ISA Server und mehrere externe IP-Adressen

February 27, 2008

In meinem Blogeintrag vom 18. Februar habe ich ja versprochen, über dieses Thema hier zu schreiben.

Stellt euch vor, ihr habt eine Internetanbindung mit mehreren öffentlichen IP-Adressen. Daran hängt ein ISA Server, dem ihr alle nutzbaren IPs (zum Beispiel 207.46.232.180-184) vergeben habt. 

Für Veröffentlichungen nutzt ihr folgende IP-Adressen:

  • 207.46.232.180 -> OWA
  • 207.46.232.181 -> VPN
  • 207.46.232.182 -> Mail1
  • 207.46.232.183 -> Mail2
  • 207.46.232.184 -> Intranet

Das ist soweit ja ganz einfach zu realisieren. Ihr könnt auf den beiden veröffentlichten IPs problemlos E-Mails empfangen. Wenn ihr jetzt darüber auch E-Mails versendet, werdet ihr früher oder später feststellen, dass manche Mailserver eure Mails nicht annehmen. Warum? Der gegnerische Mailserver bekommt die E-Mail mit der IP-Adresse 207.46.232.180 zugestellt. Viele Mailserver prüfen mittlerweile, ob sie wiederum eine Verbindung zum einliefernden Mailserver herstellen können und ob die einliefernde IP-Adresse mit den MX-Records in der DNS-Zone für die Absenderdomain übereinstimmt. In beiden Fällen habt ihr leider erstmal verloren. Beide Prüfungen werden fehlschlagen.

Was kann man in so einem Fall tun, außer den Kopf in den Sand zu stecken?

Da es keine Lösung gibt, dieses Problem mit dem ISA Server zu lösen, bleibt nichts anderes übrig, als das gesamte Konzept zu verändern. Folgende Lösungen stehen zur Debatte:

  • Ihr müsst dafür sorgen, dass bei solch kritischen Veröffentlichungen die betreffende IP-Adresse als Standard-IP in den Windows Server TCP/IP-Eigenschaften konfiguriert ist. Da das natürlich nur mit einer IP geht, könnt ihr auf diese Weise keine zwei unterschiedlichen Mailserver veröffentlichen.
  • Ihr verändert die MX-Records und fügt die ausgehende IP hinzu. Dann habt ihr das SPF-Problem gelöst, nicht jedoch den OpenProxy-Test.
  • Ihr verwendet mehrere ISA Server…..

Wie auch das Problem mit mehreren Internetanbindungen steht das schon seit Jahren auf der Wunschliste von uns MVPs, die dem ISA Server Produktteam vorliegt. Ob und wann es eine ISA Server Version geben wird, die wenigstens das kann ist unklar.

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront


ISA Server und mehrere Internetanbindungen

February 18, 2008

Ein weiterer Dauerbrenner als Frage in den Newsgroups und Foren ist, wie man ISA Server mit zwei Internetanbindungen betreiben kann. Warum will man sowas machen? Hier ein paar Beispiele dazu:



  • Eine Firma hat einerseits eine synchrone 10 MBit/s-Internetanbindung mit festen IP-Adressen und Flatrate. Diese Anbindung ist primär für E-Mail, Webveröffentlichungen (Sharepoint, OWA etc) und VPN-Verbindungen vorgesehen, da sie ja genügend Bandbreite liefert. Zusätzlich existiert noch ein 18MBit/s-DSL-Anschluß mit Flatrate. Da der für’s websurfen viel schneller ist, soll der Web-Verkehr auch darüber geroutet werden.
  • Eine Firma hat eine synchrone 2 MBit/s-Internetanbindung mit Volumentarif und festen IP-Adressen. Diese Anbindung ist primär für E-Mail, Webveröffentlichungen (Sharepoint, OWA etc) und VPN-Verbindungen vorgesehen, da sie statische IPs hat und der Konfigurationsaufand dadurch vereinfacht wird. Für den ausgehenden Webverkehr soll eine 18 MBit/s-DSL-Anbindung mit Flatrate verwendet werden.
  • Ein Unternehmen hat 2 synchrone Internetanbindungen und jeweils statischen IP Adressen. Die zweite Anbindung soll für Ausfallsicherheit sorgen oder zur Lastverteilung verwendet werden.

Es gibt natürlich noch viele andere Anwendungsbeispiele.


Kann ISA Server sowas?


Äh….klares Nein :-(


ISA Server kann von sich aus nur eine externe Anbindung verwalten. Das liegt aber eher am Windows Server, der nur ein Default Gateway haben kann. Daher kann ISA Server ein- und ausgehende Pakete nicht sauber routen und zuordnen. Es gab mal die Software RainConnect von Rainfinity, die geniale Möglichkeiten bot. Ausfallsicherheit, mehrere ISPs und sogar Anpassung der DNS-Einträge. RainConnect wurde von EMC aufgekauft und das Produkt eingestampft. Schade eigentlich.


Aber es gibt Möglichkeiten, dieses Problem zu umgehen!


Der einfachste Weg ist, vor den ISA Server einen Router zu hängen, der das kann. Je nach Anforderungen kann das ein Cisco Router, Netgear oder SonicWALL (oder was es sonst noch alles gibt) sein. Damit lassen sich erstmal problemlos Ausfallsicherheit und Lastverteilung erreichen. Etwas schwieriger wird es mit protokollabhängigem Routing. Aber auch das sollte mit einem geeigneten Gerät machbar sein.


Die andere Alternative ist natürlich, einen zweiten ISA Server einzusetzen. Einer übernimmt dann beispielsweise alle statischen Anbindungen und Dienste wie OWA, Mail und VPN, der zweite kümmert sich um den ausgehenden Clientverkehr. Das kann man dann intern einfach über das Default Gateway der Clients konfigurieren. Oder man trägt den zweiten ISA als Webproxy ein. Oder man nutzt am ersten ISA eine Webverkettung zum zweiten. Viele Möglichkeiten.


Ob eine künftige Version von ISA Server eine solche Funktionalität mitbringt ist unklar. Wir MVPs haben dieses Feature schon seit vielen Jahren auf unserer Wunschliste ganz oben stehen. Gleich neben dem Problem, dass ISA Server für ausgehenden Verkehr grundsätzlich die erste konfigurierte IP-Adresse des Windows Servers verwendet. Aber dieses Thema behandle ich demnächst in einem eigenen Blogeintrag.


Wer Fragen oder Anregungen zu der Thematik der mehrfachen Internetanbindungen hat, kann das gerne in der deutschsprachigen ISA Server Newsgroup mit uns/mir diskutieren. Wir freuen uns über jede Anregung!


Viele Grüße
Dieter



Dieter Rauscher
MVP Forefront


Neuer Artikel auf msisafaq.de: Erstellen eines neuen benutzerdefinierten Protokollelementes

January 3, 2007

Dieser Artikel beschreibt ausführlich das Erstellen einer neuen Protokolldefinition bzw. eines Protokollelementes.


Direkt zum Artikel. 


Viele Grüße
Dieter


Dieter Rauscher
MVP ISA Server


Neuer Artikel auf msisafaq.de: Die Toolbox

January 2, 2007

Dieser Artikel beschreibt die Toolbox mit allen zur Erstellung einer Firewallrichtlinie notwendigen Elementen.


Direkt zum Artikel. 


Viele Grüße
Dieter


Dieter Rauscher
MVP ISA Server


ISA Server, Firewallclient und 64-Bit?

August 2, 2006

In den Newsgroups tauchen immer wieder Fragen rund um ISA Server und 64-Bit auf. Ich möchte die Gelegenheit nutzen, um ein paar Fakten (Stand heute) darzulegen.

  • ISA Server und 64-Bit?
    ISA Server 2000, 2004 und 2006 können nur auf einer 32-Bit-Windows Plattform ausgeführt werden. Also, keine Windows Server 2003 64-Bit-Edition! Würde auch derzeit IMHO wenig Sinn machen. Ab welcher künftigen Version ein 64-Bit-Betriebssystem unterstützt wird ist noch nicht veröffentlicht.
  • Firewallclient auf einem 64-Bit-Betriebssystem?
    ISA Server 2006 bringt einen Firewallclient mit, der auch auf Windows XP-64 Bit installiert und ausgeführt werden kann. Sicher ist, dass dieser Client nicht auf einem 64-Bit Windows Vista lauffähig ist. Aber bis Windows Vista auf dem Markt ist, wird ja noch einige Zeit vergehen [8-|]
  • ISA Server-Verwaltungskonsole und 64-Bit?
    Auch das geht nicht. Die ISA Server-Konsole lässt sich nicht auf einem 64-Bit Windows installieren.

Viele Grüße
Dieter


Dieter Rauscher
MVP ISA Server