locked
TMG 2010 EE Standalone Array - Kommunikation zwischen Array-Master und Array-Member teilweise fehlerhaft/nicht möglich RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Morgen und Hallo zusammen!

    Seit gestern Morgen raubt mir der TMG den letzten Nerv und treibt mich an den Rand der Verzweifelung. Hier eine kleine Übersicht meiner Situation: Ich habe hier zwei Maschinen mit TMG 2010EE, laufen unter Win Server 2008 R2 SP1. Fungieren in unserem Umfeld mehr oder weniger als Backfirewall. Die Server haben 3 NICs: Intern, Extern(DMZ) und Intra-Array. Nachdem ich die Maschine TMG02 in das neue Array, also TMG01, gejoint habe sah alles erstmal gut aus. Die FW-Richtlinien die ich testweise auf TMG01 erstellt hatte wurde ordnungsgemäß auf TMG02 repliziert usw.

    Komme ich nun zu meinem Problem:

    Situation auf dem Server TMG01:

    Wenn TMG01 den Status von TMG02 abrufen möchte (Ob die Dienste laufen, etc.), bekommt er (scheinbar) keine Verbindung. Unter Überwachung -> Konfiguration steht für den TMG02: "Die Forefront TMG Verwaltung konnte keine Verbindung mit dem Forefront TMG Computer herstellen". Unter Überwachung -> Dienste stehen für die Dienste die er auf TMG02 überwachen soll unter dem Punkt Server: "TMG02 ?" und unter Status: "Bestätigung...". Wenn ich mir jetzt unter System beider Server auflisten lasse ist der TMG01 mit einem kleinen grünen Haken versehen, der TMG02 allerdings mit einer Sanduhr.

    Situation auf dem Server TMG02:

    Funktioniert fehlerfrei. Unter System beider Server mit kleinem grünen Haken versehen und unter Überwachung -> Konfiguration ist auch alles perfekt.


    Ich habe mir schon ausgeschaut ob die FW evtl. irgendwelche Pakete blockt die von bedeutung sind, tut sie aber nicht. Neue Regeln werden auch sauber repliziert, brauchen nur einen Moment bis sie greifen, aber das scheint ja normal zu sein. Habe lange und intensiv nach ähnlichen Fehlern recherchiert, leider nichts gefunden. Ihr seid meine letzte Hoffnung :)

    Gruß,

    Tobias

    Freitag, 8. April 2011 08:43

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hi,

    geh mal in die TMG MMC - System - und dort in die Eigenschaften der jeweiligen Server auf die Registerkarte Kommunikation und stell sicher, dass dort jeweils die korrekten Namen eingetragen sind. Ich verwende da immer nicht den DNS Namen sondern die IP-Adressen der dedizierten Intraarray Adapter. Danach sollte es funktionieren 

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort vorgeschlagen Marc.Grote Freitag, 8. April 2011 11:14
    • Als Antwort markiert Tobias.Br Samstag, 9. April 2011 09:40
    Freitag, 8. April 2011 09:21

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Tobias,

    in den Systempolicies für die Intra-Array-Kommunikation hast du alle Arraymitglieder hinzugefügt, damit diese untereinander Kommunizieren können?

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Freitag, 8. April 2011 08:54
  • Question
    Anmelden
    0
    Anmelden

    Hallo Christian,

    ja, in der Systemrichtlinie sind unter dem Punkt: Arraymitgliederkonfiguration beide Server eingetragen.

    Allerdings ist mir jetzt im Logging folgendes aufgefallen: Es wurde auf dem TMG01 ein Paket geblockt das über die Interne Schnittstelle vom TMG02 an den TMG01 addressiert war:

    Verweigerte Verbindung TMG01 08.04.2011 10:30:03
    Protokolltyp: Firewalldienst
    Status: Ein Nicht-SYN-Paket wurde verworfen, weil es von einer Quelle gesendet wurde, die über keine vorhandene Verbindung mit dem Forefront TMG-Computer verfügt.
    Regel: Keine - siehe Ergebniscode
    Quelle: Intern (172.31.100.98:58767)
    Ziel: Lokaler Host (172.31.100.97:2171)
    Protokoll: MS-Firewallspeicher
    Zusätzliche Informationen
    • Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes:: 0
    • Verarbeitungszeit: 0ms Ursprüngliche Client-IP: 172.31.100.98

    Müsste diese Kommunikation nicht über die Intra-Array Schnittstelle erfolgen? In meinem Fall 192.168.98.1 für den TMG01 und 192.168.98.2 für TMG02.

    Gruß Tobias
    Freitag, 8. April 2011 09:00
  • Question
    Anmelden
    2
    Anmelden

    Hi,

    geh mal in die TMG MMC - System - und dort in die Eigenschaften der jeweiligen Server auf die Registerkarte Kommunikation und stell sicher, dass dort jeweils die korrekten Namen eingetragen sind. Ich verwende da immer nicht den DNS Namen sondern die IP-Adressen der dedizierten Intraarray Adapter. Danach sollte es funktionieren 

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort vorgeschlagen Marc.Grote Freitag, 8. April 2011 11:14
    • Als Antwort markiert Tobias.Br Samstag, 9. April 2011 09:40
    Freitag, 8. April 2011 09:21
  • Question
    Anmelden
    0
    Anmelden

    Hallo Marc,

    ich hab jetzt folgendes eingestellt:

    TMG01:
    Remotekommunikation: Folgende IP-Adresse, bzw. Computernamen: 192.168.98.1
    Intraarraykommunikation: 192.168.98.1

    TMG02:
    Remotekommunikation: Folgende IP-Adresse, bzw. Computernamen: 192.168.98.2
    Intraarraykommunikation: 192.168.98.2

    Leider hat sich nichts am Problem geändert.

    Ist es eigentlich normal das der Firewallspeicher über die Interne NIC abgeglichen wird und nicht über das Intra-Array?

    Im Logging ist jetzt noch folgendes aufgetaucht:

    Edit: Kopf war wo anders :)

    Gruß,

    Tobias

    Freitag, 8. April 2011 09:41
  • Question
    Anmelden
    0
    Anmelden

    So, Problem gelöst :-)

    Das Eintragen der IPs in Kombination mit einem simplen Reboot hat die Lösung gebracht. Reboot tut gut :-p

    Vielen Dank nochmal für eure Tipps.

    Gruß,
    Tobi

    Ps: Hat es eigentlich einen Grund dass ihr in eurem Buch nicht auf das Stand Alone Array eingegangen seit?

    Freitag, 8. April 2011 11:03
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    super, das war auch bisher immer die Loesung bei meinen Arrays :-)
    Ja, wir haben im Buch in Summe ja sehr wenig zur Enterprise Edition geschrieben, so dass wir uns auf die grosse Enterprise Loesung mit EMS beschraenkt haben und nicht im Detail auf das Standalone Array eingegangen sind, aber zumindest die Intraarrykommunikation und vieles andere ist ja identisch mit der durch den EMS verwalteten Loesung.

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 8. April 2011 11:14
  • Question
    Anmelden
    0
    Anmelden

    Seit gestern Morgen raubt mir der TMG den letzten Nerv und treibt mich an den Rand der Verzweifelung.

    willkommen im klub, geht mir schon seit jahren so! ;-)
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 8. April 2011 14:43