locked
Forefront TMG PING TRACERT zulassen von Intern nach Extern RRS feed

  • Frage

  • Folgende Konstellation:

    Wir nutzen auf einer Hyper-V-Plattform (IP: 10.10.0.9, lässt sich nicht vermeiden) einen Dömänencontroller (IP:10.10.0.1) und einen Forefront TMG 2010 (IP:10.10.0.1).

    Für den TMG  (Edge-Firewall) hat die zweite NIC die Einstellungen: IP: 192.168.0.100, GW: 192.168.0.10, DNS: 194.25.2.129

    So weit, so gut! Es läuft alles! Internet funktioniert, DNS-Auflösung etc.

    Entgegen manchem Foreneintrag ist der DNS-Eintrag für das externe DNS notwendig, weil ohne diesen keine Verbindung ins Internet funktioniert. Dieser Eintrag wird im Prinzip auch so vom TMG abgefragt.

    Jetzt aber möchten wir für bestimmte Clients im internen Netz (Administration) auch einen PING und ein TRACERT zum Router und ins Internet freischalten sowie die entsprechenden Antworten zurückerhalten.

    In der Protokollierung des TMG erhalten wir bei PING-Anfragen und TRACERT keine "verweigerte Verbindung"-Anzeige.

    Wir haben schon viele Einstellungen durchgegoogled und ausprobiert. Aber irgendwo fehlt uns hier das Wissen!

    Wer kann uns also helfen, dass der PING funktioniert und in der Protokollierung das Problem angezeigt wird!

    Danke für Eure Hilfe!

    mfg

    jf

    Sonntag, 9. September 2012 09:42

Antworten

Alle Antworten

  • Hi,

    wegen DNS: Am externen TMG Interface solltest Du keinen DNS Server eintragen. DNS Namensaufloesung sollte der interne Adapter eingetragen und die Anfrage an den internen DNS Server weiterleiten, der Namen im Internet aufloest:
    http://social.technet.microsoft.com/wiki/contents/articles/recommended-network-adapter-configuration-for-forefront-tmg-standard-edition-servers.aspx
    Wenn das nicht funktioniert hast Du bestimmt ein Konfigurationsproblem!

    Zu Deinem eigentlichen Problem:
    Damit Ping funktioniert musst Du eine Firewallregel erstellen:
    Erlaube PING von INTERN (oder speziellen PC (TMG Computersaetzen) nach EXTERN fuer ALLE BENUTZER.
    http://technet.microsoft.com/en-us/library/cc995253.aspx
    Der Client muss SecureNAT Client sein:
    http://technet.microsoft.com/en-us/library/bb794762.aspx (gilt auch fuer TMG)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 13. September 2012 08:40
    • Als Antwort markiert Alex Pitulice Montag, 17. September 2012 14:01
    Sonntag, 9. September 2012 10:06
  • Danke Mark!

    Der Client muss SecureNAT sein, d.h. die Gateway-Adresse muss auf die Adresse des TMG zeigen. Jetzt läuft TRACERT und PING.

    Wegen dem DNS: Das passt definitiv so wie ich gesagt habe. Wenn ich es anders einstelle, läuft die DNS-Auflösung nicht richtig (Ergebnis erst nach dem dritten oder vierten Anlauf). Ich habe das mehrmals hin und her konfiguriert. Außerdem verlangt der Konfigurationsassistent die DNS des ISP. Deswegen belasse ich die Einstellungen zunächst einmal auf diesem Stand.

    Werden SecureNAT-Probleme im Protokoll nicht sichtbar, weil hier nur Firewall und Webproxy überwacht werden?

    mfg

    jf

    Sonntag, 9. September 2012 12:19
  • Hi,

    Wegen des DNS Servers empfehle ich Dir trotzdem noch die Suche nach dem Problem, da Du jetzt an beiden Adaptern DNS Server eingetragen hast und das ggfs. zu nicht gewuenschten Effekten bei der Namensaufloesung fuehren kann

    SecureNAT Clients loggen auch im TMG. TMG loggt "alles" egal welcher Client es ist. Zum Thema Logging:
    http://technet.microsoft.com/en-us/library/cc441466.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 13. September 2012 08:40
    • Als Antwort markiert Alex Pitulice Montag, 17. September 2012 14:01
    Sonntag, 9. September 2012 12:33
  • Donnerstag, 13. September 2012 08:39
  • Hallo Jenny Frank,

    Wir gehen davon aus, dass die Antworten Dir weitergeholfen haben.
    Wenn ja, wäre es hilfreich wenn Du diese Lösung bestätigen würdest, sodass andere Leute von derselben Situation profitieren können.
    Wenn nein, neue Rückfragen oder Ergänzungen zu diesem Thread bleiben weiterhin möglich.

    Danke und viele Grüße,
    Alex


    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 17. September 2012 14:01
  • Hallo,

    ich habe leider erst heute an den Servern nochmals Überprüfungen durchführen können.

    Die Probleme sind noch nicht gelöst!

    NSLookup funktioniert generell!

    Die DNS-Einträge müssen so vorgenommen werden, wie ich bereits geschildert habe. Anders geht nichts!

    Ich kann wirklich keine fehlerhafte DNS-Einstellung ausfindig machen.

    Ping und  Tracert funktionieren, sobald eine Gateway-Adresse eingetragen ist, die auf den TMG zeigt.

    Allerdings wird bei den Servern und bei den Clients zusätzlich bei den Netzwerkverbindungen "Kein Internetzugriff, gelbes Dreieck mit Ausrufezeichen" angezeigt, obwohl das Surfen läuft.

    Ich vermute einen Zusammenhang mit dem DHCP-Server, vielleicht muss hier eine Bereichsoption 3, Router auf den TMG gesetzt werden.

    mfg

    jf

    Montag, 17. September 2012 20:32
  • Hi,

    wegen DNS sprachen wir ja schon ueber die empfohlene Vorgensweise.

    Zu dem Netzwerksymbol. Schuld ist die Netzwerkerkennung (NCSI) wie Microsoft ab Windows Vista versucht Internet Connectivity festzustellen:
    http://technet.microsoft.com/en-us/library/cc766017.aspx
    Da die Internet Namensaufloesung funktioniert ist es dann eher kosmetischer Natur den Fehler zu beheben?

    zum DHCP. Ja, damit Ping, Tracert funktioniert muessen die Clients SecureNAT Clients sein sprich das Default Gateway der Clients muessen auf den TMG zeigen, das kannst Du gut mit der DHCP Option 003 Router loesen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 18. September 2012 05:24
  • Danke Marc,

    ich werde das heute gleich überprüfen und ein feedback geben.

    Was ich noch nicht gefunden habe ist die Möglichkeit, die Protokollierung des TMG schnell und optimal auf den Vorgang abgestimmt einzustellen. Gibt es hierfür eine einfache To-Do? SecNat bekomme ich einfach nicht protokolliert.

    mfg 

    jf

    Dienstag, 18. September 2012 06:17
  • Hi,

    Du hast im Logging doch viele Moeglichkeiten nach verschiedenen Parametern wie Client IP, Ziel IP, Protokoll, Regel usw. zu filtern. Damit solltest Du das gewuenschte Ergebnis bekommen. Haeufig wiederkehrende Abfragen kannst Du in der TMG Konsole auch speichern und bei Bedarf wieder laden.
    Zum SecureNAT Client: Der muss etwas anzeigen. Wie filterst Du denn? Filter mal nach Client IP eines Secure NAT Clients. Dann muss im TMG Log etwas auftauchen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 18. September 2012 07:01