alequin
Goto Top

ISA Server 2004, benoetige Rat

kein google, kein yahoo, etc. und viele Seite sind sehr langsam

Hallo,

wie haben uns hier in den neuen ISA Server 2004 von MS installiert, haben die Netzwerke klassifiziert, haben die Regeln und Protokolle festgelegt.

So aber das Problem ist wir bekommen keinen anständige Verbindung ins Web.

Wir haben eine Regel festgelegt für HTTP und HTTPS das von ISA Server zum Router, und dann eben vom Intranetz (Portrange eingetragen) mit HTTP und HTTPS zum externen Netz, also dem Internet.

Dann haben wir den Firewall Client installiert und ihn automatisch den IE konfigurieren lassen. Da ging schon mal nichts. Dann haben wir in den Internetoptionen die beiden Häkchen bei Automatisch Konfigurieren weg gemacht und dann hatte man bedingten Internetzugang.

Das heißt, es lassen sich einige Seiten nicht anziegen zb. google, yahoo und andere. Die Seite die sich aufrufen lassen sowie zb. Administrator.de brauchen sehr sehr lange zum Laden.

Woran liegt das?

Und woran liegt es das sich der Firewallclient ab und zu einfach disconnectet (damit meine ich nicht disabled)?

ich weis echt keinen Rat mehr und pfriemel jetzt schon den Zweiten Tag dran herum. Kann mir irgend jemand helfen?

Content-ID: 6172

Url: https://administrator.de/contentid/6172

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

meinereiner
meinereiner 27.01.2005 um 22:07:00 Uhr
Goto Top
Lassen sich immer die gleichen Seiten nicht anzeigen und was kommt dann für eine Fehlermeldung?

Geht alles ohne ISA Server (also dran vorbei)?
Alequin
Alequin 28.01.2005 um 08:20:40 Uhr
Goto Top
Yep genau es lassen sich immer die gleichen seiten nicht anzeigen.

Dann bekommt man vom ISA server die Fehlermedlung

- Error Code 11001: Host not found
- Background: This error indicates that the gateway could not find the IP address of the website you are trying to access. This is usually due to a DNS-related error.
- Date: 28.01.2005 07:17:49
- Server: SERVERNAME.DOMÄNE
- Source: DNS error

#Geht alles ohne ISA Server (also dran vorbei)?

mmm... also wenn du meinst ob man ohne ISA Server alles Seiten angezeigt bekommt? Ja, wenn man übern router geht dann funktionierts.
meinereiner
meinereiner 28.01.2005 um 09:53:59 Uhr
Goto Top
kannst du denn die Seiten auf dem ISA Server selbst aufrufen?
Alequin
Alequin 28.01.2005 um 10:06:52 Uhr
Goto Top
Oh, daran hab ich noch garnicht gedacht.

Nein da geht gar keine einzige Seite !?!?! ;|
meinereiner
meinereiner 28.01.2005 um 10:12:14 Uhr
Goto Top
Mit der gleichen Fehlermeldung?

dein ISA hat ja zwei Netzwerkkarten.
Eine externe und eine interne. Beide stehen in verschiedenen Subnetzen?!
Bei den Einstellungen der externen Karte ist ein DNS Server eingetragen, der die Namen im Web auflösen kann?
Alequin
Alequin 28.01.2005 um 10:38:40 Uhr
Goto Top
Also hab jetzt noch was ausprobiert. Wenn ich die IP der internen Karte in der Regel hinzufüge dann brauch ich im IE noch nen Proxy Eintrag. Wenn ich die IP der externen Karte statt dessen einfüge brauch ich keinen Proxy eintrag im IE. Dennoch gehen nur die gleich Seite wie auch auf den Clients.

Also die Karten stehen beide im gleichen Subnet und haben den gleichen DNS Eintrag? Ist aber nicht die selbe DNS wie im internen Netzwerk.
meinereiner
meinereiner 28.01.2005 um 10:52:29 Uhr
Goto Top
Die Karten _müssen_ in verschiedenen Netzen stehen. Schau mal in dein Ereignissprotokoll. Da sollten entsprechende Fehler auftauchen.

Auf der externen Karte hab ich auch nur einen externen DNS Server eingetragen. Auf der Internen, den internmen DNS, der aber alles auflösen kann.


Gibt mal auf dem ISA nslookup ein und schau on die Namensauflösung klappt. Vor allen bei den Seiten die du nicht bekommst.
meinereiner
meinereiner 28.01.2005 um 10:58:03 Uhr
Goto Top
BTW:

ne nette SEite rund um den ISA http://www.isaserver.org/
Alequin
Alequin 28.01.2005 um 11:35:38 Uhr
Goto Top
Also ich muss die interne Karte des ISAs mit der lokalen DNS betreiben und die externe Karte mit einer eigenen DNS (zusammen mit dem Router?)?

des sind meine outputs beim isa mit nslookup, aber ich glaub ich mach da was falsch

C:\>nslookup
Standardserver: routername
Address: xxx.xxx.xxx.x(routeraddresse)

www.test.de
Server: routername
Address: xxx.xxx.xxx.x(routeraddresse)

Nicht-autorisierende Antwort:
Name: www.test.de
Address: 217.110.104.154

www.google.de
Server: routername
Address: xxx.xxx.xxx.x(routeraddresse)

DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an routername


darf ich anmerken ich bin noch Azubi
Alequin
Alequin 28.01.2005 um 11:51:13 Uhr
Goto Top
wenn ich der internen karte die DNS des internen Netzte geben funktioniert gar keine nslookup mehr, bzw. er findet dann gar nicht mehr.

Hab deshalb die DNS wieder umgestehlt, so das sie jetzt wieder gleich mit der DNS der externen Karte ist.

Hab auch mal im Router nach geschaut und festgestellt das da doch kein DNS eintrag vorhanden ist. ISt das ok oder muss da einer drin stehen?
meinereiner
meinereiner 28.01.2005 um 11:58:46 Uhr
Goto Top
Also ich muss die interne Karte des ISAs mit
der lokalen DNS betreiben und die externe
Karte mit einer eigenen DNS (zusammen mit
dem Router?)?

So sollte es gehen.


C:\>nslookup
Standardserver: routername
Address: xxx.xxx.xxx.x(routeraddresse)

Als DNS Server hast du deinen Router angegeben?!

trag da mal einen anderen ein.
Auf http://www.hoc-board.de/phpBB2/viewtopic.php?t=8313 hab ich eben Listen gefunden.



> www.test.de
Server: routername
Address: xxx.xxx.xxx.x(routeraddresse)

Nicht-autorisierende Antwort:
Name: www.test.de
Address: 217.110.104.154

> www.google.de
Server: routername
Address: xxx.xxx.xxx.x(routeraddresse)

also die Seiten die du nicht angezeigt bekommst kannst du auch nicht auflösen und umgekehrt?!


darf ich anmerken ich bin noch Azubi ^^
Wo ist dein Ausbilder?? face-wink


Das mit den verschiedenen Netzen ist wichtig, sonst funktioniert dein ISA nie vernünftig!
Alequin
Alequin 28.01.2005 um 12:16:42 Uhr
Goto Top
ok bevor ich mich ans Werk mache fass ich nochmal zusammen.

Also wir sind bei T-online Kunde und haben auch ein feste IP adressen bekommen. Im Router trage ich dann eben nur ein IP addresse (sagen wir 1.1.1.1) meine Wahl ein damit um dann mit dem ISA zu kommunizieren. Als subnet hab ich 255.255.255.0. Unter dem Eintrag DNS steht momentan nichts.

Auf dem ISA Serve trage ich in der externen Karte (die zum Router) einen eigene IP adresse sagen wir 1.1.1.2, als gateway 1.1.1.1 und als DNS hab ich auch 1.1.1.1.
Bei der internen karte habe ich als IP 2.2.2.2, kein gateway und dns 1.1.1.1 bei beiden karten habe ich das gleich subnet 255.255.255.0. Der ISA server ist nebenbei bemerkt aber nicht in der ActiveDirectory.

Dann haben wir hier noch einen DNS server intern mit der IP 2.2.2.1 und der Subnet 255.255.255.0 und dem Domänenname "firma".

wo muss ich jetzt dann den DNS Server von T-Online eintrage?
Alequin
Alequin 28.01.2005 um 12:48:30 Uhr
Goto Top
... hab vergessen noch dazu zu schreiben das ja der ISA Server auch noch den DNS server draufinstalliert bekommen hat.
meinereiner
meinereiner 28.01.2005 um 12:54:34 Uhr
Goto Top
Router:
zum Internet hin die IP von T-Online, Gateway von T-Online, DNS von T-online (dann sollte dein Router die anfragen aber auch weiterleiten können.
Zum isa die IP 1.1.1.1


Isa
IP zum Router 1.1.1.2
Gateway zum Router 1.1.1.1
DNS zum Router 1.1.1.1 oder DNS von T-Online

IP zu internen Netz 2.2.2.2
DNS zum internen Netz 2.2.2.1
Alequin
Alequin 28.01.2005 um 13:57:56 Uhr
Goto Top
ok soweit war das teilweise ja richtig, ... aber wo bekomme ich jetzt die Gateway adresse von T-online her? Oder ist das die gleiche wie die T-online DNS.

Überrigens 1000Dank für deine Bemühungen.

PS: Nebenbei lese ich mir auch grad schon die ganze zeit auf isaserver.org ein FAQ und Toturial nach dem anderen durch ^^
meinereiner
meinereiner 28.01.2005 um 14:19:06 Uhr
Goto Top
von T-Online face-wink

Aber der Router müsste in dem Punkt doch schon richtig konfiguriert sein?!
Du sagtest doch ohne ISA geht es.

Ich glaube kaum das DNS und Gateway gleich sind bei T-Online.

Im Prinzip musst du es erstmal soweit hinbekommen das du mit dem ISA server surfen kannst bei deaktivierter internen Netzkarte. Da ist die Einrichtung aber identisch mit der konfiguration eines PCs zu Hause der an einem Router hängt. Nur das du zuhause Gateway und so automatisch zugewiesen bekommst und es in der Firma per Hand eingeben musst.

sodele, und nachdem ich jetzt Feierabend habe hau ich mich erstmal eine Runde ins Bett face-wink
Alequin
Alequin 28.01.2005 um 14:44:16 Uhr
Goto Top
Oki dok, klingt pausibel *g* ^^

ich versuchs nochmal .....

hab jetzt aber dann auch feierabend, dann gehts erst am Mittwoch wieder weiter. (Mo-Di Schule) ich sag dir bescheid obs tut.

DANKE SCHÖN
meinereiner
meinereiner 28.01.2005 um 22:22:53 Uhr
Goto Top
Dann gut aufpassen in der Schule face-wink

und das mit dem ISA wird sicher auch noch klappen! face-smile
Alequin
Alequin 02.02.2005 um 12:47:58 Uhr
Goto Top
Ok, ich hab das jetzt mal ausprobiert und das netzwerk soweit umgestellt.
Ohne Erfolg. face-sad

ich hab auch mal die ISA Firewall komplett ausgemacht und dann mit dem ISA Server als Client versucht über den Router einen vollständigen Webzugriff zu bekommen, aber auch ohne Erfolg.

Es scheitert daran das er die DNS nicht auflösen kann. Hab ja versucht den Router über den DNS Server von T-Online auflösen zu lassen aber es klappt nicht.

Das heißt doch eigentlich das ich einen DNS Server auf dem ISA installieren/konfigurieren muss?
Davon hab ich aber noch null Ahnung.
Gibts da gute Referenz-Seiten weil alleine mit der Hilfe komm ich net wirklich weiter.
meinereiner
meinereiner 02.02.2005 um 14:10:24 Uhr
Goto Top
welcome back....


also der isa sollte die Namen schon auflösen können. Hast du den T-Online DNs als DNS Server auf dem ISA eingetragen??
Alequin
Alequin 02.02.2005 um 14:58:11 Uhr
Goto Top
YUHU

also ich hab auf den ISA noch einen DNS Server installiert und hab als weiterleitung eben alle DNS adressen von T-Online eingetragen.
Danach hab ich den DNS eintrag des ISA's umgestellt und zwar das die IP adresse der internen Netzwerkkarte drin steht.

und jetzt tuts ^^ *freufreu*

brauchbar:
http://support.microsoft.com/default.aspx?scid=kb;de;323380
http://support.microsoft.com/default.aspx?scid=kb;de;323380#7
meinereiner
meinereiner 02.02.2005 um 16:31:43 Uhr
Goto Top
fein face-smile

und funktioniert jetzt auch alles mit den Clients?
Felix
Felix 02.02.2005 um 16:44:44 Uhr
Goto Top
Massimo?????? *gg*
Aus der Werner von Siemens Schule???


Gruß Felix
Alequin
Alequin 02.02.2005 um 17:05:00 Uhr
Goto Top
jepp funktioniert wunderbar bei allen Clients.
Bis tat sich nur ein Antivirus Programm eines Users hervor dass sich trotz Proxyeintrag nicht mit seinem Server verbinden lässt.

der update server ist guru/grisoft.com, konnte den nicht mal am Server mit nslookup finden.
aber das wird auch noch ^^

@Felix
ganz genau der *g*

so jetzt ist aber Friede Freude Feierabend
VNS
VNS 04.02.2005 um 17:20:45 Uhr
Goto Top
Cleverle,

auf dem ISA-Server einen DNS-Server laufen zu lassen........

RESPEKT!!!!!
VNS
VNS 04.02.2005 um 17:22:03 Uhr
Goto Top
Hallöchen,

lass Dir am Rande gesagt sein:

Auf dem ISA-Server installiert man keinen DNS-Server!!!!

Versuch es richtig.

Sie das bitte nicht als negative, sondern als kontruktive Kritik.

Gruß
meinereiner
meinereiner 04.02.2005 um 19:34:26 Uhr
Goto Top
und warum nicht??

Meines Wissens nach sollte man nur drauf achten, dass keiner von aussen die Rechner im internen Netz auflösen kann.
VNS
VNS 07.02.2005 um 08:30:51 Uhr
Goto Top
@ meinereiner

Hm,........... vielleicht aus sicherheitstechnischen Gründen???????

Warum sollte der ISA-Server sonst auch maximal Domainmember sein???????

Gruß
Alequin
Alequin 07.02.2005 um 10:18:50 Uhr
Goto Top
bin jetzt etwas verwirrt ...

also auf den ISA Server sollte man keinen DNS Server installieren? Gilt das auch dann wenn ein Router davor sitzt?
Wo wäre denn ein DNS server am sinnvollsten?

ist ist maximal Domainmember gemeint?
VNS
VNS 07.02.2005 um 10:30:02 Uhr
Goto Top
OK.......

Also, auf dem ISA-Server hast Du eine interne und eine externe Netzwerkkarte. Auf der externen trägst du als DNS-Server die IP-Adresse des DSL-Routers ein.

extern z.B.

Ip-Adresse: 192.168.1.254
Subnetmask: 255.255.255.0
Gateway: 192.168.1.1 (wenn dies die Adresse des DSL-Routers ist)

DNS: 192.168.1.1 (auch hier gilt: wenn dies die Adresse des DSL-Routers ist)

Beachte bitte, dass der DSL-Router öffentliche DNS-Server durch Deinen
ISP zugewiesen bekommt.

intern z.B.

IP-Adresse: 192.168.100.254
Subnetmask: 255.255.255.0
Gateway: KEINS (denn der ISA-Server routet und kennt beide Netze)

DNS: KEINER (oder, falls dringend benötigt, die IP-Adresse eines internen
DNS-Servers. <- wird aber normalerweise nicht benötigt)

Somit erreichst Du eine Trennung des internen vom externen Netz. Ferner sollte der ISA-Server maximal nur als Domänmember installiert werden. Also ohne Active Directory!!!

Gruß,

Stefan

http://www.v-n-s.com
meinereiner
meinereiner 07.02.2005 um 11:06:29 Uhr
Goto Top
Ich gebe Goofman dahingehend recht das es eher ungeschickt ist einen DNS Server auf dem ISA zu installieren, der die internen Clients auflösen kann.

Da solltest du dein Konfiguration auch noch ein bischen ändern. face-smile
Allerdings war mir erstmal wichtig das der ISA bei dir erstmal richtig läuft und alle Clients sauber funktionieren.

An deiner Stelle würde ich schrittweise vorgehen. Änder mal die Externe Karte so wie Goofman sagt. Allerdings hatte ich zwischenzeitlich das Gefühl das die Weiterleitung des DNS auf deinem Router nicht sauber funktionieren könnte. Den DNS Server solltest du dann deaktivieren können. Wenn das nicht geht setzt mal den T-Online DNS Server dort ein.
meinereiner
meinereiner 07.02.2005 um 11:24:43 Uhr
Goto Top
Ach ja...
Ein Router ansich bringt nicht sonderlich viel Sicherheit. Dazu muss schon eine Firewall mit drauf sein
Alequin
Alequin 07.02.2005 um 11:38:14 Uhr
Goto Top
Ok soweit hab ich das jetzt nun verstanden.

So hab jetzt als DNS beim ISA auf der externen Netzwerkkarte auch als DNS die des Routers eingetragen und den DNS Server als "Dienst" beendet.

War des so korrekt? Oder kann man den anderst beenden, oder ist es sogar zwingend in zu deinstallieren?

...bis jetzt scheints zu tun, bin mal gespannt ob ich in den Nächsten paar Minunten von irgend einem Mitarbeiter nen Anruf bekomme .... "Internet tut nich' mehr" *g*
Alequin
Alequin 07.02.2005 um 11:43:38 Uhr
Goto Top
Also ohne den DNS Server des ISA servers und nur mit dem DNS Server der bereits auf userem Exchange-Server (DC mit AD) läuft, ist das aufrufen von seiten extrem und unerträglich langsam.
Kann das daran liegen das der Exchange-Server zu alte Hardware hat. Ich meine wenn das Exchange, DNS-Server und Active-Directory verwalten muss, könnte das zu viel für einen altersschwachen Rechner sein ? ; )
VNS
VNS 07.02.2005 um 11:47:09 Uhr
Goto Top
Wird schon so passen.

Bitte trag keinen statischen DNS-Server der Telekom ein. Denn wenn dieser nicht erreichbar ist, dann ist Schluß mit Internet!

Ferner solltest Du hierbei beachten, was passiert wenn der durch Dich eingetragene DNS-Server seitens des Providers abgeschlatet wird???????

Gruß
VNS
VNS 07.02.2005 um 11:48:02 Uhr
Goto Top
Kenn leider Deinen Aufbau überhaupt nicht. Mach doch mal einen kurzen Vorschlag
meinereiner
meinereiner 07.02.2005 um 12:23:13 Uhr
Goto Top
Er hat eine statische IP von der Telekom und damit auch einen statischen DNS Server auf dem Router.

Da sollte es wurst sein, ob er als DNS Server den Server der Telekom oder den Router einträggt. Wenn die Telekom den DNS Server ändert hat er eh verloren.
meinereiner
meinereiner 07.02.2005 um 12:25:23 Uhr
Goto Top
Ist es auch langsam wenn du die Seiten auf dem ISA selbst aufrufst?
VNS
VNS 07.02.2005 um 12:36:08 Uhr
Goto Top
was uns dann mal wieder zum Punkt des lesens bringt..............
Alequin
Alequin 07.02.2005 um 12:45:06 Uhr
Goto Top
also auf dem isa sowie auf den clients, wird das aurufen von seiten unglaublich langsam
meinereiner
meinereiner 07.02.2005 um 13:07:07 Uhr
Goto Top
Trag mal den T-Online DNS Server anstelle des Routers bei den DNS Einstellungen ein!

Wie hattest du denn den DNS Server aufgesetzt?? Installiert und eine Forward Lookup Zone eingerichtet, etc..oder einfach nur installiert und dann eine Weilterleitung definiert?
meinereiner
meinereiner 07.02.2005 um 13:07:54 Uhr
Goto Top
und wenn dir die User zu sehr rebellieren, du weisst ja wie du zur Not alles wieder ans laufen bekomst.
Alequin
Alequin 07.02.2005 um 13:48:42 Uhr
Goto Top
also der DNS Server war mit Foward Lookup Zone eingerichtet.

hab jetzt die Telekom DNS in die externen Karte des ISA als DNS Server adresse eingetragen und es funktioniert. Läuft ohne Tadel face-smile

ist das jetzt so die korrekte Lösung?
meinereiner
meinereiner 07.02.2005 um 14:15:39 Uhr
Goto Top
sagen wir mal so, mir fällt jetzt nichts ein. Wobei ich grad überlege wieweit mir der Gesamtüberblick noch im Kopf ist. face-wink

Aber wie vorhin schon vermutet. Irgendwie funktioniert die DNS Weiterleitung auf deinem Router nicht sauber. Eigentlich hätte es schon gehen müssen als der Router noch eingetragen war.

Auch was Goofman geschrieben hat stimmt natürlich. Wenn T-Online den DNS Server abschaltet hast du ein Problem. Wenn also keiner mehr ins Internet kommt solltest du überprüfen ob der noch da ist.

Aber freu dich nicht zu früh. Wird nicht lange dauern dann schrein die Leute das ein Programm nicht läuft weil der Port zu ist. face-wink face-smile
meinereiner
meinereiner 07.02.2005 um 14:38:27 Uhr
Goto Top
P.S.
Den DNS Server auf dem ISA solltest du jetzt deinstallieren.
zelisa
zelisa 19.04.2005, aktualisiert am 17.10.2012 um 15:24:35 Uhr
Goto Top
Hallo Zusammen!!
Ich hatte schon mal einen anderen Topic auf gemacht und hab jetzt hier den gleichen Fehler gefunden wie ich ihn habe!
Da meine Umgebung aber etwas anders ist kommt ich leider nicht mit den Ratschlägen hier weiter vlt könnt ihr mir trotzdem helfen!!!

Ich hänge also nicht wie dieser Kollege hier hinter einem router der Telekom, sondern hinter einem größere Netzwerk des Betriebes!

Ich bekomme auch Internet wenn ich einen Proxy von Hand eintrage...
Wenn ich den Proxy automatisch suchen lasse, bekomme ich nur manche Internet Seiten!!!

meine Konfigurationen der Netzwerkkarten sehen wie folgt aus:

Die interne Netzwerkkarte des Isa-Servers hängt an einem Switch und ist folgendermaßen konfiguriert:

IP: 192.168.50.1
Sub: 255.255.255.0
Gate: Keins
DNS: 134.94.80.2

Die internen Clients bekommen folgendes zugeordnet:

IP: 192.168.50.0-192.168.50.255
Sub: 255.255.255.0
Gate: 192.168.50.1
DNS: 134.94.80.2

Die Netzwerkkarte für das externe Netzwerk hängt in dem Netzwerk des Betriebes :

IP: 134.94.232.155
Sub: 255.255.248.0
gate: 134.94.232.1
DNS: 134.94.80.2

Firewallrichtlinien sind alle freigeschaltet!!!

könnt ihr mir vielleicht irgendwie weiter helfen... ich wäre euch soooooooooooooo dankbar!!

p.s. den Topic den ich schon eröffnet hatte findet ihr hier:
ISA-Server 2004 und externes Netzwerk