schiesslt 10 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Hallo zusammen, ich habe ein kleines Problemchen. Ich habe mir in einer kleinen Testumgebung drei Server aufgesetzt. vsrv01dc - Server 2008 R2 SP1 DC + DNS (erste Domäne) vsrv02fw - Server 2008 R2 SP1 + TMG 2010 vsrv101dc - Server 2008 R2 SP1 DC + DNS (zweite Domäne) vsrv01dc ist im Netzwerk "Internal" vsrv101dc ist im Netzwerk "Internal 2" ich wollte jetzt eine Zonenübertragung machen (fürs erste eine Stubzone einrichten), also... 1. Firewall Policy erstellen a. Allow b. Protocols DNS Server and NetBios Name Service c. From vsrv01dc und vsrv101dc d. To vsrv01dc und vsrv101dc e. All Users f. Apply 2. DNS -> New Zone -> Stub -> Zonenname -> Master Server 10.10.10.10 -> Enter 3. FQDN kann ermittelt werden. 4. Validated: "A timeout occurred during validation" Das Log vom TMG sagt Denied Connection. Source Port ist 58974 (high dynamic Port) Aber müssten diese Ports nicht in der Policy unter Protocols -> Ports abgedeckt sein, da steht bei mir "Allow traffic from any allowed source port" Wenn ich eine weiter Policy mache, wo ich als Protocol "all outbound traffic" angebe funktioniert es auf anhieb. Hab ich irgendwo einen Configfehler? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Wie ist denn das Netzwerkverhältnis zwischen Internal und Internal 2? Route oder NAT? Bye Norbert Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 7. Juli 2011 Autor Melden Teilen Geschrieben 7. Juli 2011 oh sorry für die fehlende Info -> Route Muss ich da eigentlich Internal und Internal 2 als Source und Destination angeben, oder reicht es wenn ich eins als Source und eins als Destination mach? Rein logisch müssen beide Source und beide Desti sein. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Die sind bidirektional. Sprich, du brauchst nur Quelle und Ziel jeweils einmal angeben. Allerdings muß das auch in den Firewallregeln entsprechend abgebildet werden. Bye Norbert Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 7. Juli 2011 Autor Melden Teilen Geschrieben 7. Juli 2011 okay danke. was meinst du genau mit "muss in den Firewallregeln entsprechend abgebildet werden"? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 7. Juli 2011 Melden Teilen Geschrieben 7. Juli 2011 Naja, Netzwerkregel und dann die entsprechenden Firewallregeln für die Protokolle. Bye Norbert Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 7. Juli 2011 Autor Melden Teilen Geschrieben 7. Juli 2011 Hi, aso ja das ist klar. also ahbe jetzt folgendes eingestellt: source: internal destination: internal 2 type: route firewall policy: type: allow protocols: DNS und NetBios From: server1 und server2 To: server1 und server2 (hier ist es ja nicht bidirektional, oder?) Users: all Users habe aber dadurch immer noch das Problem von oben :( wie gesagt, erst wenn ich noch folgende Policy erstelle: type: allow protocols: all outbound traffic From: server1 To: server2 Users: all Users -> dann kann ich die DNS-Zone auf server1 erstellen. Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 11. Juli 2011 Autor Melden Teilen Geschrieben 11. Juli 2011 Also ich finde meinen Fehler nicht. Nur wenn ich eine eigene Policy mache, die den Outbound Traffic expliziet erlaubt, funktioniert die DNS Synchronisation Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 13. Juli 2011 Autor Melden Teilen Geschrieben 13. Juli 2011 gefunden. war so **** und hab das falsche Protocoll verwendet. DNS Server statt DNS. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.