locked
TMG 2010 und interner Direct Access Server RRS feed

  • Frage

  • Hallo zusammen,

    es geht um Windows 2012 mit Direct Access (intern) und einem Windows 2008 R2 mit TMG 2010 als Standalone.

    -Microsoft Forefront TMG 2010 mit Service Pack 2 und dem Hotfix rollup 3 (build number 7.0.9193.575)
    -2 Netzwerkkarten konfiguriert als EDGE-Firewall
    -IPv6 ist aktiviert
    -TMG 2010 ist Domainmitglied
    -TMG Systemrichtlinien beinhalten 2 interne DNS-Server

    Normalerweise soll der TMG 2010 ja als DirectAccess Server dienen, jedoch würde ich gerne wissen wollen wie ich einen TMG so "umbaue" das er die Möglichkeit zu einem
    internen DirectAccess Server verweist und die Anfragen dazu durchlässt. Ich habe mit die vorhandenen Systemrichtlinienregeln 48 bis 51 dazu zur Hilfe genommen und als Firewall Regeln neuerstellt
    nur das diese auf den internen DirectAccess Server verweisen (anstelle auf den TMG).

    Leider scheint das nicht zu reichen - jemand eine Idee?

    Montag, 18. März 2013 09:13

Antworten

Alle Antworten

  • Hi,

    http://www.it-training-grote.de/download/isaserver-URA-DA1.pdf
    http://www.it-training-grote.de/download/isaserver-URA-DA2.pdf (dieser Artikel ist der wichtige)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort vorgeschlagen Marc.Grote Montag, 18. März 2013 17:42
    • Als Antwort markiert freaque Donnerstag, 21. März 2013 07:01
    Montag, 18. März 2013 09:59
  • Top... Ich hatte zwar die anderen Anleitungen mit der Aktivierung von IPv6 gelesen aber diese kannte ich noch nicht. Sollte wohl mal öfters bei euch vorbei schauen ;-)
    Montag, 18. März 2013 11:49
  • Ok also die Anleitung weicht um einiges ab von dem was ich bisher dazu gelesen habe.

    Vielleicht sollte ich ein wenig mehr an Infos geben damit es einfacher ist:

    Router
    192.168.2.6 (24er Subnetz)

    TMG
    192.168.2.49 do-vm-tmg (extern/26er Subnetz)
    192.168.2.115 do-vm-tmg (intern/26er Subnetz)

    DirectAccess
    192.168.2.105 do-vm-da (24er Subnetz)

    DC1/DC2
    192.168.2.100 (24er Subnetz)
    192.168.2.108 (24er Subnetz)

    -Internet-Namensauflösung läuft über die DNS Server der DC´s als Weiterleitung zum Router

    Anbei die erstellten Regeln lt Anleitung. Die Frage die ich mir jetzt stelle ist ob das Subnetzrouting nicht funktioniert (wie erhoft) oder ein anderer Hintergrund das Problem ist.

    Nachtrag - was ist denn mit der IPv6 Aktivierung und den Systemrichtlinienregeln 48 bis 51?



    • Bearbeitet freaque Dienstag, 19. März 2013 09:28
    Dienstag, 19. März 2013 08:22
  • Hi,

    IPv6 musst Du nur pseudomaesisg aktivieren, wenn der TMG Server DA Server ist. Die Protokolle sind ja keine "IPv6 Protokolle".
    http://www.it-training-grote.de/download/isaserver-tmg-DA.pdf
    Was funktioniert denn nicht?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 19. März 2013 18:52
  • Also... ich habe gestern alles auf das 24er Subnetz umgebaut. Alle Regeln gelöscht und neu erstellt. Und siehe da... es rockt :-)
    Donnerstag, 21. März 2013 07:01
  • Hi,

    yes, DA rocks :-)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 21. März 2013 07:12
  • Nur das TMG schleicht vor sich hin ;-)

    Ein (zusatz)Frage hat sich ergeben... wenn HTTPS direkt zum DA durchgereicht werden muss weil der TMG diesen nicht ändern darf gibt es überhaupt eine Möglichkeit das ganze wie bei der Webseitenveröffentlichung mit einem bestimmten öffentlichen Domänennamen zu verbinden?

    Donnerstag, 21. März 2013 14:11
  • Hi,

    leider nein, da Du ja den HTTPS Tunnel nicht brechen darfst (Bridging)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 21. März 2013 18:06