ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Cache aktivieren
Cache aktivieren ohne SP1
Eindringversuchserkennung
Cachemodus
Ziel nicht cachen
Proxyeinstellungen per GPO
Socket Pooling W2k3
DNS Auflösung
Inhaltsdownload
Zertifikate
Webauthentifizierung
RADIUS und ISA 2004
SMTP Anwendungsfilter
Netzwerk definieren
Webverkettung
IP Optionen
Netzwerkkonfiguration
Automatische Suche
DMZ

 

ISA Server 2004 als reinen Webproxyserver konfigurieren


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server  2004

 

Bei der Installation des ISA Server 2000 musste man sich entscheiden, welchen Betriebsmode man verwenden möchte. Eine Änderung konnte nur durch Neuinstallation erfolgen.

Wollte man den ISA Server nur als Webcacheserver verwenden (um seine Stärken im Caching auszunutzen) und auf die Firewallfunktionalitäten verzichten, musste man den Cachemodus auswählen. In der Regel befindet sich dabei eine weitere Firewall an der äußeren Schnittstelle des Netzwerks zur Verbindung des Firmennetzwerks mit dem Internet. In diesem Szenario mit einem Adapter fungiert ISA Server normalerweise als Cacheserver, auf dem die Inhalte aus dem Internet zwischengespeichert und für Clients im Firmennetzwerk bereitgestellt werden.

Wer den ISA Server 2004 schon mal installiert hat, wird feststellen, dass es keine Abfrage mehr gibt, in welchem Modus er installiert werden soll. Soll das heißen, dass der 2004er das nicht mehr unterstützt?

Natürlich kann der Internet Security and Acceleration Server 2004 jederzeit auch nur als Cacheserver verwendet werden (deswegen ja das "Acceleration" in seinem Namen). Der Cachemodus wird durch die mitgelieferte Netzwerkvorlage "Einzelner Netzwerkadapter" vorbereitet. Das Netzwerkmodell beim 2004er ist völlig anders und wesentlich flexibler als das des 2000er Servers. Für die häufigsten Netzwerklayouts gibt es Vorlagen, die dem ISA Administrator die Grundeinrichtung erleichtern.

Bei Anwendung der Einzelnetzwerkadapter-Netzwerkvorlage wird das interne Netzwerk so konfiguriert, dass es alle IP-Adressen enthält. Die Firewallrichtlinie "Standardwebproxy- und -zwischenspeicherkonfiguration verwenden" wird angewendet. Diese Richtlinie gestattet Webproxyclients den Zugriff auf Webinhalte im Internet und erhöht die Webleistung durch Zwischenspeicherung. Es werden jedoch keine Regeln erstellt.

Eine der grundlegenden Funktionen von ISA Server besteht darin, mehrere Netzwerke miteinander verbinden zu können. Wenn ISA Server auf einem Computer mit einem Adapter installiert ist, wird allerdings nur ein Netzwerk erkannt: das interne Netzwerk. Das interne Netzwerk umfasst alle IP-Adressen mit Ausnahme der folgenden: 0.0.0.0, 255.255.255.255 und den Adressbereich 127.0.0.0–127.255.255.255. Bei der Einrichtung des Netzwerkes müssen Sie die Adressen festlegen, die im internen Netzwerk enthalten sein sollen. Wenn Sie ISA Server auf einem Computer mit nur einem Netzwerkadapter installieren, muss sichergestellt werden, dass alle Adressen (mit Ausnahme von 0.0.0.0, 255.255.255.255 und des Adressbereichs 127.0.0.0–127.255.255.255) in das interne Netzwerk aufgenommen werden.

In diesem Szenario wird die standardmäßige Firewallrichtlinie von Ihnen dahingehend geändert, dass internen Clients der Zugriff auf das Internet gestattet wird. Obwohl hierbei gilt, dass alle IP-Adressen zum selben internen Netzwerk gehören, kann ISA Server aufgrund der Standardregel Alle verwerfen unter Umständen auch Webdatenverkehr verweigern. Sie müssen daher eine Regel erstellen, die die Durchleitung des Datenverkehrs zwischen den Netzwerken zulässt.

Um dieses Cachingszenario zu ermöglichen, müssen Sie eine Zugriffsregel erstellen, die allen Clients die Verwendung von HTTP und möglicherweise auch HTTPS und FTP gestattet. Da das interne Netzwerks laut eindeutiger Definition alle Adressen umfasst, muss das Quell- und das Zielnetzwerk für diese Regel jeweils das interne Netzwerk sein.

Sie können ISA Server auf einem Computer mit einem einzelnen Netzwerkadapter als Reversewebproxy einsetzen und Szenarien für die Webveröffentlichung und Outlook Web Access-Veröffentlichung ermöglichen.

Bei der Installation von ISA Server auf einem Computer mit einem einzelnen Adapter können die folgenden ISA Server-Funktionen nicht verwendet werden:

  • Firewallclients
  • Virtuelle private Netzwerke
  • IP-Paketfilterung
  • Firewallrichtlinie für mehrere Netzwerke
  • Serververöffentlichung
  • Filterung auf Anwendungsebene
  • Die folgenden Protokolle werden unterstützt: HTTP, HTTPS und FTP über HTTP.

Daraus ergibt sich eine eingeschränkte Sicherheitsfunktion von ISA Server in Ihrem Netzwerk.

 

Um die Netzwerkvorlage einmalig einzurichten oder zu ändern gehen Sie in der ISA Managementkonsole auf den Knoten "Netzwerke" und wählen in der Taskbar rechts unter Vorlagen die "Einzelner Netzwerkadapter"-Vorlage aus.

Wie nicht anders zu erwarten war, führt ein Assistent durch die notwendigen Konfigurationsschritte:

Egal, ob der ISA soeben frisch aufgesetzt wurde oder nicht, empfehle ich dringend, an dieser Stelle die aktuelle Konfiguration zu exportieren. Schade, dass Microsoft hier keine Zwangsexportfunktion eingebaut hat.

Hier schlägt der Assistent vor, die im Eingangstext oben beschriebenen Adressbereiche zu verwenden.

Anschließend richtet der ISA noch eine Defaultfirewallrichtlnie ein, die sicherstellt, dass sämtlicher Verkehr gesperrt wird. Nach Beendigung der Netzwerkkonfiguration müssen dann entsprechende Zulassungsregel erstellt werden.

Abschließend wieder die gewohnte Zusammenfassung:

Bevor die Änderung wirksam wird, muss wie gewohnt erst der "Übernehmen"-Knopf gedrückt werden:

Das Netzwerkmodell hat sich wie folgt geändert:

 

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher