ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Erstellen einer Firewallrichtlinie
Systemrichtlinien
Websiten sperren
Windowsupdate V5
Zeitsynchronisation
Mailzugriff
SMTP Server veröffentlichen
Exchange RPC über HTTPS
Formbased OWA
SSL Bridging mit HOSTS Datei
SSL Bridging mit Split DNS
Lokaler Remotedesktop
RDP-Serververöffentlichung
RDP-Serververöffentlichung 2
SQL Server Veröffentlichung
Oracle veröffentlichen
Ping zulassen
HTTP Filterung

 

Ein- und Ausgehende ping-Anfragen konfigurieren


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004

 

Im Artikel Systemrichtlinien wurden zwei Systemrichtlinien (Nr. 10 und 11) vorgestellt, die bestimmte ICMP Verbindungen von und zum ISA Server zulassen. Diese ICMP Verbindungen (ICMP-Code 0, ICMP-Typ 8) werden durch das Kommandozeilentool ping verwendet um die Erreichbarkeit entfernter Computer zu überprüfen.

Im Auslieferungszustand sind folgende ping-Anfragen zugelassen:

  • Von Computern des Computersatzes "Remoteverwaltungscomputer" zum ISA Server
  • Vom ISA Server in alle Netzwerke

Diese beiden Richtlinien sollten im Normalfall zu Diagnosezwecken ausreichend sein. In den allermeisten Fällen besteht keinerlei Notwendigkeit, dass der ISA Server aus anderen Netzen oder von anderen Clients aus per ping erreichbar ist. Aus Sicherheitsgründen sollten Änderungen am Regelwerk diesbezüglich gut überlegt werden und nur bei wichtigen Gründen durchgeführt werden.

Der hier vorliegende Artikel stellt die zusätzlichen Konfigurationsschritte dar, um den ISA Server von extern anzupingen und um internen Clients zu erlauben, externe Rechner anzupingen.

 

1. Konfiguration des ISA Server für eingehende ping-Anfragen

Wie bereits erwähnt, reagiert der ISA Server nicht auf ping-Anfragen externer Clients:

Es gibt prinzipiell zwei Wege, diese Konfigurationserweiterung vorzunehmen. Man kann sowohl die bestehende Default-Systemrichtlinie verändern oder eine neue Firewallrichtlinie erstellen. Beide Wege werden hier beschrieben. Welcher Weg sinnvoller ist, kann nicht pauschal beantwortet werden.

 

1a) Änderung der Systemrichtlinie

Öffnen Sie den Systemrichtlinien-Editor über das Kontextmenü des Management-Konsole-Knoten "Firewallrichtlinie" und zeigen Sie auf den Punkt Remoteverwaltung - ICMP (Ping):

Wie bereits erwähnt, ist diese Richtlinie aktiv. Hier könnte sie auch deaktiviert werden. Dann kann der ISA Server nicht mehr angepingt werden.

Im folgenden Screenshot sehen Sie die Standardeinstellung:

Fügen Sie über den "Hinzufügen..."-Button z.B. das Externe Netzwerk hinzu. Natürlich können Sie hier je nach Firewallkonzept auch nur bestimmte Objekte hinzufügen.

Beenden Sie den Systemrichtlinien-Editor mit OK.

Denken Sie daran, die durchgeführten Änderungen zu übernehmen. Erst dann wird das Regelwerk in ISA Server tatsächlich geändert und steht zur Verfügung.

Sollten Sie eine Fehlkonfiguration gefunden haben, können Sie alle getätigten aber noch nicht gespeicherten Änderungen wieder verwerfen.

Anschließend reagiert der ISA Server auf ping-Anfragen aus dem Externen Netzwerk:

 

1b) Erstellen einer neuen Firewallrichtlinie

Das Erstellen einer Firewallrichtlinie wurde bereits in einem Artikel ausführlich erklärt. Daher wird hier nur die Zusammenfassung der neu erstellten Richtlinie gezeigt:

Die Protokolldefinition für Ping ist in der Toolbox unter "Infrastruktur" zu finden.

Nachdem die Änderungen übernommen wurde, lässt sich der ISA Server von extern anpingen:

Beachten Sie, dass bei beiden o.g. Konfigurationen sämtliche IP-Adressen, die auf der externen Schnittstelle gebunden sind, angepingt werden können.

 

2. Konfiguration des ISA Server für ausgehende ping-Anfragen interner Clients

Für diesen Konfigurationsschritt ist wieder eine neue Firewallrichtlinie erforderlich:

Damit kann ein interner Rechner ein externes Ziel anpingen:

Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\Dokumente und Einstellungen\Administrator>ping 192.168.69.1

Ping wird ausgeführt für 192.168.69.1 mit 32 Bytes Daten:

Antwort von 192.168.69.1: Bytes=32 Zeit=2ms TTL=63
Antwort von 192.168.69.1: Bytes=32 Zeit=2ms TTL=63
Antwort von 192.168.69.1: Bytes=32 Zeit=2ms TTL=63
Antwort von 192.168.69.1: Bytes=32 Zeit=2ms TTL=63

Ping-Statistik für 192.168.69.1:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 2ms, Maximum = 2ms, Mittelwert = 2ms

C:\Dokumente und Einstellungen\Administrator>

 

 

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher