none
"Requests appear to come from the Forefront TMG computer" doesn't work RRS feed

  • Frage

  • First I will explain my scenario.

    +-------------------+
    |                         |
    |     Internet       |
    |                         |
    +-------------------+
             |
             |
    +-------------------+
    |                         |
    |  Cisco Firewall  | NAT
    |                         |
    +-------------------+
             |
      DMZ (private IPs)
    +-------------------+
             |
    +-------------------+
    |                         |
    |   MS TMG Array | Route
    | (Multicast NLB) |
    +-------------------+
             |
             |
    +-------------------+
    |                         |
    |  MS Exchange  |
    |  Edge Server    |
    +-------------------+

    The default route of my MS Exchange Server is NOT the TMG-Array.

    Now I try to publish the SMTP-Server (MS Edge). I set the Radio-Button at "Requests appear to come from the Forefront TMG computer". I thought with this option the SMTP-IP-Packet arrives the edge-Server with the source address of the internal TMG-NIC!? But it isn't. I captured the Traffic with NetMon and the source address is still from the original client. Why?

    Does anyone have an idea?

    Montag, 16. April 2012 19:59

Antworten

  • Ich habe das Problem gefunden. Der Fehler lag in der Netzwerkbeziehung.

    Bei der Beziehung "Route" funktioniert die Option "Ursprung der Anforderungen scheint der Forefront TMG-Computer zu sein" nicht. Es muss eine NAT-Beziehung sein. Deshalb habe ich nun eine 1:1 NAT-Beziehung für diesen Mailserver konfiguriert.

    Nun funktioniert alles wie gewünscht.

    • Als Antwort markiert SamLue Donnerstag, 19. April 2012 08:48
    Donnerstag, 19. April 2012 08:48

Alle Antworten

  • Hi,

    du bist im deutschen Forum gelandet. Koenntest Du die Frage bitte in Deutsch posten oder im englischen Forum:
    http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/threads


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 16. April 2012 20:31
    Moderator
  • OK, wie vorgeschlagen die Frage nochmal in Deutsch.

    Das Default Gateway auf dem MS Exchange Server ist nicht das TMG-Array.

    Ich habe versucht den SMTP-Server zu veröffentlichen. Unter der Konfigurationsmaske "Nach" habe ich den Radio Button "Ursprung der Anforderungen scheint der Forefront TMG-Computer zu sein" ausgewählt. Ich dachte mit dieser Option erreichen die SMTP-IP-Pakete den Edge-Server mit der Quell-IP-Adresse von der interenen Netzwerkkarte des jeweiligen TMG-Servers. Das ist aber leider nicht so. Ich habe den Netzwerkverkehr auf dem Edge-Server mit gesniffert. Die Quell-IP-Adresse ist immer noch die des ursprünglichen Clients (Mailservers). Warum ist das so?

    Hat jemand eine Idee?

    Dienstag, 17. April 2012 10:25
  • Hi,

    das externe TMG Interface ist auch NLB aktiviert?

    http://technet.microsoft.com/en-us/library/bb794788.aspx

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 17. April 2012 11:20
    Moderator
  • Danke für die Antwort!

    Ich habe NLB auf dem Interface in Richtung "Extern" aktiv. Also auf dem DMZ-Interface. NLB funktioniert hier auch ohne Probleme. Auf dem Netz "Extern" selbst kann ich kein Lastenausgleich konfigurieren, da ich hier keine IP-Adresse konfiguriert habe.

    Ich habe mir den angehangenen Link nochmal genau durchgelesen.

    The Requests appear to come from the ISA Server computer feature works only if the published protocol does not require an application filter.

    In other words, the feature works correctly if there are no secondary connections that are defined for the protocol.

    Für SMTP existiert ein "Application-Filter". Heißt das jetzt für mich, dass die Option "Ursprung der Anforderung scheint" bei einer klassischen Mailserver-Veröffentlichung nicht funktioniert? Ich habe aber auch den Application-Filter deaktiviert. Trotzdem kommt die IP des anderen Mailservers am Exchange an und nicht die des TMGs.

    Mittwoch, 18. April 2012 08:21
  • Am "Application-Filter" scheint es nicht zu liegen. Ich habe eine Serververöffentlichung von IMAP vorgenommen. Auch hier kommt die IP des ursprünglichen Clients am MS Exchange CAS an, trotz aktivierter Option.

    Mittwoch, 18. April 2012 11:04
  • Ich habe das Problem gefunden. Der Fehler lag in der Netzwerkbeziehung.

    Bei der Beziehung "Route" funktioniert die Option "Ursprung der Anforderungen scheint der Forefront TMG-Computer zu sein" nicht. Es muss eine NAT-Beziehung sein. Deshalb habe ich nun eine 1:1 NAT-Beziehung für diesen Mailserver konfiguriert.

    Nun funktioniert alles wie gewünscht.

    • Als Antwort markiert SamLue Donnerstag, 19. April 2012 08:48
    Donnerstag, 19. April 2012 08:48
  • Hi,

    juup, nur bei NAT funktioniert das. Server/Webserverpublishing wird i.d.R. bei NAT Regeln verwendet. Bei Route Regel wird immer die Original IP verwendet. Ausnahme Webproxy bei ausgehenden Anfragen wenn das Default HTTP Protokoll verwendet wird


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 19. April 2012 09:17
    Moderator