiş ve sorunları gidermiş bulunuyorum.
ISA BPAT yardımı ile aldığım raporu detaylandırabiliyorum
Veya bu rapor bana bir şey ifade etmiyor ancak bu konuda uzman olan birisine göndermek istiyorsam , bu raporu rahatlıkla export yapabiliyorum .
Ayrıca zamanlanmış tarama işlemleri de yapabiliyorum .
Sorunları düzelttikten sonraki standart kuralları ile ISA Server ı görüyoruz.
ISA Server da olası pek çok konfigürasyonu sorununu çözümü BPAT’dur . ISA sorunlarında öncelikle bu aracı çalıştırıp yönergeleri takip etmeniz halinde sorunlarınızı rahatlıkla çözebileceksiniz , veya sorunları çözemediğiniz bir durumda raporu export ederek bu konuda uzman olan bir kişiye bu raporu gönderebilirsiniz .