Benutzer mit den meisten Antworten
Bessere Diagnosemöglichkeit?

Frage
-
Hallo,
vor kurzen hatte ich das VPN Problem, welches nun gelöst ist. Seither bekommen neue PC's im Netzwerk vom DHCP Server keine IP mehr.
Nun, ich gehe dann auf "Protokolle und Berichte" und schaue mir an was der TMG nun zulässt, oder eben auch nicht.
Er blockt nun DHCP-Anforderungen mit dem Hinweis: "Die Richtlinienregeln lassen die Benutzeranforderung nicht zu" (Standardregel). Schön...
Geht das nicht auch etwas genauer? Woran nimmt der TMG denn nun Anstoß, bzw. warum ist er mit den beiden DHCP-Regeln (Anforderung -> TMG, Antwort -> Intern) nicht einverstanden?
Gruß Thorsten
- Bearbeitet eclere Samstag, 11. August 2012 19:33
Samstag, 11. August 2012 19:31
Antworten
Alle Antworten
-
Hi,
Das Live Logging finde ich eigentlich schon sehr aussagekraeftig, dass nun das normale Regelwerk nicht ausreichend ist um DHCP Anfragen durchzulassen. Du muesstest jetzt also noch nachsehen, warum die Regeln nicht mehr funktionieren.
Da es schon mal funktioniert hat koenntest Du das Change Tracking im TMG nutzen um nachzusehen was geaendert wurde um die Ursache zu ermitteln.
Fuer erweitertes Troubleshooting:
http://www.isaserver.org/tutorials/Troubleshooting-Forefront-TMG.htmlWenn der DHCP Server im internen Netzwerk liegt und VPN Clients ueber den TMG eine IP Adresse vom DHCP Server anfordern sollen, schau auch mal hier:
http://social.technet.microsoft.com/Forums/en-US/ForefrontedgeVPN/thread/87d5ea23-0e8a-4e5a-82c3-65b32d07cade/ (DHCP Relay aktivierenregards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
Sonntag, 12. August 2012 07:25 -
Hi,
gerade fällt mir auf dass man sehr genau hinschauen muss.
Ich habe den DHCP Server auf dem TMG laufen. Das DHCP Protokoll habe ich nur zwischen TMG (Lokaler Host) und Intern erlaubt.
TMG erkennt die Quelle aber nun als Extern. Und das ist nicht erlaubt. Nur warum ist das so, und wie kann ich das korrigieren?
Meine Clients sind garantiert intern verkabelt:)
Gruß Thorsten
- Bearbeitet eclere Sonntag, 12. August 2012 18:25
Sonntag, 12. August 2012 18:23 -
Hi,
hilft das?
http://technet.microsoft.com/en-us/library/cc302605.aspxregards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
Sonntag, 12. August 2012 20:26 -
Hallo,
leider nicht, Ich habe es bereits genau so gemacht.
Es scheint dass für die IP 0.0.0.0 eine aktive Serverroute zur öffentlichen IP besteht. Keine Ahnung wie die entstanden ist, aber die sollte wohl raus. Müsste die nicht eher auf den TMG verweisen?
Gruß Thorsten
Sonntag, 12. August 2012 20:41 -
Hallo,
DHCP Anforderungen senden Ihre Anfragen als Broadcast-Package. Beachte dabei die Regelreihenfolge. Ist deine DHCP-Regel (falls noch vorhanden) über den Sperrrichtlinien für weitere "Alle Protokolle" etc.
king regards Jochen Reinecke - MCITP Enterprise & Enterprise Messaging Administrator
Montag, 13. August 2012 06:15 -
An den Regeln selbst machte ich keine Änderungen, daher schliesse ich dieses mal aus. Das Interne Netz hatte vor der VPN Änderung den Bereich 192.168.1.0 - 192.168.1.254. Der VPN Bereich lag zwischen 192.168.10.50 - 192.168.10.100.
Da ich Änderungen am VPN Netz machen musste, musste ich auch das interne Netz ändern. Daher ist es nun so:
Intern: 192.168.1.0 - 192.168.1.50 und 192.168.1.101 - 192-168-1-254
VPN: 192.168.1.51 - 192.168.1.100
Ich schätze wärend dieser Änderung ist beim TMG irgendwas durcheinander geraten.
Montag, 13. August 2012 09:13 -
Guten morgen,
gerade stellte ich fest dass mein Handy wieder mit dem WLAN verbunden werden konnte. Promt teste ich andere Clients und stellte erfreut fest dass DHCP wieder funktioniert. Somit war Dein Tipp doch der richtige.
Ich habe wohl zu früh getestet. Nur weil TMG meldet die Änderungen seien übernommen heisst dass nicht dass sie auch schon verfügbar sind. Scheint immer noch ein paar Minuten zu dauern.
Vielen Dank für die Hilfe.
Gruß Thorsten
Dienstag, 14. August 2012 05:41 -
HI,
jau ab und zu muss man mal etwas warten und das mit der .255 klingt logisch, da es die Broadcast Adresse ist. Wenn diese nicht als internes Netzwerk konfiguriert ist, ist die IP automatisch EXTERN
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
Dienstag, 14. August 2012 06:37