locked
AD-Replikation über TMG-VPN RRS feed

  • Frage

  • Nach der Umstellung von einer anderen Firewall und VPN-Lösung sind wir kürzlich auf TMG umgestiegen.

    Leider funktioniert seit dem die AD-Replikation über unser TMG-VPN nicht sauber, u. A. scheint RPC nicht zu funktionieren - ich kann z. B. von einem DC auf einem Standort die Ereignisanzeige an dem anderen Standort öffnen. Ebenso ist es mir nicht möglich, auf einem DC am Remotestandort die AD-Konsolen (Standorte und Dienste, Benutzer und Computer, GPMC, etc.) zu öffnen. Alle Rollen befinden sich am Hauptstandort.

    Teilweise erhalte ich als Fehlermeldung beim Versuch, die Konsolen auf einem Remote DC zu öffnen:
    Dieser Server ist nicht funktionstüchtig
    RPC fehlgeschlagen...

    Fehlermeldungen in den Logs sind z. B.:
    1006   Userenv : Es konnte keine Verbindung zur Domäne hergestellt werden
    1030   Userenv : Die Abfrage der Liste der GPOs ist fehlgeschlagen.
    13508 NtFrs      : Der Dateireplikationsdienst konnte die Replikation von <SERVERA> nach <SERVERB> ... nicht aktivieren

    etc. pp.

    Hat jemand eine Idee, woran wir drehen müssten, damit die AD-Replikation zwischen den Standorten vollständig und zuverlässig funktioniert?

    Mittwoch, 15. September 2010 10:46

Antworten

  • Hi,

    werden die beiden TMG direkt gekoppelt oder steht vor den TMG ein Router? Die MTU musst Du auf den TMG Servern anpassen und in Einklang mit den Routern bringen.
    http://technet.microsoft.com/en-us/library/cc302601.aspx
    Pruefe bitte auch mal ob in den TMG Einstellungen die IP Fragmentierung - Eindringschutzsystem - verhaltensbasierte Eindringversuchserkennung - IP-Optionen Filter - IP Fragmentierung muss aus sein. 


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    • Als Antwort markiert Shisu.Ado Montag, 20. September 2010 12:31
    Donnerstag, 16. September 2010 17:54

Alle Antworten

  • Hi,

    Deine Site to Site VPN verbindung hat als Netzwerkrule ROUTE und nicht NAT?
    Geh mal mit einem Rechtsklick in die Regel welche den VPN Zugriff zwischen den Standorten erlaubt und deaktiviere "Enforce Strict RPC Compliance". Funktioniert es dann? Der Tunnel erlaubt alle notwendigen Protokolle fuer Active Directory?


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Mittwoch, 15. September 2010 10:55
  • Hi Marc,

    vielen Dank für die schnelle Antwort.

    Sorry, ich hätte das schon anfangs erwähnen sollen: Die Info hatte ich hier im Forum auch schon gefunden (glaube ich). Wir hatten das eigentlich unter "Firewallrichtlinie - Systemrichtlinie bearbeiten - Authentifizierungsdienste - Active Directory" deaktiviert - aber scheinbar scheint das nicht zu greifen.

    Aber an der Stelle, die du beschrieben hast, ist der Haken noch drin (weshalb?). Ich muss jetzt erstmal einen VPN-Abbruch ankündigen, werde die Konfig dann durchführen und mich dann wieder melden.

    Oder muss ich die TMGs vielleicht sogar neu starten, damit diese Funktion wirklich deaktiviert wird?

    Mittwoch, 15. September 2010 11:37
  • Hi,

    Du hast die Strict RPC Compliance nur fuer die Systemrichtlinien deaktiviert. Die werden zwar vor den Firewallrichtlinien abgearbeitet, betreffen aber nicht den Site to Site VPN Verkehr. Also musst Du das hier explizit noch deaktivieren und Nein, rebooten musst Du die Maschine nicht


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Mittwoch, 15. September 2010 12:08
  • Erste Rückmeldung, nachdem ich die neuen Einstellungen auf beiden TMGs übernommen habe. Es hat sich einiges geändert, aber noch funktioniert nicht alles.

    1. Mit dem Übernehmen der neuen Einstellungen wurde das VPN unterbrochen (Abbruch aller Verbindungen inkl. Telefonie) und dann wieder aufgebaut
    2. Telefonie funktioniert wieder.
    3. RDP-Zugriff von den Remote-Clients auf Terminalserver am Hauptstandort funktionieren wieder.

    RDP-Verbindungen verhalten sich nun etwas seltsam:

    1. RDP-Zugriff vom Hauptstandort auf die 2008R2-Server am Remotestandort funktioniert nicht mehr (angebl. RDP-Protokollfehler: Socket closed)
    2. RDP-Zugriff vom Remotestandort auf die 2008R2-Server am Hauptstandort funktioniert nicht mehr (angebl. RDP-Protokollfehler: Socket closed)
    3. RDP-Zugriff vom Hauptstandort auf die 2003-Server am Remotestandort funktioniert
    4. RDP-Zugriff vom Remotestandort auf die 2003-Server am Hauptstandort funktioniert
    5. RDP-Zugriff von einem 2003-Server am Remotestandort auf einen lokalen 2008R2-Server funktioniert.

    RPC scheint immer noch problematisch zu sein:

    1. Zugriff z. B. auf die Ereignisanzeige eines Rechners am jeweiligen Remotestandort funktioniert nicht. 

    AD:

    1. Ich kann auf den DCs am Remotestandort wieder auf die AD-Konsolen und GPMC zugreifen
    2. Der neue 2008R2-DC hat jetzt endlich auch DCs vom Hauptstandort als Replikationspartner (vorher nur den lokalen DC)

    Mittwoch, 15. September 2010 12:58
  • Hi,

    evtl. noch was an den Routern vor und hinter den jeweiligen TMG der S2S einzustellen.

    Nicht funktionierendes RDP hoert sich fuer mich an wie MTU Probleme, ake "Black Hole Router":
    http://support.microsoft.com/kb/159211/en-us
    Pruefe auch mal RSC:
    http://tmgblog.richardhicks.com/2010/09/08/forefront-threat-management-gateway-tmg-and-windows-server-2008-networking-scalability-features/


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Mittwoch, 15. September 2010 13:15
  • Ok, danke, ich werde mich da mal durcharbeiten und mich zurückmelden.
    Mittwoch, 15. September 2010 13:19
  • Es sieht aus, als liegst du mit deiner Vermutung richtig:

    1. Ping innerhalb der Standorte mit einer Paketgröße von 1472 möglich
    2. Ping von einem TMG in das jeweilige Remotenetz mit einer Paketgröße von 1472 möglich
    3. Ping von einem TMG in das lokale Netz mit einer Paketgröße von 1472 möglich
    4. Ping von einem Standort in den jeweligen Remotestandort nur bis zu einer Paketgröße von 1394 möglich, danach: "Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt."
    5. Ping der TMGs untereinander leider nicht möglich.

    Die Frage ist, was ich mit dieser Information anfange? Soll ich die Paketgröße in den Subnetzen generell auf 1394 herabsetzen? Oder reicht es, die MTU-Einstellung nur für die DCs zu ändern? Oder kann ich da etwas am TMG drehen? Es sieht ja so aus, dass die Probleme erst auftauchen, wenn die Pakete über beide TMGs gehen, oder?

    Donnerstag, 16. September 2010 14:17
  • Hi,

    werden die beiden TMG direkt gekoppelt oder steht vor den TMG ein Router? Die MTU musst Du auf den TMG Servern anpassen und in Einklang mit den Routern bringen.
    http://technet.microsoft.com/en-us/library/cc302601.aspx
    Pruefe bitte auch mal ob in den TMG Einstellungen die IP Fragmentierung - Eindringschutzsystem - verhaltensbasierte Eindringversuchserkennung - IP-Optionen Filter - IP Fragmentierung muss aus sein. 


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    • Als Antwort markiert Shisu.Ado Montag, 20. September 2010 12:31
    Donnerstag, 16. September 2010 17:54
  • Hi,

    danke nochmal für die schnellen Infos.

    Vor den TMGs ist jeweils ein Router des jeweiligen Providers. Die Option "IP-Fragmente sperren" (die meintest du doch, oder?) ist bei beiden TMGs aktuell deaktiviert.

    Die MTU-Umstellungen kann ich heute frühestens ab 15:00 Uhr oder am WE durchführen (hab die User schon genug genervt ;) ). Melde mich dann.

     

    Freitag, 17. September 2010 08:15
  • Hi,

    ja, die Einstellung meinte ich! Dann viel Glueck dabei und melde Dich, wie das Ergebnis ist!


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Freitag, 17. September 2010 08:34
  • Folgende Schritte habe ich durchgeführt:

    1. Ermitteln der geeigneten MTU-Größe
    Beginnend von der Standardgröße bin ich schrittweise abwärts gegangen, bis ich eine MTU-Größe gefunden hatte, die nicht mehr fragmentiert wird.

    C:\Users\Administrator> ping <servername> -f -l 1472
    
    Ping wird ausgeführt für <servername> [IP] mit 1472 Bytes Daten:
    
    Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt.
    ...

    Der Wert, der bei mir letztendlich erfolgreich war, ist 1394 Byte.

    2. Konfiguration der externen Netzwerkadapter beider TMGs, um die kleinere MTU-Größe zu konfigurieren

    Auf jedem TMG unter dem folgenden Pfad in der Registry

    HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<AdapterID>

    den richtigen Adapter heraussuchen und dort einen neuen DWORD-Wert (ich habe 32-Bit verwendet) anlegen, MTU benennen, den unter 1. herausgefundenen Wert als Dezimalwert + 28 (IP+ICMP-Header) eintragen (also bei mir: 1422) und die Server neu starten.

    Der darauffolgende Test war erfolgreich. Die Replikation scheint seit dem wieder zu funktionieren (momentan keine RPC-Fehler mehr), ich kann wieder auf Ereignisanzeige, Gruppenrichtlinien und andere Tools auch auf Remote-Servern zugreifen und Änderungen werden wieder an beide Standorte repliziert.

    Ich hoffe, ich habe alles richtig zusammengefasst.

    Vielen Dank für die schnelle und kompetente Hilfe. Ich bin froh, dass es das ISA-Server/TMG-Forefront-Forum noch gibt!

    Montag, 20. September 2010 12:19
  • Hi,

    schoen das es geklappt hat und ich bin auch froh, dass es das Forum noch gibt. Macht echt Spass hier!


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Montag, 20. September 2010 13:14