none
Direct Access auf TMG 2010 RRS feed

  • Frage

  • Hallo Kollegen,

     

    ich muss erstmals Direct Access implementieren. Der Direct Access-Server muss auf einem bestehenden TMG 2010 aufgesetzt werden. Das Dokument von Marc Grote hierzu habe ich bereits gesehen.

    Gleichzeitig muss ich den Internetanschluss umstellen, damit wir die beiden geforderten öffentlichen IP-Adressen haben und unsere interne und externe Domäne ist identisch (xyz.de). Das sind nicht gerade einfache Bedingngen für das erste DA-Projekt.

    Ich habe mir überlegt, als erstes den Internetanschluss umzustellen und erst wenn dann alles läuft werde ich an Direct Access denken. Hat jemand ein paar Best Practices-Vorschläge oder wichtige Hinweise für mich? Konkret möchte ich wissen, ob der TMG/DA-Server auch Routing macht, hier ist mir der Punkt nämlich unklar: Bisher hatten wir einen Router mit NAT, der hat dann z.B. SMTP an den Exchange-Server per Regel an die interne IP des Exchange weitergeleitet. Wer macht das jetzt, denn der neue Router natet ja nicht. Das TMG / DA-Gateway? Dem Exchabge möcht eich keine öffentliche IP geben :)

     

    Freue mich über Eure Anregungen!

     

    Montag, 14. März 2011 13:36

Alle Antworten

  • hallo mczalle,

    ein nat64 und dns64 ist im tmg nicht enthalten, dafür bräuchtest du z.b. uag. split-dns ist afaik eines der showstopper bei da, so du nicht intern bsp. firma.xyz.de und extern xyz.de hättest.

    ist deine umsetzung eine teststellung, oder soll das ganze direkt produktiv eingesetzt werden? ich würde dir dazu raten, wenn möglich den aufbau testweise vorzunehmen. die wenigsten schmerzen hast du imho bei uag. gehe davon aus, das die ersten 3-5 versuche unter umständen in die hose gehen.

    :-(


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 14. März 2011 13:43
  • Hi,

    da TMG keine IPv6 Router Funktionalitaeten hat wie UAG (NAT 64 etc.) musst Du im Netz ein Routing Device haben, was das kann oder Du stellst gleich im LAN alles auf IPv6 um :-)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 14. März 2011 13:47
    Moderator
  • Moin,

    ich kann für DA auch nur den Einsatz des UAG´s empfehlen. Wenn ihr TMG als zentrale Firewall einsetzt, würde ich dem System nicht auch noch DA geben.

    Was die DNS-Namen angeht: Warum ist Split-DNS ein Showstopper ?

    Wir haben: domäne.com (extern) intern.domäne.com (intern). Selbst wenn beide Domänen identisch sind, darfs es doch nicht zum showstopper werden.


    Viele Grüße Carsten
    Dienstag, 15. März 2011 08:05
  • stichwort nrpt bei split-dns?

    http://technet.microsoft.com/de-de/library/ee382323(WS.10).aspx

    das domain.com (extern) und intern.domain.com (intern) klappt ist mir klar - habe ich ja auch oben geschriem. ich bin aber bisher immer davon ausgegangen das domain.com (extern) und domain.com (intern) aufgrund der nrpt nicht funzt bei da. lasse mich aber gern eines besseren belehren.

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 15. März 2011 10:01
  • dann lass uns das mal untersuchen und Theorien aufstellen ;)

    was macht die nrpt ?
    Sie soll dem DA-Client eigentlich nur sagen, das Abfragen für eine bestimmte Domäne (intern.com) als AAAA-Abfrage durch den Tunnel gehen müssen. Sprich diese Domäne ist nur durch den Tunnel erreichbar ...

    Wenn der Client im LAN stehen würde, wäre das ergebnis, das externe ziele der Domäne auch im internen DNS gepfegt werden müssen. Beispiel www als Host. Danach ist www.domäne.com auch von intern erreichbar.

    Bei DA kann ich mir nur ein Problem vorstellen. Wenn der IP-HTTPS-Endpunkt auf den Namen da.domäne.com gelenkt wird und diese Domäne auf der nrpt steht, könnte es Probleme geben. Aber da würde ich erstmal versuchen, den Namen aus der nrpt auszuschließen. Wenn das nicht funktioniert, würde ich davür einen Namen verwenden, der intern nicht vorhanden ist. da.dadomäne.com. Spätestens das sollte funktionieren.

    und jetzt lese ich mal den Artikel ;)


    Viele Grüße Carsten
    Dienstag, 15. März 2011 14:28
  • huhu,

    hast du den da mit einem split-dns schonmal so ausgerollt - also intern domain.com und extern auch domain.com?

    zum verständnis: wenn ich als da-client im inet sitze und nun vlt. einen anderen dienst nutzen mag - nehmen wir mal ein cag des unternehmens (womit wir wieder beim thema wären - hihi), welches nur von extern via fqdn z.b. cag.domain.com erreichbar wäre? dann müsste mir meine nrpt doch sagen: hm cag.domain.com ist drinnen und ich würde das ziel nicht erreichen? oder ich würde es über da über das interne netz wieder rausloopen? oder ich pflege dafür eine ausnahme in der nrpt???


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 15. März 2011 17:42
  • Äehm leider nicht ... Werde aber meine Erfahrungen Posten, wenn es soweit ist ;) stimmt, das cag würde ich über intern leiten ( dann geht auch citrix über da) wir sollten uns mal einen Ort suchen, wo wie Erfahrungen zu DA sammeln. Beispiel: Liste von Anwendungen, die über den Tunnel nicht oder nur mit Krücke funktionieren. Vielleicht auf eurer Seite ?
    Viele Grüße Carsten
    Mittwoch, 16. März 2011 20:55
  • Edit: Geklärt
    • Bearbeitet McZalle Samstag, 19. März 2011 10:49
    Freitag, 18. März 2011 20:25
  • ich würde eine serververöffentlichungsregel verwenden, dann sollte es funken. achte darauf, das deine netzwerkrelation jetzt auf nat steht beim tmg (von intern nach extern).

    siehe auch hier:

    http://technet.microsoft.com/en-us/library/cc995257.aspx


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 18. März 2011 21:04
  • ich würde eine serververöffentlichungsregel verwenden, dann sollte es funken. achte darauf, das deine netzwerkrelation jetzt auf nat steht beim tmg (von intern nach extern).

    siehe auch hier:

    http://technet.microsoft.com/en-us/library/cc995257.aspx


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|


    Danke, kannst Du mir dazu noch ein- zwei Sätze schreiben?Irgendwie muss das TMG doch entscheiden können: "Ah, da kam SMTP auf extern an, das leite ich weiter an Server XYZ in intern".

    Freitag, 18. März 2011 22:23
  • Hi,

    http://technet.microsoft.com/en-us/library/bb794751.aspx
    Die Serververoeffentlichung hat einen Listener auf dem ISA/TMG auf SMTP Anfragen lauscht, wenn SMTP ankommt, leitet ISA/TMG die Anfragen an den internen Mailserver weiter


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 18. März 2011 23:09
    Moderator
  • moin,

    ich bin so frei und referenziere mal auf die deutsche tmg-bibel, die ich nur ans herz legen kann:

    http://www.msisafaq.de/Buch/TMG/index.htm


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Samstag, 19. März 2011 09:19
  • Danke :) Die Umstellung auf den neuen Internetanschluss hat letzte Nacht geklappt, ich hatte schlicht übersehen, dass auf dem externen Listener noch die alte IP-Adresse konfiguriert war ... (keine bösen Kommentare bitte :D ).

     

    Jetzt geht alerdings die knifflige Arbeit erst richtig los ... :S

     

    PS: Die TMG-Bibel hatte ich natürlich schon :)

    PPS: Warum gibt es für Direct Access eigentlich kein so tolles Buch? Gerade die Geschichte mit den Zertifikaten finde ich in den bisher gefundenen Dokus "unübersichtlich".

     




    Samstag, 19. März 2011 10:45