ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Erstellen einer Firewallrichtlinie
Systemrichtlinien
Websiten sperren
Windowsupdate V5
Zeitsynchronisation
Mailzugriff
SMTP Server veröffentlichen
Exchange RPC über HTTPS
Formbased OWA
SSL Bridging mit HOSTS Datei
SSL Bridging mit Split DNS
Lokaler Remotedesktop
RDP-Serververöffentlichung
RDP-Serververöffentlichung 2
SQL Server Veröffentlichung
Oracle veröffentlichen
Ping zulassen
HTTP Filterung

 

Veröffentlichen eines Oracle-Datenbankservers - Von Jörg Vosse


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004


 

Dieser Artikel beschreibt die Konfiguration zur Erstellung eines Zugriffes auf einen Oracle-Datenbankserver durch den ISA Server 2004.

Der Oracle Datenbank Server (Version 8, 9 oder 10) befindet sich im internen Netzwerk und soll über ein externes Netzwerk erreichbar sein.
Bei dem externen Netzwerk handelt es sich um ein geschlossenes Netzwerk zum Anschluss einer bundesweit agierenden Firma mit diversen Zweigstellen.
Warum dieser Hinweis: Wenn Sie mit dem Gedanken spielen, einen Oracle Datenbank Server über das Internet zu veröffentlichen, kann ich Ihnen diese Vorgehensweise definitiv NICHT empfehlen, da der Oracle Datenbank Server quasi direkt am Internet hängt. Für den Zugriff von EXTERN auf einen Oracle Datenbank Server im LAN, verwenden Sie sichere Verbindungen wie VPN.

Die Installation eines Oracle Datenbank Servers wird in diesem Artikel nicht beschrieben und vorausgesetzt.

Dieser Artikel wird in drei Konfigurationsschritte unterteilt:

  • Erstellen einer Protokolldefinition für den Zugriff auf den Oracle-Server für eine Serververöffentlichungsregel (je nach Einsatzzweck muss eine Protokolldefinition für eine Zugriffsregel oder Serververöffentlichungsregel erstellt werden)
  • Serververöffentlichung / Zugriffsregel
  • Konfiguration des Oracle Datenbank Servers

 

Erstellen einer Protokolldefinition für den Zugriff auf den Oracle Datenbank Server

Je nach Konstellation kann zwischen dem Oracle Datenbank Server und dem Client, der Zugriff auf diesen benötigt, das Netzwerkverhältnis NAT oder ROUTE sein. Für beide Situationen benötigen Sie zwei unterschiedliche Protokolldefinitionen.

Im Artikel Toolbox wurde bereits der "Werkzeugkasten" vorgestellt, der beim Erstellen oder Verändern einer Firewallrichtlinie als Vorratsbehälter für die Bestandteile verwendet wird.

Für die Erstellung der neuen Protokolldefinitionen für den Oracle-Server-Zugriff öffnen Sie in der ISA Server Managementkonsole "Firewallrichtlinie" auf der rechten Seite die Toolbox. Um dort ein neues Protokollelement zu erstellen muss in der Toolbox der Bereich Protokolle ausgewählt werden. Klicken Sie anschließend im Menü NEU auf Protokoll

Vergeben Sie einen aussagekräftigen Namen für das neue Protokoll (z. B. Oracle-Server bei einer Serververöffentlichung, wenn das Netzwerkverhältnis NAT ist, oder z. B. Oracle, wenn das Netzwerkverhältnis ROUTE ist).

Mit einem Klick auf die Schaltfläche Weiter gelangt man zur Konfiguration der Verbindungsinformationen.

Dort klicken Sie auf die Schaltfläche Neu…, um eine neue Protokollverbindung zu erstellen.

Für den Zugriff auf einen Oracle-Server in einer Firewall-Zugriffsregel (bei ROUTE) benötigt man ein ausgehendes Protokoll (TCP) mit dem Port 1521.

Für den Zugriff auf einen Oracle-Server in einer Serververöffentlichungsregel (bei NAT) benötigt man ein eingehendes Protokoll (TCP) mit dem Port 1521.

Nachdem Sie die Protokolleinstellungen abgeschlossen haben, klicken Sie auf die Schaltfläche OK.

Sekundäre Verbindungen werden nicht benötigt. Klicken Sie einfach auf die Schaltfläche Weiter.

Abschließend wird eine Zusammenfassung des neu erstellten Protokolls angezeigt, welche zu Dokumentationszwecken genutzt werden kann.

Klicken Sie in der Zusammenfassung auf die Schaltfläche Fertig stellen.

 

Serververöffentlichung / Zugriffsregel

Wie eingangs erwähnt kann je nach Konstellation zwischen dem Oracle Datenbank Server und dem Client, der Zugriff auf diesen benötigt, das Netzwerkverhältnis NAT oder ROUTE sein. Für beide Situationen benötigen Sie zwei unterschiedliche Firewallregeln. Bei NAT-Verhältnis eine Serververöffentlichung und bei ROUTE-Verhältnis eine Zugriffsregel.

Serververöffentlichung

Klicken in der ISA Server Verwaltungskonsole mit der rechten Maustaste auf Firewallrichtlinie und wählen Sie Serververöffentlichungsregel aus.

Vergeben Sie anschließend einen aussagekräftigen Namen für die Veröffentlichung und klicken auf die Schaltfläche Weiter,

Geben Sie im folgenden Schritt die IP-Adresse des zu veröffentlichen Oracle Datenbank Server ein und klicken dann auf die Schaltfläche Weiter.

In dem nun folgenden Dialogfeld wählen Sie das in Schritt eins erstellte benutzerdefinierte Protokoll Oracle-Server aus und klicken anschließend auf die Schaltfläche Weiter.

Wählen Sie das Netzwerk aus, auf welchem der ISA Server 2004 auf Anfragen reagieren soll. In diesem Beispiel wird das Netzwerk Extern ausgewählt.

Überprüfen Sie im letzten Schritt noch mal alle Angaben. Die Zusammenfassung der Serververöffentlichung kann als Dokumentation benutzt werden.

 

Zugriffsregel

Klicken in der ISA Server Verwaltungskonsole mit der rechten Maustaste auf Firewallrichtlinie und wählen Sie Zugriffsregel aus.

Vergeben Sie anschließend einen aussagekräftigen Namen für die Zugriffsregel und klicken auf die Schaltfläche Weiter,

Definieren Sie die Regelaktion (in diesem Falle Zugelassen) für die Zugriffsregel und klicken anschließend auf die Schaltfläche Weiter.

Wählen Sie im nächsten Schritt das zuvor erstellte benutzerdefinierte Protokoll Oracle aus und klicken dann auf die Schaltfläche Weiter.

Wählen Sie als nächstes das Netzwerk aus, von wo aus der Zugriff auf den Oracle Datenbank Server erlaubt sein soll (hier wird der Zugriff für die VPN-Clients eingerichtet). Klicken Sie auf die Schaltfläche Weiter, um fortzufahren.

Wählen Sie im darauf folgenden Schritt den Zielserver aus (der Oracle Datenbankserver - dieser kann in der Toolbox als Computerobjekt eingerichtet werden - sind es mehrere Oracle Datenbank Server, so kann auch eine Gruppe von Computerobjekten erstellt werden). Anschließend klicken Sie auf die Schaltfläche Weiter.

Das vorletzte Dialogfeld lässt Ihnen die Möglichkeit offen, den Zugriff auf bestimmte Benutzer zu beschränken. Lassen Sie die Standardeinstellungen, wie hier im Beispiel zu sehen, stehen, kann jeder VPN-Client eine Verbindung zum Oracle Datenbank Server aufbauen. Klicken Sie auf die Schaltfläche Weiter.

Überprüfen Sie im letzten Schritt noch mal alle Angaben. Die Zusammenfassung der Zugriffsregel kann als Dokumentation benutzt werden.

Zum guten Schluss, müssen noch alle Änderungen, wie üblich beim ISA Server 2004, übernommen werden, damit diese wirksam werden. Klicken Sie dazu auf die Schaltfläche Übernehmen oben in der ISA Server Managementkonsole.

 

 

 

 

Konfiguration des Oracle Datenbank Servers

Die Problematik beim Verbindungsaufbau eines Windows-Client zu einem Oracle-Server besteht darin, dass nicht der Standardport (1521 - selten auch 1526) genutzt wird. Zwar wird dieser Port beim Client im Net8-Assistenten und am Server eingetragen, jedoch wird der Port nur genutzt, um den ersten Verbindungsaufbau zu realisieren. Der weitere Datenbankverkehr wird dynamisch zwischen dem Oracle-Server und dem Client ausgehandelt. Hierbei ist nicht vorauszusehen welcher Port genutzt wird. Eine Freischaltung des Ports 1521 auf der Firwall (hier ISA 2004) nutzt in diesem Falle also nichts.

Um den Oracle-Server dazu zu bringen, die Kommunikation mit dem Client ausschließlich über einen fest definierten Port (am einfachsten über den Standardport 1521) zu tätigen, muss der Oracle-Server entsprechend konfiguriert werden.

Am Oracle-Server muss ein Registry-Eintrag gesetzt werden. Dieser Eintrag muss unter HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\HOME<n> (wobei <n> für die ID des Oracle-Home-Verzeichnisses steht - in der Standardeinstellung ist dies die Ziffer 0) erstellt werden.

Der Eintrag:

ZEICHENFOLGE mit dem Namen USE_SHARED_SOCKET - der Wert muss auf TRUE gesetzt werden.

Nachdem dieser Eintrag erstellt wurde, kommuniziert der Oracle-Server ausschließlich über den festgelegten Port (Standard 1521) und kann somit prima per ISA-Server veröffentlicht werden.

 

Stand: Friday, 28. August 2009/JV.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher