locked
Forefront TMG: Verbindungsprobleme zwischen zwei Site-to-Site Standorten RRS feed

  • Frage

  • Hallo zusammen,

    wir haben zur Zeit Verbindungsprobleme zwischen dem Hauptsitz und einem Branch-Office, bei dem wir aktuell nicht weiterkommen:

     

    Hauptsitz:

    Windows Server 2008 R2 mit Forefront TMG aktuelles Patchlevel incl. Roll-Ups

    Feste IP der QSC 4mBit/s SDSL

    2x Windows Server 2008 R2 Domänencontroller

    1x Windows Server 2008 R2 + Exchange 2010

     

    Branch-Office:

    Zyxel Zywall 2 Plus

    Feste IP der Vodafone ADSL 16000

    kein Domänencontroller

     

    Symptom:

    Hauptsitz und Branch-Office sind über einen IPSec Site-to-Site Tunnel verbunden. Pings zwischen beiden Remotestandorten sind ohne Probleme möglich. Pingzeiten sind ca. 20-40 ms je nach Auslastung der QSC-Leitung am Hauptsitz.

    Die Clients in Frankfurt (Thinclients, HP und Axel) sollen auf einen XENAPP Server am Hauptsitz zugreifen, was allerdings aktuell nur über die Axel Thinclients funktioniert. Dem HP Thinclient wird beim Verbinden lediglich angezeigt, dass die Seite gefunden wird, allerdings baut sich die Seite nicht auf. Zwar war vorgestern die Verbindung zum XENAPP Server möglich, gestern und heute ist es wieder nicht möglich.

    Gleiches Verhalten lässt sich auf einem Windows 7 Laptop beobachten. Auch ist beim Laptop sporadisch keine Verbindung zum Exchange möglich. Das Outlook versucht hier zwar den Verbindungsaufbau, bricht aber irgendwann ab und geht in den Status "Getrennt".

    Nach einer Fehleranalyse konnten wir allerdings feststellen, dass nicht alle Verbindungen zwischen den beiden Remotestandorten betroffen sind:

    - Zugriff der Axel Thincllients funktioniert (verwenden wohl einen anderen Mechanismus um auf den XENAPP zuzugreifen)

    - Zugriff der HP Thinclients auf die XENAPP-Seite nicht möglich ebenso der Laptop

    - Zugriff auf Exchange via Outlook vom Laptop aus nicht möglich

    - Zugriff auf Netzwerklaufwerke (DFS-Share im Hauptsitz) möglich, allerdings nur via IP. Über Netbios bzw. DNS-Namen des Servers ist keine Verbindung möglich obwohl der DNS des Hauptsitzes als DNS-Server am Laptop eingetragen ist und die Auflösung funktioniert

    - Zugriff vom Hauptsitz auf die Firewall im Branch-Office per HTTPS möglich, allerdings ist beispielsweise ein Drucker (Dell) per Webinterface nicht erreichbar.

     

    Hat jemand von Euch eine Idee woran das liegen kann?

     

    Dane im Voraus und Grüße,

    André

     

    Freitag, 26. August 2011 11:48

Antworten

  • Hi,

    ich wollte nur noch mal kurzes Feedback geben:

    Probleme habe ich bis zu einem gewissen Grad lösen können, es besteht allerdings noch ein Problem mit den Outlooks im Branch Office. Hierzu mache ich aber einen neuen Thread auf.

    Ich konnte die Problematik in sofern eingrenzen, dass

    1. mit ausgeschaltetem NIS-Schutz am TMG vom Grundsatz einige Verbindungen z.B. der Zugriff auf das XenApp Webinterface wieder möglich waren. Aktuell habe ich NIS deaktiviert, werde aber noch eine Regel erstellen, dass NIS für den Remote Standort nicht greift

    2. die Firewallregel für das Site-to-Site VPN am besten an erster Stelle steht, damit andere Regeln nicht etwas verweigern, was eigentlich erlaubt sein sollte.

    3. Ich auf den Clients einen Registry-Eintrag hinterlegt habe, der die Erkennung von Black-Hole-Routern aktiviert. http://support.microsoft.com/kb/314825/de Verfahren 1

    Nachdem die drei Schritte durchgeführt waren, war es mir später auch möglich einen RODC per DCPROMO am Remote Standort zu erstellen.

    Grüße,

     

    • Als Antwort markiert André Loske Donnerstag, 6. Oktober 2011 08:27
    Donnerstag, 6. Oktober 2011 08:27

Alle Antworten

  • Hi,

    hoert sich grundsaetzlich ja erst mal nicht nach einem Firewallproblem an, wenn es mal funktinierte und bei einigen Geraeten auch funktiniert.
    Was sagt denn das TMG Live Logging?
    Erstell mal ein benutzerdefiniertes Protokoll HTTP an welchem nicht der Webproxyfilter gebunden ist. Verwende dann die neue Protokolldefinition in dr Firewallregel in dem S2S Tunnel anstatt des Default HTTP Protokolls.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 26. August 2011 11:53
  • Hi Marc,

    ja, würde ich auch sagen. Grundsätzlich im Live Logging nichts, was merkwürdig erscheint. Pings und beispielsweise ein Telnet auf Port 80 bzw. 443 gehen einwandfrei durch. Es wird auch nichts verweigert.

    Das mit dem HTTP Protokoll muss ich testen. Melde mich dazu nochmals, da ich das erst am Abend einstellen kann, da sonst beim Schreiben der Firewallregeln der TMG immer die IPSec Tunnel trennt und somit die User aus ihren XENAPP-Sitzungen flilegen.

    Prinzipiell, könnte es evtl. auch an der MTU liegen? Vermutung von uns...

    Grüße,

    André


    Freitag, 26. August 2011 12:04
  • Hi,

    ja, MTU Probleme (Black Hole Router) sind beliebte Dinge fuer derartige Probleme. An den Windows Server Einstellungen ist nichts geaendert worden (PMTU, SNP, TCP Offload, RSS etc.)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 26. August 2011 12:17
  • Hi,

    ich hatte hierzu nur einen Registry-Wert angepasst, den ich aus einem Artikel im Netz hatte, von jemanden der das gleiche Problem hatte. Der Wert war 

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\*Interface*

    Dword: MTU= 1472

    Hat aber auch keine Abhilfe gebracht. Die anderen Werte sind meines Wissens nach nicht verhändert worden und im Zweifel wenn nur von mir.

    Grüße,

    André

     

    Freitag, 26. August 2011 12:26
  • Hi Marc,

    ich habe soeben die Sache mit dem benutzerdefinierten Protokoll getestet. Das Live-Logging zeigte hierbei keine Verweigerungen oder sonstige Auffälligkeiten. Allerdings konnte ich feststellen, dass der Zugriff auf das Citrix-Webinterface über den Firefox funktioniert, aber nicht über den Internet Explorer. Zwar kommt danach beim Firefox auch keine Citrix-Sitzung zu stande, aber zumindest das Webinterface lässt sich öffnen.

    Weiter haben wir auch immer noch das Phänomen, dass der Zugriff komischerweise an manchen Tagen funktioniert (teilweise aber auch nur stundenbedingt), die mehrzahl der Tage allerdings der Zugriff nicht funktioniert.

    Sehr merkwürdig...

    Hast Du noch eine Idee?

    Danke Dir und Grüße,

    André

    Freitag, 2. September 2011 09:17
  • Hi,

    ich wollte nur noch mal kurzes Feedback geben:

    Probleme habe ich bis zu einem gewissen Grad lösen können, es besteht allerdings noch ein Problem mit den Outlooks im Branch Office. Hierzu mache ich aber einen neuen Thread auf.

    Ich konnte die Problematik in sofern eingrenzen, dass

    1. mit ausgeschaltetem NIS-Schutz am TMG vom Grundsatz einige Verbindungen z.B. der Zugriff auf das XenApp Webinterface wieder möglich waren. Aktuell habe ich NIS deaktiviert, werde aber noch eine Regel erstellen, dass NIS für den Remote Standort nicht greift

    2. die Firewallregel für das Site-to-Site VPN am besten an erster Stelle steht, damit andere Regeln nicht etwas verweigern, was eigentlich erlaubt sein sollte.

    3. Ich auf den Clients einen Registry-Eintrag hinterlegt habe, der die Erkennung von Black-Hole-Routern aktiviert. http://support.microsoft.com/kb/314825/de Verfahren 1

    Nachdem die drei Schritte durchgeführt waren, war es mir später auch möglich einen RODC per DCPROMO am Remote Standort zu erstellen.

    Grüße,

     

    • Als Antwort markiert André Loske Donnerstag, 6. Oktober 2011 08:27
    Donnerstag, 6. Oktober 2011 08:27