Veröffentlichen von Webservern mit ISA Server 2004 Microsoft Internet Security & Acceleration (ISA) Server 2004 Einführung In Microsoft® Internet Security & Acceleration (ISA) Server 2004 werden Webveröffentlichungsregeln verwendet, um Webinhalte im Internet zu veröffentlichen, ohne die Sicherheit des internen Netzwerks zu gefährden. Mit Webveröffentlichungsregeln wird festgelegt, wie eingehende Anforderungen nach HTTP-Objekten (Hypertext TransferProtokoll) auf einem internen Webserver von ISA Server abgefangen werden, und wie ISA Server diese Anforderungen anstelle des Webservers beantwortet. Anforderungen werden an einen nachgelagerten internen Webserver weitergeleitet, der sich hinter dem ISA Server-Computer befindet. Nach Möglichkeit werden die Anforderungen aus dem ISA Server-Cache bedient. Webserververöffentlichungsregeln weisen eingehende Anforderungen den entsprechenden Webservern hinter dem ISA Server-Computer zu. Webveröffentlichung und Serververöffentlichung Sie können Inhalte veröffentlichen, um sie Benutzergruppen oder allen Benutzern zur Verfügung zu stellen. Zur Veröffentlichung wird in der Regel der Server eines internen Netzwerks oder Umkreisnetzwerks (auch als demilitarisierte Zone (DMZ) oder abgeschirmtes Subnetz bezeichnet) verwendet. Wählen Sie abhängig von der Art der Inhalte, die veröffentlicht werden sollen, Webveröffentlichung oder Serververöffentlichung. Webveröffentlichungsregeln werden konfiguriert, um HTTP- und HTTPS-Inhalte auf Webservern zur Verfügung zu stellen, z. B. auf Servern, auf denen IIS (Internet Information Services) ausgeführt wird. Serververöffentlichungsregeln werden eingerichtet, um Inhalte unter Verwendung anderer Protokolle zur Verfügung zu stellen. Mit Serververöffentlichungen wird ein gesamter Server über ein Protokoll veröffentlicht. Dieses Verfahren ermöglicht Ihnen, den Zugriff auf bestimmte Computer oder Netzwerke zu beschränken. HTTP-Inhalte können nicht mithilfe von Serververöffentlichungsregeln veröffentlicht werden. Bei Webveröffentlichungen können Sie den Zugriff auf Inhalte detailliert steuern. Webveröffentlichungsregeln decken einen großen Funktionsumfang ab und bieten unter anderem die folgenden Möglichkeiten: Zuordnung von Anforderungen zu bestimmten internen Pfaden. Sie können festlegen, auf welche Bereiche der Server zugegriffen werden kann. 2 Veröffentlichen von Webservern mit ISA Server 2004 Beschränkung des Zugriffs auf bestimmte Benutzer, Computer oder Netzwerke. Sie können den Zugriff beschränken, um die Sicherheit weiter zu erhöhen. Benutzerauthentifizierung. Die Benutzerauthentifizierung kann an den Webserver weitergereicht werden, so dass keine erneute Authentifizierung beim Webserver erforderlich ist. Linkübersetzung. Sie können Links zu internen Servern verwalten. SSL-Bridging. Sie können den Datenverkehr zwischen dem ISA Server-Computer und dem Webserver verschlüsseln. Weblistener Alle eingehenden Webanforderungen müssen der Standardeinstellung entsprechend von einem Weblistener empfangen werden. Ein Weblistener kann in mehreren Webveröffentlichungsregeln verwendet werden. Bei der Konfiguration eines Weblisteners müssen Sie Folgendes angeben: Das dem Netzwerkadapter am ISA Server-Computer zugeordnete Netzwerk, das auf eingehende Webanforderungen abgehört wird. Der Weblistener kann alle einem Netzwerk zugeordneten IP-Adressen oder nur bestimmte IP-Adressen abhören. Die Portnummer, die bei den IP-Adressen im ausgewählten Netzwerk auf eingehende Webanforderungen abgehört wird. Clientauthentifizierungsmethoden (optional). Auswählen der Weblistenernetzwerke (IP-Adressen) Welche Weblistenernetzwerke oder Netzwerke Sie auswählen ist davon abhängig, welche Netzwerke von den Clients für die Herstellung der Verbindung mit dem veröffentlichten Webserver verwendet werden. Wenn beispielsweise die Website, die Sie veröffentlichen möchten, Clientanforderungen aus dem Internet (externes Netzwerk) zulässt, sollten Sie das externe Netzwerk als Weblistener auswählen. Indem Sie das externe Netzwerk auswählen, wählen Sie die IP-Adressen des ISA Server-Computers, die dem externen Netzwerkadapter zugeordnet sind. Wenn Sie die IP-Adressen nicht begrenzen, werden alle dem ausgewählten Netzwerkadapter zugeordneten IP-Adressen in die Listenerkonfiguration aufgenommen. Angeben des Listenerports Standardmäßig wird Port 80 von ISA Server auf HTTP-Anforderungen abgehört. Wenn jedoch zu erwarten ist, dass von Clients ein anderer Port verwendet wird, muss die Portnummer entsprechend geändert werden. Sie können den Weblistener auch so konfigurieren, dass SSL-Anforderungen (Secure Sockets Layer) abgehört werden (Standardport 443). Wenn Sie SSL wählen, muss zuerst das entsprechende Zertifikat auf dem ISA Server-Computer installiert werden. Es muss ein Serverzertifikat ausgewählt werden, das von Weblistener verwendet wird. Damit wird der ISA Server-Computer dem Client gegenüber authentifiziert. Festlegen der Clientauthentifizierungsmethoden Nach der Definition eines Weblisteners können Sie dessen Eigenschaften bearbeiten, um Authentifizierungsmethoden für Webanforderungen festzulegen. Szenarien 3 Ursprüngliche Hostheader Standardmäßig wird von ISA Server ein Hostheader für Verweise auf den internen Webserver eingesetzt und nicht der ursprüngliche Hostheader gesendet, der von ISA Server empfangen wurde. Wählen Sie auf der Seite Zu veröffentlichende Website festlegen des Assistenten für neue Webveröffentlichungsregeln die Option Ursprünglichen Hostheader anstelle des aktuellen weiterleiten, wenn die Website über spezielle Merkmale verfügt, für die der ursprüngliche Hostheader erforderlich ist. Regelelemente Ein ISA Server-Regelelement ist ein Objekt, mit dem ISA Server-Regeln genauer definiert werden können. Beispielsweise repräsentiert ein Subnetzregelelement ein Subnetz innerhalb eines Netzwerks. Sie können Regeln definieren, die nur für ein Subnetz gelten, und Regeln, die für das gesamte Netzwerk mit Ausnahme des Subnetzes gelten. Ein Benutzersatz, der eine Gruppe von Benutzern repräsentiert, ist ein weiteres Beispiel für ein Regelelement. Durch die Erstellung eines Benutzersatzes und dessen Verwendung in einer ISA Server-Regel können Sie eine Regel definieren, die lediglich für diesen Satz von Benutzern gilt. Die verfügbaren Regelelemente werden angezeigt, wenn Sie den Knoten des ISA ServerComputers erweitern, auf Firewallrichtlinie klicken und im Aufgabenbereich die Registerkarte Toolbox auswählen. Es gibt fünf Typen von Regelelementen: Protokolle. Dieser Regelelementtyp enthält Protokolle, mit denen Sie die Anwendung der Zugriffsregeln beschränken können. Sie können beispielsweise den Zugriff für ein oder mehrere Protokolle anstatt für alle Protokolle gewähren oder verweigern. Benutzer. Mit diesem Regelelementtyp können Sie einen Benutzersatz definieren, auf den eine Regel ausdrücklich angewendet wird oder der aus der Regelanwendung ausgeschlossen werden kann. Inhaltstypen. Dieser Regelelementtyp beschreibt häufig vorkommende Inhaltstypen, auf die Regeln angewendet werden können. Zeitpläne. Mit diesem Regelelementtyp können Sie festlegen, an welchen Stunden der Woche eine Regel gelten soll. Netzwerkobjekte. Mit diesem Regelelementtyp können Sie einen Computersatz definieren, auf den eine Regel ausdrücklich angewendet wird oder der aus der Regelanwendung ausgeschlossen werden kann. Sie sollten in Webveröffentlichungsregeln Regelelemente verwenden, um die Regeln möglichst spezifisch zu definieren. Die Erstellung von Regelelementen wird in diesem Dokument im Abschnitt Anhang B: Erstellen von Regelelementen beschrieben. Szenarien In diesem Dokument werden verschiedene Webveröffentlichungsszenarien für ISA Server 2004 beschrieben: 4 Veröffentlichen von Webservern mit ISA Server 2004 Veröffentlichen eines Webservers, der sich in einem internen Netzwerk oder Umkreisnetzwerk befindet Veröffentlichen bestimmter Ordner unter verschiedenen öffentlichen Namen Veröffentlichen zweier Webserver mit unterschiedlichen Domänennamen Lösungen Mit den in diesem Dokument beschriebenen Lösungen wird der Veröffentlichungsvorgang vom Veröffentlichen eines internen Webservers bzw. eines Webservers in einem Umkreisnetzwerk über das Veröffentlichen bestimmter Ordner bis zum Veröffentlichen mehrerer Webserver, die einem ISA Server 2004-Computer nachgelagert sind, erläutert. Netzwerktopologie In den folgenden Abschnitten wird die Netzwerktopologie für folgende Szenarien beschrieben: Veröffentlichen eines Webservers im internen Netzwerk Veröffentlichen eines Webservers im Umkreisnetzwerk Interner Webserver Zum Veröffentlichen eines Webservers im internen Netzwerk müssen zumindest folgende Bedingungen gegeben sein: Eine Verbindung zum Internet Ein Computer, der als ISA Server-Computer fungiert Der ISA Server-Computer muss mit mindestens zwei Netzwerkadaptern ausgestattet sein. Ein Netzwerkadapter ist hierbei mit dem externen Netzwerk (welches das Internet repräsentiert) verbunden und der andere Netzwerkadapter mit dem internen Netzwerk. Ein Computer, der als Webserver fungiert und sich im internen Netzwerk befindet Ein Computer zum Testen der Konfiguration, der über eine Internetverbindung verfügt und sich außerhalb des internen Netzwerks befindet Webserver in einem Umkreisnetzwerk Zum Veröffentlichen eines Webservers im Umkreisnetzwerk müssen zumindest folgende Bedingungen gegeben sein: Eine Verbindung zum Internet Ein Computer, der als ISA Server-Computer fungiert Der ISA Server-Computer muss mit mindestens drei Netzwerkadaptern ausgestattet sein. Ein Netzwerkadapter ist hierbei mit dem externen Netzwerk (welches das Internet repräsentiert), ein Netzwerkadapter mit dem Umkreisnetzwerk, und der dritte Netzwerkadapter ist mit dem internen Netzwerk verbunden. Ein Computer, der als Webserver fungiert und sich im Umkreisnetzwerk befindet Lösungen 5 Wenn der Webserver im Umkreisnetzwerk Daten von einem Datenserver im internen Netzwerk abrufen soll, ist ein Computer erforderlich, der als Datenserver dient. Ein Computer zum Testen der Konfiguration, der über eine Internetverbindung verfügt und sich außerhalb des internen Netzwerks befindet Veröffentlichen eines Webservers – Kurzanleitung Anhand dieser Kurzanleitung können Sie die zum Veröffentlichen eines Webservers erforderlichen Schritte durchführen. Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 1: Sichern der aktuellen Konfiguration Es wird empfohlen, mithilfe der Sicherungsfunktion von ISA Server eine Sicherungskopie der aktuellen Konfiguration zu erstellen, bevor Änderungen daran vorgenommen werden. Wenn die vorgenommenen Änderungen nicht zum gewünschten Ergebnis führen, kann die ursprüngliche, abgesicherte Konfiguration wiederhergestellt werden. Folgen Sie den Anweisungen, um die gesamte Konfiguration des ISA Server-Computers zu sichern. 1. Klicken Sie mit der rechten Maustaste auf den Namen des ISA Server-Computers, und klicken Sie dann auf Sichern. 2. Geben Sie unter Konfiguration sichern den Speicherort und den Namen der Datei ein, in der die Konfiguration gespeichert werden soll. Sie sollten das Exportdatum in den Dateinamen aufnehmen, damit Sie die Sicherungskopien leichter unterscheiden können, beispielsweise ExportSicherung2Juni2004. 3. Klicken Sie auf Sichern. Wenn Sie vertrauliche Informationen wie Benutzerkennwörter exportieren, werden Sie zur Eingabe eines Kennworts aufgefordert, das zur Wiederherstellung der Konfiguration aus der exportierten Datei angegeben werden muss. 4. Klicken Sie nach Abschluss des Sicherungsvorgangs auf OK. Anmerkung Da die XML-Datei als Sicherungsdatei verwendet wird, sollte für den Fall eines schwerwiegenden Fehlers eine Kopie auf einem anderen Computer gespeichert werden. Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 2: Erstellen der Website Erstellen Sie die Website oder Sites mithilfe von IIS auf dem Computer, der sich im internen Netzwerk oder im Umkreisnetzwerk befindet. Einzelheiten hierzu finden Sie in der IISDokumentation. Achten Sie auf den Speicherort der Website. Wenn die Site nicht die Standardwebsite des Webservers ist, muss in der Definition von Webveröffentlichungsregeln der korrekte Pfad angegeben werden. 6 Veröffentlichen von Webservern mit ISA Server 2004 Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 3: Entwerfen und Erstellen von Webveröffentlichungsregeln Zum Veröffentlichen von Webservern werden Webveröffentlichungsregeln verwendet. Im Folgenden werden einige Beispiele für mögliche Webveröffentlichungsszenarien und die zur Lösung erforderlichen Regeln beschrieben. Weitere Informationen zur Verwendung des Assistenten für neue Webveröffentlichungsregeln finden Sie im Abschnitt Veröffentlichen eines Webservers – Kurzanleitung dieses Dokuments. Sie können die Eigenschaften jeder Regel ändern, indem Sie im Detailbereich Firewallrichtlinie auf die betreffende Regel doppelklicken, um das Dialogfeld Eigenschaften zu öffnen. Veröffentlichen eines Webservers in einem internen Netzwerk oder Umkreisnetzwerk Zum Veröffentlichen eines Webservers in einem internen Netzwerk oder einem Umkreisnetzwerk erstellen Sie unter Verwendung des im Abschnitt Veröffentlichen eines Webservers – Kurzanleitung dieses Dokuments beschriebenen Verfahrens eine Webveröffentlichungsregel. Vergessen Sie nicht, nach der Erstellung der Regel im Detailbereich von ISA Server auf Übernehmen zu klicken. Einige Eigenschaften können nicht im Assistenten festgelegt werden. Zum Festlegen dieser Eigenschaften im Detailbereich der Firewallrichtlinie doppelklicken Sie auf die Regel, um das Dialogfeld für die Regeleigenschaften zu öffnen. Lösungen 7 Eigenschaft Registerkarte Einstellung Kommentare Allgemein Name Geben Sie einen Namen Wählen Sie einen an. möglichst aussagekräftigen Namen, um die Regel von anderen Regeln zu unterscheiden. Allgemein Beschreibung Geben Sie eine Beschreibung an. Optional Allgemein Aktivieren Wählen Sie Aktivieren. Keine Aktion Zulassen Verweigern Wählen Sie Zulassen. Keine Aktion Anforderungen protokollieren, die mit dieser Regel übereinstimmen Wählen Sie diese Option aus, wenn Anforderungen protokolliert werden sollen. Keine Von Diese Regel betrifft Datenverkehr von diesen Quellen Geben Sie die Netzwerke an, in denen Sie die Website veröffentlichen. Die Standardeinstellung Beliebig umfasst sämtliche Netzwerke. Keine Von Gilt nicht für Anforderungen von Keine Sie können ein Netzwerkobjekt angeben, auf das diese Regel nicht angewendet wird. Ein Netzwerkobjekt ist ein Regelelement; Regelelemente werden im Abschnitt Regelelemente weiter vorn in diesem Dokument beschrieben. An Server Geben Sie den Server an, den Sie veröffentlichen. Keine An Ursprünglichen Wählen Sie diese Hostheader anstelle des Option aus, wenn der aktuellen weiterleiten ursprüngliche Hostheader gesendet werden soll. Weitere Informationen hierzu finden Sie im Abschnitt Ursprüngliche Hostheader dieses Dokuments. 8 Veröffentlichen von Webservern mit ISA Server 2004 An Anforderungen an den veröffentlichten Server weiterleiten Wenn der Webserver die ursprüngliche IPAdresse des externen Clients benötigt, wählen Sie hier Ursprung der Anforderungen scheint der ursprüngliche Client zu sein. Wenn Sie Ursprung der Anforderungen scheint der ursprüngliche Client zu sein auswählen, müssen Sie sicherstellen, dass die Antwort des Webservers über den ISA ServerComputer an den ursprünglichen Client weitergeleitet wird. Datenverkehr Diese Regel betrifft Datenverkehr der folgenden Protokolle In der Standardeinstellung ist HTTP ausgewählt. Bietet über die Schaltfläche Filterung auch Zugriff auf die Eigenschaften der HTTPKonfiguration. Weitere Informationen hierzu finden Sie im Abschnitt Konfigurieren der HTTPRichtlinie dieses Dokuments. Listener Diese Regel betrifft Anforderungen, die auf folgendem Listener empfangen wurden Erstellen Sie einen Listener, der die IPAdressen der externen Netzwerkadapter abhört. Das Netzwerk, in dem sich der Listener befindet, muss in den auf der Registerkarte Von aufgeführten Quellen enthalten sein. Öffentlicher Name Regel wird angewendet für Wählen Sie Alle Anforderungen aus. Wenn Sie mehrere Websites mit dem gleichen Weblistener veröffentlichen, sollten Sie Anforderungen für die folgenden Websites auswählen (und den Namen der veröffentlichten Sites angeben), damit andere Regeln denselben Listener zum Veröffentlichen eines Servers oder Verzeichnisses verwenden können. Wenn Sie Anforderungen für die folgenden Websites auswählen, werden nur Anforderungen für die von Ihnen angegebenen Namen der Regel zugeordnet. Lösungen 9 Pfade Externer Pfad Interner Pfad Geben Sie für den externen Pfad Folgendes ein: /* Geben Sie für den internen Pfad Folgendes ein: /* Die Pfadangabe /* bewirkt, dass alle Ordner unter ihrem ursprünglichen Namen im Internet veröffentlicht werden. Sie finden weiter hinten in diesem Dokument ein Beispiel für das Veröffentlichen bestimmter Ordner. Bridging Geben Sie den Servertyp an Wählen Sie Webserver oder FTP-Server aus. Weitere Informationen hierzu finden Sie im Abschnitt SSL-Bridging dieses Dokuments. Benutzer Diese Regel betrifft Anforderungen von folgenden Benutzersätzen Wählen Sie Alle Benutzer aus. Beschränkt den Zugriff auf bestimmte Gruppen von Benutzern. Benutzer Gilt nicht für Anforderungen von Keine Sie können Benutzersätze angeben, auf die diese Regel nicht angewendet wird. Benutzer Anmeldeinformationen für Basisauthentifizierung weiterleiten (einfache Delegierung) Legen Sie fest, ob die Anmeldeinformationen für die Standardauthentifizieru ng weitergeleitet werden sollen. Weitere Informationen hierzu finden Sie im Abschnitt Zulassen der Delegierung der Standardauthentifizieru ng dieses Dokuments. Zeitplan Zeitplan Wählen Sie Immer aus. Sie können den Zeitraum, während dessen die Website verfügbar ist, einschränken, indem Sie einen Zeitplan erstellen und auf diese Regel anwenden. Ein Zeitplan ist ein Regelelement; Regelelemente werden im Abschnitt Regelelemente weiter vorn in diesem Dokument beschrieben. 10 Veröffentlichen von Webservern mit ISA Server 2004 Linkübersetzung Ersetzen von absoluten Links in Webseiten Legen Sie fest, ob absolute Links ersetzt werden sollen, und geben Sie, falls erforderlich, die Wörterbucheinträge an. Die Linkübersetzung funktioniert nur dann, wenn Sie auf der Registerkarte Öffentlicher Name die Einstellung Anforderungen für die folgenden Websites wählen (und den Namen der veröffentlichten Site angeben). Weitere Informationen hierzu finden Sie im Abschnitt Konfigurieren der Linkübersetzung dieses Dokuments. Veröffentlichen von im internen Netzwerk oder Umkreisnetzwerk enthaltenen Webserverordnern unter einem Domänennamen Sie können bestimmte Ordner eines in einem internen Netzwerk oder Umkreisnetzwerk befindlichen Webservers veröffentlichen. In diesem Szenario werden beide Ordner in derselben Domäne veröffentlicht. Beispielsweise soll der Ordner \news auf www.fabrikam.com/news und der Ordner \updates auf www.fabrikam.com/updates veröffentlicht werden. Führen Sie hierzu folgende Schritte durch. 1. Erstellen Sie eine Webveröffentlichungsregel, wobei Sie wie im vorigen Szenario beschrieben vorgehen und dieselben Eigenschaften festlegen. Sie müssen während der Regelerstellung keine Ordner angeben, weil die Regel im Assistenten für neue Webveröffentlichungsregeln nicht in der Detailliertheit definiert werden kann, die für dieses Szenario erforderlich ist. 2. Nachdem Sie die Regel erstellt haben, doppelklicken Sie im Detailbereich Firewallrichtlinie auf die Regel, um das zugehörige Dialogfeld Eigenschaften zu öffnen, und wählen die Registerkarte Pfade aus. 3. Markieren Sie die angezeigte Standardpfadangabe (<wie intern> nach Interner Pfad /*), und klicken Sie auf Entfernen. 4. Klicken Sie auf Hinzufügen, um mithilfe des Dialogfelds Pfadzuordnung neue Pfade hinzuzufügen. 5. Geben Sie den Ordner an, den Sie auf der Website veröffentlichen möchten. Hierbei handelt es sich um den Namen, der dem Ordner auf Ihrem Webserver zugeordnet ist. 6. Wählen Sie unter Externer Pfad eine der beiden folgenden Optionen: Wählen Sie Wie veröffentlichter Ordner, wenn die Benutzer denselben Ordnernamen im Browser als URL eingeben sollen. Wenn der interne Ordner beispielsweise /news heißt und Sie Wie veröffentlichter Ordner auswählen, müssen die Benutzer http://www.fabrikam.com/news eingeben, um auf diesen Ordner zuzugreifen. Lösungen 11 7. Wählen Sie Folgender Ordner, um dem Ordner für den Internetzugriff einen anderen Namen zuzuweisen. Angenommen, auf dem Webserver ist ein Ordner namens news03032003 vorhanden, den Sie auf der Site www.fabrikam.com/news veröffentlichen möchten. In diesem Fall wählen Sie Folgender Ordner und geben den Ordnernamen news an. Klicken Sie im Detailbereich ISA Server auf Übernehmen, um die Änderungen zu übernehmen. Veröffentlichen von zwei Webserverordnern unter zwei Domänennamen Sie können bestimmte Ordner eines in einem internen Netzwerk oder Umkreisnetzwerk befindlichen Webservers unter zwei verschiedenen Domänennamen veröffentlichen. Angenommen, Sie möchten den Ordner \news auf der Site www.fabrikam.com und den Ordner \updates auf der Site www.adatum.com veröffentlichen. Zu diesem Zweck müssen Sie zwei Webveröffentlichungsregeln (eine für jeden Domänennamen) erstellen. Führen Sie hierzu folgende Schritte durch. 1. Definieren Sie mit dem Assistenten für neue Webveröffentlichungsregeln eine Webveröffentlichungsregel für die Site www.fabrikam.com, wobei Sie das in Anhang A: Verwenden des Assistenten für neue Webveröffentlichungsregeln in diesem Dokument dargestellte Verfahren verwenden, und es wie in den nächsten Schritten beschrieben ändern. 2. Geben Sie auf der Seite Zu veröffentlichende Website festlegen unter Computername oder IP-Adresse den Webservercomputer an, auf dem sich die zu veröffentlichende Website befindet. Es kann der Computername oder die IP-Adresse des Webservers des internen Netzwerks oder Umkreisnetzwerks angegeben werden. Stellen Sie sicher, dass Ursprünglichen Hostheader anstelle des aktuellen weiterleiten nicht ausgewählt ist. Dies ist die Standardeinstellung. Weitere Informationen hierzu finden Sie im Abschnitt Ursprüngliche Hostheader dieses Dokuments. Unter Ordner können Sie den Websiteordner angeben, der veröffentlicht werden soll, beispielsweise News. Klicken Sie auf Weiter. Anmerkung Wenn Sie sämtliche Unterordner von News auf der Site www.fabrikam.com veröffentlichen möchten, geben Sie den Ordnernamen in der Form News/* an. 3. Vergewissern Sie sich, dass auf der Seite Details des öffentlichen Namens die Option Diesen Domänennamen ausgewählt ist, und geben Sie den Domänennamen an, beispielsweise www.fabrikam.com. 4. Beenden Sie den Assistenten. 5. Definieren Sie mit dem Assistenten für neue Webveröffentlichungsregeln eine zweite Webveröffentlichungsregel für die Site www.adatum.com, wobei Sie das in Verwenden des Assistenten für neue Webveröffentlichungsregeln dieses Dokuments dargestellte Verfahren verwenden und es wie in den nächsten Schritten beschrieben ändern. 6. Geben Sie auf der Seite Zu veröffentlichende Website festlegen unter Computername oder IP-Adresse den Webservercomputer an, auf dem sich die zu veröffentlichende Website befindet. Es kann der Computername oder die IP-Adresse des Webservers des internen Netzwerks oder Umkreisnetzwerks angegeben werden. Stellen Sie sicher, dass Ursprünglichen Hostheader anstelle des aktuellen weiterleiten nicht ausgewählt ist. 12 Veröffentlichen von Webservern mit ISA Server 2004 Dies ist die Standardeinstellung. Weitere Informationen hierzu finden Sie im Abschnitt Ursprüngliche Hostheader dieses Dokuments. Unter Ordner können Sie den Websiteordner angeben, der veröffentlicht werden soll, beispielsweise Update (oder Update/*, um die Unterordner einzuschließen). Klicken Sie auf Weiter. 7. Vergewissern Sie sich, dass auf der Seite Details des öffentlichen Namens die Option Diesen Domänennamen ausgewählt ist, und geben Sie den Domänennamen an, beispielsweise www.adatum.com. 8. Beenden Sie den Assistenten. 9. Klicken Sie im Detailbereich ISA Server auf Übernehmen, um die Änderungen zu übernehmen. Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 4: Festlegen der Webveröffentlichungsoptionen Die Webveröffentlichungsfunktion von ISA Server verfügt über viele Optionen, mit denen Sie Webveröffentlichungsregeln Ihren Anforderungen entsprechend anpassen können. Einige dieser Optionen werden in den folgenden Abschnitten beschrieben. Sobald Sie eine Webveröffentlichungsregel ändern, müssen Sie im Detailbereich ISA Server auf Übernehmen klicken, um die vorgenommenen Änderungen zu übernehmen. Zugreifen auf Webveröffentlichungseigenschaften Die folgenden Schritte beschreiben, wie Sie auf die Webveröffentlichungseigenschaften zugreifen. 1. Öffnen Sie die ISA Server-Verwaltung, und klicken Sie auf Firewallrichtlinie. 2. Doppelklicken Sie auf die Webveröffentlichungsregel, um deren Eigenschaften anzuzeigen. Sie können stattdessen auch die Regel markieren und auf der Registerkarte Aufgaben des Aufgabenbereichs auf Ausgewählte Regel bearbeiten klicken. SSL-Bridging Wenn Sie einen Server veröffentlichen, der eine SSL-Kommunikation erfordert, muss auf dem ISA Server-Computer ein digitales Zertifikat installiert sein. Zusätzlich muss unter Umständen auf dem internen Webserver ein Zertifikat installiert sein. Um sicherzustellen, dass der ISA Server-Computer HTTPS-Anforderungen mit dem richtigen Protokoll an den Webserver sendet, müssen Sie SSL-Bridging entsprechend konfigurieren. SSL-Bridging ist eine Eigenschaft jeder Webveröffentlichungsregel. Über SSL-Bridging wird auf die folgende Weise festgelegt, ob vom ISA Server-Computer empfangene HTTPSAnforderungen als HTTPS-Anforderungen oder als HTTP-Anforderungen an den Webserver weitergeleitet werden: Wenn auf dem Webserver kein digitales Zertifikat installiert ist, werden SSL- und HTTP-Anforderungen als HTTP-Anforderungen an den Webserver weitergeleitet. Die SSL-gesicherte Kommunikation wird von ISA Server verwaltet und intern als HTTPKommunikation fortgeführt. Lösungen 13 Wenn auf dem Webserver ein digitales Zertifikat installiert ist, werden HTTPSAnforderungen als HTTPS-Anforderungen und HTTP-Anforderungen als HTTPAnforderungen an den internen Webserver weitergeleitet. In diesem Fall ist sowohl die Kommunikation zwischen dem externen Client und dem ISA Server-Computer als auch die Kommunikation zwischen dem ISA Server-Computer und dem Webserver SSLgesichert. Wichtig Es wird empfohlen, sowohl auf dem Webserver als auch auf dem ISA ServerComputer digitale Zertifikate zu installieren und HTTPS-Anforderungen als HTTPS-Anforderungen weiterzuleiten. Die Konfiguration ist damit sicherer. Wenn auf Ihrem Webserver ein digitales Zertifikat installiert ist und ISA Server ohne den Kauf eines zusätzlichen Zertifikats HTTPS-Anforderungen abhören soll, müssen Sie das Zertifikat vom Webserver exportieren und es auf dem ISA Server-Computer importieren. Weitere Informationen hierzu finden Sie unter Digitale Zertifikate für ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20794). Führen Sie zum Ändern der SSL-BridgingKonfiguration die folgenden Schritte durch: 1. Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die Registerkarte Bridging. 2. Vergewissern Sie sich, dass Webserver ausgewählt ist. 3. Wählen Sie die Umleitung zum HTTP-Port oder SSL-Port: 4. Wenn HTTPS-Anforderungen unter Verwendung des digitalen Zertifikats des ISA Server-Computers bearbeitet werden sollen (auf dem Webserver ist kein digitales Zertifikat installiert), wählen Sie Anforderungen an HTTP-Port umleiten aus und klicken auf OK. Wenn Sie sowohl ein auf dem Webserver vorhandenes digitales Zertifikat als auch das auf dem ISA Server-Computer installierte Zertifikat weiterhin verwenden möchten, wählen Sie Anforderungen an SSL-Port umleiten aus, stellen sicher, dass die Standardportnummer 443 Ihrer Netzwerkkonfiguration entspricht, und klicken auf OK. Klicken Sie auf OK, um das Dialogfeld Eigenschaften der Webveröffentlichungsregel zu schließen. Anmerkung Bei Auswahl der Option Zertifikat für Authentifizierung mit dem SSLWebserver verwenden können Sie das Clientzertifikat angeben, das von ISA Server zur Authentifizierung beim Webserver verwendet wird. Ein häufiges Problem bei Webveröffentlichungen mit SSL-Bridging besteht darin, dass der auf der Registerkarte Nach der Webveröffentlichungsregel angegebene Servername bzw. die dort angegebene IP-Adresse nicht mit dem Namen auf dem Zertifikat übereinstimmt. Dies hat zur Folge, dass der Webclient eine Seite mit dem Inhalt 500 Interner Serverfehler erhält. Dieses Problem lässt sich mit folgenden Lösungsansätzen beheben: Erwerben Sie ein neues Zertifikat, das dem angegebenen Servernamen entspricht. 14 Veröffentlichen von Webservern mit ISA Server 2004 Ändern Sie den Servernamen auf der Registerkarte Nach der Webveröffentlichungsregel, so dass er dem Namen auf dem Zertifikat entspricht, und konfigurieren Sie den lokalen DNS-Server so, dass der Name dem internen Webserver zugeordnet wird. Ändern Sie den Servernamen auf der Registerkarte Nach der Webveröffentlichungsregel, so dass er dem Namen auf dem Zertifikat entspricht. Fügen Sie auf dem ISA Server-Computer der Datei %WINDIR%\system32\drivers\etc\hosts eine Anweisung zu, mit der der Servername der IP-Adresse des internen Webservers zugeordnet wird. Erstellen zusätzlicher Pfadzuordnungen In der Webveröffentlichungslösung haben Sie eine Pfadzuordnung erstellt und damit http://www.fabrikam.com/news dem Ordner \news auf dem Webserver des internen Netzwerks oder Umkreisnetzwerks zugeordnet. Sie können weitere Pfadzuordnungen hinzufügen, beispielsweise um http://www.fabrikam.com/archives dem Ordner \archives auf dem Webserver zuzuordnen. Zum Hinzufügen weiterer Pfadzuordnungen führen Sie folgende Schritte durch: 1. Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die Registerkarte Pfade. 2. Markieren Sie die angezeigte Standardpfadangabe (<wie intern> nach Interner Pfad /*), und klicken Sie auf Entfernen. 3. Klicken Sie auf Hinzufügen, um mithilfe des Dialogfelds Pfadzuordnung neue Pfade hinzuzufügen. 4. Geben Sie den Namen des internen Ordners an, beispielsweise Archive. Wenn Sie die Standardeinstellung Wie veröffentlichter Ordner für Externer Pfad beibehalten, entspricht der öffentliche Name dem privaten Namen, hier Archive. Wenn Sie den internen Ordner jedoch unter einem anderen externen Namen veröffentlichen möchten, müssen Sie Folgender Ordner auswählen und den öffentlichen Namen angeben. Mit dieser Auswahl können Sie den Ordner \archives nach http://www.fabrikam.com/Old veröffentlichen. Klicken Sie auf OK. 5. Klicken Sie auf OK, um das Dialogfeld Eigenschaften der Webveröffentlichungsregel zu schließen. 6. Klicken Sie im Detailbereich Firewallrichtlinie auf Übernehmen, um die Änderungen zu übernehmen. Konfigurieren der Linkübersetzung Manche veröffentlichten Websites können Verweise auf interne Computernamen enthalten. Da für externe Clients nur ISA Server (nicht das gesamte Netzwerk) verfügbar ist, werden diese Verweise möglicherweise als beschädigte Links angezeigt. ISA Server umfasst eine Linkübersetzungsfunktion mit verschiedenen Funktionsebenen, so dass Sie die geeignete Ebene von Linkkonnektivität zur Verfügung stellen können. Lösungen 15 Header-Linkübersetzung. Dies ist ein integraler Bestandteil jeder Webveröffentlichungsregel, wobei jeder Link, der dem Client in einem Header übermittelt wird, in einen extern erkennbaren URL übersetzt wird. Wenn der Benutzer auf den Link zugreift, wird dies von der Webveröffentlichungsregel erkannt und an den internen Server weitergeleitet. Diese Art der Linkübersetzung ist in jeder Webveröffentlichungsregel stets in Kraft. Beachten Sie, dass diese Übersetzung nur innerhalb der Definition der Webveröffentlichungsregel funktioniert. Wenn ein Link auf einen anderen internen Server oder auf eine andere Portnummer verweist als die in der Regel angegebenen, wird der Link nur dann übersetzt, wenn ein entsprechender Wörterbucheintrag definiert ist. Wörterbucheinträge werden weiter hinten in diesem Dokument beschrieben. Übersetzung von Links im Text einer zurückgegebenen Webseite. Die Funktionsweise entspricht der Header-Linkübersetzung; es werden jedoch auch Links übersetzt, die im Text von Webseiten übermittelt werden und nicht nur die im Header enthaltenen Links. Beachten Sie, dass diese Übersetzung nur innerhalb der Definition der Webveröffentlichungsregel funktioniert. Wenn ein Link auf einen anderen internen Server oder auf eine andere Portnummer verweist als die in der Regel angegebenen, wird der Link nur dann übersetzt, wenn ein entsprechender Wörterbucheintrag definiert ist. Wörterbucheinträge werden weiter hinten in diesem Dokument beschrieben. Führen Sie die folgenden Schritte durch, um diese Funktion zu aktivieren. 1. Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die Registerkarte Linkübersetzung. 2. Wählen Sie Ersetzen von absoluten Links in Webseiten aus, um die Linkübersetzung zu aktivieren. Sie können überdies konfigurieren, auf welche Inhaltstypen die Linkübersetzung angewendet wird. Diese Konfiguration gilt für alle Webveröffentlichungsregeln, die die Linkübersetzung verwenden. (Einzelne Regeln können nicht unterschiedlich konfiguriert werden.) Führen Sie zur Konfiguration der Inhaltstypen die folgenden Schritte durch: 1. Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die Registerkarte Linkübersetzung. 2. Klicken Sie auf Inhaltstypen, um die Registerkarte Inhaltstypen des Dialogfelds Linkübersetzung zu öffnen. 3. Wählen Sie die Inhaltstypen aus, für die die Linkübersetzung gelten soll, und klicken Sie auf OK. Übersetzung von Links zu anderen internen Webseiten. Die Linkübersetzung funktioniert nur bei Links, die auf den in der Webveröffentlichungsregel angegebenen Webserver verweisen. Wenn auch Links, die auf andere Webserver im internen Netzwerk oder Umkreisnetzwerk verweisen, übersetzt werden sollen (damit diese Links in den betreffenden Webveröffentlichungsregeln berücksichtigt werden), müssen Sie angeben, wie die einzelnen Links übersetzt werden sollen. Diese Informationen werden von ISA Server in einem Linkwörterbuch gespeichert. Betrachten Sie beispielsweise ein Szenario, in dem zwei interne Webserver veröffentlicht werden. Auf die Webservercomputer namens Internal_IIS_A und Internal_IIS_B kann über ihre öffentlichen, auflösbaren Namen www.wingtiptoys.com and www.woodgrovebank.com zugegriffen werden. Die Webserver enthalten Querverweise auf die veröffentlichten Sites. Diese Verweise beinhalten jedoch die internen Websitenamen und 16 Veröffentlichen von Webservern mit ISA Server 2004 nicht die veröffentlichen, auflösbaren Sitenamen. Genauer gesagt, Internal_IIS_A enthält Verweise auf Internal_IIS_B. Externe Benutzer, die durch die Eingabe von www.wingtiptoys.com auf Internal_IIS_A zugreifen, sind nicht in der Lage, Links auf Internal_IIS_B zu folgen. Durch Aktivieren der Linkübersetzung und Erstellen eines Wörterbuchs mit Einträgen für beide Websites können diese Links aufgelöst werden, bevor die vom Client angeforderte Seite übermittelt wird. Wichtig Relative Links können von ISA Server nicht übersetzt werden. Dies betrifft Links, die mit / beginnen, wie beispielsweise /sports, wenn Sie mit Pfadzuordnungen arbeiten und der externe Pfad nicht dem internen Pfad entspricht. Zum Hinzufügen von Einträgen in das Linkübersetzungswörterbuch führen Sie folgende Schritte durch: 1. Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die Registerkarte Linkübersetzung. 2. Wählen Sie Absolute Links in Webseiten ersetzen aus, um die Linkübersetzung zu aktivieren. 3. Klicken Sie auf Hinzufügen, um das Dialogfeld Wörterbuchelement hinzufügen/bearbeiten zu öffnen. 4. Geben Sie in Diesen Text den internen Linktext an, beispielsweise Internal_IIS_B. In Durch diesen Text ersetzen geben Sie den externen Link an, beispielsweise www.woodgrovebank.com. Klicken Sie auf OK. 5. Klicken Sie auf OK, um das Dialogfeld Eigenschaften der Webveröffentlichungsregel zu schließen. Zulassen der Delegierung der Standardauthentifizierung ISA kann die Benutzerauthentifizierung vornehmen, sobald die Anforderung beim externen Listener eingeht, und die Authentifizierungsdaten dann an den Webserver weiterleiten, damit die Benutzer ihre Anmeldeinformationen nicht nochmals eingeben müssen. Führen Sie hierzu die folgenden Schritte durch. 1. Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die Registerkarte Benutzer. 2. Wählen Sie Anmeldeinformationen für Basisauthentifizierung weiterleiten (einfache Delegierung) aus. 3. Klicken Sie auf OK, um das Dialogfeld Eigenschaften der Webveröffentlichungsregel zu schließen. Konfigurieren der HTTP-Richtlinie ISA Server ist ein Firewall auf Anwendungsebene, der einen Webfilter auf HTTPDatenverkehr anwendet. Weil ISA Server HTTP-Anforderungen überprüfen kann, können Anwendungen, deren Datenverkehr durch HTTP getunnelt wird, abhängig von der Konfiguration des HTTP-Webfilters blockiert werden. Dank dieser zusätzlichen Lösungen 17 Schutzmöglichkeit können Sie veröffentlichte Server stärker vor böswilligen Anforderungen schützen. Mit dem HTTP-Webfilter kann zudem genau gesteuert werden, welche HTTPAnforderungen von der Firewallrichtlinie zugelassen werden. Sie können die folgende Einstellungen umfassende HTTP-Richtlinie konfigurieren: Anfordern maximaler Headerlänge Anfordern der Nutzlastlänge Konfigurieren von URL-Schutz Sperren von ausführbaren Dateien Zulassen oder Sperren von Methoden Angabe von Aktionen für bestimmte Dateierweiterungen Ablehnen bestimmter Header Ändern von Server- und Viaheader Sperren bestimmter Signaturen Zum Konfigurieren der HTTP-Richtlinie führen Sie folgende Schritte durch. 1. Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die Registerkarte Datenverkehr. 2. Klicken Sie auf Filterung, und wählen Sie HTTP konfigurieren, um das Dialogfeld HTTP-Richtlinie für diese Regel konfigurieren zu öffnen. 3. Wählen Sie die entsprechende Registerkarte, und konfigurieren Sie die Richtlinieneinstellungen. Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 5: Testen der Webveröffentlichungskonfiguration Öffnen Sie Internet Explorer auf einem Computer im externen Netzwerk (ein beliebiger Computer, der sich außerhalb des Netzwerks Ihrer Organisation befindet und über eine Internetverbindung verfügt), und geben Sie den URL der Website ein, beispielsweise http://www.fabrikam.com/news. Überprüfen Sie, ob daraufhin die gewünschte Seite auf dem veröffentlichten Webserver angezeigt wird. Anmerkung Damit der ISA Server-Computer die Anforderung empfängt, muss der URL der Website der IP-Adresse des externen Netzwerkadapters des ISA ServerComputers zugeordnet werden. 18 Veröffentlichen von Webservern mit ISA Server 2004 Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 6: Anzeigen von Website-Zugriffsdaten in der ISA ServerProtokollierung Anforderungen, die der Webveröffentlichungsregel entsprechen, werden von ISA Server protokolliert. Führen Sie die folgenden Schritte durch, um die im Protokoll enthaltenen Informationen anzuzeigen. 1. Wählen Sie in der Konsolenstruktur der Microsoft ISA Server-Verwaltung die Option Überwachung aus. 2. Wählen Sie im Detailbereich Überwachung die Option Protokollierung aus. 3. Erstellen Sie einen Filter, um nur die Protokollierungsdaten zu Websitezugriffsversuchen zu erhalten. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Filter bearbeiten, um das Dialogfeld Filter bearbeiten zu öffnen. Der Filter verfügt über drei Standardbedingungen, die festlegen, dass sowohl Protokolldaten vom Firewall als auch vom Webproxy bereitgestellt werden sollen, dass die Protokollierungszeit auf Live eingestellt ist und dass der Verbindungsstatus nicht angezeigt wird. Sie können diese Bedingungen bearbeiten und zusätzliche Bedingungen hinzufügen, um die Daten zu beschränken, die mit einer Abfrage abgerufen werden. 4. Wählen Sie Protokollierungszeit in der Liste der Einträge aus. Wählen Sie im Dropdownmenü Bedingung die Option Letzte 24 Stunden aus, und klicken Sie dann auf Aktualisieren. 5. Wählen Sie Protokolldatensatztyp in der Liste der Einträge aus. Wählen Sie im Dropdownmenü Wert die Option Webproxyfilter aus, und klicken Sie dann auf Aktualisieren. 6. Sie können einen weiteren Ausdruck hinzufügen, indem Sie im Dropdownmenü Filtern nach einen Eintrag auswählen und dann eine Bedingung und einen Wert angeben. Damit im Protokoll beispielsweise nur Zugriffe auf die von Ihnen veröffentlichten Webserver angezeigt werden, können Sie zusätzlich zu dem Ausdruck Filtern nach: Protokolldatensatztyp, Bedindung: Gleich, Wert: Webproxyfilter, den Sie in Schritt 5 abgeändert haben, folgenden Ausdruck hinzufügen für Filtern nach: Dienst, Bedingung: Gleich und Wert: Reverseproxy. 7. Nach der Erstellung eines Ausdrucks klicken Sie auf Zur Liste hinzufügen, um ihn zur Abfragenliste hinzuzufügen. Klicken Sie dann auf Abfrage starten, um die Abfrage durchzuführen. Der Befehl Abfrage starten ist auch im Aufgabenbereich auf der Registerkarte Aufgaben verfügbar. Anhang A: Verwenden des Assistenten für neue Webveröffentlichungsregeln Die Verwendung des Assistenten für neue Webveröffentlichungsregeln wird mit folgendem Verfahren allgemein beschrieben. Sie verwenden die Eigenschaften der Entwurfsphase zum Erstellen von Regeln. 1. Öffnen Sie die ISA Server-Verwaltung, erweitern Sie den Knoten des ISA ServerComputers, und klicken Sie auf Firewallrichtlinie. Lösungen 19 2. Klicken Sie im Aufgabenbereich auf die Registerkarte Aufgaben und dann auf Webserver veröffentlichen, um den Assistenten für neue Webveröffentlichungsregeln zu starten. 3. Geben Sie auf der Seite Willkommen im Feld Name der Webveröffentlichungsregel den Namen der Regel ein, beispielsweise Internen Webserver veröffentlichen, und klicken Sie auf Weiter. 4. Überprüfen Sie, ob auf der Seite Regelaktion auswählen die Standardeinstellung Zulassen ausgewählt ist, womit an den Webserver gerichtete Anforderungen zugelassen werden, die den in der Regel festgelegten Bedingungen entsprechen. Klicken Sie auf Weiter. 5. Geben Sie auf der Seite Zu veröffentlichende Website festlegen unter Computername oder IP-Adresse den Webservercomputer an, auf dem sich die zu veröffentlichende Website befindet. Sie können den Computernamen oder die IP-Adresse des Computers eingeben. In diesem Beispiel heißt der Computer Internal_IIS. Stellen Sie sicher, dass Ursprünglichen Hostheader anstelle des aktuellen weiterleiten nicht ausgewählt ist. Dies ist die Standardeinstellung. (Weitere Informationen hierzu finden Sie im Abschnitt Ursprüngliche Hostheader dieses Dokuments.) Unter Ordner können Sie den Websiteordner angeben, der veröffentlicht werden soll, beispielsweise News. Wenn Sie dieses Feld leer lassen, wird die gesamte Site veröffentlicht. Die Verwendung des Felds Ordner wird weiter hinten in diesem Dokument beschrieben. Klicken Sie auf Weiter. 6. Geben Sie auf der Seite Details des öffentlichen Namens Informationen dazu an, welche Anforderungen vom ISA Server-Computer empfangen und an den Webserver weitergeleitet werden. Wenn Sie unter Akzeptiert Anforderungen für die Option Jeden Domänennamen auswählen, wird jede Anforderung, die der IP-Adresse des externen Weblistener des ISA Server-Computers zugeordnet wird, an die Website weitergeleitet. Wenn Sie Diesen Domänennamen auswählen und einen bestimmten Domänennamen angeben (beispielsweise www.fabrikam.com), werden nur an http://www.fabrikam.com gerichtete Anforderungen an den Webserver weitergeleitet, vorausgesetzt, diese Domäne wird der IP-Adresse des externen Weblistener des ISA Server-Computers zugeordnet. Wenn Sie unter Pfad einen Ordner angeben, beispielsweise News, muss sich die Anforderung zudem auf diesen Ordner beziehen: http://www.fabrikam.com/news. Das erforderliche Anforderungsformat wird in Site angezeigt. Klicken Sie auf Weiter. Anmerkung Wenn Sie Inhalte unter mehreren Domänennamen veröffentlichen, beispielsweise www.fabrikam.com und www.adatum.com, sollten Sie in diesem Schritt die Domänennamen angeben (wählen Sie nicht Jeden Domänennamen aus), damit Anforderungen durch unterschiedliche Webveröffentlichungsregeln für die beiden Domänen an die korrekten Sites weitergeleitet werden. Das Veröffentlichen mit mehreren Domänennamen wird in diesem Dokument unter Veröffentlichen von zwei Webserverordnern unter zwei Domänennamen beschrieben. 7. Geben Sie auf der Seite Weblistener auswählen den Weblistener an, der den Datenverkehr auf Webseitenanforderungen abhört, die an den Webserver weitergeleitet werden sollen, und klicken Sie dann auf Weiter. Wenn Sie noch keinen Weblistener definiert haben, klicken Sie auf Neu und führen die folgenden Schritte durch, um einen neuen Listener zu erstellen. 20 Veröffentlichen von Webservern mit ISA Server 2004 a. Geben Sie auf der Seite Willkommen des Assistenten für neue Weblistener den Namen des neuen Weblisteners an, beispielsweise Listener am externen Netzwerk für interne Webveröffentlichungen, und klicken Sie dann auf Weiter. b. Wählen Sie auf der Seite IP-Adressen das Netzwerk aus, das den Datenverkehr auf Webanforderungen abhört. Da ISA Server Anforderungen vom externen Netzwerk (dem Internet) empfangen soll, sollten eine oder mehrere Adressen des externen Netzwerkadapters des ISA Server-Computers als Listener angegeben werden. Wählen Sie daher Extern, und klicken Sie dann auf Weiter. c. Vergewissern Sie sich, dass auf der Seite Portspezifizierung im Feld HTTP-Port der Wert 80 angegeben ist (Standardeinstellung). Wenn HTTPS-Anforderungen empfangen werden sollen, wählen Sie SSL aktivieren aus. Stellen Sie sicher, dass unter SSL-Port die Portnummer 443 eingestellt ist (Standardeinstellung), und geben Sie im Feld Zertifikat den Namen des Zertifikats an. Hierzu ist erforderlich, dass auf dem ISA Server-Computer ein digitales Zertifikat installiert ist. Weitere Informationen zu Zertifikaten finden Sie unter Digitale Zertifikate für ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20794). Klicken Sie auf Weiter. d. Überprüfen Sie die Einstellungen auf der Seite Fertigstellen des Assistenten, und klicken Sie auf Fertig stellen. Klicken Sie auf der Seite Weblistener auswählen auf Weiter. 8. Vergewissern Sie sich, dass auf der Seite Benutzersätze die Standardeinstellung Alle Benutzer angezeigt wird. Jedem Computer im externen Netzwerk wird dadurch Zugriff auf die veröffentlichten Webseiten gewährt. Um den Zugriff auf bestimmte Benutzer zu beschränken, müssen Sie zuerst mit der Schaltfläche Entfernen den Eintrag Alle Benutzer entfernen und dann über die Schaltfläche Hinzufügen das Dialogfeld Benutzer hinzufügen öffnen. Klicken Sie auf Weiter. 9. Blättern Sie auf der Seite Fertigstellen des Assistenten für neue Webveröffentlichungsregeln durch die Regelkonfiguration, um sicherzustellen, dass die Regel korrekt konfiguriert ist, und klicken Sie dann auf Fertig stellen. 10. Klicken Sie im Detailbereich ISA Server auf Übernehmen, um die vorgenommenen Änderungen zu übernehmen. Anhang B: Erstellen von Regelelementen Verwenden Sie zum Erstellen von Regelelementen folgendes allgemeine Verfahren. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung, erweitern Sie den Knoten des ISA Server-Computers, und klicken Sie auf Firewallrichtlinie. 2. Klicken Sie im Aufgabenbereich auf die Registerkarte Toolbox. 3. Wählen Sie den Regelelementtyp aus, indem Sie auf den entsprechenden Header für das Element klicken (Protokolle, Benutzer, Inhaltstypen, Zeitpläne oder Netzwerkobjekte). 4. Klicken Sie am oberen Rand der Elementliste auf Neu. 5. Geben Sie die erforderlichen Daten an. Nachdem Sie die Daten angegeben und im Dialogfeld auf OK geklickt haben, wird das neue Regelelement erstellt. 6. Klicken Sie im Detailbereich auf Übernehmen, um die Änderungen zu übernehmen. Sie können auch erst nach der Erstellung der Webveröffentlichungsregeln auf Übernehmen Lösungen 21 klicken, d. h., erst nach allen und nicht nach jeder einzelnen Änderung. Das Übernehmen der Änderungen kann einige Sekunden in Anspruch nehmen. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, EMail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig. Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und Verweise auf andere Internetwebsites, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, soweit nichts Anderes angegeben ist. Die Benutzer sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Microsoft Corporation kann Besitzer von Patenten oder Patentanträgen, Marken, Urheberrechten oder anderen Rechten an geistigem Eigentum sein, die den Inhalt dieses Dokuments betreffen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt. © 2004 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, Active Directory, Outlook, Windows, Windows Media und Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Haben Sie Fragen oder Anmerkungen zu diesem Dokument? Senden Sie Feedback.