ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Cache aktivieren
Cache aktivieren ohne SP1
Eindringversuchserkennung
Cachemodus
Ziel nicht cachen
Proxyeinstellungen per GPO
Socket Pooling W2k3
DNS Auflösung
Inhaltsdownload
Zertifikate
Webauthentifizierung
RADIUS und ISA 2004
SMTP Anwendungsfilter
Netzwerk definieren
Webverkettung
IP Optionen
Netzwerkkonfiguration
Automatische Suche
DMZ

 

ISA Server 2004 – Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004

 

Einleitung

 

In größeren Firmenumgebungen mit Zweigstellen kommt es häufiger vor, dass in der Zweigstelle ein ISA Server 2004 als Firewall oder Webproxy konfiguriert ist und dieser über den zentralen ISA Server 2004 in der Firmenzentrale eine Verbindung zum Internet herstellt. Diese Art der Anbindung von mehreren Proxy Servern über eine Kaskadierung an das Internet wird als Webverkettung bzw. Proxy Chaining bezeichnet.

 

Gründe für eine Webverkettung könnten sein:

  • Ein zentraler Internetzugang aus Sicherheitsgründen, aber Nutzung der Proxy Funktionalitäten zur Reduzierung der Netzwerklast zwischen den Zweigstellen und der Firmenzentrale
  • Kaskadierung mit einem weiteren Proxy Server z. B. mit einem Proxy Server eines Rechenzentrums wenn der Firma

Bemerkung:

 

Eine Webverkettung kann auch zwischen einem ISA Server und einem NICHT ISA Server hergestellt werden, eine Firewallverkettung hingegen kann NUR mit ISA Servern durchgeführt werden.

 

Dieser Artikel beschreibt die Einrichtung einer Webverkettung zwischen einem ISA Server 2004 in einer Zweigstelle und der Firmenzentrale.

 

Zur Konfiguration der Webverkettung starten Sie die ISA Server Verwaltungskonsole, erweitern den Container Konfiguration und klicken mit der rechten Maustaste auf Netzwerke. Wählen Sie aus dem Kontextmenü Webverkettungsregel aus und folgen Sie den Anweisungen des Wizards.

 

 

Vergeben Sie einen sinnvollen Namen für die Webverkettungsregel. In diesem Beispiel verwenden wir den Namen ISA-Ausstenstelle zu ISA-Firmenzentrale.

 

 

 

Geben Sie im Fenster Webverkettungsregel das Ziel für den Datenverkehr an. Da in diesem Beispiel eine Internetverbindung hergestellt werden soll, wählen wir das Netzwerkobjekt EXTERN aus.

 

 

Im Fenster Aktion anfordern können Sie die Anforderungsverarbeitung konfigurieren. Routingregeln legen fest, ob die Anforderung eines Webproxyclients direkt abgerufen, an einen anderen Upstreamproxyserver oder an ein anderes Ziel gesendet werden sollen.

Anforderungen direkt vom angegebenen Ziel abrufen
 
Gibt an, dass ISA Server Anforderungen von Webproxyclients direkt an das Internet sendet.

Anforderungen  an angegebenen Upstreamserver weiterleiten

Gibt an, dass ISA Server Anforderungen von Webproxyclients zur Verarbeitung an einen Upstreamserver sendet. Der Upstreamserver entscheidet dann, ob die Anforderung zugelassen oder abgewiesen wird.

Delegierung der Anmeldeinformationen für Basisauthentifizierung zulassen

Lässt die Authentifizierung des Clients durch den Webserver zu, an den die Anforderung weitergeleitet wird. Wie der Name vermuten lässt, wird hier nur die Weitergabe der Credentials einer Basisauthentifizierung durchgeführt.  

Einstellungen für Upstreamserver


Klicken Sie auf Einstellungen, um den Upstreamserver zu konfigurieren, der die Anforderungen bearbeitet.

Alternativroute


Listet optionale ISA Server-Computer zum Bearbeiten von Anforderungen auf, wenn die Primärroute nicht verfügbar ist. Wenn Sie Upstreamproxyserver auswählen, müssen Sie festlegen, welcher Server verwendet wird.
Klicken Sie auf Einstellungen, um den für die Alternativroute verwendeten Upstreamserver zu konfigurieren. 

Anforderungen umleiten an

Gibt an, dass ISA Server Anforderungen von Webproxyclients an ein anderes Ziel weiterleitet.
Geben Sie unter Standort die URL des anderen Ziels der Anforderung ein.
Geben Sie unter Port die Portnummer des anderen Ziels ein.
Geben Sie unter SSL-Port die SSL-Portnummer (Secure Sockets Layer) des anderen Ziels ein.

Automatisches Einwählen verwenden


Gibt an, dass ISA Server für die Verbindung zur Primärroute eine DFÜ-Verbindung verwendet. Diese DFÜ Verbindung können Sie ebenfalls in der ISA Verwaltungskonsole erstellen. Ist keine DFÜ-Verbindung vorhanden, bleibt das Feld ausgegraut.

Wenn Sie bei der Anforderungsverarbeitung Anforderungen an angegebenen Upstreamserver weiterleiten gewählt haben, müssen Sie im Fenster Primäres Routing den Upstream Proxy und die Port Nummer für HTTP und SSL angeben. Wenn der Upstream Proxy eine Authentifizierung erfordert, müssen Sie auf Konto verwenden klicken und dort das Konto festlegen und die Authentifizierungsart (Standard oder WIndows integriert) festlegen. 

 

 

Im Fenster Reserveaktion können Sie die Aktion festlegen, wenn die primäre Route nicht verfügbar ist. Aus Redundanzgründen könnten Sie hier einen Reserveserver angeben, indem Sie auf Anforderungen an anderen Upstreamserver weiterleiten klicken. diesem Beispiel wählen wir Anforderungen ignorieren.

 

 

Überprüfen Sie in der Abschlußmeldung des Assistenten noch einmal alle Einstellungen.

 

Anhand Ihrer Angaben hat der Assistent folgende Webverkettungsregel erstellt.

 


 

Zum Schluß können Sie bei Bedarf noch festlegen, wie HTTP- und SSL-Anforderungen weitergeleitet werden sollen. In der Regel ist hier keine Anpassung notwendig.

 

Klicken Sie zur Anpassung der Weiterleitung mit der rechten Maustaste auf die Webverkettungsregel und klicken Sie im Kontextmenü auf Eigenschaften und wählen Sie den Reiter Bridging aus.

 

HTTP-Anforderungen umleiten als HTTP-Anforderungen

 

Legt fest, dass HTTP-Anforderungen als HTTP-Anforderungen umgeleitet werden.

HTTP-Anforderungen umleiten als SSL-Anforderungen


Legt fest, dass HTTP-Anforderungen als SSL-Anforderungen umgeleitet werden. In diesem Fall öffnet ISA Server einen sicheren Kanal zum Server.

SSL-Anforderungen umleiten als HTTP Anforderungen

 

Legt fest, dass SSL-Anforderungen als HTTP-Anforderungen umgeleitet werden, dass heißt, am ISA Server wird der SSL Tunnel terminiert.

SSL-Anforderungen umleiten als SSL Anforderungen

Legt fest, dass SSL-Anforderungen als SSL-Anforderungen umgeleitet werden. In diesem Fall öffnet ISA Server einen sicheren Kanal zum Server.

Sicherer Kanal (SSL) ist erforderlich

Wählen Sie diese Option aus, um festzulegen, dass der Zugriff nur über einen SSL-Kanal erfolgen darf.

128-Bit-Verschlüsselung ist erforderlich

Klicken Sie auf diese Option, um die 128-Bit-Verschlüsselung auszuwählen.

Zertifikat für Authentifizierung mit SSL-Webserver verwenden

Klicken Sie auf diese Option, um zur Authentifizierung beim SSL-Server ein Zertifikat zu verwenden.
Zertifikate fungieren als zusätzlicher Sicherheitsmechanismus zwischen dem ISA Server 2004 und einem SSL-Webserver.

 

 

 

Stand: Friday, 28. August 2009/MG. http://www.it-training-grote.de


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher