ringi1970
Goto Top

ISA 2006 Konfigurations Problem in Domäne

Folgende Problematik:

Domäne mit SBS2003 daneben ein ISA 2006 auf einem Server 2003 Standard Edition als Member Server in der Domäne.
Das DSL Modem ist an der "extern" Karte direkt angeschlossen. Der ISA ist auch in der Lage im Internet zu surfen.
Jedoch der Domänen Controller kann nur ins Internet wenn er den Firewall Client installiert bekommt, was aber zur folge hat, daß seine DNS Funktion völlig auser Kraft gesetzt wird, und er auch keine eMails ins Internet schickt oder über den POP3 Connector abholt.
Warum geht der DC nicht via "Webproxy" Client ins Internet wenn ich ihm die IP mit Port 8080 als ProxyServer eintrage?
Wo ist mein Denkfehler, oder hab ich irgendwo nen Haken gesetzt wo keiner hin soll?
Bei den ClientPCs denke ich ist das mit dem Firewall Client hinterher kein Problem, daß diese ins Internet können.

Gruß
Wolfgang

Content-ID: 81640

Url: https://administrator.de/contentid/81640

Ausgedruckt am: 14.11.2024 um 01:11 Uhr

Dani
Dani 26.02.2008 um 10:21:56 Uhr
Goto Top
Hallo Wolfgang,
erstmal lege dich dir ans Herz vor deinen ISA nochmal ein Transfernetz zuhängen. Also sprich ein Router nach dem DSL-Modem. => INTERNET--DSL MODEM --- Router --- SERVer. Somit bist du auf jeden Fall auf der sicheren Seite. Denn ich denke nicht, dass du gleich auf Anhieb den ISA Server sauber konfigurierten wirst.

Somit hast du zwischen ISA und Router ein kl. Transfernetz. Als Router empfehle ich dir entweder Linksys oder Cisco. Denn ein Modem hast du bereits. die WAN Schnittstelle sollte je nach DSL Speed 100MBit sein. So dass du auch später mal 25, 50MBit haben kannst ohne neue Geräte kaufen zu müssen.

Nun zum eigentlichen Problem:
Wie genau sieht denn deine LAN-Infrastruktur aus? Hängt der ISA getrennt vom den LAN-Clients am SBS oder im gleichen Netz wie die Clients?! Oder aber hast du durch einen Switch die Server und Clients getrennt?!


Grüße
Dani
Ringi1970
Ringi1970 26.02.2008 um 10:33:14 Uhr
Goto Top
Die Server sind alle im selben Netz (auch die Client PCs)

DC (auch DNS): 172.17.127.130
ISA (welcher als Gateway im DC angegeben ist): 172.17.127.135
Clients: 172.17.127.x (per DHCP)

Die Sache mit dem Router habe ich auch schon im Hinterkopf, aber vorerst möchte ich das ganze mal funktionstüchtig (wenn auch nicht hundertpro sicher) stehen haben.

Gruß
Wolfgang
Dani
Dani 26.02.2008, aktualisiert am 18.10.2012 um 18:35:25 Uhr
Goto Top
Hi!
Gut...das du den Gedanken schon hast...verlier ihn bloß nicht!

Also dann sollte das Ganze kein Hexenwerk sein. face-smile Also erstmal finde ich es gut, dass du DHCP einsetzt. Somit kannst du darüber das GW (ISA Server) vergeben. Sprich wenn du den ISA so installierst, dass kein ISA Client benötigt wird, wird die Sache für dich einfacher. Das Client Tool kannst du später immer noch nachziehen. Empfehle ich dir auch so zu machen....

An den Clients bzw. Server sollte es reichen, wenn du bei LAN-Einstellungen den Haken "Auto. Einstellunge suchen" setzt. Sprich der Client wird direkt das GW ansprechen und darüber läuft auch der Internetzugang. Das Ganze Port-Zeugs-Dings-Bums-Da brauchst du wirklich nur, wenn du ein komplexes Netz bzw. mehrere Proxys hast (z.B. für Internet über einen VPN-Tunnel, etc...).

Des Weiteren richte mal folgende Regeln ein. Somit wird sichergestellt, dass im LAN selber keine Einschränkungen am Datenverkehr gibt. ....


Grüße
Dani
Ringi1970
Ringi1970 26.02.2008 um 12:53:30 Uhr
Goto Top
hui! das hat mich jetzt ein Stückel weit weit weiter gebracht, ABER:
Jetzt bin ich ziemlich baff:
Die Interne Netzwerkkarte hat ja die 172.17.127.135
an der externen Karte ist das DSL Modem angeschlossen und bezieht seine IP via DHCP,
hat aber unter ipconfig /all die 172.17.127.164
Gebe ich diese als Proxy mit Port 8080 an, dann funktioniert das ganze...
Wie bekomme ich das nun in Griff, daß sich der ISA auf der .135 im internen Netz identifiziert?
Dani
Dani 26.02.2008 um 13:14:06 Uhr
Goto Top
Also,
mach erstmal folgendes:

1.) Gib der externen Karte irgendeine IP-Adresse + Subnetzmaske. Am Bestne gleich eine so vergeben, dass du später einfach den Router dazubauehn kannst (z.B. 10.11.222.2 255.255.255.252). Gateway lässt du leer und DNS ein öffentlichen.

Auf dem Internen Karte hinterlegst du als Gateway die obere IP-Adresse und als 1. DNS den DC als 2. DNS einen öffentlich DNS.

2.) Werfe denn ISA nochmal runter und schaue erstmal, dass du das Ganze mit Routing-RAS Dienst zum Laufen bringst. Wenn das nämlich funktioniert, ist die ISA Sache einfacher bzw. du weißt schon mal das es geht!! RAS ist auch soweit ich weiß Grundvorraussetzung.

3.) ISA installieren und Regeln anlegen.

Die Sache mit den Ports vergiss mal schnell wieder! Verursacht nur PRobleme und bringt nichts!


Gruß
Dani
Ringi1970
Ringi1970 27.02.2008 um 08:38:48 Uhr
Goto Top
Hey Dani,

danke mal. Hatte das gestern dann mal bedingt zum laufen gebracht. Habe die vom DHCP vergebene IP mal an paar Clients und dem DC eingetragen und Regeln erstellt nach deiner Anleitung. Klappte alles gut. Nur dem smtp und pop3 Connector musste ich die IP statt dem FQDN geben. Bin heute wieder bei dem Kunden Vorort, und schaue mal dass ich diese dubiose IP Geschichte in den Griff bekomme.
Nehme warscheinlich deine oben genannte vorgehensweise und mache das nochmal von vorne...

Gruß
Wolfgang
Dani
Dani 27.02.2008 um 09:46:38 Uhr
Goto Top
Moin Wolfgang,
also wenn du die Regeln so eingetragen hast, wie von mir beschrieben sollten alle Dienste im LAN ohne weiteres laufen (ist mal bei unserem ISA-Cluster hier auch so).

Was genau meinst du mit POP/SMTP Zugriff?! Auf den lokalen Server oder ins Internet?! Oder meinst du den Exchange?!


Grüße
Dani

P.S. @all: ISA ist eben nicht ein kl. Klick-Klick Tool wo man eben mal schnell den Internzugriff und die Kommunikation der Clients definiert!! Wofür gibt es wohl die Schulungen?!
Ringi1970
Ringi1970 27.02.2008 um 10:19:28 Uhr
Goto Top
mit dem pop/smtp meinte ich die Einstellungen am Exchange.

Alle Dienste laufen noch nicht, habe aber noch nicht herausgefunden warum...
Gibt hier so ne VPN Gehälter Geschichte, da klappt die Anmeldung via https prima, aber hinterher geht die Telnet Session nicht mehr auf... face-sad
Und ein Client der die Kontoauszüge via Outlook Express abholt, kommt nicht auf den angegebenen smtp Server.

Bin voll am kämpfen.
Mit deiner Aussage gebe ich Dir recht, das ist nicht mal nur so schnell installiert.

Gruß
Wolfgang
Dani
Dani 27.02.2008 um 10:43:52 Uhr
Goto Top
Welche Dienst genau?! Mit den 3 Regeln gehen auf jeden Fall ALLE Lan-Dienste (Outlook-Exchange, Datenshare, DHCP, DNS, etc...).

Also versenden über SMTP sollte vom Exchange ausgehen. Natürlich nur, wenn der Exchange und ISA auf der selben Maschine läuft. Ansonsten erstellst du einfach eine Regel von Computer x nach Extern über das Protokoll SMTP alles zulassen. Somit klappt das versenden. Du kannst das natürlich auch auf den ISP Server beschränken.

Zum Empfangen erstellst du einfach eine Regel, von Extern auf den Exchange Server mit den Protokoll POP3. Auch hier kannst du das wieder schärfer einstellen. Somit sollte der Empfang wieder klappen. Ansonsten könnte es sein, dass du einen Listner brauchst.

Es gibt glaub rechts in der Hilfeleiste eine Option "Exchange veröffentlichen"....sollte damit auch gehen.

VPN Gehälter Geschichte?! Das musst du mir mal erklären....versteh ich nicht. face-smile


Gruß
Dani
Ringi1970
Ringi1970 27.02.2008 um 12:52:01 Uhr
Goto Top
Die Lohnbuchhaltung loggt sich via https und einem Security Token, welches das Passwort alle paar Sekunden sendet (kennst bestimmt sowas) in das Rechenzentrum ein.
Danach startet ein Java Applet. In diesem Java Applet gibt es ein "Start Session" Knopf der eine Telnet Session startet. Und das Fenster dieser Telnet Session bleibt halt einfach leer...
Emails via Exchange funktionieren in beide Richtungen.
Nur die Kontoauszüge an dem einen Arbeitsplatz werden von Outlook Express abgeholt (weiß nicht warum, war schon immer so seit ich diese Firma betreue), und das geht leider auch noch nicht.
Ich habe auch festgestellt, das keiner der Clients (auch nicht der DC) eine Namensauflösung kann.
(Pings gehen nur mit der IP Adresse)

Gruß
Wolfgang
Ringi1970
Ringi1970 04.03.2008 um 08:23:24 Uhr
Goto Top
Ich habe nun einen dlink-624 Router zwischen geschaltet für das von Dani angesprochene kleine "Transfernetz" hat seine Vorteile stellte ich fest.
Jetzt habe ich am Router das VPN-Passthrough aktiviert, und bekomme aber bei der Gegenstelle nur Fehler 800 bei einem Verbindungsversuch. zuvor (ohne den Router) ging zwar eine Verbindung aber es hing danach bei der Authentifizierung des Benutzernamens und Kennwortes.
Was mache ich denn falsch bezgl. des VPN?
Ich habe es lt der Anleitung eingestellt:
http://www.metacafe.com/watch/729753/isa_server_2006_client_server_vpn_ ...
Wäre für jede Hilfe dankbar!

Gruß
Wolfgang
Ringi1970
Ringi1970 04.03.2008 um 15:58:16 Uhr
Goto Top
Ich stelle soeben fest, daß ich auch eine "interne" VPN verbindung (also von einem Client) nicht zustande bekomme. Auch Fehler 800
VPN ist aktiviert am ISA mit 4 Clients!

Gruß
Wolfgang
Dani
Dani 04.04.2008 um 08:50:13 Uhr
Goto Top
Moin Wolfgang,
hab dich nicht vergessen...aber meine Zeit ist zur Zeit sehr beschränkt. Welches Protokoll fährst du denn VPN seitig? PPTP oder L2TP?! Hast du am ISA den VPN-Zugang, etc... sauber konfiguriert?

Funktioniert die VPN-Verbindung vom LAN aus? Sprich kann dort ein Client eine Verbindung aufbauen. Ansonsten, können die Clients im LAN nun ohne Probleme arbeiten?


Grüße
Dani
Ringi1970
Ringi1970 04.04.2008 um 09:25:58 Uhr
Goto Top
Ne es geht leider auch keine Clientseitige interne Verbindung via VPN. Fahre PPTP Protokoll
Ansonsten tut der gute jetzt seinen Dienst wie er soll! face-smile
Hast mir viel weitergeholfen. Danke nochmal an dieser Stelle.

Gruß
Wolfgang
Dani
Dani 04.04.2008 um 17:11:36 Uhr
Goto Top
Hast du den ISA für VPN Zugriff konfiguiert?! Das musst du nämlich extra machen...hängt intern noch eine andere Firewall davor, wo blocken könnte?


Grüße
Dani
Ringi1970
Ringi1970 07.04.2008 um 08:15:40 Uhr
Goto Top
Ja habe ihn wie den Videotutorial (link oben) konfiguriert

Gruß
Wolfgang
Dani
Dani 20.04.2008 um 12:52:16 Uhr
Goto Top
Moin Wolfgang,
ich fang einfach nochmal von vorne an, da wir uns glaube verrannt haben.

Jedoch der Domänen Controller kann nur ins Internet wenn er den Firewall Client installiert
bekommt
Klar, wenn du das so bei der ISA Installation gewünscht hast....ist aber normal nicht erforderlich, solange du nur ein ISA hast bzw. ein kl. Netz.
An deiner Stelle würde die Option mal deaktivieren solange bis alles ohne Client funktioniert!!

Im ISA lasse estmal die Webproxy Einstellungen so, wie sie nach der Installation war - deaktviert. Somit brauchst du auch nichts an den Clients verstellen. Wichtig ist,
was aber zur folge hat, daß seine DNS Funktion völlig auser Kraft gesetzt wird
Was meinst du damit? Den DNS-Dienst vom Server? Du musst natürlich den DNS Dienst vom DC bei allen Clients hinterlegen. Auf dem Server selber richtest als prim. DNS die 127.0.0.1 ein und als Alternativen den ISA Server.
Ich habe nun einen dlink-624 Router zwischen geschaltet für das von Dani angesprochene
kleine "Transfernetz" hat seine Vorteile stellte ich fest.
Sehr schön....nun solltest du folgenden Einstellungen am internen Adapter haben:

IP-Adresse: 172.17.127.135
Subnetzmaske: 255.255.255.0
GW: Leer
DNS: 172.17.127.130

Externe Adapter:
IP-Adresse: xxx.xxx.xxx.xxx
Subnetzmaske: 255.255.255.252
GW: Router
DNS: Router
Somit sollte das Internet problemlos ohne Portangaben, etc...funktionieren.
Ansonsten bitte mal einen Netzplan hochladen. Gibt es die Möglichkeit selbst mal Hand anzulegen an dem Netz, z.B. über Hamatchi?


Grüße
Dani