ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
ISA Terminalservice
ISA und SBS
Ping eingehend
Incoming ping response
pcAnyWhere
Terminalserver
TSAC / TSWeb
DNS veröffentlichen
Webserver - Teil 1
Webserver - Teil 2a
Webserver - Teil 2b
Webserver - Teil 3
Webserver mit IP-Zielsatz
Exchange SMTP
Exchange OWA
Exchange OWA mit FP1
OWA SSL Teil 1
OWA SSL Teil 2
OWA SSL Teil 3
OWA SSL Teil 4
OWA SSL Teil 5
Veröffentlichungen einschränken
Exchange RPC
RPC über HTTPS

 

Veröffentlichung eines internen Webservers mit dem ISA - Teil 1: Die Vorbereitungen


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2000

 

Dieses etwas längere Kapitel beschreibt die Veröffentlichung eines Webservers (hier am Beispiel des IIS) mit dem ISA Server. Gleichzeitig versuche ich, möglichst viele Randbedingungen wie z.B. DNS anzusprechen und zu erklären.

Aus diesem Grund ist die Anleitung in mehrere Teile aufgeteilt:

Webserver veröffentlichen - Teil 1 beschreibt die notwendigen Vorbereitungen von DNS, IIS und ISA

Webserver veröffentlichen - Teil 2a beschreibt die eigentliche Veröffentlichung

Webserver veröffentlichen - Teil 2b beschreibt die Veröffentlichung, wenn IIS auf dem ISA ist

Webserver veröffentlichen - Teil 3 beschreibt die Veröffentlichung eines Webservers mit einer Serververöffentlichungsregel

1. DNS-Vorbereitungen

Damit der Webserver später auch vom Internet erreichbar ist, müssen die Benutzer seine Adresse wissen. Dies ist auf zwei Arten realisierbar: Über die IP-Adresse oder über einen FQDN (Fully qualified domain name, vollständiger Domainname). Sicherlich kann sich kaum jemand eine Adresse wie http://123.123.49.85/ merken. Einfacher wäre es über http://www.firma1.de/ . Da letztendlich doch alles über IP-Adressen angesprochen wird, muss ein DNS-Server die Umwandlung (Auflösung) des Namens in eine IP-Adresse übernehmen. In vielen Fällen übernimmt der ISP die Verwaltung und Pflege des DNS-Servers. In unserem Beispiel gehen wir jedoch davon aus, dass der Primary Nameserver für die Domain firma1.de durch unseren ISA bereitgestellt wird. Damit haben wir jegliche Kontrolle über die Zone und können jederzeit Veränderungen vornehmen. Dies hat jedoch den Nachteil, dass ein weiterer Dienst auf unserem ISA veröffentlicht wird; dies könnte ein zusätzlicher Angriffspunkt u.a. für DoS-Attacken darstellen.

Im folgenden richten wir eine neue DNS-Zone für firma1.de mit einem www-Host auf unserem ISA Server ein. Anschließend wird der DNS-Server veröffentlicht, sodass der Name www.firma1.de extern aufgelöst werden kann:

Im Kontextmenü des Servereintrags (hier: TIGER) auf "Neue Zone..." gehen. Folgender Assistent hilft bei der Erstellung:

In unserem Fall erstellen wir eine Primäre Zone. Eine AD-integrierte Zone empfiehlt sich aus Sicherheitsgründen nicht im Internet zu veröffentlichen. Hierbei würden zu viele Details des internen Netzes veröffentlicht.

Zum Schluss zeigt die Zusammenfassung nochmals alle wesentlichen Elemente an.

Nachdem die Zone erstellt wurde müssen wir noch mindestens den www Host hinzufügen. Dazu wird der Dialog "Neuer Host..." aufgerufen:

Als Namen vergeben wir www und die zu verwendende öffentliche IP-Adresse (in diesem Beispiel hat die öffentliche Seite des ISA Servers die IP-Adresse 192.168.69.100!). Anschließend sollte die Zone ungefähr wie folgt aussehen:

Je nach Anforderung muss diese Zone noch verändert werden. Eine komplette DNS-Zone könnte wie folgt aussehen:

firma1.de         nameserver = pns.provider.de
firma1.de         nameserver = ns.provider2.de
firma1.de         nameserver = ns.firma1.de
firma1.de
                  primary name server   = ns.firma1.de
                  responsible mail addr = hostmaster.firma1.de
                  serial                = 2001110126
                  refresh               = 10800 (3 hours)
                  retry                 = 3600 (1 hour)
                  expire                = 686400 (7 days 22 hours 40 mins)
                  default TTL           = 43600 (12 hours 6 mins 40 secs)
firma1.de         MX preference         = 20, mail exchanger = mailfwd.provider.de
firma1.de         MX preference         = 10, mail exchanger = mail.firma1.de
ns.firma1.de      internet address      = 222.222.222.100
mail.firma1.de    internet address      = 222.222.222.102
www.firma1.de     internet address      = 222.222.222.101

Nachdem die Zone erstellt wurde (an dieser Stelle wäre der geeignete Zeitpunkt eventuell weitere benötigte Zonen hinzuzufügen) kann der DNS-Server veröffentlicht werden. Da der Dienst auf dem ISA Server selbst läuft werden IP-Paketfilter statt einer Serververöffentlichung verwendet.

Es werden folgende beiden benutzerdefinierten IP-Paketfilter benötigt:


1. IP-Paketfilter "DNS Query"


2. IP-Paketfilter "DNS Zone Transfer"

Je nach Bedarf kann die externe IP-Adresse des ISAs angegeben werden, sofern dieser über mehrere verfügt. Ebenso könnte der Zugriff auf bestimmte Remote Computer eingeschränkt werden. Letzteres macht im allgemeinen wenig Sinn, denn man möchte ja, dass die Seite erreichbar ist.

Nach wenigen Sekunden sind die IP-Paketfilter aktiv und wir können per nslookup die korrekte Funktion unseres DNS-Servers testen:

Sollte der Server keine Informationen herausgeben, könnte eventuell hier der Fehler liegen:


Stellen Sie sicher, dass auch mindestens die in den IP-Paketfiltern angegebene öffentliche IP-Adresse (in unserem Fall die 192.168.69.100) angegeben ist!

Hinweis: Einen eigenen DNS-Server zu betreiben macht nur richtig Sinn an einer Standleitung mit statischen öffentlichen IP-Adressen.

2. Webserver (IIS) vorbereiten

Nachdem die Erreichbarkeit von außen eingerichtet ist müssen wir den internen Webserver vorbereiten und dort das Web einrichten. Wir verwenden einen IIS 5.0 unter Windows 2000 auf einem separaten Server mit der IP-Adresse 192.168.220.10 (die interne Netzwerkkarte des ISA Server hat die 192.168.220.1). Der W2k-Server "vm-w2ksrv2" ist als SecureNAT-Client konfiguriert.

Hier im Schnelldurchgang das Anlegen eines Webs:

Starten Sie den Assistenten für ein neues Web (Kontextmenü des Eintrags vm-w2ksrv2 in der IIS-MMC). Geben Sie im zweiten Fenster den Namen des Webs ein. Wir verwenden www.firma1.de.

Tragen Sie im Fenster "IP-Adresse und Anschlusseinstellungen" die obigen Werte ein und geben Sie im nächsten Dialogfenster den Pfad auf der Festplatte zu den Web-Dateien ein. Folgen Sie den weiteren Anweisungen des Assistenten und beenden Sie diesen.

Damit wir nachher auch ein Ergebnis sehen, erstellen Sie kurz eine htm-Datei mit dem Namen "default.htm". Die Datei kann z.B. folgenden Text enthalten:

 

3. ISA für eingehende Webanfragen konfigurieren

Zum Abschluss dieses Parts werden wir noch den ISA Server für eingehende Webanfragen vorbereiten.

Dazu muss der "Webabhörer" konfiguriert werden. Die Eigenschaften finden wir auf Ebene des Servers (tiger).

Wenn wir die öffentlichen IP-Adressen einzeln konfigurieren wollen (dies ist z.B. für unterschiedliche Authentifizierung notwendig) wählen wir "Abhörer individuell pro IP-Adresse konfigurieren". In unserem Beispiel haben wir nur eine IP-Adresse, ich verwende dennoch diese Konfiguration.

Mit dem Thema Authentifizierung wird sich noch ein separates Kapitel auf der msisafaq.de beschäftigen, daher gehe ich hier nicht noch näher darauf ein.

Nach Abschluss der Konfiguration muss der Webproxy-Dienst neu gestartet werden...

...und die Webabhörer-Konfigurationsseite sieht so aus:

Hiermit sind eigentlich alle üblicherweise notwendigen Vorbereitungen für eine erfolgreiche Webserver-Veröffentlichung abgeschlossen. Im nächsten Kapitel sehen wir uns die Konfiguration von Zielsätzen sowie die eigentliche Webveröffentlichung an [endlich..:-)]

Webserver veröffentlichen - Teil 2a

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher