Installation eines ISA-Servers
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
1. Beschreibung der Beispielkonfiguration
Im Gegensatz zu den meisten anderen Anleitungen, die hier unter www.msisafaq.de veröffentlicht werden, ist es für das Verstehen der Installationsanleitung wichtig, die vorhandene Systemumgebung zu kennen.
Der hier verwendete Server (Windows 2000 Server deutsch) hat zwei Netzwerkkarten und eine NTFS-Partition (4 GB). Das Betriebssystem läuft mit Servicepack 2 und Security Rollup Package 1. Auf dem Server ist zusätzlich ein Internet Information Server 5.0 mitinstalliert, aus Sicherheitsgründen wurde das Tool IISLockDown ausgeführt.
Das interne Netzwerk des ISA-Servers verwendet das Class-C IP-Netzwerk 192.168.220.0, die externe Schnittstelle hat die IP-Adresse 192.168.0.2 (jeweils mit Subnetzmaske 255.255.255.0); der Internetzugang erfolgt über einen Router mit IP-Adresse 192.168.0.1. Zur besseren Übersicht wurden die Namen der beiden LAN-Verbindungen geändert:
Eigenschaften der externen Schnittstelle:
Die interne Schnittstelle:
Der FQDN des Servers lautet tiger.msisafaq.de. Auf dem Server ist ein DNS-Serverdienst installiert, der externe Ziele an den DNS-Server des Providers weiterleitet. Eine eigene DNS-Zone ist nicht vorhanden, da es kein Active Directory Server ist.
2. Die eigentliche Installation
Nachdem die Hard- und Softwarevoraussetzungen erfüllt sind und Sie mit der Systemumgebung dieser Installationsanleitung vertraut sind können wir mit der Installation beginnen.
Sobald die CD eingelegt wurde, erscheint (bei aktivierter autorun-Funktion) folgendes Begrüßungs-Bild:
Das Auswahlmenü bietet verschiedene Punkte an. Sie haben hier nochmals die Möglichkeit, Hinweise etc. durchzulesen. Wir entscheiden uns nun aber für den Punkt "ISA Server installieren":
Nach dem akzeptieren der EULA geht es weiter:
Das Setup bietet uns drei verschiedene Installationsarten. Die Standardinstallation enthält nur:
- ISA-Dienste (der Server selber)
- ISA-Verwaltung
Wir entscheiden uns für die Benutzerdefinierte Installation:
Die ISA-Dienste sind Vorraussetzung, da sie den Kern des ISAs enthalten. Schauen wir uns die zusätzlichen Dienste an:
Hier besteht die Möglichkeit, den H.323-Gatekeeper zu installieren. Der Gatekeeper ist quasi ein Vermittlungssystem für ein- und ausgehende (Video-)Konferenzen, z.B. über NetMeeting. Zum H.323-Gatekeeper wird es hier auf www.msisafaq.de in Kürze ein eigenes Tutorial geben. Die Komponente "Nachrichtenüberwachung" (engl.: Message Screening) ist ein nützlicher Dienst, mit dem eingehende eMails bereits an der Firewall gefiltert werden kann. Die Vorraussetzungen dafür sind aber mindestens zwei Maschinen, da die Nachrichtenüberwachung nicht auf ein und derselben Maschine wie der eigentliche Mailserver installiert werden kann. Es bietet sich jedoch an, diese auf dem ISA Server zu installieren um die eMails dann an den internen Mailserver (z.B. Exchange 2000) weiterzuleiten. Allerdings muss dann auf dem ISA Server der SMTP-Dienst des IIS installiert sein. In diesem Beispiel installieren wir beide Komponenten, da wir sie in späteren Szenarien benötigen. Wenn Sie diese hier nicht installieren wollen, ist das auch kein Problem. Sie können jederzeit nachinstalliert werden. Grundsatz: Installieren Sie nur, was Sie auch benötigen.
Der obere Bildschirm zeigt die zur Verfügung stehenden Optionen aus dem Punkt
"Verwaltungsprogramme". Die ISA-Verwaltung (mmc-SnapIn) wird am Server zwingend
benötigt, um ihn einrichten zu können. Die Gatekeeperverwaltung wird nur
benötigt, wenn auch der H.323-Gatekeeper (s.o.) installiert ist. Sie können
beide Komponenten auch auf einer Remotestation installieren, um den ISA Server
vom Administrationsarbeitsplatz zu warten. Weitere Infos
Nachdem wir alle Optionen ausgewählt haben (hierfür werden rund 16 MB Speicherplatz benötigt) wird die Installation fortgesetzt und wir müssen uns für den Betriebsmodus entscheiden.
Wir entscheiden uns für den Integrierten Modus. Weitere Informationen über die Unterschiede der drei Modi erhalten Sie hier.
Nach kurzem Warten erreicht uns obige Meldung. Dies liegt daran, dass auf dem Server bereits ein Webserver (IIS) installiert ist und das Standardweb auf Port 80 konfiguriert ist.
Der nächste Dialog fordert uns auf, die Größe des Festplattencaches festzulegen. Informationen über die Verwaltung/Administration des Caches finden Sie hier.
Die vorgeschlagene Größe von 100MB dürfte in der Praxis kaum ausreichen. In kleinen Umgebungen empfehle ich wenn möglich 1 GB zu verwenden.
Nach der Einrichtung des Caches benötigt das Setup von uns Informationen über das interne (zu sichernde) Netzwerk:
Wie bereits eingangs erwähnt, hat das in diesem Beispiel verwendete interne Netzwerk Adressen, die mit 192.168.220.x beginnen. Das öffentliche Interface hat 192.168.0.2. Diese öffentliche Adresse (bei Ihnen in der Regel eine wirklich öffentliche IP-Adresse) darf niemals in der LAT eingetragen werden.
Wie bereits weiter oben erwähnt, kann die Nachrichtenüberwachung auch auf dem ISA-Server installiert werden; es muss jedoch der SMTP-Dienst eingerichtet sein, was er in unserem Beispiel jedoch nicht ist. Diese Installation holen wir später nach; wollte Ihnen nur diese Meldung anzeigen.
Nachdem das ISA-Server-Setup nun alle Informationen eingesammelt und Warnungen angezeigt hat, beginnt das Kopieren und Einrichten der Dateien auf dem Server:
Nach kurzer Zeit ist die Installation abgeschlossen. Ein Neustart des Servers ist grundsätzlich nicht erforderlich.
Da wir weiter oben ausgewählt haben, nach erfolgter Installation die Verwaltungskonsole anzuzeigen, wird diese auch geöffnet:
Die Installation des ISA-Servers ist nun abgeschlossen. Der Server ist einsatzbereit.
Denken Sie auch daran, stets die aktuell verfügbaren Servicepacks und Hotfixe einzuspielen. Derzeit ist ISA SP1 aktuell (April 2002):
3. Grundregeln für Internetzugriff
Direkt nach der Installation des ISA Servers funktioniert zunächst kein Internetverkehr (außer der DNS-Auflösung) direkt vom ISA Server aus. Zugegeben, dies ist für Microsoftprodukte etwas ungewöhnlich, aber aus Sicherheitsaspekten sehr sinnvoll. Das Ziel einer Firewall ist schließlich, unerwünschten Internetverkehr ein- und ausgehend zu blockieren. Da erscheint es sinnvoll, zuerst alles zu verbieten, was nicht explizit freigegeben ist. Und genau so verhält es sich mit dem ISA Server. Alles was zugelassen werden soll muss zunächst konfiguriert werden.
Folgende Artikel sollten helfen, Grundregeln zu konfigurieren und zu verstehen:
- Ausgehende Webanfragen
- MailClient
- IE auf ISA
- HTTP Redirector
- Ping ausgehend
- Administration über Client
Stand: Friday, 28. August 2009/DR.
