Início > Não categorizado > Sobre filtros web de terceiros no Forefront TMG ou ISA Server

Sobre filtros web de terceiros no Forefront TMG ou ISA Server

Saudações,

Como não é mais segredo para quem me acompanha, comecei dia 25 de fevereiro deste ano como Green Badge Engineer na Microsoft. Durante este ano estarei alocado em clientes Microsoft como Premier Field Engineer cuidando da parte de segurança com suporte a ferramentas como Forefront TMG, AD RMS, AD FS, IIS e a parte de patche management. Com um bom trabalho e uma ajudinha do Papai do Céu, quem sabe não fico em definitivo!

A idéia deste post é mostrar casos que ainda se repetem em clientes que optaram por manter o Forefront TMG por mais algum tempo, fazendo a integração do mesmo com outras ferramentas para a parte de secure web gateway, como Filtro de Conteúdo por exemplo.

Para casos envolvendo o Forefront TMG, é muito dificil que um problema como esses ocorra, salvo pela falta de atualização do plug-in de terceiros e/ou problemas na própria instalação.

No que tange ao ISA Server 2006, é fundamental que a instalação não tenha nenhum tipo de erro e que a última versão do plug-in para ISA esteja instalado. Para maiores detalhes, procure informações com o fabricante do filtro de conteúdo terceiro e veja se a versão que vc usa é a correta.

Normalmente uma instalação danificada do plug-in, ou uma versão mais antiga sem suporte aos novos tipos de requisição e acessos, vai fazer com que o usuário final sinta latência em seus acessos ou até mesmo receba uma mensagem de “access denied” mesmo para sites permitidos pelas políticas.

Dependendo do problema, o plug-in pode também enfileirar requisições até consumir todos os recursos disponíveis do servidor, causando o crash do serviço do ISA ou TMG (mais comum no ISA  Server que, neste caso, divide sua engine no Kernel mode com a do plug-in).

Normalmente o restart do serviço resolve, mas, esse problema, se não tratado, começa a ocorrer com frequência afetando toda massa de usuários e causando os mais variados dissabores. Neste caso, prevenção e busca da solução definitiva é a única saída.

Veja abaixo os erros que podem ocorrer (os log´s abaixo são de uma infra estrutura grande de ISA Server, ainda em uso em um cliente):

Event Type:            Error

Event Source:        Microsoft Firewall

Event Category:    None

Event ID: 14057

Date:                      4/3/2014

Time:                      11:30:17 AM

User:                       N/A

Computer:            

Description:

The Firewall service stopped because an application filter module C:\Program Files\Microsoft ISA Server\w3filter.dll generated an exception code C0000005 in address 6472F7A3 when function CompleteAsyncIO was called. To resolve this error, remove recently installed application filters and restart the service.

No erro acima pode se ver que o filtro do próprio ISA é o primeiro a ser impactado pelo filtro de terceiros. Após a parada no w3filter.dll, ocorre o erro abaixo:

Event Type:            Error

Event Source:        Microsoft Firewall

Event Category:    None

Event ID: 14007

Date:                      4/3/2014

Time:                      11:30:17 AM

User:                       N/A

Computer:            

Description:

A shortage of available memory caused the Firewall service to fail. The ISA Server computer cannot support additional connections for the server. The Event Viewer Data window displays the number of active connections.

O erro acima mostra que o filtro de terceiros foi enfileirando requisições por não conseguir trata-las e consumiu todos os recursos do servidor. Após esse erro, pode ser encontrado outro conforme abaixo:

Event Type:            Error

Event Source:        Microsoft ISA Server 2006

Event Category:    None

Event ID: 1000

Date:                      4/3/2014

Time:                      11:30:20 AM

User:                       N/A

Computer:            

Description:

Faulting application wspsrv.exe, version 5.0.5723.527, stamp 4f7071bd, faulting module w3filter.dll, version 5.0.5723.527, stamp 4f70717d, debug? 0, fault address 0x0003f7a3.

O erro acima mostra o momento em que, influenciado pelo filtro w3filter.dll, o processo do proxy cai.

Caso o problema esteja ocorrendo por erros na própria instalação do plug-in ou por falta de alguma biblioteca da mesma, o erro abaixo ocorre (para quem usa web filter que encaminha para um WebSense Server):

Event Type:            Information

Event Source:        Websense-ISA

Event Category:    None

Event ID: 4096

Date:                      4/3/2014

Time:                      2:46:29 PM

User:                       N/A

Computer:            

Description:

The description for Event ID ( 4096 ) in Source ( Websense-ISA ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: Webfilter initialized..

Usar plug-in de web filters de terceiros é totalmente viável, mas, recomendo fortemente  que, se ainda usam ISA Server e entendem que o TMG pode suporta-los por algum tempo, que migrem o mais rápido possível. O uso do ISA Server fica muito limitad a uma plataforma 32 bits que a muito não suporte grandes cargas de acesso.

Caso contrário, analise no mercado a solução de proxy e secure web gateway que vai de encontro a suas necessidades, lembrando que, para publicação de aplicações, o Web Application Proxy do Windows Server 2012 R2 e o Application Request Routing do IIS 8.5 (para publicação de OWA) são opções eficazes e baratas para supir parte daquilo que o Forefront TMG faz em sua estrutura.

Abraços

Uilson

Categorias:Não categorizado
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: