Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DNS-Problem mit Forefront TMG 2010

Frage Internet Server

Mitglied: Semasoft

Semasoft (Level 1) - Jetzt verbinden

29.11.2010 um 12:36 Uhr, 9973 Aufrufe, 3 Kommentare

Hallo zusammen,
ich arbeite mich gerade in Forefront TMG 2010 ein. Hierzu habe ich in unserer Domäne einen Win2k8 R2 Server mit Forefront TMG 2010 aufgesetzt.
Vielleicht entdeckt jemand von den Profis (m)einen Konfigurationsfehler. Ich sehe den Wald vor lauter Bäumen nicht mehr.

Ich habe den Forefront TMG in der Option "Lastenausgleich mit Failover" konfiguriert.

Zur Domäne:
2 Win2k8 Domänencontroller. Beide mit aufgesetztem DNS und WINS.
Einer davon arbeitet als DHCP-Server. Über die DHCP-Optionen werden die DNS-Server sowie der Router vergeben.
Als Router habe ich die IP des Forefront TMG eingetragen.

DC-1:
IP: 192.168.1.1
DNS-Server, WINS-Server und DHCP-Server

DC-2:
IP: 192.168.1.2
DNS-Server und WINS-Server

Der Forefront TMG:
Der Server ist Mitglied der Domäne.
Es sind drei Netzwerkkarten installiert.
IP der Netzwerkkarte für das interne Netz: 192.168.1.3
Subnetz: 255.255.255.0
DNS-Server: 192.168.1.1
WINS-Server: 192.168.1.1
Gateway: Keiner

1. Netzwerkkarte für den Internetzugriff: Diese hängt an einer T-Com ADSL-Leitung.
Diese ist mit einer Fritz!Box 7050 verbunden
IP-Adresse der Fritz!Box: 192.168.69.254
IP-Adresse der NW-Karte: 192.168.69.1
Subnetz: 255.255.255.0
Gateway: 192.168.69.254
DNS-Server: Keiner

2. Netzwerkkarte für den Internetzugriff:
Diese ist mit einer Fritz!Box 7170 verbunden. Diese hängt an einer 1und1 ADSL-Leitung.
IP-Adresse der Fritz!Box: 192.168.70.254
IP-Adresse der NW-Karte: 192.168.70.1
Subnetz: 255.255.255.0
Gateway: 192.168.70.254
DNS-Server: Keiner

In der Forefront-Verwaltungskonsole unter "Vernetzung" => "Routing" habe ich zwei Netzwerktopologierouten angelegt:
1.
Ziel: 192.168.69.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.150.188 (öffentlicher DNS-Server)

2.
Ziel: 192.168.70.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.151.142 (öffentlicher DNS-Server)

Forefront zeigt mir beide Verbindungen als aktiv an. In der Übersicht der Konsole sind keine Fehler oder Warnungen zu sehen. Im Menü der beiden Fritz!Boxen kann ich sehen, dass die DSL-Verbindungen aufgebaut sind.
Die Firewallrichtlinienreihenfolge des Forefront TMG:
Nr.1: Blockierte Webziele (HTTP, HTTPS). Dort sind die Vorgaben von Forefront TMG übernommen worden (Gewalt, etc)
Nr.2: Webzugriff für alle Benutzer zulassen (HTTP, HTTPS). Dort ist eine Domänen-Benutzergruppe hinzugefügt worden die die berechtigten User enthält.
Nr.3: Standardregel. Gesamter Datenverkehr blockieren, alle Netze, alle User

Auf den Clients habe ich im IE unter "Extras" => "Internetoptionen" => "Verbindungen" in den LAN-Einstellungen als Proxyserver die IP des Forefront TMG (192.168.1.3) sowie den Port 8080 eingegeben. Für lokale Adressen wird der Proxy umgangen.

Keiner der Clients kann sich jedoch irgendeine Website anzeigen lassen. Es erscheint eine Meldung von Forefront TMG:
Fehlercode: 11001, Host nicht gefunden
Quelle: DNS-Fehler
Über nslookup können die Websites ebenfalls nicht aufgelöst werden.

Wenn ich versuche eine Website aufzurufen welche unter die Firewallregel 1 fällt, quittiert mir dies Forefront entsprechend. Das bedeutet doch, dass Forefront diese Seite überprüft, entsprechend einstuft und die Meldung an den User weitergibt. Somit hat Forefront selbst doch Zugriff aufs www.

Ich bin alles wieder und wieder durchgegangen, finde aber den Fehler nicht. Muss ich vielleicht in den Fritz!Boxen irgendetwas um- oder einstellen?
Habe ich in der Konfiguration der Firewall einen Fehler gemacht?

Sorry für den langen Text, aber es sollen ja schliesslich alle Infos vorhanden sein.

Wäre toll, wenn mich jemand auf den Fehler schubbsen könnte.


Besten Dank im Voraus
Joachim
Mitglied: crazybob
29.11.2010 um 15:23 Uhr
"Lastenausgleich mit Failover" bezieht sich meines Wissens nach auf ein Array von mindestens 2 TMGs und nicht auf mehrere Internetanschlüsse an einem Rechner.

Damit DNS funktioniert musst du eine entsprechende Zugriffsregel für die DNS-Server 192.168.1.1 und 192.168.1.2 nach EXTERN erlauben.
Bitte warten ..
Mitglied: Semasoft
29.11.2010 um 15:53 Uhr
Danke für die Antwort.
Ich habe das Buch "Forefront Threat Management Gateway 2010" von den Autoren Grote, Gröbner und Rauscher aus der Microsoft Press hier. Darin wird der Fall mit den 2 DSL-Anschlüssen auf einem einzelnen Forefront Server beschrieben. Daher denke ich, dass es funktionieren muss. Ich habe das Szenario mehrfach überprüft und finde keinen Fehler.

Laut dem Buch sollte mit diesen Einstellungen der DNS-Zugriff auf externe DNS-Server gewährleistet sein:
In der Forefront-Verwaltungskonsole unter "Vernetzung" => "Routing" habe ich zwei Netzwerktopologierouten angelegt:
1.
Ziel: 192.168.69.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.150.188 (öffentlicher DNS-Server)

2.
Ziel: 192.168.70.254
Netzwerkmaske: 255.255.255.255
Gateway: 217.237.151.142 (öffentlicher DNS-Server)


Ich sehe mir das nochmals an ...

Viele Grüße
Bitte warten ..
Mitglied: Semasoft
10.03.2011 um 13:36 Uhr
Sorry, hatte den Thread völlig vergessen.
Das Problem ist gelöst.

Die Netzwerktopologierouten waren falsch.
Richtig muss es lauten:
1.
Ziel: 217.237.150.188 (öffentlicher DNS-Server)
Netzwerkmaske: 255.255.255.255
Gateway: 192.168.69.254
2.
Ziel: 217.237.151.142 (öffentlicher DNS-Server)
Netzwerkmaske: 255.255.255.255
Gateway: 192.168.70.254

Jetzt rennt das Ding.
Bitte warten ..
Ähnliche Inhalte
Windows Server
TMG Forefront 2010 - Port Forwarding
Frage von DanielZ87Windows Server

Guten Tag, ich habe in einem TMG unter "Firewall Policy" eine "Non-Web-Server Protocol" freigabe konfiguriert. Sprich Port 12345 From: ...

Windows Tools
Probleme mit Forefront TMG nach Providerwechsel
Frage von bububabaWindows Tools

Wir haben den Provider gewechselt und haben seit dem das Problem das wir immer wieder von unserem TMG Server ...

LAN, WAN, Wireless
DFS Netzwerklaufwerk über VPN via Forefront TMG 2010 funktioniert nicht
gelöst Frage von SemasoftLAN, WAN, Wireless3 Kommentare

Hallo liebe Profis, ich habe hier eine Problemstellung welche mit dem entsprechenden know-how sicherlich sehr einfach zu lösen ist. ...

Router & Routing
TMG 2010 - Asymmetrisches Routing
Frage von deliriumRouter & Routing4 Kommentare

Hallo zusammen, ich betreibe einen TMG 2010 als zentrales Gateway im Netz an Standort A (192.168.2.x). Jetzt möchte ich ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 4 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 11 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 22 StundenWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless16 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...