none
После установки TMG в качестве шлюза в интернет из внутренней сети, он начинает путать свои интерфейсы RRS feed

  • Вопрос

  • Ситуация такая. В качестве прокси-сервера и шлюза для внутренней сети для выхода в интернет используется ISA2006 Std (включен в домен). Решено обновить сервер до TMG. Для этого на отдельном временно выделенном для этих целей сервере (2 процессора Xeon 5520, 12 Гб памяти, системная плата Supermicro cо встроенным сетевым контроллером intel c 2-мя гигабитными портами) поднял W2k8R2 en, включил его в домен, установил standalon TMG Std en (настроил два интерфейса - WAN, подключенный к интернету и имеющий внешний адрес, и LAN, подключенный к локальный сети и имеющий соответствующий внутренний ip-адрес) и перенес на него настройки с ISA (правила в основном создавал вручную, а различные списки экспортировал с ISA и импортировал на TMG). Таким образом получилось, что оба сервера работают параллельно. После настройки всех правил доступа и небольшого тестирования я доменными политиками поменял всем пользователям адрес прокси-сервера с ISAшного на TMGшный. ISA-сервер пока остается шлюзом в интернет - т.е. на центральном коммутаторе сети (cisco catalist 3750) ISA указан как шлюз по-умолчанию. Внутренняя сеть состоит из нескольких подсетей. Пользователи ходят в интернет через новый прокси и все работает замечательно.

    Теперь, собственно, проблема. Как только я меняю шлюз на коммутаторе с ISA-сервера на TMG-сервер, так TMG начинает сходить с ума. Выражается это в следующих вещах. Подключение к серверу по RDP и доуступ клиентов NAT через TMG-сервер нестабильны, в логах TMG очень много появляется ошибок что соединения Failed (не получен SYN/ACK пакет) или о том, что это спуфиг атаки. Пинги наружу то ходят, то нет, аська, например, вообще не работает (все соединения в статусе Failed) . Доступ в интернет через прокси-сервер с виду продолжает работать. После перезагрузки происходит еще одна вещь - сервер помечает свой внешний интерфейс WAN (в который втыкается провод от провайдера) как относящийся к домену - т.е. в Network and Sharing Center можно увидеть, что есть только одно активное месторасположение (Domain Network) к которому относятся оба интерфейса WAN и LAN. Если отключить (Disable) сетевой интерфейс WAN, а затем включить его обратно, то система определяет, что подключена не доменная сеть, а публичная и подключение попадает в соответствующее месторасположение (Public Network). А клиенты NAT так и не работают (по прежнему все соединения от них в статусе Failed по разным причинам). А после перезагрузки сервера оба интерфейса опять попадают в доменную сеть. Если же поменять шлюз на коммутаторе обратно на ISA-сервер, то TMG сервер начинает работать абсолютно нормально и при перезагрузках всегда правильно определяет местоположения для своих сетевых интерфейсов.

    Пробовал разные комбинации с отключением/включением на каждом из сетевых интерфейсов протокола IPv6, а так же "Link-Layer Topology Discovery Mapper I/O Driver" и "Link-Layer Topology Discovery Responder". Эфекта нету. Была мысль вручную принудительно закрепить за каждым подключением свое месторасположение, но как это сделать не нашел. Как можно заставить TMG работать в качестве шлюза?
    15 февраля 2010 г. 12:50

Ответы

  • В итоге после выхода SP1 и обновления Software Update 1 for TMG2010SP1 все заработало как и должно. Остался момент, что все подключения в центре управления сетями сваливаются в доменную сеть (без установки fwsrv в режим Delayed Start, с отложенным стартом не проверял), но это похоже просто "так есть" и на корректности работы TMG как файервола и маршрутизатора никак не отражается.
    • Помечено в качестве ответа Yuriy Lenchenkov 11 марта 2011 г. 11:59
    11 марта 2011 г. 11:49

Все ответы

  • Дайте вывод ipconfig /all

    и что говорит на этот счет ISA BPA?
    blog.wadmin.ru
    15 февраля 2010 г. 13:11
  • Насколько понимаю используется сложная сеть, для клиента сначала маршрутизатор Циска, затем маршрутизатор TMG.

    Внутренние подсети указаны как локальные?
    Сеть между циской и TMG указана как локальная?
    Настроены ли правила маршрутизации с TMG сеть в каждую локальную сеть? (возможно нужно править правила на циске) Сделайте команду route print (вывод сюда) проверьте трассировку до любой клиентской машины с TMG сервера (путь должен быть в точности такой же как и от клиента к серверу).

    На WAN интерфейсе оставьте только протокол IPv4, все остальные галочки снимите. В настройках DNS WAN интерфейса укажите имя не локального домена (желательно имя домена провайдера), удалите все DNS сервера с WAN интерфейса.

    16 февраля 2010 г. 8:36
  • Все внутренние подсети относятся к сети Internal на TMG-сервере. Маршрут для каждой из них заведен (пакеты для всех этих подсетей уходят на вышеуказанную Циску). Маловероятно, что дело в маршрутах - ведь из подсетей сотрудники выходят в Интернет через этот TMG-сервер (используюя прокси) и все работает без ошибок. А вот NAT-клиенты пока через прежний ISA-сервер ходят.

    На WAN интерфейсе включены IPv4, IPv6 и, собственно, Forefront TMG Packet Filter. На WAN интерфейсе прописаны только ip-адрес, маска и шлюз. На LAN интерфейсе прописаны адрес, маска и DNS сервера.

    "В настройках DNS WAN интерфейса укажите имя не локального домена (желательно имя домена провайдера)" - не понял, что имеется ввиду.

    Недавно попробовал поставить дополнительную сетевую карту и переключить на нее подключение к провайдеру, чтобы исключить возможные проблемы системы со встроенным железом - не помогло.

    Результаты ipconfig /all

    Windows IP Configuration

       Host Name . . . . . . . . . . . . : Proxy
       Primary Dns Suffix  . . . . . . . : my.dom
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : Yes
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : my.dom

    Ethernet adapter WAN2:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Intel(R) PRO/1000 PT Dual Port Server Adapter
       Physical Address. . . . . . . . . : 00-15-17-4B-89-04
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::7484:8847:933f:5d03%14(Preferred)
       IPv4 Address. . . . . . . . . . . : X.X.X.122(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.240
       Default Gateway . . . . . . . . . : X.X.X.113
       DHCPv6 IAID . . . . . . . . . . . : 369104151
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-13-1F-47-0F-00-30-48-DE-9B-48
       DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                           fec0:0:0:ffff::2%1
                                           fec0:0:0:ffff::3%1
       NetBIOS over Tcpip. . . . . . . . : Enabled

    Ethernet adapter LAN:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Intel(R) 82576 Gigabit Dual Port Network Connection #2
       Physical Address. . . . . . . . . : 00-30-48-DE-9B-47
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::95e3:6bb6:27a5:3dc9%12(Preferred)
       IPv4 Address. . . . . . . . . . . : 10.0.0.149(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . :
       DHCPv6 IAID . . . . . . . . . . . : 302002248
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-13-1F-47-0F-00-30-48-DE-9B-48
       DNS Servers . . . . . . . . . . . : 10.0.0.10
                                           10.0.0.20
       NetBIOS over Tcpip. . . . . . . . : Enabled

    Tunnel adapter Teredo Tunneling Pseudo-Interface:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes


    Результаты route print:

    ===========================================================================
    Interface List
     14...00 15 17 4b 89 04 ......Intel(R) PRO/1000 PT Dual Port Server Adapter
     12...00 30 48 de 9b 47 ......Intel(R) 82576 Gigabit Dual Port Network Connection #2
      1...........................Software Loopback Interface 1
     13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
    ===========================================================================

    IPv4 Route Table
    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0    X.X.X.113    X.X.X.122    276
             10.0.0.0    255.255.255.0         On-link        10.0.0.149    266
           10.0.0.149  255.255.255.255         On-link        10.0.0.149    266
           10.0.0.255  255.255.255.255         On-link        10.0.0.149    266
             10.0.1.0    255.255.255.0         10.0.0.1       10.0.0.149    266
             10.0.2.0    255.255.255.0         10.0.0.1       10.0.0.149    266
             10.0.6.0    255.255.255.0         10.0.0.1       10.0.0.149    266
            10.0.30.0    255.255.255.0         10.0.0.1       10.0.0.149    266
            10.0.31.0    255.255.255.0         10.0.0.1       10.0.0.149    266
            10.0.32.0    255.255.255.0         10.0.0.1       10.0.0.149    266
             10.1.0.0    255.255.255.0         10.0.0.1       10.0.0.149    266
             10.5.0.0    255.255.255.0         10.0.0.1       10.0.0.149    266
             10.6.0.0    255.255.255.0         10.0.0.1       10.0.0.149    266
           10.100.0.0    255.255.255.0         10.0.0.1       10.0.0.149    266
        X.X.X.112  255.255.255.240         On-link     X.X.X.122    276
        X.X.X.122  255.255.255.255         On-link     X.X.X.122    276
        X.X.X.127  255.255.255.255         On-link     X.X.X.122    276
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link        10.0.0.149    266
            224.0.0.0        240.0.0.0         On-link     X.X.X.122    276
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link        10.0.0.149    266
      255.255.255.255  255.255.255.255         On-link     X.X.X.122    276
    ===========================================================================
    Persistent Routes:
      Network Address          Netmask  Gateway Address  Metric
             10.0.2.0    255.255.255.0         10.0.0.1     256
             10.0.1.0    255.255.255.0         10.0.0.1     256
             10.0.6.0    255.255.255.0         10.0.0.1     256
            10.0.30.0    255.255.255.0         10.0.0.1     256
            10.0.31.0    255.255.255.0         10.0.0.1     256
            10.0.32.0    255.255.255.0         10.0.0.1     256
             10.1.0.0    255.255.255.0         10.0.0.1     256
             10.6.0.0    255.255.255.0         10.0.0.1     256
           10.100.0.0    255.255.255.0         10.0.0.1     256
             10.5.0.0    255.255.255.0         10.0.0.1     256
              0.0.0.0          0.0.0.0    X.X.X.113  Default
              0.0.0.0          0.0.0.0    X.X.X.113  Default
    ===========================================================================

    IPv6 Route Table
    ===========================================================================
    Active Routes:
     If Metric Network Destination      Gateway
      1    306 ::1/128                  On-link
     12    266 fe80::/64                On-link
     14    276 fe80::/64                On-link
     14    276 fe80::7484:8847:933f:5d03/128
                                        On-link
     12    266 fe80::95e3:6bb6:27a5:3dc9/128
                                        On-link
      1    306 ff00::/8                 On-link
     12    266 ff00::/8                 On-link
     14    276 ff00::/8                 On-link
    ===========================================================================
    Persistent Routes:
      None


    Установил TMG BPA - пара ошибок есть, но ничего особого:

    1. "The secure channel to the domain controller cannot be verified." - хотя связь с контроллерами домена есть и системное правило включено. По большому счету эта ошибка ничего не значит.

    2. "WFP Filter Conflict Detected. Forefront TMG detected Windows Filtering Platform filters that may cause policy conflicts on the server PROXY. The following providers may define filters that conflict with the Forefront TMG firewall policy: Microsoft Corporation. " - эта ошибка была с самого момента установки. Единственное решение я нашел на сайте http://technet.microsoft.com/en-us/library/dd440976.aspx и заключается оно в "If this message is displayed, disable the alert from appearing again, since it does not indicate a real conflict."

    Так что тут тоже все чисто. Может у кого есть какие предположения?
    • Изменено andrugor 17 февраля 2010 г. 13:49 добавление
    17 февраля 2010 г. 9:15
  • Добрый день!

    А вы пробовали менять приоритеты на интерфейсы? Должен первым стоить внутренний интерфейс.
    17 февраля 2010 г. 14:11
    Модератор
  • на внешней карте
    NetBIOS over Tcpip. . . . . . . . : Enabled

    лишний.

    Persistent Routes:
      Network Address          Netmask  Gateway Address  Metric
             10.0.2.0    255.255.255.0         10.0.0.1     256
             10.0.1.0    255.255.255.0         10.0.0.1     256
             10.0.6.0    255.255.255.0         10.0.0.1     256
            10.0.30.0    255.255.255.0         10.0.0.1     256
            10.0.31.0    255.255.255.0         10.0.0.1     256
            10.0.32.0    255.255.255.0         10.0.0.1     256
             10.1.0.0    255.255.255.0         10.0.0.1     256
             10.6.0.0    255.255.255.0         10.0.0.1     256
           10.100.0.0    255.255.255.0         10.0.0.1     256
             10.5.0.0    255.255.255.0         10.0.0.1     256
              0.0.0.0          0.0.0.0    X.X.X.113  Default
              0.0.0.0          0.0.0.0    X.X.X.113  Default

    у вас наружу две карточки смотрят? и через одного провайдера?

    кстати из маршрутов будет вполне достаточно
    route add -p 10.0.0.0 mask 255.0.0.0 10.0.0.1

    посмотрите привязку сетей.
    проще всего удалить все что есть и добавить адаптеры.

    с маршрутами (вернее с маршрутизацией) может быть проблема в том случае если пакеты приходят на внешний интерфейс вместо внутреннего

    blog.wadmin.ru
    17 февраля 2010 г. 14:25
  • Должен первым стоить внутренний интерфейс.

    Так и есть.

    на внешней карте
    NetBIOS over Tcpip. . . . . . . . : Enabled

    Забыл убрать после добавления внешней сетевой карты и переключения на нее провода от провайдера.
    Второй маршрут, думаю, появился по этой же причине (после установки сетевухи).

    кстати из маршрутов будет вполне достаточно
    route add -p 10.0.0.0 mask 255.0.0.0 10.0.0.1

    Можно, но эти маршруты в мастере первоначальной настройки создавались, после того как я в этом же мастере перечислил подсети, относящиеся к сети Internal.

    посмотрите привязку сетей.
    проще всего удалить все что есть и добавить адаптеры.


    При установке TMG так и делал.

    с маршрутами (вернее с маршрутизацией) может быть проблема в том случае если пакеты приходят на внешний интерфейс вместо внутреннего

    Вот это самый интересный вопрос. Для меня не проблема посмотреть куда втыкается провод от провайдера и понять, что это внешний интерфейс. Пока сервер не является шлюзом для сети, сам сервер (TMG или сама ОС?) тоже правильно понимают интерфейсы и тот, который с проводом от провайдера относит в Public Network, а тот, с которого видны контроллеры домена, относит к Domain Network. Но после изменения шлюза на Циске на этот сервер, он начинает путать свои интерфейсы со всеми вытекающими. Т.е. при перезагрузке сервера оба интерфейса помещаются в Domain Network (смотрю в Network and Sharing Center)! Насколько понимаю, для системы правильное отнесение подключения к доменной, домашней или публичной сети является критичным. Если же теперь вручную отключить внешний интерфейс, а потом его включить обратно, то он после идентификации правильно попадает в Public Network. Но NAT клиенты по прежнему не могут выходить нормально в интернет (что-то работает через раз (пинги), что-то вообще не работает (аська)), а клиенты прокси работают нормально, но примерно раз из десяти у них при запросе страниц выскакивает ошибка о превышении времени ожидания ответа.

    Возможно, что причина неправильной работы TMG сервера не связана с тем, что внешний интерфейс считается внутренним. Однако при изменении маршрута на Циске обратно на старый сервер, перезагрузка TMG не приводит к путанице в подключениях и прокси клиенты работают без задержек и ошибок.
    17 февраля 2010 г. 16:23
  • дайте с клиента
    nslookup TMG-server
    tracert TMG-server

    у вас после изменения маршрута на циске происходит что то нехорошее с маршрутизацией и внешний интерфейс становиться внутренним.

    кстати с внешнего интерфейса снята галка "регистрировать в ДНС-е"?

    blog.wadmin.ru
    18 февраля 2010 г. 6:17
  • nslookup Proxy.my.dom

    Server:  dc01.my.dom
    Address:  10.0.0.10

    Name:    proxy.my.dom
    Address:  10.0.0.149

    tracert Proxy

    Трассировка маршрута к Proxy.my.dom [10.0.0.149]
    с максимальным числом прыжков 30:

      1    <1 мс    <1 мс    <1 мс  10.0.2.1
      2    <1 мс    <1 мс    <1 мс  proxy.my.dom [10.0.0.149]

    Трассировка завершена.

    В обратную сторону тоже все хорошо проходит.


    кстати с внешнего интерфейса снята галка "регистрировать в ДНС-е"?

    Была установлена. Снял. Эффекта нет.


    После установки TMG в качестве шлюза в журналах наблюдаются следующие ошибки для NAT клиентов:

    Status: A connection was closed because no SYN/ACK reply was received from the server.

    Status: A connection was abortively closed after one of the peers sent an RST packet.


    А для прокси клиентов иногда наблюдаются следующие:

    Status: 10060 A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
    19 февраля 2010 г. 6:42
  • т.е. все хорошо.

    занятно.

    остается понять что именно происходит с TMG.

    попробуйте поставить счетчики на процессор + диск + память.
    blog.wadmin.ru
    19 февраля 2010 г. 7:46
  • Обнаружил следующую вещь: если остановить отключить автозапуск сервисов, относящихся к TMG, то система перестает путать интерфейсы и работает нормально. После включении автозапуска этих сервисов обратно и перезагрузки сервера ошибки возвращаются.

    Пробовал переставить сервер. Для чистоты эксперемента установил заново чистую винду W2k8 R2 std en. Ставил локально и никаких дополнительных маршрутов не прописывал. После настройки сетевых интерфейсов установил все обновления и сделал этот компьютер шлюзом в интернет для всей сети (установил его в качестве шлюза на Циске). Перезагрузился - проверил, что интерфейсы определяются правильно и глюков нет. Запустил установку TMG Std en. Во время установки в мастере прописал несколько дополнительных подсетей и шлюз для них (вышеуказанная Циска). По окончании установки перезагрузил сервер... и опять наблюдал прежнюю проблему - оба интерфейса оказались в доменной сети.

    Кто знает, можно ли как-то вмешаться в процесс идентификации сетей?
    24 февраля 2010 г. 7:51
  • Предположу, что данная проблема связана именно с конкретным железом.
    В принципе, можете попробовать поменять местами интерфейсы, обновить драйвера на сетевую карту. Вполне может быть, что именно в драйверах и проблема.
    Какие ОС были до этого?
    26 февраля 2010 г. 8:35
    Модератор
  • Не похоже. Я выше писал, что пробовал устанавливать дополнительную сетевую карту (двухпортовая серверная сетевая карта intel в слот PCI-E) и переключал на нее внешний интерфейс. Драйвера так же обновлял. Ничего пока не помогло. Сервер новый, ранее в производственной среде еще не работал, а сейчас на него ставил только W2k8 R2 en std.
    Думаю попробую еще переключить внутренний интерфейс на доп. сетевую карту.
    27 февраля 2010 г. 7:08
  • Добрый день!

    А Cisco просто NAT раздает , или у нее еще какие-нибудь функции?
    3 марта 2010 г. 7:20
    Модератор
  • А Cisco просто NAT раздает , или у нее еще какие-нибудь функции?

    Cisco работает в роли центрального маршрутизатора. Топология - звезда. Локальная сеть разбита на несколько подсетей, а циска как раз все маршрутизирует. Кроме этого на части портов настроена безопасность - сделаны настройки для подключения свитчей или рабочих станций. Больше никаких функций нету.

    Провел эксперемент с переключением внутреннего интерфейса на доп. сетевую карту - как и ожидалось, результата нет.

    Так же провел еще один эксперемент - в той же подсети, где и TMG, пару месяцев назад с целью ознакомления (ставил и настраивал не я, а другой человек) была установлена виртуалка с TMG (тоже W2k8R2 en Std + TMG, в качестве хостовой системы W2k8R2 en Std, внутренний и внешний интерфейсы виртуальной машины привязаны к разным физическим сетевым интерфейсам, а хостовая машина имеет свой физический интерфейс, который не используется виртуальными машинами), которую я тоже попробовал включить в качестве шлюза для выхода в инет. И оказалось, что на этом виртуальном TMG абсолютно такая же ситуация. Как только меняю основной шлюз на циске, виртуальный TMG начинает работать со странностями, а после перезагрузки оба сетевых интерфейса оказываются в доменной сети. В настоящее время в качестве шлюза работает сервер ISA2006 (установлен на W2k3 R2 en Std). Настройки портов циски, куда включены ISA2006 и TMG одинаковые, для виртуального TMG порт циски настроен на подключение свитчей (для обеспечения работы нескольких виртуальных машин с разными MAC).
    4 марта 2010 г. 8:34
  • Я так понимаю, что все же нужно посмотреть в сторону Циски.
    Извиняюсь за долгое отсутствие ответов.
    Итак, вы смогли решить проблему, или нет?
    16 марта 2010 г. 16:04
    Модератор
  • Нет, проблема осталась и требует решения. Сейчас сделан некоторый перерыв, чтобы после него посмотреть ситуацию свежим взглядом. Да, возможно получится решить проблему настройками циски, но в то же время и при текущих настройках ISA2006 работает замечательно.
    18 марта 2010 г. 6:17
  • Нарисовал схемку подключения серверов - http://savepic.org/399037.png

    Чтобы меньше путаться, сервер Proxy с установленным TMG2010 на картинке обозначил как TMG.

    Cisco1 (управляемый коммутатор 2-го уровня) и Cisco2 (маршрутизатор, 3-го уровня) имеют свои ip-адреса, входят в цисковский домен и обмениваются между собой информацией. Локальная сеть делится на подсети, для которых в качестве шлюза указана Cisco1 (имеет адреса из каждой подсети). На ней же (Cisco1) прописан маршрут 0.0.0.0 mask 0.0.0.0 на сервер ISA1. 3Com установлен в качестве самого простого свитча и своего ip-адреса не имеет. Через циску провайдера организован выход в интернет (выделенный порт на Cisco3) и связь по выделенным каналам с удаленными точками (для каждой точки выделен свой отдельный порт на Cisco3). Компьютеры, расположенные в удаленных точках имеют адреса из локальной сети (так же могут разделятся по подсетям, в соответствии с настройками порта на Cisco2, куда включен провод от конкретной удаленной точки).

    ISA1 выполняет роль прокси-сервера и шлюза NAT. Планируется обновить этот сервер до TMG2010. Для этого временно поднят и настроен сервер TMG, на котором настроены все необходимые правила файервола и прокси-сервера. После этого планировалось переустановить сервер ISA1, установить TMG2010 и загрузить туда готовую конфигурацию с сервера TMG. На время переустановки сервер TMG должен выполнять все функции сервера ISA1. Однако, как я выше писал, наблюдаются проблемы. В качестве прокси-сервера сервер TMG работает нормально, а вот при попытке изменить на Cisco1 маршрут 0.0.0.0 mask 0.0.0.0 на сервер TMG связь с внешним миром пропадает.

    9 апреля 2010 г. 11:27
  • Уважаемый gorandru

    раз уж мы не можем помочь, давайте официальный саппорт вам постарается помочь. Постучитесь мне в мессенджер, он в профиле, я вам дам номер карточки QA.Медали пользователяМедали пользователяМедали пользователяМедали пользователяМедали пользователя

    15 апреля 2010 г. 12:40
    Модератор
  • моя ситуация: 2 интерфейса (внутренний, внешний), vpn, site-to-site vpn. всё было нормально до момента создания соединения site-to-site vpn. после этого, если перезагрузить сервер, оба интерфейса определяются как доменные, т.е. принадлежащие к внутренней сети. и всё было бы ничего, если б иногда через 2 часа, а иногда через 2 дня (интервал варьируется произвольно) внутренний интерфейс переставал пинговаться и вся внутренняя сеть оставалась без интернета. что самое интересное - с tmg сервера я мог пинговать сеть, доступную по vpn site-to-site. но это мало утешительно ибо от этого толку мало. после долгих размышлений и вычитываний форумов стало ясно, что что-то вводит в заблуждение сервис NLA (Network Location Awareness), отвечающий за определение принадлежности интефейсов к сетям. я стал пробовать добавлять сервисам (сначала RemoteAccess, потом fwsrv) зависимость от старта NlaSvc.  ничего не дало. потом я выключил старт fwsrv (Microsoft Forefront TMG Firewall) и перезапустил сервер. принадлежность адаптеров стала правильной! я поставил fwsrv в режим Delayed Start. перезагрузил сервер - и с радостью обнаружил, что интерфейсы наконец определились верно - один внутренний доменный и один интернет! вот такая история :)
  • Добрый День!

    У меня такая же ситуация после перехода с ISA Server 2006  на TMG 2010 Std. Благодаря совету konstantin.z интерфейсы стали определяться правильно. Но остальные вышеописанные проблемы все так же периодически появляются. Уважаемый Daniil Khabarov можно ли узнать разрешилась ли данная проблема с помощью официального саппорта? И можете ли Вы мне помочь в  заведении тикета в офф. саппорте?

    С Уважением, Олег

  • В итоге после выхода SP1 и обновления Software Update 1 for TMG2010SP1 все заработало как и должно. Остался момент, что все подключения в центре управления сетями сваливаются в доменную сеть (без установки fwsrv в режим Delayed Start, с отложенным стартом не проверял), но это похоже просто "так есть" и на корректности работы TMG как файервола и маршрутизатора никак не отражается.
    • Помечено в качестве ответа Yuriy Lenchenkov 11 марта 2011 г. 11:59
    11 марта 2011 г. 11:49