semasoft
Goto Top

DNS-Problem mit Forefront TMG 2010

Hallo zusammen,
ich arbeite mich gerade in Forefront TMG 2010 ein. Hierzu habe ich in unserer Domäne einen Win2k8 R2 Server mit Forefront TMG 2010 aufgesetzt.
Vielleicht entdeckt jemand von den Profis (m)einen Konfigurationsfehler. Ich sehe den Wald vor lauter Bäumen nicht mehr.

Ich habe den Forefront TMG in der Option "Lastenausgleich mit Failover" konfiguriert.

Zur Domäne:
2 Win2k8 Domänencontroller. Beide mit aufgesetztem DNS und WINS.
Einer davon arbeitet als DHCP-Server. Über die DHCP-Optionen werden die DNS-Server sowie der Router vergeben.
Als Router habe ich die IP des Forefront TMG eingetragen.

DC-1:
IP: 192.168.1.1
DNS-Server, WINS-Server und DHCP-Server

DC-2:
IP: 192.168.1.2
DNS-Server und WINS-Server

Der Forefront TMG:
Der Server ist Mitglied der Domäne.
Es sind drei Netzwerkkarten installiert.
IP der Netzwerkkarte für das interne Netz: 192.168.1.3
Subnetz: 255.255.255.0
DNS-Server: 192.168.1.1
WINS-Server: 192.168.1.1
Gateway: Keiner

1. Netzwerkkarte für den Internetzugriff: Diese hängt an einer T-Com ADSL-Leitung.
Diese ist mit einer Fritz!Box 7050 verbunden
IP-Adresse der Fritz!Box: 192.168.69.254
IP-Adresse der NW-Karte: 192.168.69.1
Subnetz: 255.255.255.0
Gateway: 192.168.69.254
DNS-Server: Keiner

2. Netzwerkkarte für den Internetzugriff:
Diese ist mit einer Fritz!Box 7170 verbunden. Diese hängt an einer 1und1 ADSL-Leitung.
IP-Adresse der Fritz!Box: 192.168.70.254
IP-Adresse der NW-Karte: 192.168.70.1
Subnetz: 255.255.255.0
Gateway: 192.168.70.254
DNS-Server: Keiner

In der Forefront-Verwaltungskonsole unter "Vernetzung" => "Routing" habe ich zwei Netzwerktopologierouten angelegt:
1.
Ziel: 192.168.69.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.150.188 (öffentlicher DNS-Server)

2.
Ziel: 192.168.70.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.151.142 (öffentlicher DNS-Server)

Forefront zeigt mir beide Verbindungen als aktiv an. In der Übersicht der Konsole sind keine Fehler oder Warnungen zu sehen. Im Menü der beiden Fritz!Boxen kann ich sehen, dass die DSL-Verbindungen aufgebaut sind.
Die Firewallrichtlinienreihenfolge des Forefront TMG:
Nr.1: Blockierte Webziele (HTTP, HTTPS). Dort sind die Vorgaben von Forefront TMG übernommen worden (Gewalt, etc)
Nr.2: Webzugriff für alle Benutzer zulassen (HTTP, HTTPS). Dort ist eine Domänen-Benutzergruppe hinzugefügt worden die die berechtigten User enthält.
Nr.3: Standardregel. Gesamter Datenverkehr blockieren, alle Netze, alle User

Auf den Clients habe ich im IE unter "Extras" => "Internetoptionen" => "Verbindungen" in den LAN-Einstellungen als Proxyserver die IP des Forefront TMG (192.168.1.3) sowie den Port 8080 eingegeben. Für lokale Adressen wird der Proxy umgangen.

Keiner der Clients kann sich jedoch irgendeine Website anzeigen lassen. Es erscheint eine Meldung von Forefront TMG:
Fehlercode: 11001, Host nicht gefunden
Quelle: DNS-Fehler
Über nslookup können die Websites ebenfalls nicht aufgelöst werden.

Wenn ich versuche eine Website aufzurufen welche unter die Firewallregel 1 fällt, quittiert mir dies Forefront entsprechend. Das bedeutet doch, dass Forefront diese Seite überprüft, entsprechend einstuft und die Meldung an den User weitergibt. Somit hat Forefront selbst doch Zugriff aufs www.

Ich bin alles wieder und wieder durchgegangen, finde aber den Fehler nicht. Muss ich vielleicht in den Fritz!Boxen irgendetwas um- oder einstellen?
Habe ich in der Konfiguration der Firewall einen Fehler gemacht?

Sorry für den langen Text, aber es sollen ja schliesslich alle Infos vorhanden sein.

Wäre toll, wenn mich jemand auf den Fehler schubbsen könnte.
face-wink

Besten Dank im Voraus
Joachim

Content-ID: 155950

Url: https://administrator.de/forum/dns-problem-mit-forefront-tmg-2010-155950.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

crazybob
crazybob 29.11.2010 um 15:23:22 Uhr
Goto Top
"Lastenausgleich mit Failover" bezieht sich meines Wissens nach auf ein Array von mindestens 2 TMGs und nicht auf mehrere Internetanschlüsse an einem Rechner.

Damit DNS funktioniert musst du eine entsprechende Zugriffsregel für die DNS-Server 192.168.1.1 und 192.168.1.2 nach EXTERN erlauben.
Semasoft
Semasoft 29.11.2010 um 15:53:49 Uhr
Goto Top
Danke für die Antwort.
Ich habe das Buch "Forefront Threat Management Gateway 2010" von den Autoren Grote, Gröbner und Rauscher aus der Microsoft Press hier. Darin wird der Fall mit den 2 DSL-Anschlüssen auf einem einzelnen Forefront Server beschrieben. Daher denke ich, dass es funktionieren muss. Ich habe das Szenario mehrfach überprüft und finde keinen Fehler.

Laut dem Buch sollte mit diesen Einstellungen der DNS-Zugriff auf externe DNS-Server gewährleistet sein:
In der Forefront-Verwaltungskonsole unter "Vernetzung" => "Routing" habe ich zwei Netzwerktopologierouten angelegt:
1.
Ziel: 192.168.69.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.150.188 (öffentlicher DNS-Server)

2.
Ziel: 192.168.70.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.151.142 (öffentlicher DNS-Server)


Ich sehe mir das nochmals an ...

Viele Grüße
Semasoft
Semasoft 10.03.2011 um 13:36:14 Uhr
Goto Top
Sorry, hatte den Thread völlig vergessen.
Das Problem ist gelöst.

Die Netzwerktopologierouten waren falsch.
Richtig muss es lauten:
1.
Ziel: 217.237.150.188 (öffentlicher DNS-Server)
Netzwerkmaske: 255.255.255.255
Gateway: 192.168.69.254
2.
Ziel: 217.237.151.142 (öffentlicher DNS-Server)
Netzwerkmaske: 255.255.255.255
Gateway: 192.168.70.254

Jetzt rennt das Ding.
face-wink