Ziel-IP: 195.50.147.58
Zielport: 80
Protokoll: http
Zielnetzwerk:
Client-IP: 195.50.147.58
Quellport: 0
Quellnetzwerk:
Aktion: Verweigerte Verbindung
Regel:
Clientbenutzername: anonymous
URL: http://server/selfupdate/iuident.cab oder
http://server/autoupdate/getmanifest.asp oder
http://server/wutrack.bin?... oder
http://server/iuident.cab?...
Das ist der Logeintrag im ISA06-Server, er wiederholt sich 3-5 mal alle 10 Minuten (bzw. die 3 letztgenannten URLs alle 5 Stunden). 195.50.147.58 ist die externe Netzwerkkarte des ISA-Servers und "server" sein (wenig einfallsreicher) Name. Er ist zugleich Domänencontroller und noch einiges mehr (ja, ich weiß, no comment...). Die Standardwebsite läuft unter Port 800, der Weblistener des ISA auf 80 mit FBA.
Daher a) was genau (außer "irgendwas mit Update") versucht der Server hier überhaupt zu tun und b) wie sollte eine Regel formuliert sein die das zuläßt, sofern das denn überhaupt sein sollte?
Und fast noch interessanter: warum wird diese IP bei dieser Aktion keinem Netzwerk zugeordnet? Normalerweise ist das ja "Lokaler Host", und bei anderen Zugriffen funktioniert diese Zuordnung ja auch. Und warum ist der Quellport 0? Und warum wird "http" hier klein geschriebn, bei allen anderen HTTP-Anfragen aus externen und internen Netzwerken jedoch HTTP groß?
Dieser Eintrag verwirrt mich total, vielleicht kann ja mal einer Licht in mein Dunkel bringen...