最終更新日: 2003年7月7日
Microsoft ISA Server 2000 Feature Pack 1 バージョン 1
このシナリオでは、パブリック IP アドレスを持ち境界領域のネットワークに配置されている Web サーバーを公開します。Web サーバーでは、HTTP 要求と HTTPS 要求の両方を扱うことができます。
境界領域のネットワーク (DMZ、非武装地帯、およびスクリーンサブネットとも呼ばれます) は、組織のプライベートネットワークやインターネットとは別にセットアップされる、小規模なネットワークです。境界領域のネットワークは、境界領域のネットワーク内の特定のサーバーへの外部ユーザーのアクセスを許可する一方で、内部の社内ネットワークへの外部ユーザーのアクセスを防ぎます。
トピック
このシナリオでは、マルチホーム境界領域のネットワークについて説明します。マルチホーム境界領域のネットワークの ISA Server コンピュータでは、3 つのネットワークアダプタを使用します。
1 つのアダプタを、内部の社内ネットワークに接続します。
1 つのアダプタを、境界領域のネットワークに配置されている社内ネットワークのサーバーに接続します。境界領域のネットワークのインターネットプロトコル (IP) アドレスがローカルアドレステーブル (LAT) に含まれていてはなりません。
1 つのアダプタを、インターネットに接続します。
図は、この境界領域のネットワークシナリオを示しています。
.gif)
ハードウェアの構成
Web サーバーをマルチホーム境界領域のネットワークシナリオで公開するには、次のものが必要です。
インターネットへの接続
ISA Server コンピュータとして使用する 1 台のコンピュータ。ISA Server コンピュータには、3 つのネットワークアダプタが必要です。1 つのアダプタをインターネットに、もう 1 つのアダプタを境界領域のネットワークに、残りの 1 つを内部ネットワークに接続します。
境界領域のネットワークに配置された、Web サーバーとして使用するコンピュータ
セットアップをテストするための、ネットワークの外部に配置され、インターネットに接続されているコンピュータ
ソフトウェア要件
ISA Server コンピュータには、Microsoftョ Windowsョ 2000 Server、Windows 2000 Advanced Server、または Windows Server 2003 と Service Pack 1 が適用された ISA Server がインストールされている必要があります。Web サーバーには、Windows 2000 Server、Windows 2000 Advanced Server、または Windows Server 2003 がインストールされている必要があります。Web サイトの公開に使用するインターネットインフォメーションサービス (IIS) は、Windows 2000 Server、Windows 2000 Advanced Server、および Windows Server 2003 に含まれています。
注意 SSL を使用してセキュリティ保護された Web ページを公開する予定がある場合は、境界領域の Web サーバーに SSL 証明書をインストールする必要があります。SSL 証明書のインストールの詳細については、Digital_Certificates_for_ISA.doc を参照してください。
Web サーバーコンピュータには、パブリック IP アドレスが必要です。
作業を始める前に
短時間で構成するために、次の情報をあらかじめ準備しておいてください。
ISA Server の境界領域のネットワークアダプタの IP アドレス
ISA Server コンピュータの外部 IP アドレス (インターネットに接続されているアダプタのアドレス)
境界領域のネットワーク上の Web サーバーのパブリック IP アドレス
注意 これらの作業を行うには、管理者特権が必要です。
手順
次の手順に従い、境界領域のネットワークで Web サーバーを公開します。
手順 1. IIS を使用して Web サイトを作成する
詳細については、IIS のマニュアルを参照してください。
手順 2. パケットフィルタと IP ルーティングを有効にする
マルチホーム境界領域のネットワークでは、Web 公開ルールを使用して Web サーバーへのアクセスを許可できません。その代わりに、パケットフィルタと IP ルーティング (オプション) を有効にして、境界領域のネットワークで特別に通過させるパケットを指定するパケットフィルタを作成します。
[ISA の管理] コンソールツリーで、[IP パケットフィルタ] を右クリックします。
[プロパティ] をクリックします。
[全般] タブで、[パケットフィルタを有効にする] チェックボックスをオンにします。
(省略可) [IP ルーティングを有効にする] チェックボックスをオンにします。選択すると、二次接続のルーティングが有効になります。IP ルーティングに関する重要なセキュリティ情報については、この後の注を参照してください。
(省略可) アタックの検出、IP フラグメントのフィルタ、IP オプションのフィルタ、または許可フィルタからのパケットのログを有効にすることもできます。これらのオプションの詳細については、ISA Server のマニュアルを参照してください。
[OK] をクリックします。
注意 ルーティングとパケットフィルタの両方を有効にしてください。ルーティングが有効でパケットフィルタが無効の場合、ISA Server 経由のルーティングはファイアウォールで保護されません。
手順 3. 許可パケットフィルタを作成する
許可パケットフィルタは、ISA Server コンピュータと Web サーバー間の HTTP 通信または HTTPS 通信を許可します。HTTP 通信と HTTPS 通信を両方とも許可するには、2 つのパケットフィルタを作成する必要があります。
[ISA の管理] コンソールツリーで、[IP パケットフィルタ] を右クリックし、[新規作成] をポイントし、[フィルタ] をクリックして、[新しい IP パケットフィルタウィザード] を起動します。
「境界領域の Web サーバーのパケットフィルタ」などのパケットフィルタの名前を入力し、[次へ] をクリックします。
[フィルタのモード] ページで、既定の [パケット転送を許可するフィルタ] オプションが選択されていることを確認します。[次へ] をクリックします。
[フィルタの種類] ページで、[定義済みのフィルタ] を選択し、定義済みのプロトコルの一覧から [HTTP サーバー (ポート 80)] を選択し、[次へ] をクリックします。
[ローカルコンピュータ] ページで [指定したコンピュータ (境界領域のネットワーク上)] を選択し、境界領域のネットワーク上の Web サーバーのパブリック IP アドレスを入力し、[次へ] をクリックします。
[リモートコンピュータ] ページで [すべてのリモートコンピュータ] を選択し、[次へ] をクリックします。
[要約] ページの情報を確認して [完了] をクリックします。
SSL を使用してセキュリティ保護されたページも公開する場合は、上記の手順を繰り返してもう 1 つフィルタを定義します。[フィルタの種類] ページで、[定義済みのフィルタ] を選択し、定義済みのプロトコルの一覧から [HTTPS サーバー (ポート 443)] を選択します。
手順 4. ISA Server を Web サーバーのデフォルトゲートウェイとして構成する
この手順を Web サーバーで実行し、ISA Server の境界領域のネットワークアダプタを Web サーバーのデフォルトゲートウェイとして構成します。
Web サーバーで、[ネットワークとダイヤルアップ接続] を開きます ([スタート] ボタンをクリックし、[設定] をポイントして、[コントロールパネル] をクリックしてから、[ネットワークとダイヤルアップ接続] アイコンをダブルクリックします)。
[ローカルエリア接続] を右クリックし、[プロパティ] を選択します。
[インターネットプロトコル (TCP/IP)] をクリックして強調表示し、[プロパティ] をクリックしてプロパティを表示します。
[デフォルトゲートウェイ] ボックスに ISA Server の境界領域のネットワークアダプタの IP アドレスを入力します。これは、Web サーバーを ISA Server コンピュータに接続するアダプタです。
[OK] をクリックして [インターネットプロトコル(TCP/IP) のプロパティ] ページを閉じます。
[OK] をクリックして [ローカルエリア接続のプロパティ] ページを閉じます。
[閉じる] をクリックして [ローカルエリア接続のプロパティ] ページを閉じます。
手順 5. Web ページをテストする
外部コンピュータでインターネットブラウザを開きます。ブラウザのアドレスフィールドに、Web サイトの URL、または Web サーバーのパブリック IP アドレスを入力します。Web ページが読み込まれた場合は、公開のセットアップは正しく構成されています。Web サイトを表示できない場合は、これまでのすべての手順に従っていることを確認します。それでも Web サイトを表示できない場合は、Troubleshooting_Web_Publishing.doc を参照してください。