locked
Bessere Diagnosemöglichkeit? RRS feed

  • Frage

  • Hallo,

    vor kurzen hatte ich das VPN Problem, welches nun gelöst ist. Seither bekommen neue PC's im Netzwerk vom DHCP Server keine IP mehr.

    Nun, ich gehe dann auf "Protokolle und Berichte" und schaue mir an was der TMG nun zulässt, oder eben auch nicht.

    Er blockt nun DHCP-Anforderungen mit dem Hinweis: "Die Richtlinienregeln lassen die Benutzeranforderung nicht zu" (Standardregel). Schön...

    Geht das nicht auch etwas genauer? Woran nimmt der TMG denn nun Anstoß, bzw. warum ist er mit den beiden DHCP-Regeln (Anforderung -> TMG, Antwort -> Intern) nicht einverstanden?

    Gruß Thorsten



    • Bearbeitet eclere Samstag, 11. August 2012 19:33
    Samstag, 11. August 2012 19:31

Antworten

  • Hi,

    erweitere den internen Bereich mal auf .255 statt .254


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort markiert eclere Dienstag, 14. August 2012 05:41
    Montag, 13. August 2012 10:13

Alle Antworten

  • Hi,

    Das Live Logging finde ich eigentlich schon sehr aussagekraeftig, dass nun das normale Regelwerk nicht ausreichend ist um DHCP Anfragen durchzulassen. Du muesstest jetzt also noch nachsehen, warum die Regeln nicht mehr funktionieren.
    Da es schon mal funktioniert hat koenntest Du das Change Tracking im TMG nutzen um nachzusehen was geaendert wurde um die Ursache zu ermitteln.
    Fuer erweitertes Troubleshooting:
    http://www.isaserver.org/tutorials/Troubleshooting-Forefront-TMG.html

    Wenn der DHCP Server im internen Netzwerk liegt und VPN Clients ueber den TMG eine IP Adresse vom DHCP Server anfordern sollen, schau auch mal hier:
    http://social.technet.microsoft.com/Forums/en-US/ForefrontedgeVPN/thread/87d5ea23-0e8a-4e5a-82c3-65b32d07cade/ (DHCP Relay aktivieren


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Sonntag, 12. August 2012 07:25
  • Hi,

    gerade fällt mir auf dass man sehr genau hinschauen muss.

    Ich habe den DHCP Server auf dem TMG laufen. Das DHCP Protokoll habe ich nur zwischen TMG (Lokaler Host) und Intern erlaubt.

    TMG erkennt die Quelle aber nun als Extern. Und das ist nicht erlaubt. Nur warum ist das so, und wie kann ich das korrigieren?

    Meine Clients sind garantiert intern verkabelt:)

    Gruß Thorsten



    • Bearbeitet eclere Sonntag, 12. August 2012 18:25
    Sonntag, 12. August 2012 18:23
  • Hi,

    hilft das?
    http://technet.microsoft.com/en-us/library/cc302605.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Sonntag, 12. August 2012 20:26
  • Hallo,

    leider nicht, Ich habe es bereits genau so gemacht.

    Es scheint dass für die IP 0.0.0.0 eine aktive Serverroute zur öffentlichen IP besteht. Keine Ahnung wie die entstanden ist, aber die sollte wohl raus. Müsste die nicht eher auf den TMG verweisen?

    Gruß Thorsten

    Sonntag, 12. August 2012 20:41
  • HI,

    die Bindung des DHCP Servers steht aber nur auf der internen NIC? (DHCP MMC)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 13. August 2012 04:42
  • Morgen,

    ja. Wie gesagt, funktioniert hatte das alles schon einmal korrekt.

    Montag, 13. August 2012 05:12
  • Hi,

    hmm, nur was hat sich geaendert?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 13. August 2012 06:13
  • Hallo,

    DHCP Anforderungen senden Ihre Anfragen als Broadcast-Package. Beachte dabei die Regelreihenfolge. Ist deine DHCP-Regel (falls noch vorhanden) über den Sperrrichtlinien für weitere "Alle Protokolle" etc.


    king regards Jochen Reinecke - MCITP Enterprise & Enterprise Messaging Administrator

    Montag, 13. August 2012 06:15
  • An den Regeln selbst machte ich keine Änderungen, daher schliesse ich dieses mal aus. Das Interne Netz hatte vor der VPN Änderung den Bereich 192.168.1.0 - 192.168.1.254. Der VPN Bereich  lag zwischen 192.168.10.50 - 192.168.10.100.

    Da ich Änderungen am VPN Netz machen musste, musste ich auch das interne Netz ändern. Daher ist es nun so:

    Intern: 192.168.1.0 - 192.168.1.50 und 192.168.1.101 - 192-168-1-254

    VPN: 192.168.1.51 - 192.168.1.100

    Ich schätze wärend dieser Änderung ist beim TMG irgendwas durcheinander geraten.

    Montag, 13. August 2012 09:13
  • Hallo,

    ich habe die beiden Regeln an erster Stelle:

    Montag, 13. August 2012 09:13
  • Hi,

    erweitere den internen Bereich mal auf .255 statt .254


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort markiert eclere Dienstag, 14. August 2012 05:41
    Montag, 13. August 2012 10:13
  • Hi, habe ich gemacht. Ursprünglich war das auch ich im Handbuch so beschrieben:)

    Ergebnis ist aber immer noch das gleiche, da die IP 0.0.0.0 wohl extern ist.

    Montag, 13. August 2012 17:34
  • Guten morgen,

    gerade stellte ich fest dass mein Handy wieder mit dem WLAN verbunden werden konnte. Promt teste ich andere Clients und stellte erfreut fest dass DHCP wieder funktioniert. Somit war Dein Tipp doch der richtige.

    Ich habe wohl zu früh getestet. Nur weil TMG meldet die Änderungen seien übernommen heisst dass nicht dass sie auch schon verfügbar sind. Scheint immer noch ein paar Minuten zu dauern.

    Vielen Dank für die Hilfe.

    Gruß Thorsten

    Dienstag, 14. August 2012 05:41
  • HI,

    jau ab und zu muss man mal etwas warten und das mit der .255 klingt logisch, da es die Broadcast Adresse ist. Wenn diese nicht als internes Netzwerk konfiguriert ist, ist die IP automatisch EXTERN


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 14. August 2012 06:37