Har i ett kundprojekt sprungit på ett “dumt” beteende hos ISA.

Om ni vill göra mer avancerade Path regler så kommer ni att upptäcka att ni inte kan ha ? med i pathen.

I hjälpen nämns att man kan avsluta med ett * wildcard och att detta endast kan finnas i slutet av en path. Men i övrigt ser det ut att vara en strängjämförelse.

Mitt problem kom när jag ville filtrera på den path som ActiveSync genererar.
Där är pathen alltid i stil med
HTTP://mail.company.com/Microsoft-Server-ActiveSync?User=kent&DeviceId=12345654321A01234*
Idéen var att med hjälp av denna begränsa vilken kombination av UserID och DeviceID som kunde användas, och samtidigt göra det lite svårare för en hacker som nu måste lista ut den device-unika GUID som en device använder som DeviceID.

Denna idé kom alltså till korta när det visar sig att ISA inte läser bortom det lilla frågetecknet.
Tyvärr för min del så har detta dokumenterats på bl.a.
http://www.microsoft.com/technet/isa/2000/plan/faq-urldomainnamesets.mspx och gäller som det verkar även för ISA 2004 0ch ISA 2006.