Veröffentlichen eines Webservers – Kurzanleitung

Werbung
Veröffentlichen von Webservern
mit ISA Server 2004
Microsoft Internet Security &
Acceleration (ISA) Server 2004
Einführung
In Microsoft® Internet Security & Acceleration (ISA) Server 2004 werden
Webveröffentlichungsregeln verwendet, um Webinhalte im Internet zu veröffentlichen, ohne
die Sicherheit des internen Netzwerks zu gefährden. Mit Webveröffentlichungsregeln wird
festgelegt, wie eingehende Anforderungen nach HTTP-Objekten (Hypertext TransferProtokoll) auf einem internen Webserver von ISA Server abgefangen werden, und wie
ISA Server diese Anforderungen anstelle des Webservers beantwortet. Anforderungen
werden an einen nachgelagerten internen Webserver weitergeleitet, der sich hinter dem
ISA Server-Computer befindet. Nach Möglichkeit werden die Anforderungen aus dem
ISA Server-Cache bedient.
Webserververöffentlichungsregeln weisen eingehende Anforderungen den entsprechenden
Webservern hinter dem ISA Server-Computer zu.
Webveröffentlichung und
Serververöffentlichung
Sie können Inhalte veröffentlichen, um sie Benutzergruppen oder allen Benutzern zur
Verfügung zu stellen. Zur Veröffentlichung wird in der Regel der Server eines internen
Netzwerks oder Umkreisnetzwerks (auch als demilitarisierte Zone (DMZ) oder
abgeschirmtes Subnetz bezeichnet) verwendet. Wählen Sie abhängig von der Art der Inhalte,
die veröffentlicht werden sollen, Webveröffentlichung oder Serververöffentlichung.
Webveröffentlichungsregeln werden konfiguriert, um HTTP- und HTTPS-Inhalte auf
Webservern zur Verfügung zu stellen, z. B. auf Servern, auf denen IIS (Internet Information
Services) ausgeführt wird. Serververöffentlichungsregeln werden eingerichtet, um Inhalte
unter Verwendung anderer Protokolle zur Verfügung zu stellen. Mit
Serververöffentlichungen wird ein gesamter Server über ein Protokoll veröffentlicht. Dieses
Verfahren ermöglicht Ihnen, den Zugriff auf bestimmte Computer oder Netzwerke zu
beschränken. HTTP-Inhalte können nicht mithilfe von Serververöffentlichungsregeln
veröffentlicht werden.
Bei Webveröffentlichungen können Sie den Zugriff auf Inhalte detailliert steuern.
Webveröffentlichungsregeln decken einen großen Funktionsumfang ab und bieten unter
anderem die folgenden Möglichkeiten:

Zuordnung von Anforderungen zu bestimmten internen Pfaden. Sie können
festlegen, auf welche Bereiche der Server zugegriffen werden kann.
2
Veröffentlichen von Webservern mit ISA Server 2004

Beschränkung des Zugriffs auf bestimmte Benutzer, Computer oder Netzwerke.
Sie können den Zugriff beschränken, um die Sicherheit weiter zu erhöhen.

Benutzerauthentifizierung. Die Benutzerauthentifizierung kann an den Webserver
weitergereicht werden, so dass keine erneute Authentifizierung beim Webserver
erforderlich ist.

Linkübersetzung. Sie können Links zu internen Servern verwalten.

SSL-Bridging. Sie können den Datenverkehr zwischen dem ISA Server-Computer und
dem Webserver verschlüsseln.
Weblistener
Alle eingehenden Webanforderungen müssen der Standardeinstellung entsprechend von
einem Weblistener empfangen werden. Ein Weblistener kann in mehreren
Webveröffentlichungsregeln verwendet werden.
Bei der Konfiguration eines Weblisteners müssen Sie Folgendes angeben:

Das dem Netzwerkadapter am ISA Server-Computer zugeordnete Netzwerk, das auf
eingehende Webanforderungen abgehört wird. Der Weblistener kann alle einem
Netzwerk zugeordneten IP-Adressen oder nur bestimmte IP-Adressen abhören.

Die Portnummer, die bei den IP-Adressen im ausgewählten Netzwerk auf eingehende
Webanforderungen abgehört wird.

Clientauthentifizierungsmethoden (optional).
Auswählen der Weblistenernetzwerke (IP-Adressen)
Welche Weblistenernetzwerke oder Netzwerke Sie auswählen ist davon abhängig, welche
Netzwerke von den Clients für die Herstellung der Verbindung mit dem veröffentlichten
Webserver verwendet werden. Wenn beispielsweise die Website, die Sie veröffentlichen
möchten, Clientanforderungen aus dem Internet (externes Netzwerk) zulässt, sollten Sie das
externe Netzwerk als Weblistener auswählen. Indem Sie das externe Netzwerk auswählen,
wählen Sie die IP-Adressen des ISA Server-Computers, die dem externen Netzwerkadapter
zugeordnet sind. Wenn Sie die IP-Adressen nicht begrenzen, werden alle dem ausgewählten
Netzwerkadapter zugeordneten IP-Adressen in die Listenerkonfiguration aufgenommen.
Angeben des Listenerports
Standardmäßig wird Port 80 von ISA Server auf HTTP-Anforderungen abgehört. Wenn
jedoch zu erwarten ist, dass von Clients ein anderer Port verwendet wird, muss die
Portnummer entsprechend geändert werden. Sie können den Weblistener auch so
konfigurieren, dass SSL-Anforderungen (Secure Sockets Layer) abgehört werden
(Standardport 443). Wenn Sie SSL wählen, muss zuerst das entsprechende Zertifikat auf dem
ISA Server-Computer installiert werden. Es muss ein Serverzertifikat ausgewählt werden,
das von Weblistener verwendet wird. Damit wird der ISA Server-Computer dem Client
gegenüber authentifiziert.
Festlegen der Clientauthentifizierungsmethoden
Nach der Definition eines Weblisteners können Sie dessen Eigenschaften bearbeiten, um
Authentifizierungsmethoden für Webanforderungen festzulegen.
Szenarien 3
Ursprüngliche Hostheader
Standardmäßig wird von ISA Server ein Hostheader für Verweise auf den internen
Webserver eingesetzt und nicht der ursprüngliche Hostheader gesendet, der von ISA Server
empfangen wurde. Wählen Sie auf der Seite Zu veröffentlichende Website festlegen des
Assistenten für neue Webveröffentlichungsregeln die Option Ursprünglichen Hostheader
anstelle des aktuellen weiterleiten, wenn die Website über spezielle Merkmale verfügt, für
die der ursprüngliche Hostheader erforderlich ist.
Regelelemente
Ein ISA Server-Regelelement ist ein Objekt, mit dem ISA Server-Regeln genauer definiert
werden können. Beispielsweise repräsentiert ein Subnetzregelelement ein Subnetz innerhalb
eines Netzwerks. Sie können Regeln definieren, die nur für ein Subnetz gelten, und Regeln,
die für das gesamte Netzwerk mit Ausnahme des Subnetzes gelten.
Ein Benutzersatz, der eine Gruppe von Benutzern repräsentiert, ist ein weiteres Beispiel für
ein Regelelement. Durch die Erstellung eines Benutzersatzes und dessen Verwendung in
einer ISA Server-Regel können Sie eine Regel definieren, die lediglich für diesen Satz von
Benutzern gilt.
Die verfügbaren Regelelemente werden angezeigt, wenn Sie den Knoten des ISA ServerComputers erweitern, auf Firewallrichtlinie klicken und im Aufgabenbereich die
Registerkarte Toolbox auswählen. Es gibt fünf Typen von Regelelementen:

Protokolle. Dieser Regelelementtyp enthält Protokolle, mit denen Sie die Anwendung
der Zugriffsregeln beschränken können. Sie können beispielsweise den Zugriff für ein
oder mehrere Protokolle anstatt für alle Protokolle gewähren oder verweigern.

Benutzer. Mit diesem Regelelementtyp können Sie einen Benutzersatz definieren, auf
den eine Regel ausdrücklich angewendet wird oder der aus der Regelanwendung
ausgeschlossen werden kann.

Inhaltstypen. Dieser Regelelementtyp beschreibt häufig vorkommende Inhaltstypen,
auf die Regeln angewendet werden können.

Zeitpläne. Mit diesem Regelelementtyp können Sie festlegen, an welchen Stunden der
Woche eine Regel gelten soll.

Netzwerkobjekte. Mit diesem Regelelementtyp können Sie einen Computersatz
definieren, auf den eine Regel ausdrücklich angewendet wird oder der aus der
Regelanwendung ausgeschlossen werden kann.
Sie sollten in Webveröffentlichungsregeln Regelelemente verwenden, um die Regeln
möglichst spezifisch zu definieren. Die Erstellung von Regelelementen wird in diesem
Dokument im Abschnitt Anhang B: Erstellen von Regelelementen beschrieben.
Szenarien
In diesem Dokument werden verschiedene Webveröffentlichungsszenarien für ISA
Server 2004 beschrieben:
4
Veröffentlichen von Webservern mit ISA Server 2004

Veröffentlichen eines Webservers, der sich in einem internen Netzwerk oder
Umkreisnetzwerk befindet

Veröffentlichen bestimmter Ordner unter verschiedenen öffentlichen Namen

Veröffentlichen zweier Webserver mit unterschiedlichen Domänennamen
Lösungen
Mit den in diesem Dokument beschriebenen Lösungen wird der Veröffentlichungsvorgang
vom Veröffentlichen eines internen Webservers bzw. eines Webservers in einem
Umkreisnetzwerk über das Veröffentlichen bestimmter Ordner bis zum Veröffentlichen
mehrerer Webserver, die einem ISA Server 2004-Computer nachgelagert sind, erläutert.
Netzwerktopologie
In den folgenden Abschnitten wird die Netzwerktopologie für folgende Szenarien
beschrieben:

Veröffentlichen eines Webservers im internen Netzwerk

Veröffentlichen eines Webservers im Umkreisnetzwerk
Interner Webserver
Zum Veröffentlichen eines Webservers im internen Netzwerk müssen zumindest folgende
Bedingungen gegeben sein:

Eine Verbindung zum Internet

Ein Computer, der als ISA Server-Computer fungiert Der ISA Server-Computer muss
mit mindestens zwei Netzwerkadaptern ausgestattet sein. Ein Netzwerkadapter ist
hierbei mit dem externen Netzwerk (welches das Internet repräsentiert) verbunden und
der andere Netzwerkadapter mit dem internen Netzwerk.

Ein Computer, der als Webserver fungiert und sich im internen Netzwerk befindet

Ein Computer zum Testen der Konfiguration, der über eine Internetverbindung verfügt
und sich außerhalb des internen Netzwerks befindet
Webserver in einem Umkreisnetzwerk
Zum Veröffentlichen eines Webservers im Umkreisnetzwerk müssen zumindest folgende
Bedingungen gegeben sein:

Eine Verbindung zum Internet

Ein Computer, der als ISA Server-Computer fungiert Der ISA Server-Computer muss
mit mindestens drei Netzwerkadaptern ausgestattet sein. Ein Netzwerkadapter ist hierbei
mit dem externen Netzwerk (welches das Internet repräsentiert), ein Netzwerkadapter
mit dem Umkreisnetzwerk, und der dritte Netzwerkadapter ist mit dem internen
Netzwerk verbunden.

Ein Computer, der als Webserver fungiert und sich im Umkreisnetzwerk befindet
Lösungen 5

Wenn der Webserver im Umkreisnetzwerk Daten von einem Datenserver im internen
Netzwerk abrufen soll, ist ein Computer erforderlich, der als Datenserver dient.

Ein Computer zum Testen der Konfiguration, der über eine Internetverbindung verfügt
und sich außerhalb des internen Netzwerks befindet
Veröffentlichen eines Webservers –
Kurzanleitung
Anhand dieser Kurzanleitung können Sie die zum Veröffentlichen eines Webservers
erforderlichen Schritte durchführen.
Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 1:
Sichern der aktuellen Konfiguration
Es wird empfohlen, mithilfe der Sicherungsfunktion von ISA Server eine Sicherungskopie
der aktuellen Konfiguration zu erstellen, bevor Änderungen daran vorgenommen werden.
Wenn die vorgenommenen Änderungen nicht zum gewünschten Ergebnis führen, kann die
ursprüngliche, abgesicherte Konfiguration wiederhergestellt werden. Folgen Sie den
Anweisungen, um die gesamte Konfiguration des ISA Server-Computers zu sichern.
1.
Klicken Sie mit der rechten Maustaste auf den Namen des ISA Server-Computers, und
klicken Sie dann auf Sichern.
2.
Geben Sie unter Konfiguration sichern den Speicherort und den Namen der Datei ein,
in der die Konfiguration gespeichert werden soll. Sie sollten das Exportdatum in den
Dateinamen aufnehmen, damit Sie die Sicherungskopien leichter unterscheiden können,
beispielsweise ExportSicherung2Juni2004.
3.
Klicken Sie auf Sichern. Wenn Sie vertrauliche Informationen wie Benutzerkennwörter
exportieren, werden Sie zur Eingabe eines Kennworts aufgefordert, das zur
Wiederherstellung der Konfiguration aus der exportierten Datei angegeben werden
muss.
4.
Klicken Sie nach Abschluss des Sicherungsvorgangs auf OK.
Anmerkung
Da die XML-Datei als Sicherungsdatei verwendet wird, sollte für den Fall
eines schwerwiegenden Fehlers eine Kopie auf einem anderen Computer
gespeichert werden.
Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 2:
Erstellen der Website
Erstellen Sie die Website oder Sites mithilfe von IIS auf dem Computer, der sich im internen
Netzwerk oder im Umkreisnetzwerk befindet. Einzelheiten hierzu finden Sie in der IISDokumentation. Achten Sie auf den Speicherort der Website. Wenn die Site nicht die
Standardwebsite des Webservers ist, muss in der Definition von Webveröffentlichungsregeln
der korrekte Pfad angegeben werden.
6
Veröffentlichen von Webservern mit ISA Server 2004
Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 3:
Entwerfen und Erstellen von Webveröffentlichungsregeln
Zum Veröffentlichen von Webservern werden Webveröffentlichungsregeln verwendet. Im
Folgenden werden einige Beispiele für mögliche Webveröffentlichungsszenarien und die zur
Lösung erforderlichen Regeln beschrieben. Weitere Informationen zur Verwendung des
Assistenten für neue Webveröffentlichungsregeln finden Sie im Abschnitt Veröffentlichen
eines Webservers – Kurzanleitung dieses Dokuments. Sie können die Eigenschaften jeder
Regel ändern, indem Sie im Detailbereich Firewallrichtlinie auf die betreffende Regel
doppelklicken, um das Dialogfeld Eigenschaften zu öffnen.
Veröffentlichen eines Webservers in einem internen Netzwerk oder
Umkreisnetzwerk
Zum Veröffentlichen eines Webservers in einem internen Netzwerk oder einem
Umkreisnetzwerk erstellen Sie unter Verwendung des im Abschnitt Veröffentlichen eines
Webservers – Kurzanleitung dieses Dokuments beschriebenen Verfahrens eine
Webveröffentlichungsregel. Vergessen Sie nicht, nach der Erstellung der Regel im
Detailbereich von ISA Server auf Übernehmen zu klicken. Einige Eigenschaften können
nicht im Assistenten festgelegt werden. Zum Festlegen dieser Eigenschaften im
Detailbereich der Firewallrichtlinie doppelklicken Sie auf die Regel, um das Dialogfeld für
die Regeleigenschaften zu öffnen.
Lösungen 7
Eigenschaft
Registerkarte
Einstellung
Kommentare
Allgemein
Name
Geben Sie einen Namen Wählen Sie einen
an.
möglichst
aussagekräftigen
Namen, um die Regel
von anderen Regeln zu
unterscheiden.
Allgemein
Beschreibung
Geben Sie eine
Beschreibung an.
Optional
Allgemein
Aktivieren
Wählen Sie Aktivieren.
Keine
Aktion
Zulassen
Verweigern
Wählen Sie Zulassen.
Keine
Aktion
Anforderungen
protokollieren, die mit
dieser Regel
übereinstimmen
Wählen Sie diese
Option aus, wenn
Anforderungen
protokolliert werden
sollen.
Keine
Von
Diese Regel betrifft
Datenverkehr von
diesen Quellen
Geben Sie die
Netzwerke an, in denen
Sie die Website
veröffentlichen. Die
Standardeinstellung
Beliebig umfasst
sämtliche Netzwerke.
Keine
Von
Gilt nicht für
Anforderungen von
Keine
Sie können ein
Netzwerkobjekt
angeben, auf das diese
Regel nicht angewendet
wird. Ein
Netzwerkobjekt ist ein
Regelelement;
Regelelemente werden
im Abschnitt
Regelelemente weiter
vorn in diesem
Dokument beschrieben.
An
Server
Geben Sie den Server
an, den Sie
veröffentlichen.
Keine
An
Ursprünglichen
Wählen Sie diese
Hostheader anstelle des Option aus, wenn der
aktuellen weiterleiten
ursprüngliche
Hostheader gesendet
werden soll.
Weitere Informationen
hierzu finden Sie im
Abschnitt Ursprüngliche
Hostheader dieses
Dokuments.
8
Veröffentlichen von Webservern mit ISA Server 2004
An
Anforderungen an den
veröffentlichten Server
weiterleiten
Wenn der Webserver die
ursprüngliche IPAdresse des externen
Clients benötigt, wählen
Sie hier Ursprung der
Anforderungen scheint
der ursprüngliche Client
zu sein.
Wenn Sie Ursprung der
Anforderungen scheint
der ursprüngliche Client
zu sein auswählen,
müssen Sie
sicherstellen, dass die
Antwort des Webservers
über den ISA ServerComputer an den
ursprünglichen Client
weitergeleitet wird.
Datenverkehr
Diese Regel betrifft
Datenverkehr der
folgenden Protokolle
In der
Standardeinstellung ist
HTTP ausgewählt.
Bietet über die
Schaltfläche Filterung
auch Zugriff auf die
Eigenschaften der HTTPKonfiguration. Weitere
Informationen hierzu
finden Sie im Abschnitt
Konfigurieren der HTTPRichtlinie dieses
Dokuments.
Listener
Diese Regel betrifft
Anforderungen, die auf
folgendem Listener
empfangen wurden
Erstellen Sie einen
Listener, der die IPAdressen der externen
Netzwerkadapter
abhört.
Das Netzwerk, in dem
sich der Listener
befindet, muss in den
auf der Registerkarte
Von aufgeführten
Quellen enthalten sein.
Öffentlicher Name
Regel wird angewendet
für
Wählen Sie Alle
Anforderungen aus.
Wenn Sie mehrere
Websites mit dem
gleichen Weblistener
veröffentlichen, sollten
Sie Anforderungen für
die folgenden Websites
auswählen (und den
Namen der
veröffentlichten Sites
angeben), damit andere
Regeln denselben
Listener zum
Veröffentlichen eines
Servers oder
Verzeichnisses
verwenden können.
Wenn Sie
Anforderungen für die
folgenden Websites
auswählen, werden nur
Anforderungen für die
von Ihnen angegebenen
Namen der Regel
zugeordnet.
Lösungen 9
Pfade
Externer Pfad
Interner Pfad
Geben Sie für den
externen Pfad
Folgendes ein: /*
Geben Sie für den
internen Pfad Folgendes
ein: /*
Die Pfadangabe /*
bewirkt, dass alle
Ordner unter ihrem
ursprünglichen Namen
im Internet
veröffentlicht werden.
Sie finden weiter hinten
in diesem Dokument ein
Beispiel für das
Veröffentlichen
bestimmter Ordner.
Bridging
Geben Sie den
Servertyp an
Wählen Sie Webserver
oder FTP-Server aus.
Weitere Informationen
hierzu finden Sie im
Abschnitt SSL-Bridging
dieses Dokuments.
Benutzer
Diese Regel betrifft
Anforderungen von
folgenden
Benutzersätzen
Wählen Sie Alle
Benutzer aus.
Beschränkt den Zugriff
auf bestimmte Gruppen
von Benutzern.
Benutzer
Gilt nicht für
Anforderungen von
Keine
Sie können
Benutzersätze angeben,
auf die diese Regel
nicht angewendet wird.
Benutzer
Anmeldeinformationen
für
Basisauthentifizierung
weiterleiten (einfache
Delegierung)
Legen Sie fest, ob die
Anmeldeinformationen
für die
Standardauthentifizieru
ng weitergeleitet
werden sollen.
Weitere Informationen
hierzu finden Sie im
Abschnitt Zulassen der
Delegierung der
Standardauthentifizieru
ng dieses Dokuments.
Zeitplan
Zeitplan
Wählen Sie Immer aus.
Sie können den
Zeitraum, während
dessen die Website
verfügbar ist,
einschränken, indem
Sie einen Zeitplan
erstellen und auf diese
Regel anwenden. Ein
Zeitplan ist ein
Regelelement;
Regelelemente werden
im Abschnitt
Regelelemente weiter
vorn in diesem
Dokument beschrieben.
10
Veröffentlichen von Webservern mit ISA Server 2004
Linkübersetzung
Ersetzen von absoluten
Links in Webseiten
Legen Sie fest, ob
absolute Links ersetzt
werden sollen, und
geben Sie, falls
erforderlich, die
Wörterbucheinträge an.
Die Linkübersetzung
funktioniert nur dann,
wenn Sie auf der
Registerkarte
Öffentlicher Name die
Einstellung
Anforderungen für die
folgenden Websites
wählen (und den Namen
der veröffentlichten Site
angeben). Weitere
Informationen hierzu
finden Sie im Abschnitt
Konfigurieren der
Linkübersetzung dieses
Dokuments.
Veröffentlichen von im internen Netzwerk oder Umkreisnetzwerk enthaltenen
Webserverordnern unter einem Domänennamen
Sie können bestimmte Ordner eines in einem internen Netzwerk oder Umkreisnetzwerk
befindlichen Webservers veröffentlichen. In diesem Szenario werden beide Ordner in
derselben Domäne veröffentlicht. Beispielsweise soll der Ordner \news auf
www.fabrikam.com/news und der Ordner \updates auf www.fabrikam.com/updates
veröffentlicht werden. Führen Sie hierzu folgende Schritte durch.
1.
Erstellen Sie eine Webveröffentlichungsregel, wobei Sie wie im vorigen Szenario
beschrieben vorgehen und dieselben Eigenschaften festlegen. Sie müssen während der
Regelerstellung keine Ordner angeben, weil die Regel im Assistenten für neue
Webveröffentlichungsregeln nicht in der Detailliertheit definiert werden kann, die für
dieses Szenario erforderlich ist.
2.
Nachdem Sie die Regel erstellt haben, doppelklicken Sie im Detailbereich
Firewallrichtlinie auf die Regel, um das zugehörige Dialogfeld Eigenschaften zu
öffnen, und wählen die Registerkarte Pfade aus.
3.
Markieren Sie die angezeigte Standardpfadangabe (<wie intern> nach Interner Pfad /*),
und klicken Sie auf Entfernen.
4.
Klicken Sie auf Hinzufügen, um mithilfe des Dialogfelds Pfadzuordnung neue Pfade
hinzuzufügen.
5.
Geben Sie den Ordner an, den Sie auf der Website veröffentlichen möchten. Hierbei
handelt es sich um den Namen, der dem Ordner auf Ihrem Webserver zugeordnet ist.
6.
Wählen Sie unter Externer Pfad eine der beiden folgenden Optionen:

Wählen Sie Wie veröffentlichter Ordner, wenn die Benutzer denselben
Ordnernamen im Browser als URL eingeben sollen. Wenn der interne Ordner
beispielsweise /news heißt und Sie Wie veröffentlichter Ordner auswählen,
müssen die Benutzer http://www.fabrikam.com/news eingeben, um auf diesen
Ordner zuzugreifen.
Lösungen 11

7.
Wählen Sie Folgender Ordner, um dem Ordner für den Internetzugriff einen
anderen Namen zuzuweisen. Angenommen, auf dem Webserver ist ein Ordner
namens news03032003 vorhanden, den Sie auf der Site www.fabrikam.com/news
veröffentlichen möchten. In diesem Fall wählen Sie Folgender Ordner und geben
den Ordnernamen news an.
Klicken Sie im Detailbereich ISA Server auf Übernehmen, um die Änderungen zu
übernehmen.
Veröffentlichen von zwei Webserverordnern unter zwei Domänennamen
Sie können bestimmte Ordner eines in einem internen Netzwerk oder Umkreisnetzwerk
befindlichen Webservers unter zwei verschiedenen Domänennamen veröffentlichen.
Angenommen, Sie möchten den Ordner \news auf der Site www.fabrikam.com und den
Ordner \updates auf der Site www.adatum.com veröffentlichen. Zu diesem Zweck müssen
Sie zwei Webveröffentlichungsregeln (eine für jeden Domänennamen) erstellen. Führen Sie
hierzu folgende Schritte durch.
1.
Definieren Sie mit dem Assistenten für neue Webveröffentlichungsregeln eine
Webveröffentlichungsregel für die Site www.fabrikam.com, wobei Sie das in Anhang
A: Verwenden des Assistenten für neue Webveröffentlichungsregeln in diesem
Dokument dargestellte Verfahren verwenden, und es wie in den nächsten Schritten
beschrieben ändern.
2.
Geben Sie auf der Seite Zu veröffentlichende Website festlegen unter Computername
oder IP-Adresse den Webservercomputer an, auf dem sich die zu veröffentlichende
Website befindet. Es kann der Computername oder die IP-Adresse des Webservers des
internen Netzwerks oder Umkreisnetzwerks angegeben werden. Stellen Sie sicher, dass
Ursprünglichen Hostheader anstelle des aktuellen weiterleiten nicht ausgewählt ist.
Dies ist die Standardeinstellung. Weitere Informationen hierzu finden Sie im Abschnitt
Ursprüngliche Hostheader dieses Dokuments. Unter Ordner können Sie den
Websiteordner angeben, der veröffentlicht werden soll, beispielsweise News. Klicken
Sie auf Weiter.
Anmerkung
Wenn Sie sämtliche Unterordner von News auf der Site www.fabrikam.com
veröffentlichen möchten, geben Sie den Ordnernamen in der Form News/*
an.
3.
Vergewissern Sie sich, dass auf der Seite Details des öffentlichen Namens die Option
Diesen Domänennamen ausgewählt ist, und geben Sie den Domänennamen an,
beispielsweise www.fabrikam.com.
4.
Beenden Sie den Assistenten.
5.
Definieren Sie mit dem Assistenten für neue Webveröffentlichungsregeln eine zweite
Webveröffentlichungsregel für die Site www.adatum.com, wobei Sie das in Verwenden
des Assistenten für neue Webveröffentlichungsregeln dieses Dokuments dargestellte
Verfahren verwenden und es wie in den nächsten Schritten beschrieben ändern.
6.
Geben Sie auf der Seite Zu veröffentlichende Website festlegen unter Computername
oder IP-Adresse den Webservercomputer an, auf dem sich die zu veröffentlichende
Website befindet. Es kann der Computername oder die IP-Adresse des Webservers des
internen Netzwerks oder Umkreisnetzwerks angegeben werden. Stellen Sie sicher, dass
Ursprünglichen Hostheader anstelle des aktuellen weiterleiten nicht ausgewählt ist.
12
Veröffentlichen von Webservern mit ISA Server 2004
Dies ist die Standardeinstellung. Weitere Informationen hierzu finden Sie im Abschnitt
Ursprüngliche Hostheader dieses Dokuments. Unter Ordner können Sie den
Websiteordner angeben, der veröffentlicht werden soll, beispielsweise Update (oder
Update/*, um die Unterordner einzuschließen). Klicken Sie auf Weiter.
7.
Vergewissern Sie sich, dass auf der Seite Details des öffentlichen Namens die Option
Diesen Domänennamen ausgewählt ist, und geben Sie den Domänennamen an,
beispielsweise www.adatum.com.
8.
Beenden Sie den Assistenten.
9.
Klicken Sie im Detailbereich ISA Server auf Übernehmen, um die Änderungen zu
übernehmen.
Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 4:
Festlegen der Webveröffentlichungsoptionen
Die Webveröffentlichungsfunktion von ISA Server verfügt über viele Optionen, mit denen
Sie Webveröffentlichungsregeln Ihren Anforderungen entsprechend anpassen können. Einige
dieser Optionen werden in den folgenden Abschnitten beschrieben. Sobald Sie eine
Webveröffentlichungsregel ändern, müssen Sie im Detailbereich ISA Server auf
Übernehmen klicken, um die vorgenommenen Änderungen zu übernehmen.
Zugreifen auf Webveröffentlichungseigenschaften
Die folgenden Schritte beschreiben, wie Sie auf die Webveröffentlichungseigenschaften
zugreifen.
1.
Öffnen Sie die ISA Server-Verwaltung, und klicken Sie auf Firewallrichtlinie.
2.
Doppelklicken Sie auf die Webveröffentlichungsregel, um deren Eigenschaften
anzuzeigen. Sie können stattdessen auch die Regel markieren und auf der Registerkarte
Aufgaben des Aufgabenbereichs auf Ausgewählte Regel bearbeiten klicken.
SSL-Bridging
Wenn Sie einen Server veröffentlichen, der eine SSL-Kommunikation erfordert, muss auf
dem ISA Server-Computer ein digitales Zertifikat installiert sein. Zusätzlich muss unter
Umständen auf dem internen Webserver ein Zertifikat installiert sein. Um sicherzustellen,
dass der ISA Server-Computer HTTPS-Anforderungen mit dem richtigen Protokoll an den
Webserver sendet, müssen Sie SSL-Bridging entsprechend konfigurieren.
SSL-Bridging ist eine Eigenschaft jeder Webveröffentlichungsregel. Über SSL-Bridging
wird auf die folgende Weise festgelegt, ob vom ISA Server-Computer empfangene HTTPSAnforderungen als HTTPS-Anforderungen oder als HTTP-Anforderungen an den Webserver
weitergeleitet werden:

Wenn auf dem Webserver kein digitales Zertifikat installiert ist, werden SSL- und
HTTP-Anforderungen als HTTP-Anforderungen an den Webserver weitergeleitet. Die
SSL-gesicherte Kommunikation wird von ISA Server verwaltet und intern als HTTPKommunikation fortgeführt.
Lösungen 13

Wenn auf dem Webserver ein digitales Zertifikat installiert ist, werden HTTPSAnforderungen als HTTPS-Anforderungen und HTTP-Anforderungen als HTTPAnforderungen an den internen Webserver weitergeleitet. In diesem Fall ist sowohl die
Kommunikation zwischen dem externen Client und dem ISA Server-Computer als auch
die Kommunikation zwischen dem ISA Server-Computer und dem Webserver SSLgesichert.
Wichtig
Es wird empfohlen, sowohl auf dem Webserver als auch auf dem ISA ServerComputer digitale Zertifikate zu installieren und HTTPS-Anforderungen als
HTTPS-Anforderungen weiterzuleiten. Die Konfiguration ist damit sicherer.
Wenn auf Ihrem Webserver ein digitales Zertifikat installiert ist und ISA Server ohne den
Kauf eines zusätzlichen Zertifikats HTTPS-Anforderungen abhören soll, müssen Sie das
Zertifikat vom Webserver exportieren und es auf dem ISA Server-Computer importieren.
Weitere Informationen hierzu finden Sie unter Digitale Zertifikate für ISA Server 2004
(http://go.microsoft.com/fwlink/?LinkId=20794). Führen Sie zum Ändern der SSL-BridgingKonfiguration die folgenden Schritte durch:
1.
Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die
Registerkarte Bridging.
2.
Vergewissern Sie sich, dass Webserver ausgewählt ist.
3.
Wählen Sie die Umleitung zum HTTP-Port oder SSL-Port:
4.

Wenn HTTPS-Anforderungen unter Verwendung des digitalen Zertifikats des ISA
Server-Computers bearbeitet werden sollen (auf dem Webserver ist kein digitales
Zertifikat installiert), wählen Sie Anforderungen an HTTP-Port umleiten aus und
klicken auf OK.

Wenn Sie sowohl ein auf dem Webserver vorhandenes digitales Zertifikat als auch
das auf dem ISA Server-Computer installierte Zertifikat weiterhin verwenden
möchten, wählen Sie Anforderungen an SSL-Port umleiten aus, stellen sicher,
dass die Standardportnummer 443 Ihrer Netzwerkkonfiguration entspricht, und
klicken auf OK.
Klicken Sie auf OK, um das Dialogfeld Eigenschaften der Webveröffentlichungsregel
zu schließen.
Anmerkung
Bei Auswahl der Option Zertifikat für Authentifizierung mit dem SSLWebserver verwenden können Sie das Clientzertifikat angeben, das von ISA
Server zur Authentifizierung beim Webserver verwendet wird.
Ein häufiges Problem bei Webveröffentlichungen mit SSL-Bridging besteht darin, dass der
auf der Registerkarte Nach der Webveröffentlichungsregel angegebene Servername bzw. die
dort angegebene IP-Adresse nicht mit dem Namen auf dem Zertifikat übereinstimmt. Dies
hat zur Folge, dass der Webclient eine Seite mit dem Inhalt 500 Interner Serverfehler
erhält.
Dieses Problem lässt sich mit folgenden Lösungsansätzen beheben:

Erwerben Sie ein neues Zertifikat, das dem angegebenen Servernamen entspricht.
14
Veröffentlichen von Webservern mit ISA Server 2004

Ändern Sie den Servernamen auf der Registerkarte Nach der
Webveröffentlichungsregel, so dass er dem Namen auf dem Zertifikat entspricht, und
konfigurieren Sie den lokalen DNS-Server so, dass der Name dem internen Webserver
zugeordnet wird.

Ändern Sie den Servernamen auf der Registerkarte Nach der
Webveröffentlichungsregel, so dass er dem Namen auf dem Zertifikat entspricht. Fügen
Sie auf dem ISA Server-Computer der Datei %WINDIR%\system32\drivers\etc\hosts
eine Anweisung zu, mit der der Servername der IP-Adresse des internen Webservers
zugeordnet wird.
Erstellen zusätzlicher Pfadzuordnungen
In der Webveröffentlichungslösung haben Sie eine Pfadzuordnung erstellt und damit
http://www.fabrikam.com/news dem Ordner \news auf dem Webserver des internen
Netzwerks oder Umkreisnetzwerks zugeordnet. Sie können weitere Pfadzuordnungen
hinzufügen, beispielsweise um http://www.fabrikam.com/archives dem Ordner \archives
auf dem Webserver zuzuordnen. Zum Hinzufügen weiterer Pfadzuordnungen führen Sie
folgende Schritte durch:
1.
Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die
Registerkarte Pfade.
2.
Markieren Sie die angezeigte Standardpfadangabe (<wie intern> nach Interner Pfad /*),
und klicken Sie auf Entfernen.
3.
Klicken Sie auf Hinzufügen, um mithilfe des Dialogfelds Pfadzuordnung neue Pfade
hinzuzufügen.
4.
Geben Sie den Namen des internen Ordners an, beispielsweise Archive. Wenn Sie die
Standardeinstellung Wie veröffentlichter Ordner für Externer Pfad beibehalten,
entspricht der öffentliche Name dem privaten Namen, hier Archive. Wenn Sie den
internen Ordner jedoch unter einem anderen externen Namen veröffentlichen möchten,
müssen Sie Folgender Ordner auswählen und den öffentlichen Namen angeben. Mit
dieser Auswahl können Sie den Ordner \archives nach http://www.fabrikam.com/Old
veröffentlichen. Klicken Sie auf OK.
5.
Klicken Sie auf OK, um das Dialogfeld Eigenschaften der Webveröffentlichungsregel
zu schließen.
6.
Klicken Sie im Detailbereich Firewallrichtlinie auf Übernehmen, um die Änderungen
zu übernehmen.
Konfigurieren der Linkübersetzung
Manche veröffentlichten Websites können Verweise auf interne Computernamen enthalten.
Da für externe Clients nur ISA Server (nicht das gesamte Netzwerk) verfügbar ist, werden
diese Verweise möglicherweise als beschädigte Links angezeigt. ISA Server umfasst eine
Linkübersetzungsfunktion mit verschiedenen Funktionsebenen, so dass Sie die geeignete
Ebene von Linkkonnektivität zur Verfügung stellen können.
Lösungen 15

Header-Linkübersetzung. Dies ist ein integraler Bestandteil jeder
Webveröffentlichungsregel, wobei jeder Link, der dem Client in einem Header
übermittelt wird, in einen extern erkennbaren URL übersetzt wird. Wenn der Benutzer
auf den Link zugreift, wird dies von der Webveröffentlichungsregel erkannt und an den
internen Server weitergeleitet. Diese Art der Linkübersetzung ist in jeder
Webveröffentlichungsregel stets in Kraft. Beachten Sie, dass diese Übersetzung nur
innerhalb der Definition der Webveröffentlichungsregel funktioniert. Wenn ein Link auf
einen anderen internen Server oder auf eine andere Portnummer verweist als die in der
Regel angegebenen, wird der Link nur dann übersetzt, wenn ein entsprechender
Wörterbucheintrag definiert ist. Wörterbucheinträge werden weiter hinten in diesem
Dokument beschrieben.

Übersetzung von Links im Text einer zurückgegebenen Webseite. Die
Funktionsweise entspricht der Header-Linkübersetzung; es werden jedoch auch Links
übersetzt, die im Text von Webseiten übermittelt werden und nicht nur die im Header
enthaltenen Links. Beachten Sie, dass diese Übersetzung nur innerhalb der Definition
der Webveröffentlichungsregel funktioniert. Wenn ein Link auf einen anderen internen
Server oder auf eine andere Portnummer verweist als die in der Regel angegebenen,
wird der Link nur dann übersetzt, wenn ein entsprechender Wörterbucheintrag definiert
ist. Wörterbucheinträge werden weiter hinten in diesem Dokument beschrieben. Führen
Sie die folgenden Schritte durch, um diese Funktion zu aktivieren.
1.
Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die
Registerkarte Linkübersetzung.
2.
Wählen Sie Ersetzen von absoluten Links in Webseiten aus, um die
Linkübersetzung zu aktivieren.
Sie können überdies konfigurieren, auf welche Inhaltstypen die Linkübersetzung
angewendet wird. Diese Konfiguration gilt für alle Webveröffentlichungsregeln, die die
Linkübersetzung verwenden. (Einzelne Regeln können nicht unterschiedlich konfiguriert
werden.) Führen Sie zur Konfiguration der Inhaltstypen die folgenden Schritte durch:

1.
Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die
Registerkarte Linkübersetzung.
2.
Klicken Sie auf Inhaltstypen, um die Registerkarte Inhaltstypen des Dialogfelds
Linkübersetzung zu öffnen.
3.
Wählen Sie die Inhaltstypen aus, für die die Linkübersetzung gelten soll, und
klicken Sie auf OK.
Übersetzung von Links zu anderen internen Webseiten. Die Linkübersetzung
funktioniert nur bei Links, die auf den in der Webveröffentlichungsregel angegebenen
Webserver verweisen. Wenn auch Links, die auf andere Webserver im internen
Netzwerk oder Umkreisnetzwerk verweisen, übersetzt werden sollen (damit diese Links
in den betreffenden Webveröffentlichungsregeln berücksichtigt werden), müssen Sie
angeben, wie die einzelnen Links übersetzt werden sollen. Diese Informationen werden
von ISA Server in einem Linkwörterbuch gespeichert.
Betrachten Sie beispielsweise ein Szenario, in dem zwei interne Webserver veröffentlicht
werden. Auf die Webservercomputer namens Internal_IIS_A und Internal_IIS_B kann
über ihre öffentlichen, auflösbaren Namen www.wingtiptoys.com and
www.woodgrovebank.com zugegriffen werden. Die Webserver enthalten Querverweise auf
die veröffentlichten Sites. Diese Verweise beinhalten jedoch die internen Websitenamen und
16
Veröffentlichen von Webservern mit ISA Server 2004
nicht die veröffentlichen, auflösbaren Sitenamen. Genauer gesagt, Internal_IIS_A enthält
Verweise auf Internal_IIS_B.
Externe Benutzer, die durch die Eingabe von www.wingtiptoys.com auf Internal_IIS_A
zugreifen, sind nicht in der Lage, Links auf Internal_IIS_B zu folgen. Durch Aktivieren der
Linkübersetzung und Erstellen eines Wörterbuchs mit Einträgen für beide Websites können
diese Links aufgelöst werden, bevor die vom Client angeforderte Seite übermittelt wird.
Wichtig
Relative Links können von ISA Server nicht übersetzt werden. Dies betrifft
Links, die mit / beginnen, wie beispielsweise /sports, wenn Sie mit
Pfadzuordnungen arbeiten und der externe Pfad nicht dem internen Pfad
entspricht.
Zum Hinzufügen von Einträgen in das Linkübersetzungswörterbuch führen Sie folgende
Schritte durch:
1.
Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die
Registerkarte Linkübersetzung.
2.
Wählen Sie Absolute Links in Webseiten ersetzen aus, um die Linkübersetzung zu
aktivieren.
3.
Klicken Sie auf Hinzufügen, um das Dialogfeld Wörterbuchelement
hinzufügen/bearbeiten zu öffnen.
4.
Geben Sie in Diesen Text den internen Linktext an, beispielsweise Internal_IIS_B. In
Durch diesen Text ersetzen geben Sie den externen Link an, beispielsweise
www.woodgrovebank.com. Klicken Sie auf OK.
5.
Klicken Sie auf OK, um das Dialogfeld Eigenschaften der Webveröffentlichungsregel
zu schließen.
Zulassen der Delegierung der Standardauthentifizierung
ISA kann die Benutzerauthentifizierung vornehmen, sobald die Anforderung beim externen
Listener eingeht, und die Authentifizierungsdaten dann an den Webserver weiterleiten, damit
die Benutzer ihre Anmeldeinformationen nicht nochmals eingeben müssen. Führen Sie
hierzu die folgenden Schritte durch.
1.
Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die
Registerkarte Benutzer.
2.
Wählen Sie Anmeldeinformationen für Basisauthentifizierung weiterleiten
(einfache Delegierung) aus.
3.
Klicken Sie auf OK, um das Dialogfeld Eigenschaften der Webveröffentlichungsregel
zu schließen.
Konfigurieren der HTTP-Richtlinie
ISA Server ist ein Firewall auf Anwendungsebene, der einen Webfilter auf HTTPDatenverkehr anwendet. Weil ISA Server HTTP-Anforderungen überprüfen kann, können
Anwendungen, deren Datenverkehr durch HTTP getunnelt wird, abhängig von der
Konfiguration des HTTP-Webfilters blockiert werden. Dank dieser zusätzlichen
Lösungen 17
Schutzmöglichkeit können Sie veröffentlichte Server stärker vor böswilligen Anforderungen
schützen.
Mit dem HTTP-Webfilter kann zudem genau gesteuert werden, welche HTTPAnforderungen von der Firewallrichtlinie zugelassen werden.
Sie können die folgende Einstellungen umfassende HTTP-Richtlinie konfigurieren:

Anfordern maximaler Headerlänge

Anfordern der Nutzlastlänge

Konfigurieren von URL-Schutz

Sperren von ausführbaren Dateien

Zulassen oder Sperren von Methoden

Angabe von Aktionen für bestimmte Dateierweiterungen

Ablehnen bestimmter Header

Ändern von Server- und Viaheader

Sperren bestimmter Signaturen
Zum Konfigurieren der HTTP-Richtlinie führen Sie folgende Schritte durch.
1.
Wählen Sie im Dialogfeld Eigenschaften der Webveröffentlichungsregel die
Registerkarte Datenverkehr.
2.
Klicken Sie auf Filterung, und wählen Sie HTTP konfigurieren, um das Dialogfeld
HTTP-Richtlinie für diese Regel konfigurieren zu öffnen.
3.
Wählen Sie die entsprechende Registerkarte, und konfigurieren Sie die
Richtlinieneinstellungen.
Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 5:
Testen der Webveröffentlichungskonfiguration
Öffnen Sie Internet Explorer auf einem Computer im externen Netzwerk (ein beliebiger
Computer, der sich außerhalb des Netzwerks Ihrer Organisation befindet und über eine
Internetverbindung verfügt), und geben Sie den URL der Website ein, beispielsweise
http://www.fabrikam.com/news. Überprüfen Sie, ob daraufhin die gewünschte Seite auf
dem veröffentlichten Webserver angezeigt wird.
Anmerkung
Damit der ISA Server-Computer die Anforderung empfängt, muss der URL
der Website der IP-Adresse des externen Netzwerkadapters des ISA ServerComputers zugeordnet werden.
18
Veröffentlichen von Webservern mit ISA Server 2004
Kurzanleitung zum Veröffentlichen eines Webservers – Schritt 6:
Anzeigen von Website-Zugriffsdaten in der ISA ServerProtokollierung
Anforderungen, die der Webveröffentlichungsregel entsprechen, werden von ISA Server
protokolliert. Führen Sie die folgenden Schritte durch, um die im Protokoll enthaltenen
Informationen anzuzeigen.
1.
Wählen Sie in der Konsolenstruktur der Microsoft ISA Server-Verwaltung die Option
Überwachung aus.
2.
Wählen Sie im Detailbereich Überwachung die Option Protokollierung aus.
3.
Erstellen Sie einen Filter, um nur die Protokollierungsdaten zu
Websitezugriffsversuchen zu erhalten. Klicken Sie im Aufgabenbereich auf der
Registerkarte Aufgaben auf Filter bearbeiten, um das Dialogfeld Filter bearbeiten zu
öffnen. Der Filter verfügt über drei Standardbedingungen, die festlegen, dass sowohl
Protokolldaten vom Firewall als auch vom Webproxy bereitgestellt werden sollen, dass
die Protokollierungszeit auf Live eingestellt ist und dass der Verbindungsstatus nicht
angezeigt wird. Sie können diese Bedingungen bearbeiten und zusätzliche Bedingungen
hinzufügen, um die Daten zu beschränken, die mit einer Abfrage abgerufen werden.
4.
Wählen Sie Protokollierungszeit in der Liste der Einträge aus. Wählen Sie im
Dropdownmenü Bedingung die Option Letzte 24 Stunden aus, und klicken Sie dann
auf Aktualisieren.
5.
Wählen Sie Protokolldatensatztyp in der Liste der Einträge aus. Wählen Sie im
Dropdownmenü Wert die Option Webproxyfilter aus, und klicken Sie dann auf
Aktualisieren.
6.
Sie können einen weiteren Ausdruck hinzufügen, indem Sie im Dropdownmenü Filtern
nach einen Eintrag auswählen und dann eine Bedingung und einen Wert angeben.
Damit im Protokoll beispielsweise nur Zugriffe auf die von Ihnen veröffentlichten
Webserver angezeigt werden, können Sie zusätzlich zu dem Ausdruck Filtern nach:
Protokolldatensatztyp, Bedindung: Gleich, Wert: Webproxyfilter, den Sie in Schritt
5 abgeändert haben, folgenden Ausdruck hinzufügen für Filtern nach: Dienst,
Bedingung: Gleich und Wert: Reverseproxy.
7.
Nach der Erstellung eines Ausdrucks klicken Sie auf Zur Liste hinzufügen, um ihn zur
Abfragenliste hinzuzufügen. Klicken Sie dann auf Abfrage starten, um die Abfrage
durchzuführen. Der Befehl Abfrage starten ist auch im Aufgabenbereich auf der
Registerkarte Aufgaben verfügbar.
Anhang A: Verwenden des Assistenten für neue
Webveröffentlichungsregeln
Die Verwendung des Assistenten für neue Webveröffentlichungsregeln wird mit folgendem
Verfahren allgemein beschrieben. Sie verwenden die Eigenschaften der Entwurfsphase zum
Erstellen von Regeln.
1.
Öffnen Sie die ISA Server-Verwaltung, erweitern Sie den Knoten des ISA ServerComputers, und klicken Sie auf Firewallrichtlinie.
Lösungen 19
2.
Klicken Sie im Aufgabenbereich auf die Registerkarte Aufgaben und dann auf
Webserver veröffentlichen, um den Assistenten für neue Webveröffentlichungsregeln
zu starten.
3.
Geben Sie auf der Seite Willkommen im Feld Name der Webveröffentlichungsregel
den Namen der Regel ein, beispielsweise Internen Webserver veröffentlichen, und
klicken Sie auf Weiter.
4.
Überprüfen Sie, ob auf der Seite Regelaktion auswählen die Standardeinstellung
Zulassen ausgewählt ist, womit an den Webserver gerichtete Anforderungen zugelassen
werden, die den in der Regel festgelegten Bedingungen entsprechen. Klicken Sie auf
Weiter.
5.
Geben Sie auf der Seite Zu veröffentlichende Website festlegen unter Computername
oder IP-Adresse den Webservercomputer an, auf dem sich die zu veröffentlichende
Website befindet. Sie können den Computernamen oder die IP-Adresse des Computers
eingeben. In diesem Beispiel heißt der Computer Internal_IIS. Stellen Sie sicher, dass
Ursprünglichen Hostheader anstelle des aktuellen weiterleiten nicht ausgewählt ist.
Dies ist die Standardeinstellung. (Weitere Informationen hierzu finden Sie im Abschnitt
Ursprüngliche Hostheader dieses Dokuments.) Unter Ordner können Sie den
Websiteordner angeben, der veröffentlicht werden soll, beispielsweise News. Wenn Sie
dieses Feld leer lassen, wird die gesamte Site veröffentlicht. Die Verwendung des Felds
Ordner wird weiter hinten in diesem Dokument beschrieben. Klicken Sie auf Weiter.
6.
Geben Sie auf der Seite Details des öffentlichen Namens Informationen dazu an,
welche Anforderungen vom ISA Server-Computer empfangen und an den Webserver
weitergeleitet werden. Wenn Sie unter Akzeptiert Anforderungen für die Option
Jeden Domänennamen auswählen, wird jede Anforderung, die der IP-Adresse des
externen Weblistener des ISA Server-Computers zugeordnet wird, an die Website
weitergeleitet. Wenn Sie Diesen Domänennamen auswählen und einen bestimmten
Domänennamen angeben (beispielsweise www.fabrikam.com), werden nur an
http://www.fabrikam.com gerichtete Anforderungen an den Webserver weitergeleitet,
vorausgesetzt, diese Domäne wird der IP-Adresse des externen Weblistener des ISA
Server-Computers zugeordnet. Wenn Sie unter Pfad einen Ordner angeben,
beispielsweise News, muss sich die Anforderung zudem auf diesen Ordner beziehen:
http://www.fabrikam.com/news. Das erforderliche Anforderungsformat wird in Site
angezeigt. Klicken Sie auf Weiter.
Anmerkung
Wenn Sie Inhalte unter mehreren Domänennamen veröffentlichen,
beispielsweise www.fabrikam.com und www.adatum.com, sollten Sie in
diesem Schritt die Domänennamen angeben (wählen Sie nicht Jeden
Domänennamen aus), damit Anforderungen durch unterschiedliche
Webveröffentlichungsregeln für die beiden Domänen an die korrekten Sites
weitergeleitet werden. Das Veröffentlichen mit mehreren Domänennamen
wird in diesem Dokument unter Veröffentlichen von zwei Webserverordnern
unter zwei Domänennamen beschrieben.
7.
Geben Sie auf der Seite Weblistener auswählen den Weblistener an, der den
Datenverkehr auf Webseitenanforderungen abhört, die an den Webserver weitergeleitet
werden sollen, und klicken Sie dann auf Weiter. Wenn Sie noch keinen Weblistener
definiert haben, klicken Sie auf Neu und führen die folgenden Schritte durch, um einen
neuen Listener zu erstellen.
20
Veröffentlichen von Webservern mit ISA Server 2004
a.
Geben Sie auf der Seite Willkommen des Assistenten für neue Weblistener den
Namen des neuen Weblisteners an, beispielsweise Listener am externen Netzwerk
für interne Webveröffentlichungen, und klicken Sie dann auf Weiter.
b.
Wählen Sie auf der Seite IP-Adressen das Netzwerk aus, das den Datenverkehr auf
Webanforderungen abhört. Da ISA Server Anforderungen vom externen Netzwerk
(dem Internet) empfangen soll, sollten eine oder mehrere Adressen des externen
Netzwerkadapters des ISA Server-Computers als Listener angegeben werden.
Wählen Sie daher Extern, und klicken Sie dann auf Weiter.
c.
Vergewissern Sie sich, dass auf der Seite Portspezifizierung im Feld HTTP-Port
der Wert 80 angegeben ist (Standardeinstellung). Wenn HTTPS-Anforderungen
empfangen werden sollen, wählen Sie SSL aktivieren aus. Stellen Sie sicher, dass
unter SSL-Port die Portnummer 443 eingestellt ist (Standardeinstellung), und
geben Sie im Feld Zertifikat den Namen des Zertifikats an. Hierzu ist erforderlich,
dass auf dem ISA Server-Computer ein digitales Zertifikat installiert ist. Weitere
Informationen zu Zertifikaten finden Sie unter Digitale Zertifikate für ISA
Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20794). Klicken Sie auf
Weiter.
d.
Überprüfen Sie die Einstellungen auf der Seite Fertigstellen des Assistenten, und
klicken Sie auf Fertig stellen. Klicken Sie auf der Seite Weblistener auswählen
auf Weiter.
8.
Vergewissern Sie sich, dass auf der Seite Benutzersätze die Standardeinstellung Alle
Benutzer angezeigt wird. Jedem Computer im externen Netzwerk wird dadurch Zugriff
auf die veröffentlichten Webseiten gewährt. Um den Zugriff auf bestimmte Benutzer zu
beschränken, müssen Sie zuerst mit der Schaltfläche Entfernen den Eintrag Alle
Benutzer entfernen und dann über die Schaltfläche Hinzufügen das Dialogfeld
Benutzer hinzufügen öffnen. Klicken Sie auf Weiter.
9.
Blättern Sie auf der Seite Fertigstellen des Assistenten für neue
Webveröffentlichungsregeln durch die Regelkonfiguration, um sicherzustellen, dass
die Regel korrekt konfiguriert ist, und klicken Sie dann auf Fertig stellen.
10. Klicken Sie im Detailbereich ISA Server auf Übernehmen, um die vorgenommenen
Änderungen zu übernehmen.
Anhang B: Erstellen von Regelelementen
Verwenden Sie zum Erstellen von Regelelementen folgendes allgemeine Verfahren.
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung, erweitern Sie den Knoten des ISA
Server-Computers, und klicken Sie auf Firewallrichtlinie.
2.
Klicken Sie im Aufgabenbereich auf die Registerkarte Toolbox.
3.
Wählen Sie den Regelelementtyp aus, indem Sie auf den entsprechenden Header für das
Element klicken (Protokolle, Benutzer, Inhaltstypen, Zeitpläne oder Netzwerkobjekte).
4.
Klicken Sie am oberen Rand der Elementliste auf Neu.
5.
Geben Sie die erforderlichen Daten an. Nachdem Sie die Daten angegeben und im
Dialogfeld auf OK geklickt haben, wird das neue Regelelement erstellt.
6.
Klicken Sie im Detailbereich auf Übernehmen, um die Änderungen zu übernehmen. Sie
können auch erst nach der Erstellung der Webveröffentlichungsregeln auf Übernehmen
Lösungen 21
klicken, d. h., erst nach allen und nicht nach jeder einzelnen Änderung. Das
Übernehmen der Änderungen kann einige Sekunden in Anspruch nehmen.
Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, EMail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit
mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen,
Logos, Personen, Orten oder Ereignissen ist rein zufällig.
Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und
Verweise auf andere Internetwebsites, können ohne vorherige Ankündigung geändert
werden. Die in den Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei
erfunden, soweit nichts Anderes angegeben ist. Die Benutzer sind verpflichtet, sich an alle
anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der
entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der
Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt
oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig
davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch
Fotokopieren, Aufzeichnen usw.) dies geschieht.
Microsoft Corporation kann Besitzer von Patenten oder Patentanträgen, Marken,
Urheberrechten oder anderen Rechten an geistigem Eigentum sein, die den Inhalt dieses
Dokuments betreffen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch
auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn,
dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2004
Microsoft Corporation. Alle Rechte vorbehalten.
Microsoft, Active Directory, Outlook, Windows, Windows Media und Windows NT sind
entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA
und/oder anderen Ländern.
Haben Sie Fragen oder Anmerkungen zu diesem Dokument? Senden Sie Feedback.
Herunterladen