none
Upgrade ISA 2006 / TMG WPAD RRS feed

  • Frage

  • Ich habe ein seltsames Problem nach einem Upgrade von ISA 2006 auf TMG. Den TMG habe ich neu installiert und die Konfiguration neu erstellt, das Migrationsverfahren (Export/Import Konfiguration) hat bei mir eher Probleme hervorgerufen als die Migration beschleunigt.
    Ich habe das Autodiscover via WPAD auf dem TMG aktiviert, so wie ich es auch beim ISA Server hatte. DNS und DHCP habe ich entsprechend angepasst. Jedoch gibt es ein Problem, Clients die sich die Einstellungen über WPAD holen, authentifizieren sich nicht am TMG und kommen nicht durch den Proxy. Wenn ich an den Clients en Proxy manuell eintrage werden sie authentifiziert und alles funktioniert. Stelle ich nun wieder auf "automatische Suche der Einstellungen" zurück funktioniert es und die Clients erhalten die Informationen über WPAD und können sich authentifizieren.

    Hat jemand eine Idee was das Problem sein kann, dass sich die Clients nicht sofort authentifizieren und ich diesen Zwischenschritt durchführen muss?

    Donnerstag, 16. September 2010 06:45

Antworten

Alle Antworten

  • Hi,

    hast Du in den Eigenschaften des Netzwerks INTERN auf der Registerkarte Webproxy gesagt, dass "Authentifizierung fuer alle Benutzer" erforderlich ist?
    Wenn ja, deaktiver das mal und fordere nur Authentfizierung in den einzelnen Firewallregeln


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Donnerstag, 16. September 2010 06:54
    Moderator
  • Hi,

    evtl. die DNS Blocklist fuer WPAD?
    http://technet.microsoft.com/en-us/library/cc995261.aspx


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Donnerstag, 16. September 2010 06:55
    Moderator
  • Hi,

    nein ist nicht aktiviert.

    MFG

    Donnerstag, 16. September 2010 06:58
  • Habe ich schon freigegeben, musste ich beim ISA 2006 schon machen, da ich vor ein paar Monaten den DNS auf Server 2008 R2 migriert habe.

    Donnerstag, 16. September 2010 07:00
  • moin,

    welchen browser hast du verwendet? und analog dazu welches verfahren um den tmg zu finden - dhcp und/oder dns?

    weil: ie macht zuerst dhcp, dann dns.

    firefox macht z.b. nur dns.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 16. September 2010 07:02
  • Ich verwende auf Win7 den IE8. Ich denke der IE8 versucht auch über DNS abzurufen. Informationen in DNS und DHCP sind aber korrekt hinterlegt.

    Das komische ist, dass es auf den Terminalservern auf anhieb funktioniert hat.

    Donnerstag, 16. September 2010 07:04
  • Hi,

    OK, was sagt denn das TMG Logging zum Zeitpunkt der WPAD Suche?


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Donnerstag, 16. September 2010 07:05
    Moderator
  • hast du das verhalten von unterschiedlichen clients gegengecheckt? nicht das dir eine client-konfiguration in die suppe spuckt?
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 16. September 2010 07:14
  • Ich kann den Vorgang nicht sehen wenn der Client das WPAD File lädt. Ich habe auch DNS Cache, ARP Table und temporäre Internetfiles geleert, jedoch sehe ich nicht dass der Client das WPAD runterlädt. Jedoch sehe ich in den LOGs die Meldung:

    0xc004000c FWX_E_NOT_AUTHENTICATED

    Donnerstag, 16. September 2010 07:14
  • Ja habe ich, das Problem tritt auf allen Clients auf, auser auf den Terminalserver. Trage ich den Proxy manuell ein und stelle dabb wieder auf autmatisch um funktioniert es.

    Donnerstag, 16. September 2010 07:15
  • Hi,

    was passiert, wenn Du die URL zum WPAD File manuell im Browser eingibst? Kannst Du das WPAD File dann downloaden und der Inhalt ist auch korrekt (IP Adressen, Netzwerk usw.)


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Donnerstag, 16. September 2010 07:18
    Moderator
  • Das WPAD File lässt sich ohne Probleme runterladen. Die IP Adresse stimmt, Netzwerke auch soweit ich das beurteilen kann.
    Donnerstag, 16. September 2010 07:26
  • hmhm,

    im dns ist ein alias eingetragen für den tmg-host? somit müsste das wpad-file von intern via http://wpad.firma.lokal/wpad.dat erreichbar sein?

    im dhcp ist der komplette pfad hinterlegt?

    die terminals ziehen sich das gleiche file - dort ist nichts anderes hinterlegt?

    was passiert, wenn du die auto-discovery ausschaltest und via konfig-skript die wpad-ressource einträgst?

    die wpad wird über tmg distribuiert, du hast keinen iis drunter konfiguriert?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 16. September 2010 07:35
  • DNS: Ja das funktioniert

    DHCP: Ja der richtige Pfad ist hinterlegt

    Terminals: Hier ist alles identisch hinterlegt. Im TMG Live-Log sehe ich auch wie der TS Server das wpad File zieht.

    IIS: Nein, ich habe am IIS nichts gemacht.

    Wieso laden die Clients das WPAD File nicht runter und die Terminalserver schon. Da ist doch keine Logik dahinter.

    Donnerstag, 16. September 2010 07:44
  • das ist wahrlich ein rätsel.

    kommen die ts-clients aus dem gleichen netzwerksegment - werden die gleichen infrastruktur-rechner verwendet (dns, dhcp).

    hast du mal probiert auf tmg-seite die auto-suche zu deaktivieren und wieder neu zu aktivieren?

    so langsam fällt mir auch nichts mehr ein...


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 16. September 2010 07:47
  • Ja, die TS Clients sind aus dem gleichen Subnetz, nehmen gleiche DNS Server her. Jedoch haben sie eine statische IP Adresse.

    Die Autosuche habe ich jetzt deaktiviert und wieder aktiviert, jedoch ohne Erfolg.

    Donnerstag, 16. September 2010 07:54
  • so aus der ferne gehen mir leider die ideen aus - vlt. haben marc oder christian noch ne idee???
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 16. September 2010 08:08
  • Ihr werdet es kaum glauben, aber ein Neustart des DHCP hat geholfen.
    Donnerstag, 16. September 2010 08:40
  • du hast recht: ich glaub es kaum!

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 16. September 2010 08:40
  • Hi,

    was es alles gibt!


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Donnerstag, 16. September 2010 08:41
    Moderator
  • Fehlmeldung.. es läuft nur bei mir und bei 1-2 Clients. Der Rest authentifiziert sich nicht. Was kann da blos sein?
    Donnerstag, 16. September 2010 08:57
  • hi,

    sorry muss ich hier aus der ferne passen...


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 16. September 2010 10:37
  • HI Daniel,

     

    auf welchem Betriebssystem hast du TMG installiert ?

    Ziehen sich deine Clients die Wpad?

    Mittwoch, 29. September 2010 08:35
  • Hallo Ruffy,

    habe das Problem gelöst und gleich einen Post auf meinen Blog veröffentlicht:

    http://www.ntsystems.it/post/Migration-ISA-Server-2k4-2k6-zu-TMG-WPAD.aspx

    Grüße

    • Als Antwort markiert Andrei Talmaciu Donnerstag, 30. September 2010 13:48
    Mittwoch, 29. September 2010 08:47
  • Hi,

    cooler Blog Eintrag! Danke fuer das Publishing

     


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Mittwoch, 29. September 2010 09:45
    Moderator
  • Super!

    Mittwoch, 29. September 2010 14:00