Veröffentlichen eines Servers, der kein SecureNAT-Client ist - oder: Veröffentlichen eines Servers mit zwei unabhängigen ISA Servern
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
- Microsoft ISA Server 2006
Damit ein Server oder Dienst veröffentlicht werden kann, müssen mehrere Voraussetzungen erfüllt sein. Die im Regelfall wichtigste Voraussetzung ist, dass der Server als SecureNAT-Client konfiguriert ist. Das wird dadurch erreicht, in dem man in den TCP/IP-Einstellungen des Servers den ISA Server als Standardgateway einträgt. Der Grund hierfür ist eigentlich logisch: es muss eine Route für die IP-Pakete von und zum ISA Server existieren.
Jetzt gibt es jedoch Situationen, in denen der Server kein SecureNAT-Client sein kann. Dies kann zum Beispiel daran liegen, dass im Unternehmensnetzwerk ein komplexes IP-Routing vorhanden ist oder aber der Server durch zwei voneinander unabhängige ISA Server veröffentlicht werden soll. Wozu das? Wenn ein Server (zum Beispiel ein SMTP-Server) über zwei unterschiedliche Internetanbindungen (ISPs) Mails empfangen soll. Das ist mit einem ISA Server nicht machbar, da die derzeitigen Versionen 2000, 2004 und 2006 keine zwei ISP-Anbindungen unterstützen. Man könnte die ISA-Server-Limitierung nur durch entsprechend vorgeschaltete Hardware umgehen. Oder aber man hängt an jede ISP-Anbindung einen eigenen ISA Server. Nun konfiguriert man den SMTP-Server als SecureNAT-Client zu einem der beiden ISA Server. Idealerweise zu dem, über den die Mails überwiegenderweise kommen. Die Serververöffentlichung dazu wird völlig normal und ohne Besonderheiten erstellt. Wenn diese Serververöffentlichung funktioniert kann der nächste Schritt gemacht werden.
Der zweite ISA Server hat das selbe interne Netzwerk wie der erste ISA konfiguriert und sie haben beide IP-Adressen aus dem selben internen Netzwerk, in dem auch der zu veröffentlichende Server steht. Nun erstellt man am zweiten ISA Server eine neue Mailserver-Veröffentlichungsregel:
Geben Sie der Regel wie immer einen aussagekräftigen Namen.
Geben Sie an, dass es eine Server-zu-Server-Kommunikation sein soll.
Wählen Sie nur SMTP aus, da auch nur SMTP veröffentlicht werden soll.
Geben Sie hier im Dialogfenster Server auswählen ganz normal die interne IP-Adresse des Mailservers an.
Im letzten Fenster dies Assistenten können Sie entweder die Regel für alle externen IP-Adressen gelten lassen oder Sie schränken die Regel auf einzelne IP-Adressen ein. Das ist dann interessant, wenn mehrere externe IP-Adressen vorhanden sind aber nur eine für diese Regel verwendet werden soll:
Die anschließende Zusammenfassung können Sie wieder mit Copy&Paste beispielsweise für Dokumentationszwecke aufbewahren.
Soweit entspricht die Mailserver-Veröffentlichungsregel jeder anderen Regel auch. Aber mit dieser Regel wird keine Kommunikation möglich sein.
Gehen Sie nun in die Eigenschaften der soeben erstellten Regel und dort auf die Registerkarte BIS.
Standardmäßig sehen die Einstellungen dieser Registerkarte wie folgt aus:
Für die hier vorgestellte Lösung ist der untere Teil der Registerkarte interessant. Standardmäßig ist die Einstellung Ursprung der Anforderung scheint der ursprüngliche Client zu sein ausgewählt. In dieser Konfiguration sendet der ISA Server die ursprüngliche externe IP-Adresse des externen Clients an den Zielserver weiter. Das ist insbesondere zur Auswertung von Logfiles oder zu statistischen Zwecken erforderlich. Da hier allerdings die externe IP-Adresse des Clients steht, baut der Zielserver die Rückverbindung zum Client anhand seiner Routingtabelle auf - und die besagt nunmal, dass externe IP-Adressen über das Standardgateway (also den ersten ISA Server) erreicht werden.
Ändert man die Auswahl in Ursprung der Anforderung scheint der ISA Server-Computer zu sein, werden die IP-Pakete an den veröffentlichten Server mit der Absendeadresse der internen Netzwerkschnittstelle des ISA Server gesendet.
Der Zielserver baut nun seine Verbindung dahin auf - und da sie im selben Netzwerk ist gehen die IP-Pakete auch nicht über das Standardgateway - und ISA Server sendet sie an den externen Client zurück und ersetzt dabei die interne IP-Adresse des veröffentlichten Servers durch die erste IP-Adresse, die an der externen Netzwerkschnittstelle des ISA Server eingetragen ist. Somit werden alle Pakete richtig geroutet und der Mailserver kann über beide Internetanbindungen erreicht werden.
Kleiner Schönheitsfehler: Wie oben schon beschrieben bewirkt die Einstellung Ursprung der Anforderung scheint der ISA Server-Computer zu sein, dass in den Logfiles des Zielservers die interne IP-Adresse des ISA Server auftaucht. Dies muss berücksichtigt werden bei der Statistik oder Logfileauswertung und ebenso möglicherweise in der Konfiguration des SPAM-Filters auf dem Mailserver. Externe Mails kommen in diesem Fall ja mit einer internen IP-Adresse an.
Stand: Friday, 28. August 2009/DR.
