Hallo,
ich habe grundlegend das gleiche Problem wie hier beschrieben: http://social.technet.microsoft.com/Forums/de-DE/forefrontde/thread/ee511ebd-dd9a-48d8-aa34-a792675f2685 . Wollte der Übersicht halber aber einen eigenen Thread erstellen.
Nach unserer Erfahrung funktioniert der TMG mal ein paar Tage, mal nur ein paar Minuten bevor er scheinbar alle Dienste einstellt (bei den Server-Diensten an sich ist aber noch alles gestartet, was ausgeführt werden sollte). Auch wir veröffentlichen
OWA, PushMail und haben zudem noch VPN eingerichtet. Außerdem dienst der TMG als Webproxy.
Im Eventlog und Best Practices Analyzer taucht regelmäßig diese Meldung auf:
Ereignis-ID 21284
Die Anzahl der abgelehnten Verbindungen von der Quell-IP-Adresse 192.168.200.17 hat das konfigurierte Limit überschritten. Dies kann darauf hinweisen, dass der Host infiziert ist oder einen Angriff auf Forefront TMG-Computer durchführt.
Hinter der IP steckt ein Router im internen Netzwerk. Laut Überwachung pustet der Router ICMP-Pakete auf Port 256 durchs Netz. Soweit wir erkennen können, macht der TMG nichts mehr, nachdem o.g. Meldung generiert wurde.
Was mich wundert ist, dass er scheinbar die Verbindung auf der externen Karte dicht macht, obwohl der vermeintliche Angriff aus dem internen Netz kommt. Das heisst, wir können weder den vorgeschalteten Router in Richtung Internet noch eine öffentliche
IP-Adresse per PING erreichen. Der Zugriff per OWA etc. funktioniert dann auch nicht mehr. Surfen im Internet ist nicht mehr möglich (Proxy).
Können wir die Router-IP in eine Ausnahme stecken, sodass er nicht mehr als möglicher Angreifer wahrgenommen wird?
Danke
Pascal
