none
Probleme mit ISA Server 2006 auf Windows 2003 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo,

    erst mal hoffe ich, dass die Frage im richtigen Forum gelandet ist. Weil ich hab spontan keins gefunden, dass da besser passt.

    Mein Problem:
    Ich habe folgendes Setup:
     System1: PDC, Exchange, diverse VMs(VMWare Server V2), Win2003R2 x64 EE
      - VM sind unwichtig, die meisten Debian Vms, die irgendwelche Services übernehmen.
     System2: Hyper-V, Windows 2008 x64 EE
      - VM1: ISA Server 2006 auf Windows 2003 SE (meine ich), cFos Pro V7.53
      - VMx: weitere Serverdienste


    Den ISA Server hatte ich vorher auf einem eigenständigen System laufen, dass ich allerdings ausgemustert habe. Der ISA Server bietet per Portweiterleitung allen Serverdiensten ihre Ports an und routet zusätzlich diverse Subnetze, sowie VPNs und Dial-In Möglichekeiten.
    Der Internetzugang erfolgt per PPPoE und dem cFos Treiber über einen DSL-Anschluss.
    Zusätzlich ist auf dem ISA-Server noch der Webproxy aktivert, der als Zwangsproxy arbeitet, da die Internetanbindung mehr als langsam ist.

    Mein Problem:
    Es kommt vor, dass der ISA Server alle Portweiterleitungen vergisst. Ich habe ein Skript geschrieben, dass jeden Tag um 7 Uhr die Internetverbindung trennt, damit ich nicht von der Zwangstrennung gestört werde. Dieses besteht aus einem einfachem RASDIAL /Disconnect T-Online, das als geplanter Task aufgerufen wird. In ca 80% der Fällen läuft alles wunderbar danach, in den restlichen Fällen funktioniert keine einzige Portweiterleitung mehr, es werden keine VPN Verbindungen mehr aufgebaut und der NO-IP.com Client kann sich nicht mehr updaten. Wenn ich die Verbindung per Hand trenne, oder 24h warte, dann funktioniert alles wieder wie gewohnt.
    Das Problem scheint nicht am cFos Treiber zu liegen, da das Problem auch auftritt, wenn ich die normale Windows Einwahl nutze.

    Das gleiche Problem hatte ich auch auf dem alten System. Ich hatte gehofft, dass es nur eine vermurkste Installation war, aber nach der Installation im der VM blieb das Problem bestehen. (Komplette Neuinstallation)

    Langsam nervt mich die obige Situation an, da ich in letzter Zeit nicht oft zuhause bin, kann ich die Verbindung nicht per Hand neu aufbauen. Das ist vor allem ärgerlich, da meine Mails über das System laufen und ich in der Zeit nicht erreichbar bin. Weder Outlook noch mein iPhone können sich verbinden. Als User im Netz merkt man allerdings nichts von dem Problem, surfen geht wie gewohnt einwandfrei.
    In der Ereignisanzeige habe ich bisher noch keinen verdächtigen Eintrag finden können. Wenn jemand ne Idee hat, wonach ich suchen soll, einfach melden.

    Als Idee habe ich noch, aufs TMG zu wechseln, sobald dieses im MSDNAA meiner Uni zu finden ist, aber trotzdem würde es mich langsam mal interessieren, wie dieses Problem auftreten kann.

    MfG,
    mm2knet
    Donnerstag, 11. Februar 2010 10:16
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi <realname please>,

    >> Einzig vernünftige Lösung: (Hochwertiger) DSL-Router vor die ISA/Windows
    >> Server mit festen IPs, der die DSL-Einwahl macht.
    >>
    >> ALLES andere funktioniert NICHT (stabil).
    >
    > Erst mal vielen Dank für die Antwort :)
    >
    > Aber nun die große Frage: Warum?

    U.a. darum:

    "Es kommt vor, dass der ISA Server alle Portweiterleitungen vergisst."


    > Immerhin bietet ISA diese Funktion an, per Dial-Up zu arbeiten.

    Und? Funktioniert's..? Nein!

    Du sollst nicht fragen wieso es denn nicht geht (impliziert: Du willst es
    trotz unseres Rat doch so machen), sondern Du sollt es so machen, wie wir es
    Dir sagen (sonst brauchst Du uns nämlich nicht nach unserem Rat fragen).

    Auch wenn ISA oder Windows Server Routingfunktionalitäten besitzt, ist er
    NICHT als Router (aus vielfältigen Gründen und aus Praxiserfahrung) zu
    gebrauchen.

    ISA bzw. Windows Server möchte gerne fixe IP-Adressen (es müssen KEINE
    öffentliche IP-Adressen sein).

    Ergo: NAT-Router davor, der sich um die DSL-Einwahl, NAT und Routing kümmert
    und gut ist.

    Beispiel:

    Internet--NAT-Router==Host-NICs==VMs

    Ob es sich um ein in "hardware gebranntes" Unix/Linux (o.ä), also ein echter
    Router oder aber um eine entsprechende Unix/Linux-VM handelt, ist
    Geschmacksache.. auf jeden Fall ist ein defizierte Hardwareserver als Router
    mehr als überdimensioniert.


    > a) ist es wieder ein Gerät mehr, das läuft, sprich Strom, und komplexität

    Ein DSL-Modem brauchst Du sowieso und ein dedizierter Router inkl. DSL-Modem
    (im professionellen Bereich sollte man das jedoch trennen, da 1. das Modem
    grundsätzlich als erstes kaput geht und 2. bei einer Änderung des Zugangs
    von z.B. ADSL auf VDSL/SDSL nur da sModem getaucht werden muss) verbraucht
    nicht viel mehr.

    Die restliche Virtualsierungs-Infrastruktur ist um Potenzen komplexer als
    heutzutage ein Router mit Webinterface. Einmal einen hochwetigen Router
    sauber konfiguriert läuft er Jahre ohne aufzufallen.


    > b) funktioniert das Traffic Shaping mit cFos recht gut, so dass ich ungern
    > darauf
    > verzichten möchte und ein starres Traffic Shaping in ner Hardware Box
    > nutzen möchte

    Dann bau Dir ein Software/Hardware-Router Deiner Wahl davor, der Dir dieses
    abbilden kann. ISA/Windows Server kann es nicht (stabil).

    > gibt es denn irgendeine Möglichkeit das Problem zu umgehen ohne zusätliche
    > Maschinen einzubringen?

    NEIN!

    Ach, nochmal? NEEHEIN!


    > Sonst werde ich wohl doch ne Linux VM davor setzen, die sich um die
    > Einwahl kümmert.
    > Das funktioniert zumindest ;)

    Ahh, er hat es verstanden.. ;)


    > Trotzdem wäre es erst einmal interessant, warum das nicht klappt, wie es
    > jetzt aufgebaut ist.

    Weil ISA u.a. für dynamische IPs nicht konzepiert wurde, auch wenn die
    Funktionen (teilweise durch Windows Server RRAS) vorhanden sind, heisst das
    nicht im Umkehrschluss dass sie produktiv einsetzbar sind.


    > Macht es denn einen Unterschied, ob ich auf 2008 (R2) x64 hoch gehe mit
    > TMG 2010?

    Nope. Eine ISA/TMG ist eine Application-Layer Firewall, kein Router..
    Windows Server ist es auch nicht.



    Fazit: Router davor und glücklich werden. Kein Router davor und nicht
    glücklich werden.

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net


    Donnerstag, 11. Februar 2010 13:27
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi <unbekannter>,

    > erst mal hoffe ich, dass die Frage im richtigen Forum gelandet ist.
    > Weil ich hab spontan keins gefunden, dass da besser passt.

    Die ISA-Newsgroup ist da immer nochj der beste Ansprechpartner (aber die
    "Jenses" werden Dir auch nichts anderes raten als s.u.)


    > Mein Problem:
    > Ich habe folgendes Setup:
    > System1: PDC, Exchange, diverse VMs(VMWare Server V2), Win2003R2 x64 EE
    > - VM sind unwichtig, die meisten Debian Vms, die irgendwelche Services
    > übernehmen.
    > System2: Hyper-V, Windows 2008 x64 EE
    > - VM1: ISA Server 2006 auf Windows 2003 SE (meine ich), cFos Pro V7.53
    > - VMx: weitere Serverdienste
    >
    > Den ISA Server hatte ich vorher auf einem eigenständigen System laufen,
    > dass ich allerdings
    > ausgemustert habe. Der ISA Server bietet per Portweiterleitung allen
    > Serverdiensten ihre
    > Ports an und routet zusätzlich diverse Subnetze, sowie VPNs und Dial-In
    > Möglichekeiten.
    > Der Internetzugang erfolgt per PPPoE und dem cFos Treiber über einen
    > DSL-Anschluss.
    > Zusätzlich ist auf dem ISA-Server noch der Webproxy aktivert, der als
    > Zwangsproxy arbeitet,
    > da die Internetanbindung mehr als langsam ist.
    >
    > Mein Problem:
    > Es kommt vor, dass der ISA Server alle Portweiterleitungen vergisst. Ich
    > habe ein Skript geschrieben,
    > dass jeden Tag um 7 Uhr die Internetverbindung trennt, damit ich nicht von
    > der Zwangstrennung
    > gestört werde.

    Murks (s.u.)


    > Dieses besteht aus einem einfachem RASDIAL /Disconnect T-Online, das als
    > geplanter Task aufgerufen wird.
    > In ca 80% der Fällen läuft alles wunderbar danach, in den restlichen
    > Fällen funktioniert keine einzige
    > Portweiterleitung mehr, es werden keine VPN Verbindungen mehr aufgebaut
    > und der NO-IP.com Client kann
    > sich nicht mehr updaten. Wenn ich die Verbindung per Hand trenne, oder 24h
    > warte, dann funktioniert alles
    > wieder wie gewohnt.
    > Das Problem scheint nicht am cFos Treiber zu liegen, da das Problem auch
    > auftritt, wenn ich die normale
    > Windows Einwahl nutze.

    Einzig vernünftige Lösung: (Hochwertiger) DSL-Router vor die ISA/Windows
    Server mit festen IPs, der die DSL-Einwahl macht.

    ALLES andere funktioniert NICHT (stabil).

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net


    Donnerstag, 11. Februar 2010 10:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Einzig vernünftige Lösung: (Hochwertiger) DSL-Router vor die ISA/Windows
    Server mit festen IPs, der die DSL-Einwahl macht.

    ALLES andere funktioniert NICHT (stabil).

    Erst mal vielen Dank für die Antwort :)

    Aber nun die große Frage: Warum?
    Immerhin bietet ISA diese Funktion an, per Dial-Up zu arbeiten. Daher wollte ich mir das zusätzliche Endgerät sparen. Zwar habe ich entsprechende Endgeräte, aber a) ist es wieder ein Gerät mehr, das läuft, sprich Strom, und komplexität und b) funktioniert das Traffic Shaping mit cFos recht gut, so dass ich ungern darauf verzichten möchte und ein starres Traffic Shaping in ner Hardware Box nutzen möchte.

    Und ne feste IP werde ich warscheinlich nicht bekommen. Ich bin froh, dass die T-com mir überhaupt DSL-Light-light anbietet... (zumindest sind meine früheren Bestrebungen ins leere verlaufen)

    gibt es denn irgendeine Möglichkeit das Problem zu umgehen ohne zusätliche Maschinen einzubringen? Sonst werde ich wohl doch ne Linux VM davor setzen, die sich um die Einwahl kümmert. Das funktioniert zumindest ;) - Auch, wenn ich dann cFos verliere. Trotzdem wäre es erst einmal interessant, warum das nicht klappt, wie es jetzt aufgebaut ist.

    Edit: Macht es denn einen Unterschied, ob ich auf 2008 (R2) x64 hoch gehe mit TMG 2010?

    MfG,
    Michael Hellwig
    Donnerstag, 11. Februar 2010 11:05
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi <realname please>,

    >> Einzig vernünftige Lösung: (Hochwertiger) DSL-Router vor die ISA/Windows
    >> Server mit festen IPs, der die DSL-Einwahl macht.
    >>
    >> ALLES andere funktioniert NICHT (stabil).
    >
    > Erst mal vielen Dank für die Antwort :)
    >
    > Aber nun die große Frage: Warum?

    U.a. darum:

    "Es kommt vor, dass der ISA Server alle Portweiterleitungen vergisst."


    > Immerhin bietet ISA diese Funktion an, per Dial-Up zu arbeiten.

    Und? Funktioniert's..? Nein!

    Du sollst nicht fragen wieso es denn nicht geht (impliziert: Du willst es
    trotz unseres Rat doch so machen), sondern Du sollt es so machen, wie wir es
    Dir sagen (sonst brauchst Du uns nämlich nicht nach unserem Rat fragen).

    Auch wenn ISA oder Windows Server Routingfunktionalitäten besitzt, ist er
    NICHT als Router (aus vielfältigen Gründen und aus Praxiserfahrung) zu
    gebrauchen.

    ISA bzw. Windows Server möchte gerne fixe IP-Adressen (es müssen KEINE
    öffentliche IP-Adressen sein).

    Ergo: NAT-Router davor, der sich um die DSL-Einwahl, NAT und Routing kümmert
    und gut ist.

    Beispiel:

    Internet--NAT-Router==Host-NICs==VMs

    Ob es sich um ein in "hardware gebranntes" Unix/Linux (o.ä), also ein echter
    Router oder aber um eine entsprechende Unix/Linux-VM handelt, ist
    Geschmacksache.. auf jeden Fall ist ein defizierte Hardwareserver als Router
    mehr als überdimensioniert.


    > a) ist es wieder ein Gerät mehr, das läuft, sprich Strom, und komplexität

    Ein DSL-Modem brauchst Du sowieso und ein dedizierter Router inkl. DSL-Modem
    (im professionellen Bereich sollte man das jedoch trennen, da 1. das Modem
    grundsätzlich als erstes kaput geht und 2. bei einer Änderung des Zugangs
    von z.B. ADSL auf VDSL/SDSL nur da sModem getaucht werden muss) verbraucht
    nicht viel mehr.

    Die restliche Virtualsierungs-Infrastruktur ist um Potenzen komplexer als
    heutzutage ein Router mit Webinterface. Einmal einen hochwetigen Router
    sauber konfiguriert läuft er Jahre ohne aufzufallen.


    > b) funktioniert das Traffic Shaping mit cFos recht gut, so dass ich ungern
    > darauf
    > verzichten möchte und ein starres Traffic Shaping in ner Hardware Box
    > nutzen möchte

    Dann bau Dir ein Software/Hardware-Router Deiner Wahl davor, der Dir dieses
    abbilden kann. ISA/Windows Server kann es nicht (stabil).

    > gibt es denn irgendeine Möglichkeit das Problem zu umgehen ohne zusätliche
    > Maschinen einzubringen?

    NEIN!

    Ach, nochmal? NEEHEIN!


    > Sonst werde ich wohl doch ne Linux VM davor setzen, die sich um die
    > Einwahl kümmert.
    > Das funktioniert zumindest ;)

    Ahh, er hat es verstanden.. ;)


    > Trotzdem wäre es erst einmal interessant, warum das nicht klappt, wie es
    > jetzt aufgebaut ist.

    Weil ISA u.a. für dynamische IPs nicht konzepiert wurde, auch wenn die
    Funktionen (teilweise durch Windows Server RRAS) vorhanden sind, heisst das
    nicht im Umkehrschluss dass sie produktiv einsetzbar sind.


    > Macht es denn einen Unterschied, ob ich auf 2008 (R2) x64 hoch gehe mit
    > TMG 2010?

    Nope. Eine ISA/TMG ist eine Application-Layer Firewall, kein Router..
    Windows Server ist es auch nicht.



    Fazit: Router davor und glücklich werden. Kein Router davor und nicht
    glücklich werden.

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net


    Donnerstag, 11. Februar 2010 13:27
    |