Veröffentlichung eines internen Webservers mit dem ISA - Teil 2b: Die Veröffentlichung
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Dieses etwas längere Kapitel beschreibt die Veröffentlichung eines Webservers (hier am Beispiel des IIS) mit dem ISA Server. Gleichzeitig versuche ich, möglichst viele Randbedingungen wie z.B. DNS anzusprechen und zu erklären.
Aus diesem Grund ist die Anleitung in mehrere Teile aufgeteilt:
Webserver veröffentlichen - Teil 1 beschreibt die notwendigen Vorbereitungen von DNS, IIS und ISA
Webserver veröffentlichen - Teil 2a beschreibt die eigentliche Veröffentlichung
Webserver veröffentlichen - Teil 2b beschreibt die Veröffentlichung, wenn IIS auf dem ISA ist
Webserver veröffentlichen - Teil 3 beschreibt die Veröffentlichung eines Webservers mit einer Serververöffentlichungsregel
6. Besonderheiten, wenn der IIS auf dem ISA Server selber installiert ist
Wenn der IIS auf dem selben Rechner läuft wie der ISA gibt es ein paar Besonderheiten zu beachten, da der ISA Server den TCP Port 80 des internen Interface für sich beansprucht. Dennoch ist es natürlich möglich, eine Website auf dem ISA zu betreiben. Um dies zu erreichen sind zwei Möglichkeiten vorhanden:
- Webveröffentlichung (empfohlene Methode)
- IP-Paketfilter
Beide Möglichkeiten möchte ich hier vorstellen:
6.1 Veröffentlichung durch Webveröffentlichungsregel
Der Vorteil dieser Variante liegt klar auf der Hand:
- Die Vorteile des Reverse Cachings und des Webproxydienstes können verwendet werden
- Zielsätze sind verwendbar
- Port 80 wird nach außen dynamisch geöffnet
- es können zusätzlich weitere interne Webserver veröffentlicht werden
- die Webseite kann auch von innen erreicht werden
Jeder Vorteil hat einen Nachteil:
- Port 80 der internen IP-Adresse des ISA kann nicht verwendet
werden; dies lässt sich aber umgehen durch eine der drei Alternativen:
- Vergabe einer zusätzlichen internen IP Adresse, die dem IIS auf Port 80 zugeordnet wird
- Änderung des Ports (z.B. auf 81)
- Abschalten des Socket Pooling
- Eine Webveröffentlichungsregel benötigt eine fest
zugewiesene öffentliche IP-Adresse (also schlecht für die meisten
DFÜ/DSL-Anbindungen). Auch hierfür gibt es natürlich Alternativen:
- Vorschaltung eines Routers, der dem ISA eine feste IP ermöglicht
- Verwendung eines Scriptes, das nach jeder IP-Adressenänderung die Webveröffentlichungsregel anpasst
Für die weitere Beschreibung nutze ich die einzige interne IP-Adresse des ISA (192.168.220.1), der mit einer statischen öffentlichen IP (192.168.69.100) ans Internet angebunden ist. Die notwendige DNS-Konfiguration wurde in Teil 1 beschrieben.
Sehen wir uns zuerst die Konfiguration des IIS an:
Beachten Sie, dass der Port auf 81 gelegt wurde!
Sehen wir uns als nächstes die Einrichtung der Webveröffentlichungsregel an (der Webabhörer wurde gem. Teil 1 eingerichtet):
Beachten Sie auch hier den Port 81!
Dies war auch schon alles um folgendes Ergebnis zu bekommen:
6.2 Veröffentlichung durch IP-Paketfilter
Eine Alternative zur Webveröffentlichung ist eine Veröffentlichung durch IP-Paketfilter.
Vorteile:
- Die interne IP-Adresse wird nicht verwendet
Nachteile:
- Die Vorteile des Reverse Cachings und des Webproxydienstes können nicht verwendet werden
- Zielsätze sind nicht verwendbar
- Port 80 wird nach außen statisch geöffnet
- es können keine weitere internen Webserver veröffentlicht werden (außer es werden mehrere öffentliche IP-Adressen verwendet)
- die Webseite kann von innen nicht erreicht werden (nur über die öffentliche IP)
Für die weitere Beschreibung nutze ich die einzige interne IP-Adresse des ISA (192.168.220.1), der mit einer statischen öffentlichen IP (192.168.69.100) ans Internet angebunden ist. Die notwendige DNS-Konfiguration wurde in Teil 1 beschrieben.
Zuerst muss der Webabhörer deaktiviert werden:
Danach konfigurieren wir den IIS:
Beachten Sie, dass die öffentliche IP-Adresse sowie Port 80 verwendet wird!
Als letztes richten wir einen IP-Paketfilter ein:
Nach wenigen Sekunden können wir das Ergebnis begutachten:
Ich empfehle grundsätzlich sofern möglich immer eine Webveröffentlichung statt IP-Paketfilter zu verwenden. Ich denke die hier aufgezeigten Vor- und Nachteile sprechen für sich.
Sofern die Änderung des Ports (bei HTTP 80, bei FTP 21) nicht möglich ist und der interne Webserver über eine Webveröffentlichung publiziert werden soll, beachten Sie folgende Artikel:
Webserver veröffentlichen - Teil 3
Stand: Friday, 28. August 2009/DR.
