Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ISA 2006 Konfigurations Problem in Domäne

Frage Netzwerke Netzwerkmanagement

Mitglied: Ringi1970

Ringi1970 (Level 1) - Jetzt verbinden

26.02.2008, aktualisiert 18.10.2012, 4632 Aufrufe, 17 Kommentare

Folgende Problematik:

Domäne mit SBS2003 daneben ein ISA 2006 auf einem Server 2003 Standard Edition als Member Server in der Domäne.
Das DSL Modem ist an der "extern" Karte direkt angeschlossen. Der ISA ist auch in der Lage im Internet zu surfen.
Jedoch der Domänen Controller kann nur ins Internet wenn er den Firewall Client installiert bekommt, was aber zur folge hat, daß seine DNS Funktion völlig auser Kraft gesetzt wird, und er auch keine eMails ins Internet schickt oder über den POP3 Connector abholt.
Warum geht der DC nicht via "Webproxy" Client ins Internet wenn ich ihm die IP mit Port 8080 als ProxyServer eintrage?
Wo ist mein Denkfehler, oder hab ich irgendwo nen Haken gesetzt wo keiner hin soll?
Bei den ClientPCs denke ich ist das mit dem Firewall Client hinterher kein Problem, daß diese ins Internet können.

Gruß
Wolfgang
Mitglied: Dani
26.02.2008 um 10:21 Uhr
Hallo Wolfgang,
erstmal lege dich dir ans Herz vor deinen ISA nochmal ein Transfernetz zuhängen. Also sprich ein Router nach dem DSL-Modem. => INTERNET--DSL MODEM --- Router --- SERVer. Somit bist du auf jeden Fall auf der sicheren Seite. Denn ich denke nicht, dass du gleich auf Anhieb den ISA Server sauber konfigurierten wirst.

Somit hast du zwischen ISA und Router ein kl. Transfernetz. Als Router empfehle ich dir entweder Linksys oder Cisco. Denn ein Modem hast du bereits. die WAN Schnittstelle sollte je nach DSL Speed 100MBit sein. So dass du auch später mal 25, 50MBit haben kannst ohne neue Geräte kaufen zu müssen.

Nun zum eigentlichen Problem:
Wie genau sieht denn deine LAN-Infrastruktur aus? Hängt der ISA getrennt vom den LAN-Clients am SBS oder im gleichen Netz wie die Clients?! Oder aber hast du durch einen Switch die Server und Clients getrennt?!


Grüße
Dani
Bitte warten ..
Mitglied: Ringi1970
26.02.2008 um 10:33 Uhr
Die Server sind alle im selben Netz (auch die Client PCs)

DC (auch DNS): 172.17.127.130
ISA (welcher als Gateway im DC angegeben ist): 172.17.127.135
Clients: 172.17.127.x (per DHCP)

Die Sache mit dem Router habe ich auch schon im Hinterkopf, aber vorerst möchte ich das ganze mal funktionstüchtig (wenn auch nicht hundertpro sicher) stehen haben.

Gruß
Wolfgang
Bitte warten ..
Mitglied: Dani
26.02.2008, aktualisiert 18.10.2012
Hi!
Gut...das du den Gedanken schon hast...verlier ihn bloß nicht!

Also dann sollte das Ganze kein Hexenwerk sein. Also erstmal finde ich es gut, dass du DHCP einsetzt. Somit kannst du darüber das GW (ISA Server) vergeben. Sprich wenn du den ISA so installierst, dass kein ISA Client benötigt wird, wird die Sache für dich einfacher. Das Client Tool kannst du später immer noch nachziehen. Empfehle ich dir auch so zu machen....

An den Clients bzw. Server sollte es reichen, wenn du bei LAN-Einstellungen den Haken "Auto. Einstellunge suchen" setzt. Sprich der Client wird direkt das GW ansprechen und darüber läuft auch der Internetzugang. Das Ganze Port-Zeugs-Dings-Bums-Da brauchst du wirklich nur, wenn du ein komplexes Netz bzw. mehrere Proxys hast (z.B. für Internet über einen VPN-Tunnel, etc...).

Des Weiteren richte mal folgende Regeln ein. Somit wird sichergestellt, dass im LAN selber keine Einschränkungen am Datenverkehr gibt. ....


Grüße
Dani
Bitte warten ..
Mitglied: Ringi1970
26.02.2008 um 12:53 Uhr
hui! das hat mich jetzt ein Stückel weit weit weiter gebracht, ABER:
Jetzt bin ich ziemlich baff:
Die Interne Netzwerkkarte hat ja die 172.17.127.135
an der externen Karte ist das DSL Modem angeschlossen und bezieht seine IP via DHCP,
hat aber unter ipconfig /all die 172.17.127.164
Gebe ich diese als Proxy mit Port 8080 an, dann funktioniert das ganze...
Wie bekomme ich das nun in Griff, daß sich der ISA auf der .135 im internen Netz identifiziert?
Bitte warten ..
Mitglied: Dani
26.02.2008 um 13:14 Uhr
Also,
mach erstmal folgendes:

1.) Gib der externen Karte irgendeine IP-Adresse + Subnetzmaske. Am Bestne gleich eine so vergeben, dass du später einfach den Router dazubauehn kannst (z.B. 10.11.222.2 255.255.255.252). Gateway lässt du leer und DNS ein öffentlichen.

Auf dem Internen Karte hinterlegst du als Gateway die obere IP-Adresse und als 1. DNS den DC als 2. DNS einen öffentlich DNS.

2.) Werfe denn ISA nochmal runter und schaue erstmal, dass du das Ganze mit Routing-RAS Dienst zum Laufen bringst. Wenn das nämlich funktioniert, ist die ISA Sache einfacher bzw. du weißt schon mal das es geht!! RAS ist auch soweit ich weiß Grundvorraussetzung.

3.) ISA installieren und Regeln anlegen.

Die Sache mit den Ports vergiss mal schnell wieder! Verursacht nur PRobleme und bringt nichts!


Gruß
Dani
Bitte warten ..
Mitglied: Ringi1970
27.02.2008 um 08:38 Uhr
Hey Dani,

danke mal. Hatte das gestern dann mal bedingt zum laufen gebracht. Habe die vom DHCP vergebene IP mal an paar Clients und dem DC eingetragen und Regeln erstellt nach deiner Anleitung. Klappte alles gut. Nur dem smtp und pop3 Connector musste ich die IP statt dem FQDN geben. Bin heute wieder bei dem Kunden Vorort, und schaue mal dass ich diese dubiose IP Geschichte in den Griff bekomme.
Nehme warscheinlich deine oben genannte vorgehensweise und mache das nochmal von vorne...

Gruß
Wolfgang
Bitte warten ..
Mitglied: Dani
27.02.2008 um 09:46 Uhr
Moin Wolfgang,
also wenn du die Regeln so eingetragen hast, wie von mir beschrieben sollten alle Dienste im LAN ohne weiteres laufen (ist mal bei unserem ISA-Cluster hier auch so).

Was genau meinst du mit POP/SMTP Zugriff?! Auf den lokalen Server oder ins Internet?! Oder meinst du den Exchange?!


Grüße
Dani

P.S. @all: ISA ist eben nicht ein kl. Klick-Klick Tool wo man eben mal schnell den Internzugriff und die Kommunikation der Clients definiert!! Wofür gibt es wohl die Schulungen?!
Bitte warten ..
Mitglied: Ringi1970
27.02.2008 um 10:19 Uhr
mit dem pop/smtp meinte ich die Einstellungen am Exchange.

Alle Dienste laufen noch nicht, habe aber noch nicht herausgefunden warum...
Gibt hier so ne VPN Gehälter Geschichte, da klappt die Anmeldung via https prima, aber hinterher geht die Telnet Session nicht mehr auf...
Und ein Client der die Kontoauszüge via Outlook Express abholt, kommt nicht auf den angegebenen smtp Server.

Bin voll am kämpfen.
Mit deiner Aussage gebe ich Dir recht, das ist nicht mal nur so schnell installiert.

Gruß
Wolfgang
Bitte warten ..
Mitglied: Dani
27.02.2008 um 10:43 Uhr
Welche Dienst genau?! Mit den 3 Regeln gehen auf jeden Fall ALLE Lan-Dienste (Outlook-Exchange, Datenshare, DHCP, DNS, etc...).

Also versenden über SMTP sollte vom Exchange ausgehen. Natürlich nur, wenn der Exchange und ISA auf der selben Maschine läuft. Ansonsten erstellst du einfach eine Regel von Computer x nach Extern über das Protokoll SMTP alles zulassen. Somit klappt das versenden. Du kannst das natürlich auch auf den ISP Server beschränken.

Zum Empfangen erstellst du einfach eine Regel, von Extern auf den Exchange Server mit den Protokoll POP3. Auch hier kannst du das wieder schärfer einstellen. Somit sollte der Empfang wieder klappen. Ansonsten könnte es sein, dass du einen Listner brauchst.

Es gibt glaub rechts in der Hilfeleiste eine Option "Exchange veröffentlichen"....sollte damit auch gehen.

VPN Gehälter Geschichte?! Das musst du mir mal erklären....versteh ich nicht.


Gruß
Dani
Bitte warten ..
Mitglied: Ringi1970
27.02.2008 um 12:52 Uhr
Die Lohnbuchhaltung loggt sich via https und einem Security Token, welches das Passwort alle paar Sekunden sendet (kennst bestimmt sowas) in das Rechenzentrum ein.
Danach startet ein Java Applet. In diesem Java Applet gibt es ein "Start Session" Knopf der eine Telnet Session startet. Und das Fenster dieser Telnet Session bleibt halt einfach leer...
Emails via Exchange funktionieren in beide Richtungen.
Nur die Kontoauszüge an dem einen Arbeitsplatz werden von Outlook Express abgeholt (weiß nicht warum, war schon immer so seit ich diese Firma betreue), und das geht leider auch noch nicht.
Ich habe auch festgestellt, das keiner der Clients (auch nicht der DC) eine Namensauflösung kann.
(Pings gehen nur mit der IP Adresse)

Gruß
Wolfgang
Bitte warten ..
Mitglied: Ringi1970
04.03.2008 um 08:23 Uhr
Ich habe nun einen dlink-624 Router zwischen geschaltet für das von Dani angesprochene kleine "Transfernetz" hat seine Vorteile stellte ich fest.
Jetzt habe ich am Router das VPN-Passthrough aktiviert, und bekomme aber bei der Gegenstelle nur Fehler 800 bei einem Verbindungsversuch. zuvor (ohne den Router) ging zwar eine Verbindung aber es hing danach bei der Authentifizierung des Benutzernamens und Kennwortes.
Was mache ich denn falsch bezgl. des VPN?
Ich habe es lt der Anleitung eingestellt:
http://www.metacafe.com/watch/729753/isa_server_2006_client_server_vpn_ ...
Wäre für jede Hilfe dankbar!

Gruß
Wolfgang
Bitte warten ..
Mitglied: Ringi1970
04.03.2008 um 15:58 Uhr
Ich stelle soeben fest, daß ich auch eine "interne" VPN verbindung (also von einem Client) nicht zustande bekomme. Auch Fehler 800
VPN ist aktiviert am ISA mit 4 Clients!

Gruß
Wolfgang
Bitte warten ..
Mitglied: Dani
04.04.2008 um 08:50 Uhr
Moin Wolfgang,
hab dich nicht vergessen...aber meine Zeit ist zur Zeit sehr beschränkt. Welches Protokoll fährst du denn VPN seitig? PPTP oder L2TP?! Hast du am ISA den VPN-Zugang, etc... sauber konfiguriert?

Funktioniert die VPN-Verbindung vom LAN aus? Sprich kann dort ein Client eine Verbindung aufbauen. Ansonsten, können die Clients im LAN nun ohne Probleme arbeiten?


Grüße
Dani
Bitte warten ..
Mitglied: Ringi1970
04.04.2008 um 09:25 Uhr
Ne es geht leider auch keine Clientseitige interne Verbindung via VPN. Fahre PPTP Protokoll
Ansonsten tut der gute jetzt seinen Dienst wie er soll!
Hast mir viel weitergeholfen. Danke nochmal an dieser Stelle.

Gruß
Wolfgang
Bitte warten ..
Mitglied: Dani
04.04.2008 um 17:11 Uhr
Hast du den ISA für VPN Zugriff konfiguiert?! Das musst du nämlich extra machen...hängt intern noch eine andere Firewall davor, wo blocken könnte?


Grüße
Dani
Bitte warten ..
Mitglied: Ringi1970
07.04.2008 um 08:15 Uhr
Ja habe ihn wie den Videotutorial (link oben) konfiguriert

Gruß
Wolfgang
Bitte warten ..
Mitglied: Dani
20.04.2008 um 12:52 Uhr
Moin Wolfgang,
ich fang einfach nochmal von vorne an, da wir uns glaube verrannt haben.

Jedoch der Domänen Controller kann nur ins Internet wenn er den Firewall Client installiert
bekommt
Klar, wenn du das so bei der ISA Installation gewünscht hast....ist aber normal nicht erforderlich, solange du nur ein ISA hast bzw. ein kl. Netz.
An deiner Stelle würde die Option mal deaktivieren solange bis alles ohne Client funktioniert!!

Im ISA lasse estmal die Webproxy Einstellungen so, wie sie nach der Installation war - deaktviert. Somit brauchst du auch nichts an den Clients verstellen. Wichtig ist,
was aber zur folge hat, daß seine DNS Funktion völlig auser Kraft gesetzt wird
Was meinst du damit? Den DNS-Dienst vom Server? Du musst natürlich den DNS Dienst vom DC bei allen Clients hinterlegen. Auf dem Server selber richtest als prim. DNS die 127.0.0.1 ein und als Alternativen den ISA Server.
Ich habe nun einen dlink-624 Router zwischen geschaltet für das von Dani angesprochene
kleine "Transfernetz" hat seine Vorteile stellte ich fest.
Sehr schön....nun solltest du folgenden Einstellungen am internen Adapter haben:

IP-Adresse: 172.17.127.135
Subnetzmaske: 255.255.255.0
GW: Leer
DNS: 172.17.127.130

Externe Adapter:
IP-Adresse: xxx.xxx.xxx.xxx
Subnetzmaske: 255.255.255.252
GW: Router
DNS: Router
Somit sollte das Internet problemlos ohne Portangaben, etc...funktionieren.
Ansonsten bitte mal einen Netzplan hochladen. Gibt es die Möglichkeit selbst mal Hand anzulegen an dem Netz, z.B. über Hamatchi?


Grüße
Dani
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Multimedia & Zubehör
BENQ Beamer Fernbedingung Frequenz Problem (2)

Frage von xbast1x zum Thema Multimedia & Zubehör ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (3)

Frage von griss0r zum Thema Windows Netzwerk ...

Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (1)

Frage von Gien-app zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...