Nutzung des Internet Explorer auf dem ISA Server für den Internetzugang
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2006
Auch wenn es nicht grundsätzlich empfehlenswert ist, taucht ab und an die Frage beziehungsweise der Wunsch auf, direkt vom ISA Server Computer aus Webseiten aufrufen zu können. Standardmäßig können nämlich nach einer erfolgreichen ISA Server-Installation direkt vom ISA Server aus nur folgende Ziele erreicht werden:
- *.microsoft.com
- *.windows.com
- *.windowsupdate.com
Verantwortlich dafür ist die Systemrichtlinie 26 HTTP/HTTPS-Anforderungen vom ISA Server an angegebene Sites zulassen, die dem Lokalen Host den Zugriff auf die im Domänennamensatz Durch Systemrichtlinie zugelassene Sites erlaubt. Dieser Domänennamensatz enthält die drei oben angeführten Ziele. Sinn und Zweck dieser Richtlinie ist es, den ISA Server Computer mindestens durch Windows/Microsoft Update auf dem aktuellen Stand halten zu können, wenn er nicht per WSUS aktualisiert wird.
Dass man von einem Server aus nicht surfen soll beziehungsweise wenn, dann mit verstärkten Sicherheitseinstellungen besagt schon Windows Server 2003 ab Service Pack 1:
Ruft man nun vom ISA Server Computer aus eine Webseite auf, erhält man - abhängig von der bisherigen ISA-Konfiguration - eine der beiden folgenden Fehlermeldungen:
Die obige Meldung kommt dann, wenn auf dem internen Netzwerkobjekt der Webproxybetrieb eingeschaltet ist und der Internet Explorer auf dem Server als Webproxyclient konfiguriert ist - zum Beispiel durch eine Gruppenrichtlinie.
Ist der Internet Explorer nicht als Webproxyclient konfiguriert und/oder der Webproxy nicht für das interne Netzwerk konfiguriert, erscheint folgende Meldung:
Um nun den Internetzugang zu ermöglichen, stehen (mindestens) zwei Möglichkeiten zur Wahl:
Man kann jederzeit den vordefinierten Domänennamensatz Durch Systemrichtlinie zugelassene Sites um die Ziele erweitern, die man vom ISA Server aus erreichen möchte, also zum Beispiel um www.msisafaq.de.
Dies hat jedoch möglicherweise den Nachteil, dass man irgendwann vergisst, dass diese Regel existiert. Systemrichtlinien werden ja normalerweise nicht direkt angezeigt.
Die wohl sicherere Methode ist, für den Webzugriff eine eigene Zugriffsregel zu erstellen, die dem Lokalen Host das HTTP/HTTPS Protokoll an einen eigenen benutzerdefinierten Domänennamensatz zulässt. Es ist aus Sicherheitsgründen nicht empfehlenswert, die Regel nach komplett Extern zuzulassen. Es besteht auch keinerlei Notwendigkeit dazu.
Erstellen Sie dazu am besten als erstes einen neuen Domänennamensatz Lokaler IE - Ziele und nehmen Sie die Ziele auf, die vom ISA Server aus erreichbar sein sollen:
Achten Sie bitte darauf, dass Sie wirklich nur die Ziele aufnehmen, die auch benötigt werden.
Erstellen Sie dann eine neue Zugriffsregel mit dem Namen Lokaler Webzugriff. Diese Regel soll nur die Protokolle HTTP und HTTPS erlauben.
Fügen Sie als Zugriffsregelquelle bitte nur Lokaler Host hinzu:
Als Zugriffsregelziel fügen Sie den vorher erstellten Domänennamensatz Lokaler IE - Ziele hinzu. Selbstverständlich können Sie an dieser Stelle auch einen neuen Domänennamensatz erstellen oder den vorhandenen noch verändern.
Und schon ist die Zugriffsregel fertig:
Denken
Sie daran, die durchgeführten Änderungen zu übernehmen. Erst dann wird das
Regelwerk in ISA Server tatsächlich geändert und steht zur Verfügung.
Sollten Sie eine Fehlkonfiguration gefunden haben, können Sie alle getätigten aber noch nicht gespeicherten Änderungen wieder verwerfen.
Anschließend können Sie die definierten Ziele im Internet Explorer aufrufen:
Stand: Friday, 28. August 2009/DR.
