並列境界領域のネットワークでの Web サーバーの公開

最終更新日: 2003年7月7日

Microsoft ISA Server 2000 Feature Pack 1 バージョン 1

このシナリオでは、プライベート IP アドレスを持ち、並列境界領域のネットワークに配置されている Web サーバーに Web サイトを作成します。Web サーバーでは、HTTP 要求と HTTPS 要求の両方を扱うことができます。

境界領域のネットワーク (DMZ、非武装地帯、およびスクリーンサブネットとも呼ばれます) は、組織のプライベートネットワークやインターネットとは別にセットアップされる、小規模なネットワークです。境界領域のネットワークは、境界領域のネットワーク内の特定のサーバーへの外部ユーザーのアクセスを許可する一方で、社内ネットワークへの外部ユーザーのアクセスを防ぎます。

トピック

ハードウェア要件

ソフトウェア要件

作業を始める前に

手順

オリジナルのホストヘッダー

その他の構成オプション

内部ネットワークからインターネットへのアクセスの許可

内部データサーバーへの境界領域の Web サーバーのアクセスの許可

このシナリオでは、並列境界領域のネットワークについて説明します。並列境界領域のネットワークでは、2 台の ISA Server コンピュータが互いに接続されています。一方の ISA Server コンピュータはインターネットにも接続され、もう一方はローカルネットワークにも接続されています。境界領域のネットワークは、2 台のサーバー間に存在します。ISA Server コンピュータは、両方とも統合モードまたはファイアウォールモードでセットアップされます。

次の図は、この境界領域のネットワークを示しています。

ハードウェア要件

並列境界領域のネットワークシナリオで Web サーバーを公開するには、4 台のコンピュータ、ハブ、およびインターネットへの接続が必要です。

2 台のコンピュータを、ISA Server コンピュータとして使用します。それぞれの ISA Server コンピュータに 2 つのネットワークアダプタが必要です。

  • ISA Server コンピュータ 1 : 1 つのアダプタをインターネットに、もう 1 つのアダプタをハブと境界領域のネットワークに接続します。

  • ISA Server コンピュータ 2 : 1 つのアダプタを内部ネットワークを代表するコンピュータ (または実際の内部ネットワーク) に、もう 1 つのアダプタをハブと境界領域のネットワークに接続します。

1 台のコンピュータを、境界領域のネットワークに配置する Web サーバーとして使用します。このコンピュータには、プライベート IP アドレスを使用することをお勧めします。このコンピュータは、ハブに接続する必要があります。

1 台のコンピュータを、内部ネットワークを代表するコンピュータとして使用します。テストシナリオではない場合は、内部ネットワークアダプタを実際の内部ネットワークに接続できます。セットアップをテストするには、ネットワークの外部に配置され、インターネットに接続されているコンピュータも必要です。

ページのトップへ

ソフトウェア要件

ISA Server コンピュータには、Microsoft Windows 2000 Server、Windows 2000 Advanced Server、または Windows Server 2003 と Service Pack 1 が適用された ISA Server がインストールされている必要があります。Web サーバーには、Windows 2000 Server、Windows 2000 Advanced Server、または Windows Server 2003 がインストールされている必要があります。Web サイトの公開に使用するインターネットインフォメーションサービス (IIS) は、Windows 2000 Server、Windows 2000 Advanced Server、および Windows Server 2003 に含まれています。

注意 SSL でセキュリティ保護された Web ページを公開する予定がある場合は、ISA Server コンピュータに SSL 証明書をインストールする必要があります。詳細については、この文書の「SSL 公開用のブリッジの構成」および Digital_Certificates_for_ISA.doc を参照してください。

ページのトップへ

作業を始める前に

短時間で構成するために、次の情報をあらかじめ準備しておいてください。

  • ISA Server コンピュータ 1 の境界領域のネットワークアダプタ (ハブに接続されているアダプタ) の IP アドレス

  • ISA Server コンピュータ 1 の外部 IP アドレス (インターネットに接続されているネットワークアダプタのアドレス)

  • ISA Server コンピュータ 2 の境界領域のネットワークアダプタ (ハブに接続されているアダプタ) の IP アドレス

  • ISA Server コンピュータ 2 の内部ネットワークアダプタ (内部ネットワークに接続されているアダプタ) の IP アドレス

  • 境界領域のネットワーク上の Web サーバーのプライベート IP アドレス

また、パブリックインターネット DNS サーバーにより、Web サイトのパブリック名が ISA Server の外部 IP アドレスにマップされていることを確認します。

注意 これらの作業を行うには、管理者特権が必要です。

ページのトップへ

手順

次の手順に従い、並列境界領域のネットワークで Web サーバーを公開します。

手順 1. IIS を使用して Web サイトを作成する

詳細については、IIS のマニュアルを参照してください。

手順 2. ISA Server コンピュータ 1 の LAT を構成する

インターネットに接続している ISA Server コンピュータ (ISA Server コンピュータ 1) のローカルアドレステーブル (LAT) を、社内ネットワークに接続している ISA Server の IP アドレスと境界領域のネットワーク内の Web サーバーのプライベート IP アドレスを含むように構成します。LAT の変更方法の詳細については、製品のマニュアルを参照してください。

手順 3. ISA Server コンピュータ 2 の LAT を構成する

社内ネットワークに接続している ISA Server コンピュータ (ISA Server コンピュータ 2) の LAT を、社内ネットワーク内のコンピュータの IP アドレスを含むように構成します。最も簡単な方法としては、コンピュータに ISA Server ソフトウェアをインストールするときに構成します。LAT を変更する必要がある場合は、ISA Server 製品のマニュアルの説明に従ってください。境界領域のネットワークの Web サーバーは ISA Server コンピュータの LAT に含めないことが重要です。そうすれば、境界領域のネットワークを内部ネットワークから分離できます。

手順 4. 宛先セットを作成する

宛先セットを作成する前に、宛先セットと宛先セットのパスについて理解しておく必要があります。

宛先セットについて

Web 公開用の宛先セットは、外部ユーザーが Web サイトにアクセスするときに指定する www.adatum.com などのパブリック名です。Web 公開シナリオでは、Web サーバーは外部から直接アクセスできないように保護されています。外部からの要求に対してはインターネットに接続している ISA Server コンピュータ (ISA Server コンピュータ 1) のみが公開されます。

Web 公開の宛先セットは、Web サイトへの要求があった場合、DNS サーバーで名前が解決されるときに ISA Server を見つけられるように、ISA Server の外部ネットワークアダプタを表しています。宛先セットに指定されたホスト名は、インターネット上の DNS サーバーにより、インターネットに接続されている ISA Server コンピュータの外部ネットワークアダプタの IP アドレスとして解決される必要があります。

宛先セットのパスについて

パスを指定する複数の宛先セットを作成できます。たとえば、1 つのホスト名に対して、パス /update* (/update/ およびこのパスに含まれるすべてのパスに対する任意の要求) と /info* を指定できます。これらの宛先セットは、両方とも同じ ISA Server の外部ネットワークアダプタの IP アドレスとして解決されます。宛先セットのパスを使用して、要求を別の Web サーバーや、特定の Web サーバーの別のディレクトリに送信するための Web 公開ルールを作成できます。各ルールでは、ユーザーの要求で指定されたパスに応じて HTTP アクセスや SSL アクセスを許可するなどの、さまざまな条件を使用できます。

宛先セットの例

ユーザーが「https://www.adatum.com/info」と入力してサイトにアクセスしようとした場合、ISA を介してサイトを公開するために使用される宛先セットには、宛先セクションに www.adatum.com が含まれ、宛先セットに指定されたパスとしてパス /info が含まれている必要があります。

この手順は、インターネットおよび境界領域のネットワークに接続されている ISA Server コンピュータ 1 で実行します。

宛先セットを作成するには

  1. [ISA の管理] コンソールツリーで、[宛先セット] を右クリックし、[新規作成] をポイントして、[セット] をクリックします。

  2. [名前] ボックスに、「境界領域 Web サーバーの公開を許可する宛先」など、宛先セットの名前を入力します。

  3. (省略可) [説明] ボックスに宛先セットの説明を入力します。

  4. [追加] をクリックし、次の操作を行います。

    • [宛先] をクリックして、外部ユーザーが Web サイトにアクセスするときに指定するパブリック名を入力します。これは、ISA Server コンピュータの外部ネットワークアダプタの IP アドレスとして解決される、完全修飾ドメイン名です。

    • (省略可) [パス] ボックスに、要求に含めることができる特定のパスを入力します。このパスを Web 公開ルールで使用して、要求を Web サイトの特定の場所に送信できます。

  5. [OK] をクリックします。

手順 5. 着信方向の Web 要求用の Web リスナを作成する

Web リスナは、クライアントからの Web 要求をリッスンする ISA Server コンピュータ上の IP アドレスです。ISA Server をインストールすると、既定では、着信方向の Web 要求のプロパティは、IP アドレスが要求をリッスンしないように構成されます。したがって、Web 公開ルールを使用して Web サイトを公開するには、Web リスナを構成する必要があります。

この手順は、インターネットおよび境界領域のネットワークに接続されている ISA Server コンピュータ 1 で実行します。

着信方向の Web 要求のリスナを構成するには

  1. [ISA の管理] コンソールで、[サーバーとアレイ] ノードを展開します。

  2. ISA Server コンピュータのノードを右クリックし、[プロパティ] をクリックします。

  3. [着信方向の Web 要求] タブで [IP アドレスごとにリスナを構成する] を選択します。

  4. (省略可) SSL (HTTPS) 要求をリッスンする場合は、[SSL リスナを有効にする] チェックボックスをオンにします。この後の手順で、リスナの SSL 証明書を構成する必要があります。

  5. [追加] をクリックします。

  6. [サーバー] の一覧で、着信方向の Web 要求をリッスンするサーバーである ISA Server コンピュータを選択します。

  7. [IP アドレス] の一覧で、着信方向の Web 要求をリッスンするサーバーのインターネットプロトコル (IP) アドレスをクリックします。これは、インターネットに接続する ISA Server のネットワークアダプタの IP アドレスになります。

  8. (省略可) [表示名] ボックスに、このリスナに使用する名前を入力します。

  9. SSL 要求もリッスンするリスナを構成する場合は、[Web クライアントの認証にサーバー証明書を使う] チェックボックスをオンにします。次に、[選択] をクリックし、ISA Server コンピュータ 1 にインストールされている適切な SSL 証明書を選択します。

  10. (省略可) リスナの認証方法を構成します。

  11. [OK] をクリックして [リスナの追加/編集] ページを閉じます。次の図は、リスナを追加後の [マイアレイのプロパティ] ページを示しています。

![](images/Cc751013.pwbb03(ja-jp,TechNet.10).gif)

  1. [OK] をクリックして [マイアレイのプロパティ] ページを閉じます。

  2. メッセージが表示されたら、Web Proxy サービスを再起動します。

手順 6. Web 公開ルールを作成する

Web 公開ルールでは、着信した要求を ISA Server コンピュータの背後の Web サーバーにマップします。インターネットおよび境界領域のネットワークに接続されている ISA Server コンピュータ 1 で Web 公開ルールを作成します。

Web 公開ルールを作成するには

  1. [ISA の管理] コンソールツリーで、[Web 公開ルール] を右クリックし、[新規作成] をポイントし、[ルール] をクリックして、[新しい Web 公開ルールウィザード] を起動します。

  2. [新しい Web 公開ルールウィザードの開始] ページに、「境界領域の Web サーバーの公開ルール」などのルール名を入力し、[次へ] をクリックします。

  3. [宛先セット] ページで、メニューから [指定された宛先セット] を選択します。手順 4 で作成した宛先セットを選択して、[次へ] をクリックします。

  4. [クライアントの種類] ページで、インターネットからの要求がすべて Web サーバーに届くように、既定のオプション [すべての要求] が選択されたままにして、[次へ] をクリックします。

  5. [ルールの動作] ページで、[要求をこの内部 Web サーバーへリダイレクトする (名前または IP アドレス)] を選択し、境界領域のネットワークの Web サーバーの名前または IP アドレスを指定します。通常は、内部 DNS サーバーの潜在的な問題を回避するため、名前よりも IP アドレスを使用することをお勧めします。

  6. [公開サーバーに送信されたオリジナルのホストヘッダーを、上で指定したサーバーに送信する] は、既定の、選択されていない状態のままにします。詳細については、この後の「オリジナルのホストヘッダー」を参照してください。[次へ] をクリックします。

  7. [要約] ページの情報を確認して [完了] をクリックします。

手順 7. SSL 公開用ブリッジを構成する

セキュリティで保護された SSL 通信が必要なサーバーを公開する場合は、ISA Server コンピュータに SSL 証明書をインストールしておく必要があります。また、Web サーバーにも SSL 証明書をインストールしておく必要があります。いずれの場合も、適切なプロトコルを使用して ISA Server コンピュータから Web サーバーに SSL 要求が送信されるようにするため、必要に応じて SSL ブリッジを構成しなければなりません。

SSL ブリッジは、各 Web 公開ルールのプロパティです。SSL ブリッジでは、ISA Server コンピュータで受信された SSL 要求が Web サーバーに SSL 要求と HTTP 要求のどちらとして渡されるかが、次のような方法で決定されます。

  • Web サーバーに SSL 証明書がインストールされていない場合、SSL および HTTP 要求は Web サーバーに HTTP 要求として渡されます。SSL で保護された通信は ISA Server により処理され、内部では HTTP として扱われます。

  • Web サーバーに SSL 証明書がインストールされている場合、SSL 要求は SSL 要求として、HTTP 要求は HTTP 要求として、内部 Web サーバーに渡されます。この場合、SSL で保護された通信は、クライアント ISA と ISA Web サーバーレベルの両方で行われます。

Web サーバーに SSL 証明書がある場合、追加の証明書を購入せずに ISA Server で SSL 要求をリッスンするには、Web サーバーから証明書をエクスポートし、ISA Server コンピュータにインポートする必要があります。詳細については、「HOW TO:Export, Install, and Configure Certificates to Internet Security and Acceleration Server (英語情報)」 (https://go.microsoft.com/fwlink/?LinkID=10713) を参照してください。

SSL ブリッジの構成を変更するには

  1. [Web 公開ルール] ノードをクリックします。

  2. 適切な Web 公開ルールをダブルクリックします。

  3. [ブリッジ] タブをクリックします。

  4. 最初の 2 つのリダイレクトオプションについては、適切なリダイレクトを選択します。

    • SSL 要求を処理するために ISA Server の SSL 証明書を使用している場合は、[HTTP 要求のリダイレクト] および [SSL 要求のリダイレクト] で [HTTP 要求として処理] を選択し、[OK] をクリックします。この構成を次の図に示します。

    • [公開されたサイト用には保護されたチャネル (SSL) を要求する] では、ISA Server で受信された HTTP 要求が拒否されます。このオプションを選択すると、HTTPS 要求に 128 ビット暗号化を要求することもできます。

  • [SSL Web サーバーへの認証には証明書を使う] では、Web サーバーへの ISA Server の認証に使用するクライアント証明書を指定できます。

    注意 SSL の [ブリッジ] タブには、他に 2 つのオプションがあります。

  • ISA Server の証明書と共に既存の Web サーバーの SSL 証明書も使い続ける場合は、[HTTP 要求のリダイレクト] で [HTTP 要求として処理] を選択し、[SSL 要求のリダイレクト] で [SSL 要求] を選択して、[OK] をクリックします。

手順 8. Web ページをテストする

外部コンピュータでインターネットブラウザを開きます。ブラウザのアドレスフィールドに、Web サイトの URL、または ISA Server コンピュータの外部 IP アドレスである Web サーバーのパブリック IP アドレスを入力します。Web ページが読み込まれた場合は、公開のセットアップは正しく構成されています。Web サイトを表示できない場合は、これまでのすべての手順に従っていることを確認します。それでも Web サイトを表示できない場合は、Troubleshooting_Web_Publishing.doc を参照してください。

ページのトップへ

オリジナルのホストヘッダー

ISA Server では、既定で、内部 Web サーバーの参照に使用されるホストヘッダーが置き換えられ、受信されたオリジナルのホストヘッダーはそのまま送信されません。Web サイトでオリジナルのホストヘッダーを必要とする特別な機能を使用する場合や、ホスト名が異なる 2 つの Web サイトを公開する場合は、[新しい Web 公開ルールウィザード] の [ルールの動作] ページで [公開サーバーに送信されたオリジナルのホストヘッダーを、上で指定したサーバーに送信する] チェックボックスをオンにします。または、2 つの Web サイトを表す 2 つの宛先セットを作成し、要求を適切なサイトに送信する Web 公開ルールを使用することもできます。

ページのトップへ

その他の構成オプション

基本的な並列境界領域のネットワーク構成の他に、次の構成が可能です。

  • 内部ネットワークからインターネットへのアクセスの許可

  • 内部データサーバーへの境界領域の Web サーバーのアクセスの許可

ページのトップへ

内部ネットワークからインターネットへのアクセスの許可

内部ネットワークは、2 台の ISA Server コンピュータによってインターネットから分離されているので、内部ネットワークからインターネットにアクセスできるように、両方の ISA Server コンピュータでサイトとコンテンツルールおよびプロトコルルールを作成する必要があります。内部ネットワークは、クライアントアドレスセットを使用して表します。また、ISA Server コンピュータ 1 を ISA Server コンピュータ 2 のデフォルトゲートウェイとして構成します。

手順 A-1. サイトとコンテンツルールを作成する

内部ネットワークに接続している ISA Server コンピュータ 2 で、サイトとコンテンツルールを作成します。

内部 ISA Server コンピュータのサイトとコンテンツルールを作成するには

  1. [ISA の管理] コンソールツリーで、[サイトとコンテンツルール] を右クリックし、[新規作成] をポイントし、[ルール] をクリックして、[新しいサイトとコンテンツルールウィザード] を起動します。

  2. [新しいサイトとコンテンツルールウィザードの開始] ページに、「内部クライアントにサイトとコンテンツを許可」などのルール名を入力し、[次へ] をクリックします。

  3. [ルールの動作] ページで、[許可] を選択し、[次へ] をクリックします。

  4. [ルールの構成] ページで、[宛先によってアクセスを許可する] を選択し、[次へ] をクリックします。

  5. [宛先セット] ページで、[すべての宛先] が選択されていることを確認し、[次へ] をクリックします。

  6. [要約] ページの情報を確認して [完了] をクリックします。

手順 A-2. プロトコルルールを作成する

ISA Server コンピュータ 2 でプロトコルルールを作成します。

内部 ISA Server コンピュータのプロトコルルールを作成するには

  1. [ISA の管理] コンソールツリーで、[プロトコルルール] を右クリックし、[新規作成] をポイントし、[ルール] をクリックして、[新しいプロトコルルールウィザード] を起動します。

  2. [新しいプロトコルルールウィザードの開始] ページに、「内部クライアントにプロトコルを許可」などのルール名を入力し、[次へ] をクリックします。

  3. [ルールの動作] ページで、[許可する] が選択されていることを確認し、[次へ] をクリックします。

  4. [プロトコル] ページで、[すべての IP トラフィック] が選択されていることを確認し、[次へ] をクリックします。[選択されたプロトコル] を選択し、メニューから特定のプロトコルを選択して、特定のプロトコルへのアクセスを制限することもできます。

  5. [スケジュール] ページで、[常時] が選択されていることを確認し、[次へ] をクリックします。メニューから [常時] 以外のスケジュールを選択し、特定の時間帯へのアクセスを制限することもできます。スケジュールの作成および使用の詳細については、ISA Server のマニュアルを参照してください。

  6. [クライアントの種類] ページで、[すべての要求] を選択し、[次へ] をクリックします。

  7. [要約] ページの情報を確認して [完了] をクリックします。

    ISA Server コンピュータ 1 からは、内部の社内ネットワークは "見え" ません。ISA Server コンピュータ 2 および Web サーバーのみが見えます。したがって、次のものを作成する必要があります。

    • ISA Server コンピュータ 2 を表す、ISA Server コンピュータ 1 のクライアントアドレスセット

    • ISA Server コンピュータ 2 に対してアクセスを許可する、ISA Server コンピュータ 1 のサイトとコンテンツルール

    • ISA Server コンピュータ 2 によるプロトコルの使用を許可する、ISA Server コンピュータ 1 のプロトコルルール

手順 A-3. クライアントアドレスセットを作成する

ISA Server コンピュータ 2 を表すクライアントアドレスセットを作成します。この手順は、ISA Server コンピュータ 1 で実行します。

クライアントアドレスセットを作成するには

  1. [ISA の管理] コンソールツリーで、[クライアントアドレスセット] を右クリックし、[新規作成] をポイントして、[セット] をクリックします。

  2. [クライアントセット] ダイアログボックスに、「ISA Server コンピュータ 2」などのクライアントアドレスセット名を入力します。セットの説明を入力することもできます (省略可)。

  3. [追加] をクリックします。

  4. [IP アドレスの追加/編集] ダイアログボックスで、[開始アドレス] と [終了アドレス] の両方のボックスに ISA Server コンピュータ 2 の外部ネットワークアダプタの IP アドレスを入力し、[OK] をクリックします。

  5. [クライアントセット] ダイアログボックスで [OK] をクリックします。

手順 A-4. サイトとコンテンツルールを作成する

ISA Server コンピュータ 2 (内部) から ISA Server コンピュータ 1 (外部) へのアクセスを許可するサイトとコンテンツルールを作成します。この手順は、ISA Server コンピュータ 1 で実行します。

サイトとコンテンツルールを作成するには

  1. [ISA の管理] コンソールツリーで、[サイトとコンテンツルール] を右クリックし、[新規作成] をポイントし、[ルール] をクリックして、[新しいサイトとコンテンツルールウィザード] を起動します。

  2. [新しいサイトとコンテンツルールウィザードの開始] ページに、「ISA Server コンピュータ 2 の背後の内部クライアントにサイトとコンテンツを許可」などのルール名を入力し、[次へ] をクリックします。

  3. [ルールの動作] ページで、[許可] を選択し、[次へ] をクリックします。

  4. [ルールの構成] ページで、[特定のクライアントに対し、すべての外部サイトへのアクセスを許可する] を選択し、[次へ] をクリックします。

  5. [クライアントの種類] ページで、[特定のコンピュータ (クライアントアドレスセット)] を選択し、[次へ] をクリックします。

  6. [クライアントセット] ページで、[追加] をクリックします。

  7. [クライアントセットの追加] ページで、ISA Server コンピュータ 2 を表すクライアントアドレスセットを選択し、[追加]、[OK] の順にクリックします。

  8. [次へ] をクリックします。

  9. [要約] ページの情報を確認して [完了] をクリックします。

手順 A-5. プロトコルルールを作成する

ISA Server コンピュータ 2 によるプロトコルの使用を許可するプロトコルルールを ISA Server コンピュータ 1 で作成します。

プロトコルルールを作成するには

  1. [ISA の管理] コンソールツリーで、[プロトコルルール] を右クリックし、[新規作成] をポイントし、[ルール] をクリックして、[新しいプロトコルルールウィザード] を起動します。

  2. [新しいプロトコルルールウィザードの開始] ページに、「内部クライアントにプロトコルを許可」などのルール名を入力し、[次へ] をクリックします。

  3. [ルールの動作] ページで、[許可する] が選択されていることを確認し、[次へ] をクリックします。

  4. [プロトコル] ページで、[すべての IP トラフィック] が選択されていることを確認し、[次へ] をクリックします。[選択されたプロトコル] を選択し、メニューから特定のプロトコルを選択して、特定のプロトコルへのアクセスを制限することもできます。

  5. [スケジュール] ページで、[常時] が選択されていることを確認し、[次へ] をクリックします。メニューから [常時] 以外のスケジュールを選択し、特定の時間帯へのアクセスを制限することもできます。スケジュールの作成および使用の詳細については、ISA Server のマニュアルを参照してください。

  6. [クライアントの種類] ページで、[特定のコンピュータ (クライアントアドレスセット)] を選択し、[次へ] をクリックします。

  7. [クライアントセット] ページで、[追加] をクリックします。

  8. [クライアントセットの追加] ページで、ISA Server コンピュータ 2 を表すクライアントアドレスセットを選択し、[追加]、[OK] の順にクリックします。

  9. [次へ] をクリックします。

  10. [要約] ページの情報を確認して [完了] をクリックします。

手順 A-6. デフォルトゲートウェイを構成する

ISA Server コンピュータ 1 を ISA Server コンピュータ 2 のデフォルトゲートウェイとして構成します。この手順は、ISA Server コンピュータ 2 で実行します。

ISA Server コンピュータ 2 のデフォルトゲートウェイを構成するには

  1. ISA Server コンピュータ 2 で、[ネットワークとダイアルアップ接続] を開きます ([スタート] ボタンをクリックし、[設定] をポイントして、[コントロールパネル] をクリックしてから、[ネットワークとダイヤルアップ接続] アイコンをダブルクリックします)。

  2. [ローカルエリア接続] を右クリックし、[プロパティ] を選択します。

  3. [インターネットプロトコル (TCP/IP)] をクリックして強調表示し、[プロパティ] をクリックしてプロパティを表示します。

  4. [デフォルトゲートウェイ] ボックスに ISA Server コンピュータ 1 の内部ネットワークアダプタの IP アドレスを入力します。これは、ISA Server コンピュータ 1 をハブおよび内部ネットワークに接続しているアダプタです。

  5. [OK] をクリックして [インターネットプロトコル (TCP/IP) のプロパティ] ページを閉じます。

  6. [OK] をクリックして [ローカルエリア接続のプロパティ] ページを閉じます。

手順 A-7. 内部クライアントからインターネットへのアクセスをテストする

内部 (社内ネットワーク) コンピュータでインターネットブラウザを開き、ISA ポリシーで許可されている Web サイトを表示します。Web ページが読み込まれた場合は、チェーンは正しく構成されています。

ページのトップへ

内部データサーバーへの境界領域の Web サーバーのアクセスの許可

Web サーバーで、内部ネットワーク上のデータサーバーへのアクセスが必要になることがあります。許可するには、ISA Server コンピュータ 2 でサーバー公開ルールを使用して、内部データサーバーを公開します。

手順 B-1. クライアントアドレスセットを作成する

データサーバーにアクセスできる Web サーバーなどのコンピュータグループを定義するクライアントアドレスを使用できます。クライアントアドレスセットは、IP パケットフィルタが有効になっている場合にのみ、サーバー公開ルールで認識されます。そうでないと、サーバー公開ルールがすべてのクライアントに適用されます。IP パケットフィルタを有効にする方法は、この手順で説明します。

この手順は、境界領域のネットワークおよび内部ネットワークに接続されている ISA Server コンピュータ 2 で実行します。

クライアントアドレスセットを作成するには

  1. [ISA の管理] コンソールツリーで、[クライアントアドレスセット] を右クリックし、[新規作成] をポイントして、[セット] をクリックします。

  2. [名前] ボックスに、「境界領域 Web サーバー (データサーバーへのアクセス)」など、セットの名前を入力します。

  3. (省略可) [説明] ボックスにセットの説明を入力します。

  4. [追加] をクリックします。

  5. [開始アドレス] ボックスに Web サーバーの IP アドレスを入力します。

  6. (省略可) データサーバーへのアクセスが必要な Web サーバーが複数ある場合は、[終了アドレス] ボックスに IP アドレスを入力して、クライアントアドレスセットの IP アドレスの範囲を指定できます。アドレスの範囲に含まれない Web サーバーが複数ある場合は、[追加] をクリックして各アドレスを個別に追加します。

  7. [OK] をクリックします。

  8. [ISA の管理] の [アクセスポリシー] ノードで [IP パケットフィルタ] を右クリックします。

  9. [IP パケットフィルタのプロパティ] ダイアログボックスで [パケットフィルタを有効にする] チェックボックスをオンにし、[OK] をクリックます。

手順 B-2. サーバー公開ルールを作成する

ISA Server では、内部サーバーへの着信要求の処理にサーバー公開ルールを使用します。この手順は、ISA Server コンピュータ 2 で実行します。

サーバー公開ルールを作成するには

  1. [ISA の管理] コンソールツリーで、[サーバー公開ルール] を右クリックし、[新規作成] をポイントして、[ルール] をクリックします。

  2. [サーバー公開ルールの名前] ボックスに、「境界領域の Web サーバーへのデータサーバーの公開」などのルール名を入力し、[次へ] をクリックします。

  3. [アドレスマッピング] ページで、内部サーバーの IP アドレスと、ISA Server コンピュータ 2 の外部ネットワークアダプタの IP アドレスを入力し、[次へ] をクリックします。

  4. [プロトコル設定] ページで、データサーバーとの通信に適したプロトコルを選択します。

  5. [クライアントの種類] ページで [特定のコンピュータ] を選択し、[次へ] をクリックします。

  6. [クライアントセット] ページで、手順 B-1 で作成したクライアントセットを指定します。

  7. [要約] ページの情報を確認して [完了] をクリックします。

例として示した企業、組織、製品、ドメイン名、電子メールアドレス、ロゴ、人、場所およびイベントはすべて架空の存在です。実在の企業、組織、製品、ドメイン名、電子メールアドレス、ロゴ、人、場所、またはイベントとの関連性を意図したり、暗示することはありません。

ページのトップへ

  • Last updated on