locked
Websiteveröffentlichung? RRS feed

  • Frage

  • Hallo,

    Beginne einen Satz nicht sehr gerne mit, "...ich glaube ich bin zu dumm.." Irgendwie habe ich das Gefühl das trifft bei mir nun wirklich zu.

    Habe mir eine Regel für meine Websiteveröffentlichung erstellt, kriege es aber einfach nicht hin meine Seite von Extern zu erreichen. Meine Webserververöffentlichungsregel wird irgendwie "ignoriert" bzw. der Zugriff wird immer von der Standardregel blockiert.

    TMG besitzt drei NIC. LAN/WAN/DMZ. WAN hat 5 öffentliche IP Adressen zugewiesen. Eine IP Adresse für meien Webseite. Webserver steht in der DMZ.

    Regeleinstellungen in Kurzform sind:

    Regel gilt für veröffentlichte Site=www.xy.com Zusätzliche habe ich den FQDN des Webservers noch unter Name IP eingetragen.

    Ursprünglicher Hostheader anstelle......=angekreuzt. Ursprung scheint der Client....=markiert

    Listener ist auf offizielle IP erstell mit Port 80. Keine Authentifizierung.

    Linkübersetzung anwenden=angekreuzt

    Authentifizierungsdelegierung=keine

    Öffentlicher Name=www.xy.com

    Webserver ist ein IIS7.5 mit interner IP Bindung auf Port 80 und www.xy.com

    Die Seite ist vom Webserver und vom TMG Server erreichbar unter www.xy.com

    Wo liegt bei mir der Hund begraben?

    Danke für eure Hilfe.

    Gruss,

    Markus


    AdminIT
    Donnerstag, 26. Mai 2011 22:04

Antworten

  • Hi,

    Du verwendest intern und extern www.xy.com und extern auch www.xy.com? Arbeitest Du dann mit SplitDNS?
    Auf dem TMG Server laueft kein anderer Service mit Port 80?
    Was sagt NETSTAT -AN? - Wenn da noch was anderes auf Port 80 laeuft, dann musst Du das Socket Pooling konfigurieren

     


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert AdminIT Mittwoch, 8. Juni 2011 13:33
    Freitag, 27. Mai 2011 04:13
  • Hi,

    0.0.0.0 heisst, da lauscht Port 80 auf allen Schnitsttellen. Hoert sich fuer mich also weiterhin nach einem Socekt Pooling Problem an:
    http://www.msisafaq.de/anleitungen/2006/Konfiguration/Socket_pooling_2003.htm


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Marc.Grote Mittwoch, 8. Juni 2011 14:07
    Dienstag, 7. Juni 2011 04:36

Alle Antworten

  • Hi Markus,

    hast du mal den Regeltest ausgeführt und steht vielleicht was in den Alarmen drin?

    Was hast du denn unter den Pfaden drin stehen /* ?

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Donnerstag, 26. Mai 2011 22:10
  • Hi,

    Du verwendest intern und extern www.xy.com und extern auch www.xy.com? Arbeitest Du dann mit SplitDNS?
    Auf dem TMG Server laueft kein anderer Service mit Port 80?
    Was sagt NETSTAT -AN? - Wenn da noch was anderes auf Port 80 laeuft, dann musst Du das Socket Pooling konfigurieren

     


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert AdminIT Mittwoch, 8. Juni 2011 13:33
    Freitag, 27. Mai 2011 04:13
  • Hallo Christian,

    Sorry, hätte ich natürlich gleich erwähnen müssen.

    Regeltest komplett erfolgreich

    Interner Pfad ist /*

    Gruss,

    Markus


    AdminIT
    Freitag, 27. Mai 2011 09:54
  • Hallo Marc,

    Ja, ich verwende den gleichen Namensraum für intern und extern. Mein ISP hat den DNS Eintrag auf die externe öffentliche IP eingetragen. Mein interner DNS Server hat den Eintrag www. auf die interne IP Adresse des Webservers eingetragen. Denke, das bedeutet dass SplitDNS konfiguriert ist?

    Auf dem TMG Server selbst läuft nix mit Port 80. Auf dem Webserver selbst ist noch die "default website" auf Port 80.

    Es besteht aber eine weitere Regel für einen Port 80, dies aber unter einer anderen öffentlichen IP mit einem anderen internen Server als Ziel.

    Hmmm...evtl. müsste ich noch erwähnen, dass ich auf dem TMG Server den Hyper-V installiert habe und darin mein Webserver läuft. (Keine Bedenken, ist zur Zeit meine Lab Konfiguration)

    Gruss und Danke,

    Markus


    AdminIT
    Freitag, 27. Mai 2011 10:04
  • Hallo Markus,

    hast du denn die Weblistener auf die jeweilige IP-Adresse festgesetzt. Wenn du bei beiden Weblistenern das Netzwerkobjekt Extern verwendest, dann kommt es zwangsläufig zu einem Problem, da beide auf allen externen IP-Adressen den Port 80 belegen wollen.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Freitag, 27. Mai 2011 10:24
  • Hi,

    jau, das ist simplestes SplitDNS :-)
    Hyper-V ist unbedenklich. Ist offizielle supported.
    Wenn Du zwei Veroeffentlichungen auf HTTP hast, musst Du in beiden Listenern der Veroeffentlichung statt Extern die jeweilige oeffentliche IP eintragen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 27. Mai 2011 10:51
  • Hallo Christian, hallo Marc,

    Die beiden Listener haben das Netzwerk EXTERN mit der jeweiligen öffentlichen IP hinterlegt.

    Gruss,

    Markus


    AdminIT
    Freitag, 27. Mai 2011 17:21
  • Hi,

    "dreh" Deine Webserververoeffentlichungsregel mal, das die, welche funzt auf den neuen zu veroeffentlichenden Server zeigt. Wenn es dann funzt, liegt es vermutlich irgendwo an der regel!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 27. Mai 2011 18:51
  • Hallo Marc,

    DANKE, leider hat dein guter Tipp nichts gebracht. Danach war der Zugriff über diesen Websitenamen nicht mehr erfolgreich.

    Vielleicht eine naive Frage: es ist nix spezielles zu beachten, wenn  ich einen "reinen" Webserver 2008R2 (kein Enterprise) einsetze?

    Zudem habe ich das Gefühl, dass der Zugriff nicht bis zu meinem Webserver durchgeht. Meine Protokollierung habe ich folgendermassen eingestellt:

    Protokolldatensatztyp                Gleich              Firewall oder Webproxyfilter

    Protokollzeit                             Aktuell

    Aktion                                     Ungleich           Verbindungsstatus

    Client-IP                                  Gleich              IP des Webservers

    Danke und Gruss,

    Markus


    AdminIT
    Sonntag, 29. Mai 2011 15:15
  • Hi Markus,

    Egal welche Version von Windows Server 2008 R2 du einsetzt gibt es eigentlich nix spezielles zu beachten. Mir scheint da etwas mit dem Weblistener nicht zu passen. Lösche mal den neuen Weblistener und erweitere den bereits vorhanden um die öffentliche IP-Adresse des gelöschten Weblisteners. In der Veröffentlichung von www.xyz.com dann natürlich auch diesen auswählen.

    Die Regel für die Protokollierung sollte so aussehen:

    Protokolldatensatztyp Gleich Firewall oder Webproxyfilter

    Protokollzeit Aktuell

    Aktion Ungleich Verbindungsstatus

    Regel gleich "Name der Veröffentlichungsregel"

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Sonntag, 29. Mai 2011 15:49
  • Hi,

    wie Christian schon schrub - nein, egal, selbst Apache etc. wuerde gehen, alles was einen Webserverdienst hat.
    Dein Filter muss nicht Client IP sein, sondern Ziel IP, Du willst ja sehen, was beim Webserver ankommt.
    Wenn Christian's Idee auch nichts bringt, exportier mal die funktionierende Veroeffentlichungsregel und -Listener, dann loescht Du alles, und faengst nochmal mit einem neuen Listener / Veroeffentlichung an und testest das ganze nochmal. Irgendwo muss der Fehler liegen, eine Webserververoeffentlichungsregel ist eigentlich keine Hexerei.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Sonntag, 29. Mai 2011 17:51
  • Hallo Christian, hallo Marc,

    Der "Dreh" mit der Websiteveröffentlichung hat leider nicht geklappt. Noch schlimmer, jetzt funktionieren beide Webzugriffe nicht mehr.

    Dann habe ich alle Weblistener gelöscht, zudem die Regeln und von Grund auf eine simple Seite auf dem Webserver veröffentlicht. Ist ja wirklich nix spezielles....

    Dann die Protokollierung angeworfen. Einmal mit der IP des Webservers und einmal mit der erstellten Regel. Die Zugriffe aus von diversen Standorten versucht (Mobile, fremdes Netz etc) und habe keinerlei Protokollierungsdaten erhalten!?

    Dann die Regel abgeändert und auf einen anderen Server mit neu erstellter Webseite (dito OWA) zeigen lassen. Immer noch keine Protokollierungsdaten.

    Bin mir aber sicher, dass der Zugriff von Aussen via meinem TMG funktioniert. Es ist zumindest eine OWA Regel vorhanden wo der Zugriff einwandfrei von Ausserhalb funktioniert. auch beim Aufruf dieser Regel, sehe ich keinerlei Protokollierungsdaten.

    Dann Protokollierung Ziel-IP die öffentliche IP genommen und Daten fliessen bei Aufruf nach OWA. (komisch hier steht keine Regel die angewendet wird) Dann Zugriff auf Webseite und Protokollierung sagt mir, dass die Standardregel den Zugriff blockiert. Die Webserver Regel steht aber als aller 1. Regel!?

    Da scheint mit meinem TMG einiges schief zu laufen...

    Danke und Gruss,

    Markus


    AdminIT
    Dienstag, 31. Mai 2011 11:28
  • Hallo,

    die ganze Geschichte lässt mir einfach keine Ruhe. Naja klaro, wenn's nicht funktioniert.

    Habe auch mal einen anderen "Typ" Server veröffentlicht. Und zwar FTP. Leider der gleiche Misserfolg. Irgendwie kommt der Verkehr vom TMG nicht zu dem Server.

    Möchte hier nochmals bei der Portbelegung einhacken. Der Befehl netstat -an gibt mir ja zwei IPAdress Typen aus. Einerseits die Lokale und andererseits die Remote IP Adresse.

    (SORRY) Nur einfach um 100% sicher zu gehen: die Frage ob ein Service den Port 80 belegt war im Bezug auf die Lokale IP Adresse gemeint? Wenn ja, kann ich sagen dass dort nur der 1. Eintrag 0.0.0.0 den Port 80 anzeigt.

    Ist doch schon komisch, dass meine OWA Regel funktioniert aber weder eine Web- noch FTP Server Regel?!

    Danke und Gruss,

    Markus


    AdminIT
    Montag, 6. Juni 2011 21:07
  • Hi,

    0.0.0.0 heisst, da lauscht Port 80 auf allen Schnitsttellen. Hoert sich fuer mich also weiterhin nach einem Socekt Pooling Problem an:
    http://www.msisafaq.de/anleitungen/2006/Konfiguration/Socket_pooling_2003.htm


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Marc.Grote Mittwoch, 8. Juni 2011 14:07
    Dienstag, 7. Juni 2011 04:36
  • Hallo Marc,

    "Übeltäter" gefunden... daher als aller Erstes ein grosses ENTSCHULDIGUNG. Es war von Anfang an eine richtige Antwort/Vermutung im Post und ich habe hier nur unnötig eure (danke auch an Chrisitian) Zeit in Anspruch genommen. Schulde euch definitiv mehr als ein Bier!

    Habe mich auf die Suche gemacht welcher Service den Port 80 belegt. Der Eintrag 0.0.0.0:80 kam von einem nicht erfolgreich installierten Service für den Remote SCVMM. Dann war da aber immer noch die interne NIC IP meines TMG die den Port 80 belegte. Mit netsta -ano konnte ich die entsprechende Prozess ID herausfinden und im TaskManager zuordnen. Der Service ist WSPSRV.EXE.

    Diesen Service beendet und et voila der Webseiten Zugriff funktionierte einwandfrei. Also nahm mich der Hintergrund des Services wunder und hier bin ich auf die Möglichkeit des TMG Caching gestossen. Hier habe ich (nebst der Standardregel) 2 Regeln für das Webseitencaching erstellt. Bin mir nun nicht sicher ob ich hier was nicht richtig erstellt habe? Kann es überhaupt daran liegen?

    Denn, und nun kommt es ganz Dicke: den TMG neu gestartet und keinen Dienst beendet (auch nicht wspsrv.exe der immer noch Port 80 belegt) und es funktioniert immer noch.

    ????

    Danke und Gruss,

    Markus


    AdminIT
    Mittwoch, 8. Juni 2011 13:46
  • Hi,

    na dann ist doch cool das es funzt.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 8. Juni 2011 14:07