Veröffentlichung eines internen Webservers mit dem ISA - Teil 1: Die Vorbereitungen
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Dieses etwas längere Kapitel beschreibt die Veröffentlichung eines Webservers (hier am Beispiel des IIS) mit dem ISA Server. Gleichzeitig versuche ich, möglichst viele Randbedingungen wie z.B. DNS anzusprechen und zu erklären.
Aus diesem Grund ist die Anleitung in mehrere Teile aufgeteilt:
Webserver veröffentlichen - Teil 1 beschreibt die notwendigen Vorbereitungen von DNS, IIS und ISA
Webserver veröffentlichen - Teil 2a beschreibt die eigentliche Veröffentlichung
Webserver veröffentlichen - Teil 2b beschreibt die Veröffentlichung, wenn IIS auf dem ISA ist
Webserver veröffentlichen - Teil 3 beschreibt die Veröffentlichung eines Webservers mit einer Serververöffentlichungsregel
1. DNS-Vorbereitungen
Damit der Webserver später auch vom Internet erreichbar ist, müssen die Benutzer seine Adresse wissen. Dies ist auf zwei Arten realisierbar: Über die IP-Adresse oder über einen FQDN (Fully qualified domain name, vollständiger Domainname). Sicherlich kann sich kaum jemand eine Adresse wie http://123.123.49.85/ merken. Einfacher wäre es über http://www.firma1.de/ . Da letztendlich doch alles über IP-Adressen angesprochen wird, muss ein DNS-Server die Umwandlung (Auflösung) des Namens in eine IP-Adresse übernehmen. In vielen Fällen übernimmt der ISP die Verwaltung und Pflege des DNS-Servers. In unserem Beispiel gehen wir jedoch davon aus, dass der Primary Nameserver für die Domain firma1.de durch unseren ISA bereitgestellt wird. Damit haben wir jegliche Kontrolle über die Zone und können jederzeit Veränderungen vornehmen. Dies hat jedoch den Nachteil, dass ein weiterer Dienst auf unserem ISA veröffentlicht wird; dies könnte ein zusätzlicher Angriffspunkt u.a. für DoS-Attacken darstellen.
Im folgenden richten wir eine neue DNS-Zone für firma1.de mit einem www-Host auf unserem ISA Server ein. Anschließend wird der DNS-Server veröffentlicht, sodass der Name www.firma1.de extern aufgelöst werden kann:
Im Kontextmenü des Servereintrags (hier: TIGER) auf "Neue Zone..." gehen. Folgender Assistent hilft bei der Erstellung:
In unserem Fall erstellen wir eine Primäre Zone. Eine AD-integrierte Zone empfiehlt sich aus Sicherheitsgründen nicht im Internet zu veröffentlichen. Hierbei würden zu viele Details des internen Netzes veröffentlicht.
Zum Schluss zeigt die Zusammenfassung nochmals alle wesentlichen Elemente an.
Nachdem die Zone erstellt wurde müssen wir noch mindestens den www Host hinzufügen. Dazu wird der Dialog "Neuer Host..." aufgerufen:
Als Namen vergeben wir www und die zu verwendende öffentliche IP-Adresse (in diesem Beispiel hat die öffentliche Seite des ISA Servers die IP-Adresse 192.168.69.100!). Anschließend sollte die Zone ungefähr wie folgt aussehen:
Je nach Anforderung muss diese Zone noch verändert werden. Eine komplette DNS-Zone könnte wie folgt aussehen:
firma1.de nameserver = pns.provider.de
firma1.de nameserver = ns.provider2.de
firma1.de nameserver = ns.firma1.de
firma1.de
primary name server = ns.firma1.de
responsible mail addr = hostmaster.firma1.de
serial = 2001110126
refresh = 10800 (3 hours)
retry = 3600 (1 hour)
expire = 686400 (7 days 22 hours 40 mins)
default TTL = 43600 (12 hours 6 mins 40 secs)
firma1.de MX preference = 20, mail exchanger =
mailfwd.provider.de
firma1.de MX preference = 10, mail exchanger = mail.firma1.de
ns.firma1.de internet address = 222.222.222.100
mail.firma1.de internet address = 222.222.222.102
www.firma1.de internet address = 222.222.222.101
Nachdem die Zone erstellt wurde (an dieser Stelle wäre der geeignete Zeitpunkt eventuell weitere benötigte Zonen hinzuzufügen) kann der DNS-Server veröffentlicht werden. Da der Dienst auf dem ISA Server selbst läuft werden IP-Paketfilter statt einer Serververöffentlichung verwendet.
Es werden folgende beiden benutzerdefinierten IP-Paketfilter benötigt:
1. IP-Paketfilter "DNS Query"
2. IP-Paketfilter "DNS Zone Transfer"
Je nach Bedarf kann die externe IP-Adresse des ISAs angegeben werden, sofern dieser über mehrere verfügt. Ebenso könnte der Zugriff auf bestimmte Remote Computer eingeschränkt werden. Letzteres macht im allgemeinen wenig Sinn, denn man möchte ja, dass die Seite erreichbar ist.
Nach wenigen Sekunden sind die IP-Paketfilter aktiv und wir können per nslookup die korrekte Funktion unseres DNS-Servers testen:
Sollte der Server keine Informationen herausgeben, könnte eventuell hier der Fehler liegen:
Stellen Sie sicher, dass auch mindestens die in den IP-Paketfiltern angegebene
öffentliche IP-Adresse (in unserem Fall die 192.168.69.100) angegeben ist!
Hinweis: Einen eigenen DNS-Server zu betreiben macht nur richtig Sinn an einer Standleitung mit statischen öffentlichen IP-Adressen.
2. Webserver (IIS) vorbereiten
Nachdem die Erreichbarkeit von außen eingerichtet ist müssen wir den internen Webserver vorbereiten und dort das Web einrichten. Wir verwenden einen IIS 5.0 unter Windows 2000 auf einem separaten Server mit der IP-Adresse 192.168.220.10 (die interne Netzwerkkarte des ISA Server hat die 192.168.220.1). Der W2k-Server "vm-w2ksrv2" ist als SecureNAT-Client konfiguriert.
Hier im Schnelldurchgang das Anlegen eines Webs:
Starten Sie den Assistenten für ein neues Web (Kontextmenü des Eintrags vm-w2ksrv2 in der IIS-MMC). Geben Sie im zweiten Fenster den Namen des Webs ein. Wir verwenden www.firma1.de.
Tragen Sie im Fenster "IP-Adresse und Anschlusseinstellungen" die obigen Werte ein und geben Sie im nächsten Dialogfenster den Pfad auf der Festplatte zu den Web-Dateien ein. Folgen Sie den weiteren Anweisungen des Assistenten und beenden Sie diesen.
Damit wir nachher auch ein Ergebnis sehen, erstellen Sie kurz eine htm-Datei mit dem Namen "default.htm". Die Datei kann z.B. folgenden Text enthalten:
3. ISA für eingehende Webanfragen konfigurieren
Zum Abschluss dieses Parts werden wir noch den ISA Server für eingehende Webanfragen vorbereiten.
Dazu muss der "Webabhörer" konfiguriert werden. Die Eigenschaften finden wir auf Ebene des Servers (tiger).
Wenn wir die öffentlichen IP-Adressen einzeln konfigurieren wollen (dies ist z.B. für unterschiedliche Authentifizierung notwendig) wählen wir "Abhörer individuell pro IP-Adresse konfigurieren". In unserem Beispiel haben wir nur eine IP-Adresse, ich verwende dennoch diese Konfiguration.
Mit dem Thema Authentifizierung wird sich noch ein separates Kapitel auf der msisafaq.de beschäftigen, daher gehe ich hier nicht noch näher darauf ein.
Nach Abschluss der Konfiguration muss der Webproxy-Dienst neu gestartet werden...
...und die Webabhörer-Konfigurationsseite sieht so aus:
Hiermit sind eigentlich alle üblicherweise notwendigen Vorbereitungen für eine erfolgreiche Webserver-Veröffentlichung abgeschlossen. Im nächsten Kapitel sehen wir uns die Konfiguration von Zielsätzen sowie die eigentliche Webveröffentlichung an [endlich..:-)]
Webserver veröffentlichen - Teil 2a
Stand: Friday, 28. August 2009/DR.
