- - PR -
ISA Server2000の設定について
投稿者 | 投稿内容 | ||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-04-27 01:37
はじめてカキコします。
今新宿にある会社に勤めていますが、そこの社内ネットワークのReplaceをするべく 奮闘中です。下記のように変更するつもりですが、設定がうまくいきません。 Media ___ISA Server___Switching___ISA Server___Client Converter 2000(1) HUB 2000(2) PC | |___DNS&Mail | Server |___Web Server どなたかご教授いただければ幸いに思っております。 なお、ISA Server(1)は、ファイアウォールモードにてインストールしました。 そして、ISA Server(2)は、統合モードにてインストールしました。 よろしくお願いします。 | ||||||||||||||||||||||||
|
投稿日時: 2004-04-27 09:18
おはようございます.
具体的に「どのように」うまくいかないのでしょうか? この部屋だったか忘れましたが,ISA Server については何度か書き込みがあり,お答えしています.
以前にも書きましたが,ISA Server は明示的に「許可」しないと全ての通信を抑制します.具体的にどのように設定して「ダメ」なのか判らないと,お答えのしようがないと思われます. | ||||||||||||||||||||||||
|
投稿日時: 2004-04-27 18:19
kazさん、すみません。
もう少し詳しく書かせていただきます。 今現状でできないこと ・Client PCからWebが見られない。 インストールについて ・ISA Server(1)は統合モードにてインストール済み ・ISA Server(2)はファイアウォールモードにてインストール済み ネットワークの情報 ・Client PC IP:192.168.10.6/24 GW:192.168.10.1 ・ISA Server(1)内部側NIC IP:192.168.10.1/24 GW:192.168.1.10 ・ISA Server(1)DMZ側NIC IP:192.168.1.10/28 GW:192.168.1.1 ・ISA Server(2)DMZ側NIC IP:192.168.1.1/28 GW:221.xxx.xxx.42 ・ISA Server(2)Internet側NIC IP:221.xxx.xxx.42/29 GW:221.xxx.xxx.41 ローカルアドレステーブルには双方とも次のアドレスが定義されています。 10.0.0.0-10.255.255.255 169.254.0.0-169.254.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255 192.168.1.0-192.168.1.255 192.168.10.0-192.168.10.255 ネットワークの構成の設定でISA Server(1)は、ISA Server(2)にルーティングする設定になっています。 Client PCからアクセスすると、下記のようなエラーメッセージが表示されます。 ページを表示できません。 アクセスしようとしているページは、問題があるため表示することができません。 11001-ホストが見つかりません Internet Security and Acceleration Server (中略) テクニカル情報(サポート用) ・Background: このエラーは、ゲートウェイまたはプロキシとして機能しているサーバーが、上位コンテン ツサーバーのIPアドレスを見つけられない時に発生します。 以上のような状態です。 おおよそのネットワーク図は、下記のとおりです。 Client PC---ISA Server(1)---ISA Server(2)---Media Converter===Internet よろしくお願いします。 | ||||||||||||||||||||||||
|
投稿日時: 2004-04-27 21:55
こんばんわ.
とくに拘るところではないでしょうけど,どうして下位の ISA Server は firewall だけなんでしょうね?統合のほうが扱いやすい気がしますけど.下位の ISA Server の proxy の上位 proxy を上位の ISA Server に向けて,下位の ISA Server の proxy は cache を持たないようにするとか... ちょっとわかりにくいですかね.
外部,つまり ISA Server(2) はどこで名前解決しています? D.M.Z. の DNS Server を使っているなら,そもそもその DNS Server は名前解決が出来ますか?その DNS Server の名前解決先は? D.M.Z. ではないなら,外部の「どこかの DNS Server」ということになるのでしょうけど,いずれにせよ ISA Server(2) が名前解決できない状態では WWW Server を見つけられないでしょう. ということで,ISA Server(2) の実装されている host で ISA Server の複数の Services を停止して nslookup,ついで ISA Server の Services を実行した状態で nslookup しましょう. ご存知かもしれませんが,ClientPC では名前解決の必要はありません. | ||||||||||||||||||||||||
|
投稿日時: 2004-04-28 18:46
kazさん、こんばんは。
ご指摘があった点について検証しました。 まず、ISA Server(2)は、外部のDNS Serverに名前解決しに行ってくれます。 プロバイダからもらっているアドレスをDMZ側NICに入力しています。 「nslookup」を実行しても特に問題はありません。ただし、Serviceを停止した上での現象等は確認していないので次回確認する予定です。 次に、ISA Server(1)のほうですが、「nslookup」すると下記のようになります。 内部イントラ用DNS(Active Directory)に参加しているため、 Default Server: intra-dns.tcsy.co.jp Adrress: 192.168.10.2 > 上記で「google.co.jp」と入力すると、下記のように表示されます。 >google.co.jp Server: intra-dns.tcsy.co.jp Address: 192.168.10.2 ***intra-dns.tcsy.co.jp can't find google.co.jp:Non-existent domain. 内部イントラ用DNS(Active Directory)の設定が不完全なため上記のようになっていると考えられます。この途中の段階で助言をもらうのは忍びないことですが、注意しなければいけない点などがあれば、教えてください。 それと実は、この環境にDNS Serverが入っていなかったので、Webを見に行くことはできなかった事にkazさんの返事から気が付きました。それで1台は内部イントラ用DNS(Active Directory)とDMZ内DNSを入れました。ですが、まだ設定は途中です。ちなみにDNSは、Windows2000Serverにあるものを双方とも使用しています。 補足になりますが、ISA Server(2)のほうのルーティングの設定でInternet側NICにNATの設定をしてあります。アドレスプールの範囲は、192.168.1.0-192.168.1.15/28になっております。 内容が中途半端になっていると思います。すみません。 答えられる範囲でよろしくお願いします。 以上 | ||||||||||||||||||||||||
|
投稿日時: 2004-04-28 20:41
こんばんわ.
まず一点確認です. この問題は WWW の参照時の問題ですよね? 以下,それを念頭において話を進めさせていただきます. ISA Server(2) の firewall 機能を用いている場合はちょっと事情が違います. で,まず内部の内部から.
内部の内部,ここで言う ISA Server(1) より内部で名前解決は一切関係ありません.必要かどうかという点では,「必要に応じて」であって,ActiveDirectory などとの関係で適時導入を.さらにこれらの名前解決は internet や D.M.Z. の DNS Server と連動する必要はありません.よって,ISA Server(1) が名前解決できないのはおそらく無関係です. ちなみに ClientPC は ISA Server(2) の Web Proxy にどのように接続しに行くのでしょう?つまり,ClientPC の WWW browser はどのように Web Proxy を利用しに行くのでしょう? ISA Server に限らず,Web Proxy を利用する場合は2通りの使い方があります. --1,ClientPC の WWW browser で Proxy を設定する(或いは自動構成させる) --2,なにも設定せずに,Proxy 側で透過モードを仕掛ける 1,の場合では,たとえば ClientPC 上の Internet Explorer に必ず設定をしなければなりません.2,の場合は ISA Server の HTTP redirect を利用します.どちらにせよ,ClientPC の WWW browser が HTTP request を ISA Server(2) の Web Proxy に直接喋りかけます.ISA Server(1) は単に「default は通さないけど,この port は通す」と設定するだけですので,これらの仕組みには参加していません.よって,この ClientPC -- ISA Server(2) の Web Proxy 間の通信が出来なければ,WWW browser が error を返します. 念のため,ISA Server(1) の ISA Server の Firewall Service を停止して,RRAS だけを有効にして WWW browser で Internet に接続しようとしてみてください.Firewall Service が動いているときと同じ反応になると思います. しかし,ヨッシー様のお話を信じる限り,error を返しているのは ISA Server なので,ここは理屈どおりに機能していると思われます. で,やはり問題の箇所は ISA Server(2) 周辺だと推測されます.
最初の書き込みにある DNS&Mail Server の位置が今ひとつハッキリしません.ISA Server(2) は network interface が3つと理解してよろしいでしょうか?D.M.Z. と書かれているくらいだからそうかな? で,D.M.Z. へ面している interface に global ip address?普通に考えると,external な interface が global ip address になるのではないかと...external,つまり Internet 側の DNS Server に名前解決をしにいっているとしたら,この辺の話の辻褄が合わなくなってくるかと...
ちなみに,Web Proxy を利用する HTTP/HTTPS/FTP over HTTP は NAT の必要はありません.なぜならこれらの通信の起点は ClientPC ではなく Web Proxy となるので,当然 source ip address は Web Proxy の external interface の ip address になるわけです. ということで,この辺の情報をもう少し整理していただきたく. さらに,ISA Server(2) の internal/D.M.Z./external それぞれの DNS の設定はどこへ向けられているのでしょうか? 個人的には ISA Server(2) 周りの名前解決 or 構成に支障があるように感じられます. | ||||||||||||||||||||||||
|
投稿日時: 2004-05-06 10:45
kazさん、おはようございます。
レスが遅くなってしまってすみません。 まず、試行環境の構成についてですが、番号を付けて列記していきます。 1.ISA Server 2000は2台構成をとっている。その他Client PCが1台、内部用DNS Serverが1台、外部用DNS Serverが1台、Media Converterが1台となっています。 2.ISA Server 2000のモードは、@は統合モードでAはファイアウォールモードにて設定してあります。 3.ISA Server 2000@より手前はinternalになっています。内部用DNS(Active Directory)が配置されています。 4.ISA Server 2000@とAの間にSwitching HUBを配置してそこにDNS Serverが配置されています。ここがD.M.Zになります。 5.ISA Server 2000Aから先はexternalになります。Media ConverterとISA Server 2000Aは直接接続している。 6.ネットワークは3つあり、それぞれ下記のようになる。 内部Intranet:192.168.10.0/24 D.M.Z:192.168.1.0/28 Internet側:221.xxx.xxx.40/29 文章で書くと以上のようになります。わかりにくいですよね?
その通りです。WWWの参照時の問題で間違いはありません。 ただし、試行環境の構成がkazさんにきちんと伝わっていないという問題はありますが…
2のほうですね。Client PCはISA Server@を経由して、上位のISA ServerAへWeb Proxyを利用しに行きます。
ISA Server@もAもnetwork interfaceは2つずつです。DNS&Mail Serverについては、 上述した通りです。
ISA Server@のinternal側のDNSの設定は、内部DNSに向けられています。 ISA Server@のD.M.Z.側のDNSの設定は、DNS Serverに向けられています。 ISA ServerAのD.M.Z.側のDNSの設定は、プロバイダから与えられている外のDNSに向けられています。 ISA ServerAのexternal側のDNSの設定はしていません。 一応こんな感じで設定していたら、4月30日の日に偶然Client PCからWWWの参照をすることが できました。でもその後、ファイアウォールクライアントをアンインストールして再度インストールしたら、またWWWの参照ができなくなってしまいました。本日また試行環境を見るつもりです。ご指導いただけたら幸いです。 | ||||||||||||||||||||||||
|
投稿日時: 2004-05-07 00:14
こんばんわ.
はい,だいたい伝わりました.要するに ISA Server による Firewall が2つあって,その間に D.M.Z. があると.で,便宜上「外部/内部 Firewall」と言いますが,設定の意図としては,外部 Firewall が Firewall より外,つまり Internet 側にある DNS Server で名前解決したいが,それが出来ていないらしい,という理解でよろしいでしょうか?
ここで,Client PC は Web Proxy を明示的に設定するのはダメなのでしょうね. でも,名前解決とは関係ありませんね,念のため.
ちょっと不自然な気が...外部 Firewall は外側の DNS Server で名前解決したいのですよね?で,D.M.Z. 側,つまり 外部 Firewall から見て内部 Firewall 側の interface の設定で Internet 側の DNS を参照すると. なぜ Internet 側の interface で Internet 側の DNS を参照しに行かないのでしょうか? 敢えてやるなら,外部 Firewall の D.M.Z. 側の interface で D.M.Z. の DNS Server に名前解決しに行って,その D.M.Z. の DNS Server が provider の DNS Server へ forwarding するなら理解できます.無論この場合,外部 Firewall で D.M.Z. の DNS Server が Internet 側の DNS Server を参照できる rule が必要です.
Proxy だけの利用なら Firewall Client はいらないはずです. 参照できたのは,偶然なのではないかと.つまり,普通に Web Proxy 使っていても「偶然参照できることもある」のではないかと. 通信の流れとして,「外へ向かう」というのが自然なのではないかと.前述の指摘のよに D.M.Z. の DNS Server を参照するとしても,その DNS Server が外に見に行く手段があれば良いわけです. というわけで,「内側の interface で外側に通信する」という矛盾が生じているように見えますがいかがでしょうか? |