ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
ISA Terminalservice
ISA und SBS
Ping eingehend
Incoming ping response
pcAnyWhere
Terminalserver
TSAC / TSWeb
DNS veröffentlichen
Webserver - Teil 1
Webserver - Teil 2a
Webserver - Teil 2b
Webserver - Teil 3
Webserver mit IP-Zielsatz
Exchange SMTP
Exchange OWA
Exchange OWA mit FP1
OWA SSL Teil 1
OWA SSL Teil 2
OWA SSL Teil 3
OWA SSL Teil 4
OWA SSL Teil 5
Veröffentlichungen einschränken
Exchange RPC
RPC über HTTPS

 

Veröffentlichung eines internen Webservers mit dem ISA - Teil 2b: Die Veröffentlichung


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2000

 

Dieses etwas längere Kapitel beschreibt die Veröffentlichung eines Webservers (hier am Beispiel des IIS) mit dem ISA Server. Gleichzeitig versuche ich, möglichst viele Randbedingungen wie z.B. DNS anzusprechen und zu erklären.

Aus diesem Grund ist die Anleitung in mehrere Teile aufgeteilt:

Webserver veröffentlichen - Teil 1 beschreibt die notwendigen Vorbereitungen von DNS, IIS und ISA

Webserver veröffentlichen - Teil 2a beschreibt die eigentliche Veröffentlichung

Webserver veröffentlichen - Teil 2b beschreibt die Veröffentlichung, wenn IIS auf dem ISA ist

Webserver veröffentlichen - Teil 3 beschreibt die Veröffentlichung eines Webservers mit einer Serververöffentlichungsregel

6. Besonderheiten, wenn der IIS auf dem ISA Server selber installiert ist

Wenn der IIS auf dem selben Rechner läuft wie der ISA gibt es ein paar Besonderheiten zu beachten, da der ISA Server den TCP Port 80 des internen Interface für sich beansprucht. Dennoch ist es natürlich möglich, eine Website auf dem ISA zu betreiben. Um dies zu erreichen sind zwei Möglichkeiten vorhanden:

  1. Webveröffentlichung (empfohlene Methode)
  2. IP-Paketfilter

Beide Möglichkeiten möchte ich hier vorstellen:

6.1 Veröffentlichung durch Webveröffentlichungsregel

Der Vorteil dieser Variante liegt klar auf der Hand:

  • Die Vorteile des Reverse Cachings und des Webproxydienstes können verwendet werden
  • Zielsätze sind verwendbar
  • Port 80 wird nach außen dynamisch geöffnet
  • es können zusätzlich weitere interne Webserver veröffentlicht werden
  • die Webseite kann auch von innen erreicht werden

Jeder Vorteil hat einen Nachteil:

  • Port 80 der internen IP-Adresse des ISA kann nicht verwendet werden; dies lässt sich aber umgehen durch eine der drei Alternativen:
    1. Vergabe einer zusätzlichen internen IP Adresse, die dem IIS auf Port 80 zugeordnet wird
    2. Änderung des Ports (z.B. auf 81)
    3. Abschalten des Socket Pooling
  • Eine Webveröffentlichungsregel benötigt eine fest zugewiesene öffentliche IP-Adresse (also schlecht für die meisten DFÜ/DSL-Anbindungen). Auch hierfür gibt es natürlich Alternativen:
    1. Vorschaltung eines Routers, der dem ISA eine feste IP ermöglicht
    2. Verwendung eines Scriptes, das nach jeder IP-Adressenänderung die Webveröffentlichungsregel anpasst

Für die weitere Beschreibung nutze ich die einzige interne IP-Adresse des ISA (192.168.220.1), der mit einer statischen öffentlichen IP (192.168.69.100) ans Internet angebunden ist. Die notwendige DNS-Konfiguration wurde in Teil 1 beschrieben.

Sehen wir uns zuerst die Konfiguration des IIS an:

Beachten Sie, dass der Port auf 81 gelegt wurde!

Sehen wir uns als nächstes die Einrichtung der Webveröffentlichungsregel an (der Webabhörer wurde gem. Teil 1 eingerichtet):

Beachten Sie auch hier den Port 81!

Dies war auch schon alles um folgendes Ergebnis zu bekommen:

6.2 Veröffentlichung durch IP-Paketfilter

Eine Alternative zur Webveröffentlichung ist eine Veröffentlichung durch IP-Paketfilter.

Vorteile:

  • Die interne IP-Adresse wird nicht verwendet

Nachteile:

  • Die Vorteile des Reverse Cachings und des Webproxydienstes können nicht verwendet werden
  • Zielsätze sind nicht verwendbar
  • Port 80 wird nach außen statisch geöffnet
  • es können keine weitere internen Webserver veröffentlicht werden (außer es werden mehrere öffentliche IP-Adressen verwendet)
  • die Webseite kann von innen nicht erreicht werden (nur über die öffentliche IP)

Für die weitere Beschreibung nutze ich die einzige interne IP-Adresse des ISA (192.168.220.1), der mit einer statischen öffentlichen IP (192.168.69.100) ans Internet angebunden ist. Die notwendige DNS-Konfiguration wurde in Teil 1 beschrieben.

Zuerst muss der Webabhörer deaktiviert werden:

Danach konfigurieren wir den IIS:

Beachten Sie, dass die öffentliche IP-Adresse sowie Port 80 verwendet wird!

Als letztes richten wir einen IP-Paketfilter ein:

Nach wenigen Sekunden können wir das Ergebnis begutachten:

 

Ich empfehle grundsätzlich sofern möglich immer eine Webveröffentlichung statt IP-Paketfilter zu verwenden. Ich denke die hier aufgezeigten Vor- und Nachteile sprechen für sich.

Sofern die Änderung des Ports (bei HTTP 80, bei FTP 21) nicht möglich ist und der interne Webserver über eine Webveröffentlichung publiziert werden soll, beachten Sie folgende Artikel:

Webserver veröffentlichen - Teil 3

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher