Ein weiterer Dauerbrenner als Frage in den Newsgroups und Foren ist, wie man ISA Server mit zwei Internetanbindungen betreiben kann. Warum will man sowas machen? Hier ein paar Beispiele dazu:
- Eine Firma hat einerseits eine synchrone 10 MBit/s-Internetanbindung mit festen IP-Adressen und Flatrate. Diese Anbindung ist primär für E-Mail, Webveröffentlichungen (Sharepoint, OWA etc) und VPN-Verbindungen vorgesehen, da sie ja genügend Bandbreite liefert. Zusätzlich existiert noch ein 18MBit/s-DSL-Anschluß mit Flatrate. Da der für’s websurfen viel schneller ist, soll der Web-Verkehr auch darüber geroutet werden.
- Eine Firma hat eine synchrone 2 MBit/s-Internetanbindung mit Volumentarif und festen IP-Adressen. Diese Anbindung ist primär für E-Mail, Webveröffentlichungen (Sharepoint, OWA etc) und VPN-Verbindungen vorgesehen, da sie statische IPs hat und der Konfigurationsaufand dadurch vereinfacht wird. Für den ausgehenden Webverkehr soll eine 18 MBit/s-DSL-Anbindung mit Flatrate verwendet werden.
- Ein Unternehmen hat 2 synchrone Internetanbindungen und jeweils statischen IP Adressen. Die zweite Anbindung soll für Ausfallsicherheit sorgen oder zur Lastverteilung verwendet werden.
Es gibt natürlich noch viele andere Anwendungsbeispiele.
Kann ISA Server sowas?
Äh….klares Nein :-(
ISA Server kann von sich aus nur eine externe Anbindung verwalten. Das liegt aber eher am Windows Server, der nur ein Default Gateway haben kann. Daher kann ISA Server ein- und ausgehende Pakete nicht sauber routen und zuordnen. Es gab mal die Software RainConnect von Rainfinity, die geniale Möglichkeiten bot. Ausfallsicherheit, mehrere ISPs und sogar Anpassung der DNS-Einträge. RainConnect wurde von EMC aufgekauft und das Produkt eingestampft. Schade eigentlich.
Aber es gibt Möglichkeiten, dieses Problem zu umgehen!
Der einfachste Weg ist, vor den ISA Server einen Router zu hängen, der das kann. Je nach Anforderungen kann das ein Cisco Router, Netgear oder SonicWALL (oder was es sonst noch alles gibt) sein. Damit lassen sich erstmal problemlos Ausfallsicherheit und Lastverteilung erreichen. Etwas schwieriger wird es mit protokollabhängigem Routing. Aber auch das sollte mit einem geeigneten Gerät machbar sein.
Die andere Alternative ist natürlich, einen zweiten ISA Server einzusetzen. Einer übernimmt dann beispielsweise alle statischen Anbindungen und Dienste wie OWA, Mail und VPN, der zweite kümmert sich um den ausgehenden Clientverkehr. Das kann man dann intern einfach über das Default Gateway der Clients konfigurieren. Oder man trägt den zweiten ISA als Webproxy ein. Oder man nutzt am ersten ISA eine Webverkettung zum zweiten. Viele Möglichkeiten.
Ob eine künftige Version von ISA Server eine solche Funktionalität mitbringt ist unklar. Wir MVPs haben dieses Feature schon seit vielen Jahren auf unserer Wunschliste ganz oben stehen. Gleich neben dem Problem, dass ISA Server für ausgehenden Verkehr grundsätzlich die erste konfigurierte IP-Adresse des Windows Servers verwendet. Aber dieses Thema behandle ich demnächst in einem eigenen Blogeintrag.
Wer Fragen oder Anregungen zu der Thematik der mehrfachen Internetanbindungen hat, kann das gerne in der deutschsprachigen ISA Server Newsgroup mit uns/mir diskutieren. Wir freuen uns über jede Anregung!
Viele Grüße
Dieter
—
Dieter Rauscher
MVP Forefront