SO WIRD'S GEMACHT: Ihr Unternehmen mithilfe einer ISA-Firewall und Windows Server 2003 mit dem Internet verbinden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 323387 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D323387
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
323387 HOW TO: Connect Your Company to the Internet by Using an ISA Firewall with Windows Server 2003
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt Schritt für Schritt, wie kleine Unternehmen mit weniger als 255 Arbeitsstationen in einem vorhandenen Windows-basierten Netzwerk ihre Computer über firewallgesicherte Microsoft ISA-Dienste (ISA = Internet Security Acceleration) mit dem Internet verbinden können.

Vorbereiten der Installation des ISA Servers

Die Installation einer ISA-Firewall erfordert einen Computer mit zwei Netzwerkadaptern. Einer dieser Adapter wird mit Ihrem internen Netzwerk und der andere Adapter mit Ihrem Internetdienstanbieter verbunden. Der Internetdienstanbieter kann Sie beim Herstellen dieser Verbindung unterstützen. Eine Firewall fungiert als Sicherheitsbarriere zwischen dem internen Netzwerk (oder Intranet) und dem Internet. Sie verhindert, dass andere Internetbenutzer auf vertrauliche Informationen in Ihrem internen Netzwerk oder auf Ihrem Computer zugreifen können.

Planen der Installation

  • Sie können ISA Server Standard Edition auf einem eigenständigen Computer, auf einem Computer, der Mitglied einer Windows NT-Domäne ist, oder auf einem Computer, der Mitglied einer Active Directory-Domäne ist, ausführen.
  • Führen Sie ISA Server auf einem eigenständigen Computer aus, um maximale Sicherheit zu erzielen.
  • Die Konfiguration der Netzwerkadapter umfasst das Einrichten der externen Schnittstelle zum Internet sowie das Einrichten der internen Schnittstelle zu Ihrem Windows-basierten Netzwerk.
  • Ihr Internetdienstanbieter sollte eine statische IP-Adresse, eine Subnetzmaske, ein Standardgateway sowie einen oder mehrere DNS-Server bereitstellen. Geben Sie diese Informationen in den TCP/IP-Einstellungen des Adapters ein, der mit Ihrem Internetdienstanbieter verbunden ist. Einige Internetdienstanbieter ziehen es vor, diese Informationen mit DHCP (Dynamic Host Configuration Protocol) zuzuweisen. Diese Vorgehensweise ist ebenfalls zulässig.
  • Sie müssen eine permanente Adresse und eine entsprechende Subnetzmaske für Ihr internes Netzwerk auf dem internen Adapter eingeben (verwenden Sie für diese Schnittstelle nicht DHCP). Das Feld für das Standardgateway muss immer leer bleiben. Der ISA Server-Computer benötigt nur ein Standardgateway: das Gateway, das für die externe(n) Schnittstelle(n) konfiguriert ist. Wenn Sie ein Standardgateway für den internen Adapter konfigurieren, funktioniert ISA nicht.

Konfigurieren der Netzwerkadapter des Servers

  1. Klicken Sie auf Start, zeigen Sie auf Systemsteuerung, und klicken Sie auf Netzwerkverbindungen.
  2. Klicken Sie mit der rechten Maustaste auf Ihre Internetverbindung, klicken Sie auf Umbenennen, und geben Sie Internetverbindung ein.

    Auf diese Weise können Sie sich besser merken, welche Netzwerkkarte mit dem Internet verbunden ist.
  3. Klicken Sie mit der rechten Maustaste auf die Internetverbindung, und klicken Sie auf Eigenschaften.
  4. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Symbol bei Verbindung im Infobereich der Taskleiste anzeigen.

    Wenn diese Schnittstelle Daten überträgt, blinkt ein kleines Symbol auf der Taskleiste.
  5. Deaktivieren Sie die Kontrollkästchen Client für Microsoft-Netzwerke und Datei- und Druckerfreigabe für Microsoft-Netzwerke.

    ISA Server blockiert diese Protokolle automatisch. Durch Deaktivieren dieser Kontrollkästchen sparen Sie Arbeitsspeicher.
  6. Doppelklicken Sie auf Internetprotokoll (TCP/IP), und wählen Sie anschließend eine der folgenden Vorgehensweisen:
    • Aktivieren Sie im Dialogfeld Internetprotokolleigenschaften (TCP/IP) die Kontrollkästchen IP-Adresse automatisch beziehen und DNS-Serveradresse automatisch beziehen, wenn Ihr Internetdienstanbieter DHCP zum Zuweisen von IP-Adressen verwendet. Fahren Sie mit Schritt 7 fort.
    • Aktivieren Sie im Dialogfeld Internetprotokolleigenschaften (TCP/IP) das Kontrollkästchen Folgende IP-Adresse verwenden, und geben Sie die vom Internetdienstanbieter bereitgestellten Informationen zu Adresse, Subnetzmaske und Standardgateway ein, wenn Sie die IP-Adressinformationen des Internetdienstanbieters manuell eingeben müssen. Aktivieren Sie das Kontrollkästchen Folgende DNS-Serveradressen verwenden, und geben Sie die Namen der vom Internetdienstanbieter bereitgestellten DNS-Server ein.
  7. Klicken Sie auf Erweitert und anschließend auf die Registerkarte DNS. Deaktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren.
  8. Klicken Sie als nächstes auf die Registerkarte WINS. Klicken Sie unter der Einstellung NETBIOS auf NetBIOS über TCP/IP deaktivieren.

Konfigurieren der internen Schnittstelle zu Ihrem Netzwerk

  1. Klicken Sie auf Start, zeigen Sie auf Systemsteuerung, und klicken Sie auf Netzwerkverbindungen.
  2. Klicken Sie mit der rechten Maustaste auf Ihre LAN-Verbindung, klicken Sie auf Umbenennen, und geben Sie Lokales Netzwerk ein.
  3. Klicken Sie mit der rechten Maustaste auf Lokales Netzwerk, und klicken Sie auf Eigenschaften.
  4. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Symbol bei Verbindung in der Taskleiste anzeigen.
  5. Aktivieren Sie die Kontrollkästchen Client für Microsoft-Netzwerke und Datei- und Druckerfreigabe für Microsoft-Netzwerke, wenn sie nicht bereits aktiviert sind.
  6. Doppelklicken Sie auf Internetprotokoll (TCP/IP), und aktivieren Sie das Kontrollkästchen Folgende IP-Adresse verwenden.
  7. Geben Sie in das Feld IP-Adresse eine interne IP-Adresse und eine Subnetzmaske ein, die im Adressierungsschema Ihres internen Netzwerks sinnvoll sind. Lassen Sie das Feld Standardgateway leer. Geben Sie in das Feld Bevorzugter DNS-Server die IP-Adresse des oder der DNS-Server(s) Ihres Netzwerks ein.

    Hinweis: In sehr kleinen Netzwerken mit weniger als 255 Computern verwenden diese APIPA (Automatic Private IP Address Assignment), wenn Sie die TCP/IP-Standardkonfiguration von Windows 2000 verwenden und nicht über einen DNS-Server im Netzwerk verfügen. Microsoft empfiehlt, APIPA nicht weiter zu verwenden und stattdessen statische Adressen auf den Clientarbeitsstationen zu nutzen. Jeder Computer im Netzwerk benötigt eine eindeutige IP-Adresse. Wenn Sie die interne Schnittstelle von ISA Server konfigurieren, müssen Sie eine statische Adresse eingeben. Verwenden Sie 192.168.0.254 und die Subnetzmaske 255.255.255.0. Lassen Sie das Feld Standardgateway leer. Geben Sie die DNS-Server Ihres Internetdienstanbieters in die Felder DNS-Server ein.

    Konfigurieren Sie nun statische Adressen auf allen Clients:
    1. Verwenden Sie auf dem ersten Computer die Adresse 192.168.0.1, die Subnetzmaske 255.255.255.0 und das Standardgateway 192.168.0.254. Geben Sie bei DNS den oder die DNS-Server Ihres Internetdienstanbieters ein.
    2. Verwenden Sie auf dem zweiten Computer die Adresse 192.168.0.2 und dann die gleichen Werte wie im vorangegangenen Schritt. Während diese Werte immer gleich bleiben, muss die Adresse für jeden weiteren Computer erhöht werden. Dokumentieren Sie in einer Liste die Adressen Ihrer Computer.
  8. Starten Sie den Computer neu, wenn Sie dazu aufgefordert werden.

Installieren von Microsoft ISA Server

Verwenden des ISA Server-Installationsassistenten

  1. Doppelklicken Sie in Windows Explorer auf Ihr CD-ROM-Laufwerk, um es zu öffnen.

    Hinweis: Der ISA Server-Installationsassistent wird automatisch gestartet, sofern die Funktion Automatische Benachrichtigung beim Wechsel nicht deaktiviert ist. Wenn der Assistent nicht automatisch gestartet wird, navigieren Sie zum Stammverzeichnis der CD-ROM, und doppelklicken Sie auf die Datei ISAAutorun.exe, um den Assistenten zu starten. Klicken Sie auf ISA Server installieren, um die Installation zu starten.
  2. Klicken Sie auf der Willkommensseite auf Weiter. Geben Sie die Product ID in das entsprechende Feld ein. Sie finden diese Nummer auf der Rückseite der CD-Hülle.
  3. Lesen Sie den Lizenzvertrag, und klicken Sie dann auf Ich stimme zu.
  4. Klicken Sie auf die Installationsart Standardinstallation. Diese Option installiert die ISA-Dienste und die Verwaltungsprogramme.
  5. Klicken Sie auf Firewallmodus. ISA beendet relevante Dienste auf dem Computer.
  6. Konfigurieren Sie die lokale Adresstabelle (LAT) für ISA. Das Konfigurieren der LAT muss mit Sorgfalt durchgeführt werden. Sie haben zwei Wahlmöglichkeiten: Erstellen der LAT oder Verwenden des Installationsassistenten. Treffen Sie Ihre Auswahl anhand der folgenden Überlegungen:
    • Wenn Sie die Subnetze kennen, die das interne Netzwerk verwendet, geben Sie diese hier ein.

      Achtung: Klicken Sie in diesem Fall nicht auf die Schaltfläche Tabelle erstellen! Wenn Sie dies tun, werden die von Ihnen eingegebenen LAT-Informationen überschrieben.
    • Wenn Sie die lokalen Subnetze nicht kennen, klicken Sie auf die Schaltfläche Tabelle erstellen. Der ISA-Installationsassistent ermittelt die lokalen Subnetze basierend auf der Routingtabelle des Computers.
      • Aktivieren Sie das Kontrollkästchen Fügen Sie die folgenden privaten Bereiche hinzu, wenn es nicht bereits aktiviert ist.
      • Aktivieren Sie das Kontrollkästchen Adressbereiche basierend auf der Windows Server 2003-Routingtabelle hinzufügen, wenn es nicht bereits aktiviert ist.
      • Deaktivieren Sie das Kontrollkästchen für das Subnetz, das der externen Schnittstelle (Internetverbindung) des Servers entspricht.
      • Aktivieren Sie das Kontrollkästchen für das Subnetz, das der internen Schnittstelle (LAN-Verbindung) des Servers entspricht.
  7. Starten Sie nach Abschluss der Installation den Administrator-Assistenten "Erste Schritte". Lesen Sie den nächsten Abschnitt, bevor Sie mit diesem Assistenten fortfahren.
Nach erfolgter Installation blockiert ISA Server jeglichen Zugriff auf das und aus dem Internet. Dies ist sinnvoll! Denken Sie daran, dass Sie eine Firewall einrichten. Eine Firewall dient in erster Linie als Filter zwischen zwei Netzwerken. ISA Server blockiert alle Zugriffe, die nicht ausdrücklich durch eine Richtlinie zugelassen sind.

Konfigurieren des ISA Servers nach der Installation

Sie müssen die folgenden beiden Komponenten einer Zugriffsrichtlinie konfigurieren, damit die Clients auf das Internet zugreifen können, und dabei folgendes beachten:
  • Sie müssen mindestens eine Site- und Inhaltsregel konfigurieren, in der angegeben ist, wohin Benutzer navigieren und welche Inhalte sie abrufen können.
  • Sie müssen mindestens eine Protokollregel konfigurieren, die die Datenverkehrsarten angibt, die über ISA Server zulässig sind.
Nach der Installation erstellt ISA eine Site- und Inhaltsstandardregel, die allen Clients jederzeit Zugriff auf beliebige Inhalte in allen Sites erlaubt. Dies reicht jedoch nicht aus, damit Benutzer im Internet surfen können: Sie müssen außerdem noch eine Protokollregel konfigurieren. Ohne diese Regel ist kein Datenverkehr über ISA zulässig.

Erste Schritte

  1. Klicken Sie im "Erste Schritte"-Assistenten auf Protokollregeln konfigurieren. Die Liste der Protokollregeln wird in der MMC (Microsoft Management Console) angezeigt.
  2. Klicken Sie auf Protokollregel erstellen. Geben Sie einen Namen ein, z.B. "Alle Protokolle".
  3. Klicken Sie auf Zulassen, um die Aktion der Regel festzulegen (dies ist die Standardeinstellung).
  4. Klicken Sie auf Gesamter IP-Datenverkehr, um die Protokollliste festzulegen (dies ist die Standardeinstellung).
  5. Klicken Sie auf Immer, um den Zeitplan festzulegen (dies ist die Standardeinstellung).
  6. Klicken Sie auf Alle Anfragen, um den Clienttyp festzulegen (dies ist die Standardeinstellung).
  7. Klicken Sie auf Fertig stellen.

Erstellen von Richtlinien für die Verbindung von Benutzern zum Internet

ISA Server lässt nicht nur den jederzeitigen Zugriff aller Clients auf beliebige Inhalte in allen Sites über alle (definierten) Protokolle zu. In ISA können Sie Zugriffsrichtlinien erstellen, über die genau definiert werden kann, wie Benutzer auf das Internet zugreifen können.

ISA-Zugriffsrichtlinien bestehen aus den folgenden drei Elementen:
  • Site- und Inhaltsregeln
  • Protokollregeln
  • IP-Paketfilter
Die Regeln selbst setzen sich aus den folgenden Richtlinienelementen zusammen:
  • Zeitpläne
  • Zielsätze
  • Clientadresssätze
  • Protokolldefinitionen
  • Inhaltstypengruppen
Bevor Sie komplexe Funktionen mit den ISA-Richtlinien durchführen können, muss Ihnen klar sein, wie diese Elemente voneinander abhängen. Die folgende Tabelle beschreibt, welche Richtlinienelemente zu welchen Richtlinienregeln gehören:
Tabelle minimierenTabelle vergrößern
Site- und InhaltsregelnProtokollregeln
ZielsätzeProtokolldefinitionen
InhaltstypengruppenZeitpläne
ZeitpläneClientadresssätze
Clientadresssätze

Zugreifen auf das Internet vom ISA-Computer aus

Ist der direkte Zugriff auf das Internet vom ISA-Computer aus möglich? Wenn Sie physisch am ISA-Computer arbeiten und auf eine bestimmte Website zugreifen möchten, gelten die von Ihnen erstellten Protokoll-, Site- und Inhaltsregeln nur für Clients, die sich "hinter" dem ISA Server befinden. Wenn ein Client versucht, auf das Internet zuzugreifen (sofern die Verbindungsanforderung den Regeln entspricht), erstellt ISA einen dynamischen Paketfilter für diese Verbindungsanforderung. Wenn Sie jedoch am ISA-Computer arbeiten und auf das Internet zugreifen möchten, müssen Sie statische Paketfilter erstellen, die den von Ihnen erzeugten Datenverkehrsarten entsprechen. Gehen Sie beispielsweise folgendermaßen vor, um auf eine Website zuzugreifen:
  1. Erweitern Sie in der ISA-Verwaltung Server, erweitern Sie Servername, klicken Sie auf Zugriffsrichtlinie, und klicken Sie auf IP-Paketfilter.
  2. Klicken Sie auf Paketfilter erstellen, um einen Assistenten zu starten.
  3. Geben Sie dem Paketfilter den Namen Webzugriff.
  4. Klicken Sie auf Paketübertragung zulassen und anschließend auf Benutzerdefiniert.
  5. Klicken Sie auf TCP als IP-Protokoll, klicken Sie auf Ausgehend für die Richtung, klicken Sie auf Alle Ports für den lokalen Port, und klicken Sie auf Fester Port für den Remoteport. Geben Sie in das Feld Portnummer den Wert 80 ein.
  6. Wählen Sie IP-Standardadressen für jede externe Schnittstelle aus, die sich auf dem ISA Server befindet.
  7. Klicken Sie auf Alle Remotecomputer.
Nun können Sie vom ISA Server aus auf Websites zugreifen. Microsoft empfiehlt, diese Schritte zu wiederholen, aber SSL-Zugriff als Name in Schritt 3 und 443 (anstelle von 80) als Wert in Schritt 5 zu verwenden, weil viele Webserver das SSL-Protokoll verwenden. Wenn Sie weitere Protokolle zulassen möchten, wiederholen Sie die gleichen Schritte unter Angabe eines entsprechenden Namens in Schritt 3 und der entsprechenden Einträge in Schritt 5.

Problembehandlung

Die meisten Probleme entstehen, weil die Interaktionen zwischen Richtlinienelementen, Richtlinienregeln und Paketfiltern nicht in vollem Umfang verstanden wurden. Wenn Sie weitergehende Aufgaben durchführen möchten, die über die Verwendung der anfangs (mit der Prozedur in "Erstellen von Richtlinien für die Verbindung von Benutzern zum Internet") erstellten allgemeinen Zugriffsrichtlinie hinausgehen, sollten Sie sicherstellen, dass Sie den Abschnitt "Installieren von Microsoft ISA Server" in allen Punkten verstanden haben. Lesen Sie außerdem die Onlinehilfe zu Microsoft ISA Server. Erstellen Sie zunächst einige Richtlinien, und testen Sie diese. Das Verständnis von Zugriffsrichtlinien wird zudem dadurch erleichtert, dass Sie sich mit dem ISA Server-Vokabular und den Interaktionen der Komponenten vertraut machen.

Hinweis: Über ISA Server lassen sich keine Verbindungen zwischen Elementen in der LAT und außerhalb der LAT steuern. Sie müssen eine Richtlinie erstellen, die den Zugriff beschreibt, den Sie zulassen möchten.

Informationsquellen

Hilfe zur Problembehandlung bei ISA Server finden Sie in der Onlinehilfe zu Microsoft Internet Security and Acceleration Server.

Eigenschaften

Artikel-ID: 323387 - Geändert am: Donnerstag, 27. Februar 2014 - Version: 7.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Keywords: 
kbnosurvey kbarchive kbhowto kbhowtomaster kbnetwork KB323387
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com