LAT - Die Lokale Adresstabelle
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Wenn der ISA Server im Firewallmodus oder im integrierten Modus installiert wird, muss während des Installationsvorgangs die lokale Adresstabelle (LAT) angegeben werden. Die lokale Adresstabelle ist eine Tabelle aller internen IP-Adressbereiche, die im internen Netzwerk hinter dem ISA Server-Computer verwendet werden. Der ISA Server steuert anhand der LAT, wie Computer im internen Netzwerk mit externen Netzwerken kommunizieren.
Die LAT enthält normalerweise alle IP-Adressen, die den internen Netzwerkkarten
auf dem ISA Server-Computer zugewiesen wurden sowie die privaten
IP-Adressbereiche, die von IANA
definiert wurden. Beachten Sie hierbei unbedingt, dass sich die externe(n)
IP-Adresse(n) des ISA Servers (oder der DMZ) nicht in der LAT befinden.
Der ISA Server kann die LAT basierend auf der Windows 2000-Routingtabelle
erstellen. Sie können außerdem die privaten IP-Adressen auswählen, die von der
IANA in RFC 1918 definiert wurden. Diese drei Adressblöcke sind ausschließlich
für private Intranets reserviert und werden nie im öffentlichen Internet
verwendet.
Die Standard-LAT umfasst Adressen, die als private IP-Adressen bezeichnet
werden. Diese Adressen sind in der lokalen Routingtabelle aufgeführt. Aufgrund
der Vorgehensweise von ISA Server beim Lesen der Routingtabelle von Windows 2000
Server, enthält die Standard-LAT eventuell nicht alle Adressen Ihrer
Organisation. Sie können die fehlenden Adressen dann manuell hinzufügen. Es
können darüber hinaus Adressen, die nicht Bestandteil Ihres Netwerkes sind, als
lokale Adressen hinzufügt werden.
LAT und Firewallclients
Die LAT wird zentral auf dem ISA Server-Computer verwaltet. Firewallclients downloaden und empfangen LAT-Aktualisierungen automatisch in voreingestellten Intervallen. Fragt ein Firewallclient ein Objekt an, überprüft der Client die LAT. Befindet sich die angefragte IP-Adresse in der LAT, fragt der Firewallclient das Objekt direkt an. Befindet sich die angefragte IP-Adresse dagegen nicht in der LAT, fordert der Client den ISA Server-Computer auf, das Objekt in seinem Auftrag anzufragen.
Bei der Ausführung des Clientinstalationsprogramms wird eine Datei mit dem
Namen Msplat.txt in den Ordner für den Microsoft Firewallclient auf dem
Clientcomputer installiert. Die Datei Msplat.txt enthält die lokale
Adresstabelle, in der die IP-Adressen des internen Netzwerks definiert sind. Um
die Aktualität der LAT-Dateien zu gewährleisten, aktualisiert ISA Server
regelmäßig die Datei Msplat.txt vom Server. Bei jedem Versuch einer
Winsock-Anwendung auf dem betreffenden Client, eine Verbindung zu einer
IP-Adresse herzustellen, wird anhand der LAT bestimmt, ob es sich bei der
IP-Adresse um eine Adresse im internen Netzwerk oder um eine externe Adresse
handelt. Bei einer internen Adresse wird die Verbindung direkt hergestellt. Im
Falle einer externen Adresse erfolgt die Herstellung der Verbindung über den
Firewalldienst auf ISA Server.
Da ISA Server die Datei Msplat.txt in regelmäßigen Abständen mit einer vom
Server gedownloadeten Version aktualisiert, gehen alle auf dem Client
vorgenommenen Änderungen bei der Aktualisierung der Dateien durch den Server
immer verloren. Um dies zu vermeiden, erstellen Sie mit einem Texteditor eine
benutzerdefinierte Client-LAT-Datei mit dem Namen Locallat.txt und speichern sie
im Firewallclientordner auf dem Client. Sie können weitere IP-Adressbereiche
hinzufügen, die der Client als Bestandteil des internen Netzwerkes erkennt. Der
Client ermittelt anhand der beiden Dateien Msplat.txt und Locallat.txt, welche
IP-Adressen Bestandteil des internen Netzwerkes sind und welche sich im Internet
befinden.
Beim Erstellen der Datei Locallat.txt geben Sie die IP-Adresspaare in die Datei
ein. Jedes Adresspaar definiert entweder einen IP-Adressbereich oder eine
einzelne IP-Adresse. Das folgende Beispiel zeigt eine Datei Locallat.txt mit
zwei Einträgen. Der erste Eintrag ist ein IP-Adressbereich und der zweite eine
einzelne IP-Adresse. Beachten Sie, dass es sich bei dem zweiten Eintrag um eine
IP-Adresse und nicht um eine Subnetzmaske handelt.
172.19.0.0 172.19.115.255
172.27.224.18 172.27.224.18
LAT und SecureNAT-Clients
SecureNAT-Clients verfügen über kein lokales Exemplar der LAT. Fragt ein
SecureNAT-Client ein Objekt an, wird die Anfrage über ISA Server gesendet.
Richtet sich die Anfrage an eine externe IP-Adresse, führt ISA Server die
Anfrage im Auftrag des Clients durch.
Natürlich kann die LAT auch nachträglich verändert bzw. ergänzt werden.
Durch Doppelklick auf den bereits existierenden Eintrag kann dieser verändert werden oder durch Rechtsklick auf "Lokale Adresstabelle (LAT)" ein neuer Eintrag hinzugefügt werden:
Wenn der ISA Server die LAT anhand der Windows 2000-Routingtabelle erstellen soll, ermittelt er, welche Adressbereiche in Ihrem internen Netzwerk interne Adressen sind. Wenn Sie die Routingtabelle nicht korrekt einrichten, wird eventuell die LAT von ISA Server nicht richtig erstellt. Dies kann dazu führen, dass eine Clientanfrage nach einer internen IP-Adresse an das Internet weitergeleitet oder über den Firewalldienst umgeleitet wird. Sie können die Routingtabelle mit dem Windows 2000-Routingprogramm entsprechend konfigurieren. Während der Installation kann die LAT dann basierend auf der Windows 2000-Routingtabelle erstellt werden.
Tip:
Eine falsch konfigurierte LAT ist in vielen Fällen die Ursache für eine
Fehlfunktion des ISA Servers.
Stand: Friday, 28. August 2009/DR.
