ISA 2006 Konfigurations Problem in Domäne
Folgende Problematik:
Domäne mit SBS2003 daneben ein ISA 2006 auf einem Server 2003 Standard Edition als Member Server in der Domäne.
Das DSL Modem ist an der "extern" Karte direkt angeschlossen. Der ISA ist auch in der Lage im Internet zu surfen.
Jedoch der Domänen Controller kann nur ins Internet wenn er den Firewall Client installiert bekommt, was aber zur folge hat, daß seine DNS Funktion völlig auser Kraft gesetzt wird, und er auch keine eMails ins Internet schickt oder über den POP3 Connector abholt.
Warum geht der DC nicht via "Webproxy" Client ins Internet wenn ich ihm die IP mit Port 8080 als ProxyServer eintrage?
Wo ist mein Denkfehler, oder hab ich irgendwo nen Haken gesetzt wo keiner hin soll?
Bei den ClientPCs denke ich ist das mit dem Firewall Client hinterher kein Problem, daß diese ins Internet können.
Gruß
Wolfgang
Domäne mit SBS2003 daneben ein ISA 2006 auf einem Server 2003 Standard Edition als Member Server in der Domäne.
Das DSL Modem ist an der "extern" Karte direkt angeschlossen. Der ISA ist auch in der Lage im Internet zu surfen.
Jedoch der Domänen Controller kann nur ins Internet wenn er den Firewall Client installiert bekommt, was aber zur folge hat, daß seine DNS Funktion völlig auser Kraft gesetzt wird, und er auch keine eMails ins Internet schickt oder über den POP3 Connector abholt.
Warum geht der DC nicht via "Webproxy" Client ins Internet wenn ich ihm die IP mit Port 8080 als ProxyServer eintrage?
Wo ist mein Denkfehler, oder hab ich irgendwo nen Haken gesetzt wo keiner hin soll?
Bei den ClientPCs denke ich ist das mit dem Firewall Client hinterher kein Problem, daß diese ins Internet können.
Gruß
Wolfgang
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81640
Url: https://administrator.de/contentid/81640
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo Wolfgang,
erstmal lege dich dir ans Herz vor deinen ISA nochmal ein Transfernetz zuhängen. Also sprich ein Router nach dem DSL-Modem. => INTERNET--DSL MODEM --- Router --- SERVer. Somit bist du auf jeden Fall auf der sicheren Seite. Denn ich denke nicht, dass du gleich auf Anhieb den ISA Server sauber konfigurierten wirst.
Somit hast du zwischen ISA und Router ein kl. Transfernetz. Als Router empfehle ich dir entweder Linksys oder Cisco. Denn ein Modem hast du bereits. die WAN Schnittstelle sollte je nach DSL Speed 100MBit sein. So dass du auch später mal 25, 50MBit haben kannst ohne neue Geräte kaufen zu müssen.
Nun zum eigentlichen Problem:
Wie genau sieht denn deine LAN-Infrastruktur aus? Hängt der ISA getrennt vom den LAN-Clients am SBS oder im gleichen Netz wie die Clients?! Oder aber hast du durch einen Switch die Server und Clients getrennt?!
Grüße
Dani
erstmal lege dich dir ans Herz vor deinen ISA nochmal ein Transfernetz zuhängen. Also sprich ein Router nach dem DSL-Modem. => INTERNET--DSL MODEM --- Router --- SERVer. Somit bist du auf jeden Fall auf der sicheren Seite. Denn ich denke nicht, dass du gleich auf Anhieb den ISA Server sauber konfigurierten wirst.
Somit hast du zwischen ISA und Router ein kl. Transfernetz. Als Router empfehle ich dir entweder Linksys oder Cisco. Denn ein Modem hast du bereits. die WAN Schnittstelle sollte je nach DSL Speed 100MBit sein. So dass du auch später mal 25, 50MBit haben kannst ohne neue Geräte kaufen zu müssen.
Nun zum eigentlichen Problem:
Wie genau sieht denn deine LAN-Infrastruktur aus? Hängt der ISA getrennt vom den LAN-Clients am SBS oder im gleichen Netz wie die Clients?! Oder aber hast du durch einen Switch die Server und Clients getrennt?!
Grüße
Dani
Hi!
Gut...das du den Gedanken schon hast...verlier ihn bloß nicht!
Also dann sollte das Ganze kein Hexenwerk sein. Also erstmal finde ich es gut, dass du DHCP einsetzt. Somit kannst du darüber das GW (ISA Server) vergeben. Sprich wenn du den ISA so installierst, dass kein ISA Client benötigt wird, wird die Sache für dich einfacher. Das Client Tool kannst du später immer noch nachziehen. Empfehle ich dir auch so zu machen....
An den Clients bzw. Server sollte es reichen, wenn du bei LAN-Einstellungen den Haken "Auto. Einstellunge suchen" setzt. Sprich der Client wird direkt das GW ansprechen und darüber läuft auch der Internetzugang. Das Ganze Port-Zeugs-Dings-Bums-Da brauchst du wirklich nur, wenn du ein komplexes Netz bzw. mehrere Proxys hast (z.B. für Internet über einen VPN-Tunnel, etc...).
Des Weiteren richte mal folgende Regeln ein. Somit wird sichergestellt, dass im LAN selber keine Einschränkungen am Datenverkehr gibt. ....
Grüße
Dani
Gut...das du den Gedanken schon hast...verlier ihn bloß nicht!
Also dann sollte das Ganze kein Hexenwerk sein. Also erstmal finde ich es gut, dass du DHCP einsetzt. Somit kannst du darüber das GW (ISA Server) vergeben. Sprich wenn du den ISA so installierst, dass kein ISA Client benötigt wird, wird die Sache für dich einfacher. Das Client Tool kannst du später immer noch nachziehen. Empfehle ich dir auch so zu machen....
An den Clients bzw. Server sollte es reichen, wenn du bei LAN-Einstellungen den Haken "Auto. Einstellunge suchen" setzt. Sprich der Client wird direkt das GW ansprechen und darüber läuft auch der Internetzugang. Das Ganze Port-Zeugs-Dings-Bums-Da brauchst du wirklich nur, wenn du ein komplexes Netz bzw. mehrere Proxys hast (z.B. für Internet über einen VPN-Tunnel, etc...).
Des Weiteren richte mal folgende Regeln ein. Somit wird sichergestellt, dass im LAN selber keine Einschränkungen am Datenverkehr gibt. ....
Grüße
Dani
Also,
mach erstmal folgendes:
1.) Gib der externen Karte irgendeine IP-Adresse + Subnetzmaske. Am Bestne gleich eine so vergeben, dass du später einfach den Router dazubauehn kannst (z.B. 10.11.222.2 255.255.255.252). Gateway lässt du leer und DNS ein öffentlichen.
Auf dem Internen Karte hinterlegst du als Gateway die obere IP-Adresse und als 1. DNS den DC als 2. DNS einen öffentlich DNS.
2.) Werfe denn ISA nochmal runter und schaue erstmal, dass du das Ganze mit Routing-RAS Dienst zum Laufen bringst. Wenn das nämlich funktioniert, ist die ISA Sache einfacher bzw. du weißt schon mal das es geht!! RAS ist auch soweit ich weiß Grundvorraussetzung.
3.) ISA installieren und Regeln anlegen.
Die Sache mit den Ports vergiss mal schnell wieder! Verursacht nur PRobleme und bringt nichts!
Gruß
Dani
mach erstmal folgendes:
1.) Gib der externen Karte irgendeine IP-Adresse + Subnetzmaske. Am Bestne gleich eine so vergeben, dass du später einfach den Router dazubauehn kannst (z.B. 10.11.222.2 255.255.255.252). Gateway lässt du leer und DNS ein öffentlichen.
Auf dem Internen Karte hinterlegst du als Gateway die obere IP-Adresse und als 1. DNS den DC als 2. DNS einen öffentlich DNS.
2.) Werfe denn ISA nochmal runter und schaue erstmal, dass du das Ganze mit Routing-RAS Dienst zum Laufen bringst. Wenn das nämlich funktioniert, ist die ISA Sache einfacher bzw. du weißt schon mal das es geht!! RAS ist auch soweit ich weiß Grundvorraussetzung.
3.) ISA installieren und Regeln anlegen.
Die Sache mit den Ports vergiss mal schnell wieder! Verursacht nur PRobleme und bringt nichts!
Gruß
Dani
Moin Wolfgang,
also wenn du die Regeln so eingetragen hast, wie von mir beschrieben sollten alle Dienste im LAN ohne weiteres laufen (ist mal bei unserem ISA-Cluster hier auch so).
Was genau meinst du mit POP/SMTP Zugriff?! Auf den lokalen Server oder ins Internet?! Oder meinst du den Exchange?!
Grüße
Dani
P.S. @all: ISA ist eben nicht ein kl. Klick-Klick Tool wo man eben mal schnell den Internzugriff und die Kommunikation der Clients definiert!! Wofür gibt es wohl die Schulungen?!
also wenn du die Regeln so eingetragen hast, wie von mir beschrieben sollten alle Dienste im LAN ohne weiteres laufen (ist mal bei unserem ISA-Cluster hier auch so).
Was genau meinst du mit POP/SMTP Zugriff?! Auf den lokalen Server oder ins Internet?! Oder meinst du den Exchange?!
Grüße
Dani
P.S. @all: ISA ist eben nicht ein kl. Klick-Klick Tool wo man eben mal schnell den Internzugriff und die Kommunikation der Clients definiert!! Wofür gibt es wohl die Schulungen?!
Welche Dienst genau?! Mit den 3 Regeln gehen auf jeden Fall ALLE Lan-Dienste (Outlook-Exchange, Datenshare, DHCP, DNS, etc...).
Also versenden über SMTP sollte vom Exchange ausgehen. Natürlich nur, wenn der Exchange und ISA auf der selben Maschine läuft. Ansonsten erstellst du einfach eine Regel von Computer x nach Extern über das Protokoll SMTP alles zulassen. Somit klappt das versenden. Du kannst das natürlich auch auf den ISP Server beschränken.
Zum Empfangen erstellst du einfach eine Regel, von Extern auf den Exchange Server mit den Protokoll POP3. Auch hier kannst du das wieder schärfer einstellen. Somit sollte der Empfang wieder klappen. Ansonsten könnte es sein, dass du einen Listner brauchst.
Es gibt glaub rechts in der Hilfeleiste eine Option "Exchange veröffentlichen"....sollte damit auch gehen.
VPN Gehälter Geschichte?! Das musst du mir mal erklären....versteh ich nicht.
Gruß
Dani
Also versenden über SMTP sollte vom Exchange ausgehen. Natürlich nur, wenn der Exchange und ISA auf der selben Maschine läuft. Ansonsten erstellst du einfach eine Regel von Computer x nach Extern über das Protokoll SMTP alles zulassen. Somit klappt das versenden. Du kannst das natürlich auch auf den ISP Server beschränken.
Zum Empfangen erstellst du einfach eine Regel, von Extern auf den Exchange Server mit den Protokoll POP3. Auch hier kannst du das wieder schärfer einstellen. Somit sollte der Empfang wieder klappen. Ansonsten könnte es sein, dass du einen Listner brauchst.
Es gibt glaub rechts in der Hilfeleiste eine Option "Exchange veröffentlichen"....sollte damit auch gehen.
VPN Gehälter Geschichte?! Das musst du mir mal erklären....versteh ich nicht.
Gruß
Dani
Moin Wolfgang,
hab dich nicht vergessen...aber meine Zeit ist zur Zeit sehr beschränkt. Welches Protokoll fährst du denn VPN seitig? PPTP oder L2TP?! Hast du am ISA den VPN-Zugang, etc... sauber konfiguriert?
Funktioniert die VPN-Verbindung vom LAN aus? Sprich kann dort ein Client eine Verbindung aufbauen. Ansonsten, können die Clients im LAN nun ohne Probleme arbeiten?
Grüße
Dani
hab dich nicht vergessen...aber meine Zeit ist zur Zeit sehr beschränkt. Welches Protokoll fährst du denn VPN seitig? PPTP oder L2TP?! Hast du am ISA den VPN-Zugang, etc... sauber konfiguriert?
Funktioniert die VPN-Verbindung vom LAN aus? Sprich kann dort ein Client eine Verbindung aufbauen. Ansonsten, können die Clients im LAN nun ohne Probleme arbeiten?
Grüße
Dani
Moin Wolfgang,
ich fang einfach nochmal von vorne an, da wir uns glaube verrannt haben.
An deiner Stelle würde die Option mal deaktivieren solange bis alles ohne Client funktioniert!!
Im ISA lasse estmal die Webproxy Einstellungen so, wie sie nach der Installation war - deaktviert. Somit brauchst du auch nichts an den Clients verstellen. Wichtig ist,
IP-Adresse: 172.17.127.135
Subnetzmaske: 255.255.255.0
GW: Leer
DNS: 172.17.127.130
Externe Adapter:
IP-Adresse: xxx.xxx.xxx.xxx
Subnetzmaske: 255.255.255.252
GW: Router
DNS: Router
Somit sollte das Internet problemlos ohne Portangaben, etc...funktionieren.
Ansonsten bitte mal einen Netzplan hochladen. Gibt es die Möglichkeit selbst mal Hand anzulegen an dem Netz, z.B. über Hamatchi?
Grüße
Dani
ich fang einfach nochmal von vorne an, da wir uns glaube verrannt haben.
Jedoch der Domänen Controller kann nur ins Internet wenn er den Firewall Client installiert
bekommt
Klar, wenn du das so bei der ISA Installation gewünscht hast....ist aber normal nicht erforderlich, solange du nur ein ISA hast bzw. ein kl. Netz.bekommt
An deiner Stelle würde die Option mal deaktivieren solange bis alles ohne Client funktioniert!!
Im ISA lasse estmal die Webproxy Einstellungen so, wie sie nach der Installation war - deaktviert. Somit brauchst du auch nichts an den Clients verstellen. Wichtig ist,
was aber zur folge hat, daß seine DNS Funktion völlig auser Kraft gesetzt wird
Was meinst du damit? Den DNS-Dienst vom Server? Du musst natürlich den DNS Dienst vom DC bei allen Clients hinterlegen. Auf dem Server selber richtest als prim. DNS die 127.0.0.1 ein und als Alternativen den ISA Server.Ich habe nun einen dlink-624 Router zwischen geschaltet für das von Dani angesprochene
kleine "Transfernetz" hat seine Vorteile stellte ich fest.
Sehr schön....nun solltest du folgenden Einstellungen am internen Adapter haben:kleine "Transfernetz" hat seine Vorteile stellte ich fest.
IP-Adresse: 172.17.127.135
Subnetzmaske: 255.255.255.0
GW: Leer
DNS: 172.17.127.130
Externe Adapter:
IP-Adresse: xxx.xxx.xxx.xxx
Subnetzmaske: 255.255.255.252
GW: Router
DNS: Router
Somit sollte das Internet problemlos ohne Portangaben, etc...funktionieren.
Ansonsten bitte mal einen Netzplan hochladen. Gibt es die Möglichkeit selbst mal Hand anzulegen an dem Netz, z.B. über Hamatchi?
Grüße
Dani