locked
mit VNC Zugriff auf die TMG-Console gelingt nur sproadisch RRS feed

  • Frage

  • Hi,

    der Zugriff auf den TMG per VNC auf Port 8002 (VNC angepasst) gelingt

    und gelingt mal nicht. Dann kommt im Log der Eintrag, dass das Protokoll unbekannt ist.

    Protokoll-Definition wurde erstellt auf TCP 8002. Server-Veröffentlichungs-Regel und Client-Zugriffs-Regel wurden ohne erwähnenswerte Einschränkungen erstellt.  TMG einbeinig in der DMZ. Alle Updates usw.

    Erfolgreich ist immer nur die Server-Regel.

    Wer hat eine Idee, woher dieser sporadische geht/geht nicht-Effekt her kommt?

     


    Grüße/Regards, Jens Klein
    Montag, 4. April 2011 14:22

Alle Antworten

  • Hallo,

    wenn der TMG einbeinig ist, dann brauchst du eigentlich nur eine Zugriffsregel. Könnte mir vorstellen, dass die Serververöffentlichung sich den Port 8002 schnappt und dann kann VNC nicht veröffentlicht werden.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Montag, 4. April 2011 14:46
  • Hi,

    kannst Du dem VNC nicht sagen, er soll auf zwei Ports lauschen. Einmal fuer die interne Verbindung Port xx fuer die erste Session und dann Port XY fuer die zweit Session? fuer die Serververoeffentlichung. Welche Regel schlaegt denn im TMG Log auf?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 4. April 2011 17:04
  • Hallo Marc,

    welche 2. Session? Es wird nur eine benötigt. Aber eben die Session gelingt nur sporadisch.

    Wie gesagt, mal sehe ich im Log, dass eine Anfrage auf Port 8002 kommt und mal gibt sie die Regel frei und einen Moment später (VNC-Verbindung wurde voher getrennt) sehe ich im Log die nächste Anfrage (VNC wurde wieder gestartet) auch auf dem Port 8002, nur dass die letzte DenyAll-Regel sie verbietet, mit dem Hinweis auf unknowm Port (oder so ähnlich).

     

     


    Grüße/Regards, Jens Klein
    Montag, 4. April 2011 18:36
  • Hallo Christian,

    nur mit der Zugriffs-Regel gelingt die VNC-Verbindung überhaupt nicht.

    sie gelingt nur mit der Server-Veröffentlichungs-Regel, auch wenn keine Zugriffs-Regel exisitiert.


    Grüße/Regards, Jens Klein
    Montag, 4. April 2011 18:39
  • moin jens,

    das ist mal strange - ich würde mich hier definitiv christians meinung anschließen, das eine zugriffsregel reicht!

    quelle: intern - ziel: localhost - tcp 8002 ausgehend.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 4. April 2011 18:52
  • ok.

    Ich habe aber

    quelle: intern - ziel: localhost - tcp 8002 EINGEHEND

    gemacht. Das wäre ja die Erklärung. Werde ich testen.

    Aber bitte erkläre mir doch, wie ich das Eingehend/Ausgehend jeweils richtig deuten/benutzen kann?

    Ich dachte, dass wäre beim Ziel TMG eingehender Verkehr?


    Grüße/Regards, Jens Klein
    Montag, 4. April 2011 18:57
  • moin jens,

    richtung eingehend verwendest du wenn du ein serverpublish bauen willst. ausgehend z.b. bei zugriffsregelwerk.

    klingt ein wenig komisch, aber du gehst aus dem netzwerk intern raus ins ziel localhost sozusagen.

    wenn du von irgendeinem netzwerk bis auf localhost mit irgendeinem protokoll zugreifen magst, dann verwendest du meistens zugriffregelwerk, weil tmg als netzwerkrelation auf route von localhost zu allen netzen steht. eine ausnahme wäre z.b. ein reverse-proxy aka webpublish für z.b. owa.

    check it out, wenn dein vnc-dings tcp 8002 verwendet, dann wird's klappen!

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 4. April 2011 19:47
  • Hi,

    http://en.wikipedia.org/wiki/Virtual_Network_Computing


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 5. April 2011 03:46
  • Hi,

    nee, das wars auch nicht.

    Vielleicht ist der Port durch ein anderes vordefiniertes Protokoll belegt?

    Gibt kann ich sehen, welcher Port in welchem Protokoll verwendet wird?

    (ohne alle einzeln zu kontrollieren)


    Grüße/Regards, Jens Klein
    Dienstag, 5. April 2011 07:16
  • Hi,

    alleine durch ein Protokoll kann der Port nicht belegt werden, dazu brächtest du dann schon eine Serververöffentlichung für.

    Theoretisch kannst du mit netstat -na | find ":8002" herausfinden, ob der Port 8002 schon belegt ist. Allerdings bekommst du die vom TMG benutzten Ports dabei nicht angezeigt.

    Funktioniert es denn, wenn du die Serververöffentlichung löschst und eine Zugriffsregel mit dem ausgehenden Protokoll bastelst?

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Dienstag, 5. April 2011 07:20
  • ok, erledit: export in Datei und suchen.

    Ergbnis: Port ist nicht durch andere Protokoll-Definition belegt.


    Grüße/Regards, Jens Klein
    Dienstag, 5. April 2011 07:24
  • macht es einen Unterschied ob ich eine Regel lösche oder deaktiviere?

    Es funktioniert mit der Zugriffsregel überhaupt nicht, auch mit der Protokoll-Definition TCP 8002 AUSGEHEND nicht (Die Serverregel war derweil deaktiviert).

    Es funktioniert nur sporadisch mit der Serververöffentlichungsregel und der Protokoll-Definition TCP 8002 EINGEHEND.

    Wenn die Verbindung nicht gelingt, kommt im Log immer die Meldung "Unidentifid IP-Traffic" auf Port "8002". Auch wenn Client, vom dem der Zugriff ausgeht, neben dem TMG steht, ist der Fehler der Selbe.


    Grüße/Regards, Jens Klein
    Dienstag, 5. April 2011 13:30
  • Hi,

    dekativieren sollte ausreichen. Da TMG im Protokoll "unidentifiied Traffic" aufführt passt etwas mit der Protokolldefinition nicht.

    Wenn möglich mach mal einen Test und erlaube den gesamten Datenverkehr von einem bestimmten Client zu Lokaler Host. Wenn es damit immer einwandfrei funktioniert passt die Protokolldefinition noch nicht.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Dienstag, 5. April 2011 13:33
  • Hi,

    habe die Regel 'Client zum TMG darf alles' gemacht. Ergebnis ist gleich: Mal gehts, mal nicht. Also liegt es nicht an der Regel.

    Da der TMG eine VM ist, habe ich sie auf einen anderen VMWare-Host geschoben. Ergebnis ist gleich: Mal gehts, mal nicht.

    Fällt Euch in Sachen 'Ausschlussverfahren' noch was ein?


    Grüße/Regards, Jens Klein
    Freitag, 8. April 2011 19:49