Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst DNS-Problem mit Forefront TMG 2010

Mitglied: Semasoft

Semasoft (Level 1) - Jetzt verbinden

29.11.2010 um 12:36 Uhr, 10036 Aufrufe, 3 Kommentare

Hallo zusammen,
ich arbeite mich gerade in Forefront TMG 2010 ein. Hierzu habe ich in unserer Domäne einen Win2k8 R2 Server mit Forefront TMG 2010 aufgesetzt.
Vielleicht entdeckt jemand von den Profis (m)einen Konfigurationsfehler. Ich sehe den Wald vor lauter Bäumen nicht mehr.

Ich habe den Forefront TMG in der Option "Lastenausgleich mit Failover" konfiguriert.

Zur Domäne:
2 Win2k8 Domänencontroller. Beide mit aufgesetztem DNS und WINS.
Einer davon arbeitet als DHCP-Server. Über die DHCP-Optionen werden die DNS-Server sowie der Router vergeben.
Als Router habe ich die IP des Forefront TMG eingetragen.

DC-1:
IP: 192.168.1.1
DNS-Server, WINS-Server und DHCP-Server

DC-2:
IP: 192.168.1.2
DNS-Server und WINS-Server

Der Forefront TMG:
Der Server ist Mitglied der Domäne.
Es sind drei Netzwerkkarten installiert.
IP der Netzwerkkarte für das interne Netz: 192.168.1.3
Subnetz: 255.255.255.0
DNS-Server: 192.168.1.1
WINS-Server: 192.168.1.1
Gateway: Keiner

1. Netzwerkkarte für den Internetzugriff: Diese hängt an einer T-Com ADSL-Leitung.
Diese ist mit einer Fritz!Box 7050 verbunden
IP-Adresse der Fritz!Box: 192.168.69.254
IP-Adresse der NW-Karte: 192.168.69.1
Subnetz: 255.255.255.0
Gateway: 192.168.69.254
DNS-Server: Keiner

2. Netzwerkkarte für den Internetzugriff:
Diese ist mit einer Fritz!Box 7170 verbunden. Diese hängt an einer 1und1 ADSL-Leitung.
IP-Adresse der Fritz!Box: 192.168.70.254
IP-Adresse der NW-Karte: 192.168.70.1
Subnetz: 255.255.255.0
Gateway: 192.168.70.254
DNS-Server: Keiner

In der Forefront-Verwaltungskonsole unter "Vernetzung" => "Routing" habe ich zwei Netzwerktopologierouten angelegt:
1.
Ziel: 192.168.69.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.150.188 (öffentlicher DNS-Server)

2.
Ziel: 192.168.70.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.151.142 (öffentlicher DNS-Server)

Forefront zeigt mir beide Verbindungen als aktiv an. In der Übersicht der Konsole sind keine Fehler oder Warnungen zu sehen. Im Menü der beiden Fritz!Boxen kann ich sehen, dass die DSL-Verbindungen aufgebaut sind.
Die Firewallrichtlinienreihenfolge des Forefront TMG:
Nr.1: Blockierte Webziele (HTTP, HTTPS). Dort sind die Vorgaben von Forefront TMG übernommen worden (Gewalt, etc)
Nr.2: Webzugriff für alle Benutzer zulassen (HTTP, HTTPS). Dort ist eine Domänen-Benutzergruppe hinzugefügt worden die die berechtigten User enthält.
Nr.3: Standardregel. Gesamter Datenverkehr blockieren, alle Netze, alle User

Auf den Clients habe ich im IE unter "Extras" => "Internetoptionen" => "Verbindungen" in den LAN-Einstellungen als Proxyserver die IP des Forefront TMG (192.168.1.3) sowie den Port 8080 eingegeben. Für lokale Adressen wird der Proxy umgangen.

Keiner der Clients kann sich jedoch irgendeine Website anzeigen lassen. Es erscheint eine Meldung von Forefront TMG:
Fehlercode: 11001, Host nicht gefunden
Quelle: DNS-Fehler
Über nslookup können die Websites ebenfalls nicht aufgelöst werden.

Wenn ich versuche eine Website aufzurufen welche unter die Firewallregel 1 fällt, quittiert mir dies Forefront entsprechend. Das bedeutet doch, dass Forefront diese Seite überprüft, entsprechend einstuft und die Meldung an den User weitergibt. Somit hat Forefront selbst doch Zugriff aufs www.

Ich bin alles wieder und wieder durchgegangen, finde aber den Fehler nicht. Muss ich vielleicht in den Fritz!Boxen irgendetwas um- oder einstellen?
Habe ich in der Konfiguration der Firewall einen Fehler gemacht?

Sorry für den langen Text, aber es sollen ja schliesslich alle Infos vorhanden sein.

Wäre toll, wenn mich jemand auf den Fehler schubbsen könnte.


Besten Dank im Voraus
Joachim
Mitglied: crazybob
29.11.2010 um 15:23 Uhr
"Lastenausgleich mit Failover" bezieht sich meines Wissens nach auf ein Array von mindestens 2 TMGs und nicht auf mehrere Internetanschlüsse an einem Rechner.

Damit DNS funktioniert musst du eine entsprechende Zugriffsregel für die DNS-Server 192.168.1.1 und 192.168.1.2 nach EXTERN erlauben.
Bitte warten ..
Mitglied: Semasoft
29.11.2010 um 15:53 Uhr
Danke für die Antwort.
Ich habe das Buch "Forefront Threat Management Gateway 2010" von den Autoren Grote, Gröbner und Rauscher aus der Microsoft Press hier. Darin wird der Fall mit den 2 DSL-Anschlüssen auf einem einzelnen Forefront Server beschrieben. Daher denke ich, dass es funktionieren muss. Ich habe das Szenario mehrfach überprüft und finde keinen Fehler.

Laut dem Buch sollte mit diesen Einstellungen der DNS-Zugriff auf externe DNS-Server gewährleistet sein:
In der Forefront-Verwaltungskonsole unter "Vernetzung" => "Routing" habe ich zwei Netzwerktopologierouten angelegt:
1.
Ziel: 192.168.69.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.150.188 (öffentlicher DNS-Server)

2.
Ziel: 192.168.70.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.151.142 (öffentlicher DNS-Server)


Ich sehe mir das nochmals an ...

Viele Grüße
Bitte warten ..
Mitglied: Semasoft
10.03.2011 um 13:36 Uhr
Sorry, hatte den Thread völlig vergessen.
Das Problem ist gelöst.

Die Netzwerktopologierouten waren falsch.
Richtig muss es lauten:
1.
Ziel: 217.237.150.188 (öffentlicher DNS-Server)
Netzwerkmaske: 255.255.255.255
Gateway: 192.168.69.254
2.
Ziel: 217.237.151.142 (öffentlicher DNS-Server)
Netzwerkmaske: 255.255.255.255
Gateway: 192.168.70.254

Jetzt rennt das Ding.
Bitte warten ..
Ähnliche Inhalte
Windows Server
TMG Forefront 2010 - Port Forwarding
Frage von DanielZ87Windows Server

Guten Tag, ich habe in einem TMG unter "Firewall Policy" eine "Non-Web-Server Protocol" freigabe konfiguriert. Sprich Port 12345 From: ...

Windows Tools

Probleme mit Forefront TMG nach Providerwechsel

Frage von bububabaWindows Tools

Wir haben den Provider gewechselt und haben seit dem das Problem das wir immer wieder von unserem TMG Server ...

Router & Routing

TMG 2010 - Asymmetrisches Routing

Frage von deliriumRouter & Routing4 Kommentare

Hallo zusammen, ich betreibe einen TMG 2010 als zentrales Gateway im Netz an Standort A (192.168.2.x). Jetzt möchte ich ...

Windows Netzwerk

Microsoft Forefront macht DNS Fehler

gelöst Frage von Alex.BierigWindows Netzwerk5 Kommentare

Hallo, ich habe ein DNS-Problem, welches ausschließlich auf meiner Firewall auftritt, dort aber bitter. Deswegen weis ich nun nicht, ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 StundenGoogle Android

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 3 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 6 StundenMicrosoft2 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server36 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing15 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

CPU, RAM, Mainboards
32 gb RAM zu wenig?
Frage von pcguyCPU, RAM, Mainboards13 Kommentare

Hallo zusammen, mein PC verfügt über 32GB Ram. Nun kriege ich bei grossen Dateien im Illustrator die Fehlermeldung das ...