none
WDS и «клиенты» в разных подсетях через Forefront TMG

    Вопрос

  • Всем привет!

    Ситуация такая – есть несколько внутренних подсетей объединенных с помощью Forefront TMG 2010. В одной из подсетей развернут WDS (windows deployment services), в другой находятся клиентские машины. Отношение между сетями – NAT, на сетевом интерфейсе, смотрящем в сеть клиентских машин, опубликован TFTP сервер правилом публикации не веб-серверов. Проблема заключается в следующем: запрос от клиента успешно проходит на TFTP сервер, а ответ от него пришедший на сетевой интерфейс TMG, смотрящий в сеть с WDS сервером не пересылается обратно в сеть клиентских машин…

    Подробности реализации:

    Сеть сервера WDS/TFTP lan_a

    Сеть клиентских машин – lan_b

    Шлюз сети lan_a – gw_a

    Шлюз сети lan_b – gw_b

    IP адрес сервера WDS/TFTP – ip_wds

    IP клиентских машин – ip_client

    в сети lan_b DHCP 066 - gw_b

    Создан протокол TFTP сервера:

    Имя: TFTP-server

    Основные подключения: порт 69 UDP Получить/отправить

    Дополнительные подключения: нет

    Фильтры приложений: Фильтр TFTP

    Создано правило доступа:

    Имя: Allow requests to TFTP server

    Действие: Разрешить

    Трафик: созданное ранее правило «TFTP-server»

    Откуда: lan_b

    Куда: ip_wds

    Сети: lan_b (выбран gw_b)

    Расписание: Всегда

    Создано правило отношения сети

    Имя: lan_a to lan_b

    Сети источника: lan_a

    Сети назначения: lan_b

    Отношение сетей: NAT

    Выбор адреса NAT: gw_b

    В мониторинге видно, что соединение устанавливается по созданному правилу, выглядит примерно так:

    Ip_client | 2070 | ip_wds | 69 | Allow | Allow requests to TFTP server | TFTP-server | 0x0 SUCCESS

    но ответ от TFTP сервера не приходит на клиента, а он есть и шлется с ip_wds на gw_a, это я выяснил с помощью Microsoft Network Monitor 3.4, которым прослушал интерфейсы gw_a и gw_b в момент обращения клиента к TFTP серверу, лог нетвокрмонитора выглядит так:

    Ip_client:2070 -> gw_b:69

    gw_a:30631 -> ip_wds:69

    ip_wds:64399 -> gw_a:30631

    далее должно бы быть так - gw_b:64399 -> ip_client:2070, но этого не происходит, и никаких отклоненных соединений тоже, что говорит о том, что «Фильтр TFTP» не блокирует «ip_wds:64399 -> gw_a:30631», но и пересылка обратно не происходит…

    Прошу помочь разобраться, что я сделал не так?


    • Изменено davinchi 6 июня 2012 г. 7:58
    6 июня 2012 г. 7:51

Ответы

  • я почему то не уверен что tftp можно публиковать, во всяком случае ни разу не видел примеров

    • Помечено в качестве ответа davinchi 13 июня 2012 г. 5:48
    6 июня 2012 г. 15:20
    Отвечающий
  • Разворачивайте WDS в каждом филиале. Или, как вариант, вполне реально  использовать MDT.  Развернуть в центре Distribution Share- и  сделать линки в филиалах.Возможностей поболе, чем просто у WDS.

    • Предложено в качестве ответа Dmitriy RazbornovMVP 11 июня 2012 г. 17:39
    • Помечено в качестве ответа davinchi 13 июня 2012 г. 5:48
    11 июня 2012 г. 17:39

Все ответы

  • я почему то не уверен что tftp можно публиковать, во всяком случае ни разу не видел примеров

    • Помечено в качестве ответа davinchi 13 июня 2012 г. 5:48
    6 июня 2012 г. 15:20
    Отвечающий
  • Разворачивайте WDS в каждом филиале. Или, как вариант, вполне реально  использовать MDT.  Развернуть в центре Distribution Share- и  сделать линки в филиалах.Возможностей поболе, чем просто у WDS.

    • Предложено в качестве ответа Dmitriy RazbornovMVP 11 июня 2012 г. 17:39
    • Помечено в качестве ответа davinchi 13 июня 2012 г. 5:48
    11 июня 2012 г. 17:39
  • любой из вариантов будет вернтым, т.к. трафик протокола TFTP через NAT не проходит...

    13 июня 2012 г. 5:58