IT Service ist überfordert. ISA Konfiguration für Agenda und Starmoney

Zitat:

„Na das würde mich doch sehr wundern, wenn das nicht auch über das Forum zu lösen wäre.

Da dies ein neues Problem ist, schlage ich vor, Du machst hierzu einen neuen Thread auf und beschreibst dort erstmal Deine Umgebung etwas genauer (z.B. wieviel NICs im Server?, Router vor ISA? etc.), beschreibst das Problem und verlinkst die Anleitung für den Janaserver.

Und am besten hier noch einen Link auf den neuen Thread setzen, damit man weiss, wo es weitergeht.

 

Gruß

Steffen“ Thread

 

 

Hi

Ich muss unter ISA Server 2000 zwei Programmen den Internetzugang gewähren und bin damit völlig überfordert. Die Hersteller der entsprechenden Programme im Übrigen auch. Es gibt zwar Anleitungen für Jana und Ken aber die sind nicht in der Lage diese für die Nutzung des ISA umzusetzen.

 

Der professionelle IT Service von Agenda-Software rät mir tatsächlich den ISA zu deinstallieren. Die kennen sich nicht damit aus. Ich soll doch Jana installieren *g*.

 

Man fragt sich da wirklich was das für ein IT Service ist. Win XP installieren kann doch jeder. Vielleicht sollte sich da wirklich jemand von Euch Spezis aufgrund dieser Geschichte bewerben.

 

Die Umgebung:

Der Server ist soweit sauber aufgesetzt. Die Clients lösen mit NSLookup problemlos auf. Es gibt eine interne Karte mit der IP 10.0.0.1 und dem gleichen DNS Eintrag. Es gibt eine externe Karte mit der IP 192.168.0.199 und den IP Eintragungen des Hardwarerouters im DNS und Gateway.

 

Anleitungen:

 

Die Anleitungen für Agenda findet Ihr hier. Agenda

Auf Seite 2 stehen alle benötigten Protokolle und Ports und es gibt eine Anleitung für Jana und Ken.

 

Die Anleitung für Starmoney findet Ihr hier : Starmoney

 

Ich hoffe, dass das einer von Euch hinbekommt.

 

THX

1. 
   

Hi,

 

das hört sich jetzt nicht weiter dramatisch an. Für Agenda brauchst Du nur Port 80 und 21, also http und ftp. Für die Elster Schnittstelle noch Port 8000. Entweder Du installierst den Firewallclient oder gibst die Ports für den Rechner frei. Hast Du die Ports am ISA schon freigegben?

 

Gruß

Dirk

Hi Dirk,

 

nein habe ich noch nicht. Ich nehme an, ich muss eine Protokolldefinition erstellen mit dem Port 8000 ist das soweit richtig ?

Unter anderem. Wenn Du http und ftp schon frei hast für den Rechner solltest Du noch den 8000 hinzufügen. Danach sollte zumindest Agenda laufen.

Ok, es gibt eine Protokollregel für FTP, FTP Download only, Gropher, HTTP, HTTPS.

 

Die entsprechenden Protokolldefinitionen sind ja Standart im ISA.

 

Ich erstelle jetzt also eine Protokolldefinition für den Port ausgehend und eine Protokollregel dafür. Ist das soweit ok oder muss ich noch was machen ?

Hallo,

 

wenn ich mich recht an meine damaligen Konfigurationen für Elster errinnere, bin ich nicht um den Einsatz des Firewallclients drumrum gekommen. Habe mich aber danach nicht weiter damit beschäftigt, geht evtl auch anders.

 

Gruß Robert

Hi Robert, Dir muss ich ja eh noch ein Bier ausgeben. :D

 

So, der HTTP und FTP Zugriff ist jetzt konfiguriert. Ich bekomme pos. Testnachricht und kann auch z.B. Updates installieren.

 

Elster funktioniert nicht. Wo ist das Problem mit Elster ? Warum braucht man dafür einen Firewallclient ?

 

THX

Hallo cebo,

 

Elster funktioniert nicht. Wo ist das Problem mit Elster ? Warum braucht man dafür einen Firewallclient ?

Den Firewallclient benötigt man nur, wenn man den Zugriff benutzerbasiert regeln will.

 

Gehen wir mal der Reihe nach vor:

1) Der ISA-Server ist am Client als Standardgateway eingetragen?

2) Ist auf dem ISA-Server IP-Routing und Paketfilterung aktiviert (Knotenpunkt "IP-Paketfilter"-->rechte Maustaste-->Eigenschaften)?

3) Ist die Protokolldefinition für Elster folgendermaßen definiert: Protokoll=TCP, Port=8000, Richtung=ausgehend?

4) Wie sieht Deine Protokollregel im Einzelnen aus?

5) Welche Einstellungen hast Du in Agenda vorgenommen? Der Punkt "ELSTER – Zugriff mit Proxyserver (notwendig für UStVA und DV)" darf m.E. nicht aktiviert werden.

 

Gruß

Steffen

Hallo Steffen,

zu 1 Im Client ist DHCP aktiviert. Über IPConfig ist der Standartgateway NICHT eingetragen

zu 2 IP Routing ja, Paketfilter(Filtern von IP Fragmenten) ja

zu 3 ja

zu 4 ich nehme an du meinst die Protokollregel konkret zum Port 8000

Anfrage zulassen, Ausgewähltes Protokoll eben dieses 8000 sonst keine Einschränkung

zu 5 jetzt ists deaktiviert. Ich bekomme aber ohne Eintrag bei HTTP keine pos Nachricht mit " verbindung testen"

 

Ich versuche jetzt direkt am Server die Verbindung aufzubauen. Später über WTS.

zu 1 Im Client ist DHCP aktiviert. Über IPConfig ist der Standartgateway NICHT eingetragen.

Dann trags mal bitte im DHCP-Server ein und erneuere die Lease. Wir wollen hier schließlich routen.

 

zu 5 jetzt ists deaktiviert. Ich bekomme aber ohne Eintrag bei HTTP keine pos Nachricht mit " verbindung testen"

Ich blicke bei den Einstelloptionen von Agenda noch nicht so wirklich durch. Bekommst Du es so hin, dass Du für HTTP-Traffic den Proxy angeben kannst und für den Elster-Traffic die 6 Felder unter "Elster" ausgegraut sind (so wie unter 4.2 der Anleitung)? Sprich für HTTP soll er den Proxy benutzen und für Elster verwenden wir ganz normales Routing. Wenns so nicht möglich ist, müssten wir auch den HTTP-Traffic zum ISA routen. Wenn dann der HTTP-Traffic aber benutzerbasiert beregelt werden soll, müsste der Firewallclient installiert werden.

 

Gute Nacht! ;)

Steffen

Guten Morgen,

 

Also ich kann natürlich die HTTP Proxyeinstellungen im Agenda so einstellen, dass oben nur mein Servername steht und darunter der Port 8080. In dem Fall habe ich einen erfolgreichen Verbindungstest. Unter Elster sind die Felder dann nicht ausgegraut sondern einfach nur leer.

 

"Dann trags mal bitte im DHCP-Server ein und erneuere die Lease. Wir wollen hier schließlich routen."

 

Ok, alles klar.

 

Ich habe jetzt einen Standardgateway unter ipconfig auf dem Clienten. Leider nicht auf der internen Karte des Servers.

Hier muss ich mit Server und Port 8080 rein.

 

Der Client kann unter CMD.exe keine externen Namen auflösen. Internet selber funktioniert gut.

Hallo,

Den Firewallclient benötigt man nur, wenn man den Zugriff benutzerbasiert regeln will.

... oder wenn man Client-Anwendungen nutzt, welche keinen HTTP-Proxy unterstützen und diese auf Winsock-Ebene umleiten möchte (Stichwort: sek. Verbindungen) ohne einfach nur über NAT nach draußen zu routen.

 

Gruß Robert

Hallo cebo,

Leider nicht auf der internen Karte des Servers.

Welchen Server meinst Du hier? Wenn Dein Proxy soweit 'proxt', dann dreh erst mal nicht mehr an seiner Konfig sondern an den Einstellungen der Clienits.

Der Client kann unter CMD.exe keine externen Namen auflösen. Internet selber funktioniert gut.

Jetzt musst Du natürlich noch dafür sorgen, das Dein Client auch externe Adressen ohne Proxy-Hilfe direkt auflösen kann (nicht immer machbar) ODER Du installiertst einfach mal den Firewallclient.

 

Gruß Robert

Ich meine die interne Karte meines all in one Servers. Da ist der Gateway nicht eingetragen und in den Verbindungsoptionen des Exploers steht hier der Proxy drin. Sonst funktioniert alle bestens.

 

Wie soll ich dafür sorgen, dass der Client das kann. Im Exploer des Clients ist KEINE automatische Suche und KEIN Proxy eingetragen und das Internet funktioniert gut über den Gateway.

Hallo cebo,

 

welchen DNS benutzen denn Deine Clients? Wenn es Dein eigener interner Server ist, so mußt Du bei deisem dafür sorgen, daß Anfragen an einen externen DNS-Server (Forwarder) weitergeleitet werden. Dafür müsste man wissen wie Deine DNS-Struktur aussieht. Läuft der DNS auch auf dem Gateway ('AllInOne-Server'), so musst Du nur den Forwarder konfigurieren.

 

Gruß Robert