Veröffentlichen eines Oracle-Datenbankservers - Von Jörg Vosse
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Dieser Artikel beschreibt die Konfiguration zur Erstellung eines Zugriffes auf einen Oracle-Datenbankserver durch den ISA Server 2004.
Der Oracle Datenbank Server (Version 8, 9 oder 10)
befindet sich im internen Netzwerk und soll über ein externes Netzwerk
erreichbar sein.
Bei dem externen Netzwerk handelt es sich um ein geschlossenes Netzwerk
zum Anschluss einer bundesweit agierenden Firma mit diversen
Zweigstellen.
Warum dieser Hinweis: Wenn Sie mit dem Gedanken spielen, einen Oracle
Datenbank Server über das Internet zu veröffentlichen, kann ich Ihnen
diese Vorgehensweise definitiv NICHT empfehlen, da der Oracle Datenbank
Server quasi direkt am Internet hängt. Für den Zugriff von EXTERN auf
einen Oracle Datenbank Server im LAN, verwenden Sie sichere Verbindungen
wie VPN.
Die Installation eines Oracle Datenbank Servers wird in diesem Artikel nicht beschrieben und vorausgesetzt.
Dieser Artikel wird in drei Konfigurationsschritte unterteilt:
- Erstellen einer Protokolldefinition für den Zugriff auf den Oracle-Server für eine Serververöffentlichungsregel (je nach Einsatzzweck muss eine Protokolldefinition für eine Zugriffsregel oder Serververöffentlichungsregel erstellt werden)
- Serververöffentlichung / Zugriffsregel
- Konfiguration des Oracle Datenbank Servers
Erstellen einer Protokolldefinition für den Zugriff auf den Oracle Datenbank Server
Je nach Konstellation kann zwischen dem Oracle Datenbank Server und dem Client, der Zugriff auf diesen benötigt, das Netzwerkverhältnis NAT oder ROUTE sein. Für beide Situationen benötigen Sie zwei unterschiedliche Protokolldefinitionen.
Im Artikel Toolbox wurde bereits der "Werkzeugkasten" vorgestellt, der beim Erstellen oder Verändern einer Firewallrichtlinie als Vorratsbehälter für die Bestandteile verwendet wird.
Für die Erstellung der neuen Protokolldefinitionen für den Oracle-Server-Zugriff öffnen Sie in der ISA Server Managementkonsole "Firewallrichtlinie" auf der rechten Seite die Toolbox. Um dort ein neues Protokollelement zu erstellen muss in der Toolbox der Bereich Protokolle ausgewählt werden. Klicken Sie anschließend im Menü NEU auf Protokoll
Vergeben Sie einen aussagekräftigen Namen für das neue Protokoll (z. B. Oracle-Server bei einer Serververöffentlichung, wenn das Netzwerkverhältnis NAT ist, oder z. B. Oracle, wenn das Netzwerkverhältnis ROUTE ist).
Mit einem Klick auf die Schaltfläche Weiter gelangt man zur Konfiguration der Verbindungsinformationen.
Dort klicken Sie auf die Schaltfläche Neu…, um eine neue Protokollverbindung zu erstellen.
Für den Zugriff auf einen Oracle-Server in einer Firewall-Zugriffsregel (bei ROUTE) benötigt man ein ausgehendes Protokoll (TCP) mit dem Port 1521.
Für den Zugriff auf einen Oracle-Server in einer Serververöffentlichungsregel (bei NAT) benötigt man ein eingehendes Protokoll (TCP) mit dem Port 1521.
Nachdem Sie die Protokolleinstellungen abgeschlossen haben, klicken Sie auf die Schaltfläche OK.
Sekundäre Verbindungen werden nicht benötigt. Klicken Sie einfach auf die Schaltfläche Weiter.
Abschließend wird eine Zusammenfassung des neu erstellten Protokolls angezeigt, welche zu Dokumentationszwecken genutzt werden kann.
Klicken Sie in der Zusammenfassung auf die Schaltfläche Fertig stellen.
Serververöffentlichung / Zugriffsregel
Wie eingangs erwähnt kann je nach Konstellation zwischen dem Oracle Datenbank Server und dem Client, der Zugriff auf diesen benötigt, das Netzwerkverhältnis NAT oder ROUTE sein. Für beide Situationen benötigen Sie zwei unterschiedliche Firewallregeln. Bei NAT-Verhältnis eine Serververöffentlichung und bei ROUTE-Verhältnis eine Zugriffsregel.
Serververöffentlichung
Klicken in der ISA Server Verwaltungskonsole mit der rechten Maustaste auf Firewallrichtlinie und wählen Sie Serververöffentlichungsregel aus.
Vergeben Sie anschließend einen aussagekräftigen Namen für die Veröffentlichung und klicken auf die Schaltfläche Weiter,
Geben Sie im folgenden Schritt die IP-Adresse des zu veröffentlichen Oracle Datenbank Server ein und klicken dann auf die Schaltfläche Weiter.
In dem nun folgenden Dialogfeld wählen Sie das in Schritt eins erstellte benutzerdefinierte Protokoll Oracle-Server aus und klicken anschließend auf die Schaltfläche Weiter.
Wählen Sie das Netzwerk aus, auf welchem der ISA Server 2004 auf Anfragen reagieren soll. In diesem Beispiel wird das Netzwerk Extern ausgewählt.
Überprüfen Sie im letzten Schritt noch mal alle Angaben. Die Zusammenfassung der Serververöffentlichung kann als Dokumentation benutzt werden.
Zugriffsregel
Klicken in der ISA Server Verwaltungskonsole mit der rechten Maustaste auf Firewallrichtlinie und wählen Sie Zugriffsregel aus.
Vergeben Sie anschließend einen aussagekräftigen Namen für die Zugriffsregel und klicken auf die Schaltfläche Weiter,
Definieren Sie die Regelaktion (in diesem Falle Zugelassen) für die Zugriffsregel und klicken anschließend auf die Schaltfläche Weiter.
Wählen Sie im nächsten Schritt das zuvor erstellte benutzerdefinierte Protokoll Oracle aus und klicken dann auf die Schaltfläche Weiter.
Wählen Sie als nächstes das Netzwerk aus, von wo aus der Zugriff auf den Oracle Datenbank Server erlaubt sein soll (hier wird der Zugriff für die VPN-Clients eingerichtet). Klicken Sie auf die Schaltfläche Weiter, um fortzufahren.
Wählen Sie im darauf folgenden Schritt den Zielserver aus (der Oracle Datenbankserver - dieser kann in der Toolbox als Computerobjekt eingerichtet werden - sind es mehrere Oracle Datenbank Server, so kann auch eine Gruppe von Computerobjekten erstellt werden). Anschließend klicken Sie auf die Schaltfläche Weiter.
Das vorletzte Dialogfeld lässt Ihnen die Möglichkeit offen, den Zugriff auf bestimmte Benutzer zu beschränken. Lassen Sie die Standardeinstellungen, wie hier im Beispiel zu sehen, stehen, kann jeder VPN-Client eine Verbindung zum Oracle Datenbank Server aufbauen. Klicken Sie auf die Schaltfläche Weiter.
Überprüfen Sie im letzten Schritt noch mal alle Angaben. Die Zusammenfassung der Zugriffsregel kann als Dokumentation benutzt werden.
Zum guten Schluss, müssen noch alle Änderungen, wie üblich beim ISA Server 2004, übernommen werden, damit diese wirksam werden. Klicken Sie dazu auf die Schaltfläche Übernehmen oben in der ISA Server Managementkonsole.
Konfiguration des Oracle Datenbank Servers
Die Problematik beim Verbindungsaufbau eines Windows-Client zu einem Oracle-Server besteht darin, dass nicht der Standardport (1521 - selten auch 1526) genutzt wird. Zwar wird dieser Port beim Client im Net8-Assistenten und am Server eingetragen, jedoch wird der Port nur genutzt, um den ersten Verbindungsaufbau zu realisieren. Der weitere Datenbankverkehr wird dynamisch zwischen dem Oracle-Server und dem Client ausgehandelt. Hierbei ist nicht vorauszusehen welcher Port genutzt wird. Eine Freischaltung des Ports 1521 auf der Firwall (hier ISA 2004) nutzt in diesem Falle also nichts.
Um den Oracle-Server dazu zu bringen, die Kommunikation mit dem Client ausschließlich über einen fest definierten Port (am einfachsten über den Standardport 1521) zu tätigen, muss der Oracle-Server entsprechend konfiguriert werden.
Am Oracle-Server muss ein Registry-Eintrag gesetzt werden. Dieser Eintrag muss unter HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\HOME<n> (wobei <n> für die ID des Oracle-Home-Verzeichnisses steht - in der Standardeinstellung ist dies die Ziffer 0) erstellt werden.
Der Eintrag:
ZEICHENFOLGE mit dem Namen USE_SHARED_SOCKET - der Wert muss auf TRUE gesetzt werden.
Nachdem dieser Eintrag erstellt wurde, kommuniziert der Oracle-Server ausschließlich über den festgelegten Port (Standard 1521) und kann somit prima per ISA-Server veröffentlicht werden.
Stand: Friday, 28. August 2009/JV.
