Remove From My Forums

Forefront TMG stellt immer wieder Dienst ein

Frage
0

Anmelden

Hallo zusammen,

ich habe Forefront TMG 2010 mit einer internen und einer externen Netzkarte installiert und veröffentliche Outlook als WebAccess und AnyWhere sowie ActiveSync (Exchange 2003) über eine 1MBit-Standleitung. Eigentlich kein Hexenwerk. Leider setzt Forefront immer wieder aus. Nach ca. 2-3 Stunden sind alle Veröffentlichungen nicht mehr erreichbar. Dann ist wieder ein Neustart erforderlich.

Im Eventmgr ist keine Meldung, ausser dass IP-Bereiche am internen Adapter fehlen. Da mein internes Netz 192.168.9.0 ist, habe ich auch nur diesen Bereich angegeben.

In diesem Zustand werden im TMG-Protokoll eingehende HTTPS-Verbindungen initiiert und dann abgebrochen.

Ich weis an dieser Stelle nicht mehr weiter, da ich mich schon seit Wochen mit diesem Problem rumschlage und alle möglichen Sachen ausgetauscht und ausprobiert habe.

Vielen Dank für Eure Hilfe

Donnerstag, 13. Januar 2011 08:35

Antworten

0

Anmelden
Hi,

an der Bandbreite sollte das nicht liegen und Timeouts musst Du auch nicht konfigurieren. 512 KBit/s sind meiner Erfahrung nach ausreichend bei der Anzahl User. Warum hast Du die Spoof Detection deaktiviert. Ich vermute u. a. hier ein Problem. Auf einem richtig konfigurierten System taucht so eine Meldung nicht auf. Da wuerde ich mal ansetzen. Kannst Du die Netzwerkkonfiguration Deines TMG mal posten.
Ja, die externe Karte muss ein Default Gateway haben (das was vom ISP zugewiesen wird). DNS wird nur auf der LAN Karte konfiguriert und der interne DNS macht eine Weiterleitung auf die DNS Server im Internet.
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort vorgeschlagen Marc.Grote Montag, 17. Januar 2011 18:12
- Als Antwort markiert Marc.Grote Sonntag, 23. Januar 2011 16:02
Sonntag, 16. Januar 2011 16:03

Alle Antworten

0

Anmelden

Hi,

hast Du einen Router vor dem TMG Server oder wie ist der TMG an die Standleitung angebunden? Feste oeffentliche IP Adresse?
Tools wie TMGBPA hast Du sicherlich schon ausgefuehrt oder?
Mehr meckert die Ereignisanzeige nicht an?
Treiber sind aktuell von den Netzwerkkarten / der Hardware?
In einem Forum laesst sich bei so einem Problem natuerlich nur spekulieren ohne weitere Informationen und Zugriff auf das System zu haben!
Hast Du die Chance, ein anderes Testsystem (virtuell oder physikalisch) mal zu nehmen und zu testen ob es an der Hardware / Konfiguration liegt?
Was hast Du denn in den letzten Wochen schon alles gemacht? Damit wir das beim Troubleshooting schon mal ausschliessen koennen
Dein TMG / Windows ist aktuell gepatched?
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Donnerstag, 13. Januar 2011 09:05
0

Anmelden

Hi,

gibt es ein Update zu Deinem Problem?
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Freitag, 14. Januar 2011 09:47
0

Anmelden

Hallo Marc,

sorry für die Verspätung. Also, der Server hängt direkt an der Standleitung. Diese 1MBit-Leitung (5 öffentliche feste IPs) stellt das Gateway für ein komplettes Netzwerk (15User, 4 Server) dar. An einer IP hängt ein Router für den kompletten Internetverkehr. In diesem habe ich vor 3 Tagen im QoS eine max. Bandbreite von 512bit/s eingestellt, sodass auch der TMG mit seiner IP die gleiche Bandbreite zur Verfügung hat. 2,5 Tage funktionierte alles wunderbar. Mails kamen sofort auf den Handys an und WebAccess, Outlook AnyWhere liefen auch einwandfrei. Gibt es hier Erfahrungen, welche Bandbreite TMG min. benötigt, bzw. muss man ggf. Timeouts bei der Kommunikation zum Exchange hochsetzen ?

Leider geht heute schon wieder nichts mehr. Selbst nach deaktivieren/aktivieren der Netzwerkkarte und Neustart des TMG und Exchange keine Reaktion. In der Protokoll-Abfrage des TMG kommen dann immer wieder Einträge: " Ein Paket wurde verworfen, weil von Forefront TMG ermittelt wurde, dass die Quell-IP-Adresse gespooft ist. " Den entsprechenden Registry-Schlüsel dafür unter HKLM/System/CurrentControlSet/services/FwEng/ -> DisableSpoofDetection habe ich bereits erstellt, aber keine Reaktion... Wie kann ich dies gezielt ausschalten?

Gepatched sind der TMG und Exchange und die Treiber der NICs sind auch alle aktuell. Was habe ich in letzter Zeit getan? Ich hatte parallel zur Outlook-Veröffentlichung auch das Intranet nach aussen verfügbar gemacht (extra Karte, Listener und IP). Dies ging auch eine Weile gut, aber dann war wieder alles tot. Ich habe dann bei jedem Ausfall Neustarts gemacht, bzw, die NICs deaktiviert/aktiviert, was teilweise für kurze Zeit erfolgreich war, Sicherungen erstellt und wieder eingespielt, .... Ist es denn sinnvoll, den externen Karten eine Gateway zu geben?
Hin und wieder habe ich unter Adaptereinstellungen des Servers hinter den NICs "Internetzugriff" oder auch "kein Internetzugriff". Dies tritt sporadisch auf und ändert sich für kurze Zeit, wenn ich den externen Adapter "neu starte"...
Die Harware des TMG ist eher eine gute Arbeitsplatzmaschine. Eine Neuinstallation auf anderer Hardware kann ich ggf. nächste Woche bewerkstelligen, aber soll es wirklich daran liegen?

Der Remote Connectivity Analyzer bringt zum Beispiel beim RPC-Test lediglich einen Zertifikatsfehler, was aber an meinem selbst erstellten liegt.

Viele Grüße

Sonntag, 16. Januar 2011 15:24
0

Anmelden
Hi,

an der Bandbreite sollte das nicht liegen und Timeouts musst Du auch nicht konfigurieren. 512 KBit/s sind meiner Erfahrung nach ausreichend bei der Anzahl User. Warum hast Du die Spoof Detection deaktiviert. Ich vermute u. a. hier ein Problem. Auf einem richtig konfigurierten System taucht so eine Meldung nicht auf. Da wuerde ich mal ansetzen. Kannst Du die Netzwerkkonfiguration Deines TMG mal posten.
Ja, die externe Karte muss ein Default Gateway haben (das was vom ISP zugewiesen wird). DNS wird nur auf der LAN Karte konfiguriert und der interne DNS macht eine Weiterleitung auf die DNS Server im Internet.
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort vorgeschlagen Marc.Grote Montag, 17. Januar 2011 18:12
- Als Antwort markiert Marc.Grote Sonntag, 23. Januar 2011 16:02
Sonntag, 16. Januar 2011 16:03
0

Anmelden

Hallo Marc,

ok ich habe die NICs auf dem TMG mal so eingestellt: Extern hat feste IP und Gateway, Intern hat feste IP, Gateway und DNS (interner DNS mit Weiterleitung). Das interne Netz hat lediglich den IP-Bereich 192.168.9.0 - 192.168.9.255, alles andere steht auf Standard.

Bei dem Problem mit der Spoof Detection denke ich, bin ich dahinter gekommen. Ich habe von zu Hause aus mit 2 Geräten getestet (Notebook und iPhone). Das iPhone hing aber im gleichen WLAN wie das Notebook. Beide haben sich erstmal abgeglichen, bis es nach einer Weile wieder nicht mehr ging. Nach aussen hatten ja beide Geräte die gleiche IP (vom ISP), was denke ich das Problem für TMG war. Ich habe kurz den Router neu gestartet, dadurch eine neue IP bekommen und beim iPhone das WLAN deaktiviert. Beide Geräte (mit unterschiedlichen Adressen) hatten sofort wieder (bis jetzt) Kontakt...

Zur Zeit funktioniert wirklich alles einwandfrei (in der Hoffnung, dass es so bleibt).

Trotzdem wundert es mich, dass ich mit der Änderung in der Registry die Spoof Detection nicht abschalten konnte...

Viele Grüße

André

Montag, 17. Januar 2011 08:48
0

Anmelden

Hi,

die interne Karte darf kein Default Gateway haben!
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Montag, 17. Januar 2011 10:16
0

Anmelden

Ok, habe es geändert. Ich werde jetzt mal alles 1 Woche lang testen.

Vielen Dank

Montag, 17. Januar 2011 13:50

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Forefront TMG stellt immer wieder Dienst ein

Frage

Antworten

Alle Antworten