pichocki 0 Geschrieben 30. September 2013 Melden Teilen Geschrieben 30. September 2013 Hi. Wir haben ein Problem, an dem wir nun schon "etwas länger" herumwerkeln, und ich wäre über einen Tipp recht erfreut: Wir möchten eine Zweigstelle per VPN-Tunnel anbinden und die entsprechende Infrastruktur zuerst hier bei uns testen. Im "Hauptsitz" haben wir eine Domäne (im w2k8-Modus) und gehen über einen TMG-2010 und eine Fritzbox ins Netz. Nun haben wir einen weiteren TMG aufgesetzt, allerdings hat der während seiner Installation Domänenzugriff gehabt. Nun betreiben wir ihn "separat". Zur Simulation haben wir ihn an den Switch der Fritzbox angeschlossen, so dass beide TMGs sich an der "Außen-NIC" sehen können (natürlich haben diese dafür eigene IPs auf dem Subnetz der Fritzbox. Der VPN-Tunnel wird aufgebaut und steht, und von der "Hauptstelle" kann ich auch in die Dependance zugreifen, z.B. mit PING und sogar mit MSTSC. In die umgekehrte Richtung klappt es NICHT - nicht einmal PING. Der TMG der Außenstelle blockt diesen Verkehr. Das seltsame ist, dass es eine entsprechende Regel gibt, allen Verkehr von seinem internen Netz ins Netz der Hauptstelle zuzulassen - allerdings wird diese Regel nicht angewendet, stattdessen blockiert die Defaultregel alles. Wenn ich mir den TMG der Außenstelle ansehe, dann hat dieser ein Problem beim "Konfigurationsspeicherzugriff". Was ist das, und wie kann ich das beheben? Ist es tatsächlich denkbar, dass der TMG andere Regeln abarbeitet, als er in seiner GUI anzeigt - einfach, weil er diese Regeln nicht "speichern" kann? In der Außenstelle gibt es keinen DC, sondern nur einen Server - den ich gern zum DC hochstufen will. Aber ich denke, es ist sinnvoll, das DCPROMO "durch den Tunnel" zu machen, oder? Es SCHEINT mir so, als suche der Außenstellen TMG einen DC, den er während seiner Installation hatte, und zu dem er nun, nachdem er in die Außenstelle gebracht wurde, zunächst nicht sehen kann. Was machen wir denn bloß falsch? Oder andersherum: Gibt es eine "Best Practice" für das Aufsetzen einer "Außenstelle mit TMG und DC"? Welche Server in welcher Reihenfolge? (Es kann ja wohl kaum notwendig sein, alles in der Hauptstelle mit direktem Zugriff aufs Lan zu konfigurieren und dann die Rechner zu verschiffen... das muss doch auch "remote" gehen, oder? Für jeden Tipp dankbare Grüße, Ralf Pichocki. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 30. September 2013 Melden Teilen Geschrieben 30. September 2013 Das ist ungünstig, ohne Zugriff aufs Ad kann das TMG seine Konfiguration nicht überprüfen und schaltet dann in einen "lockdown" afair. Also würde ich sagen, das ist ein ziemlicher Knieschuß in dieser Situation. ;) Bye Norbert Zitieren Link zu diesem Kommentar
pichocki 0 Geschrieben 30. September 2013 Autor Melden Teilen Geschrieben 30. September 2013 Hi, Norbert. Ja, das Problem sehe ich auch so wie Du. Aber wie ist es zu lösen? Den TMG neu aufsetzen? Und in welcher Reihenfolge dann hochstufen? Zuerst den Standalone-TMG den Tunnel aufbauen lassen (sein Host darf ja wohl Domänenmitglied sein, oder?), dannden anderen Rechner zum DC hochstufen und am Ende den TMG in die Domäne nehmen (geht das überhaupt nachträglich?) Oder wie ist eine sinnvoll Vorgehensweise? (Die Vorstellung ist, dass ein Mitarbeiter am anderen Ende der Welt die Dependance einrichtet...) Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 30. September 2013 Melden Teilen Geschrieben 30. September 2013 Hi, Norbert. Ja, das Problem sehe ich auch so wie Du. Aber wie ist es zu lösen? Zwei Möglichkeiten. 1. DC vor Ort hinstellen, was natürlich schwer werden dürfte, wenn keine richtige Verbindung besteht. 2. Plattmachen und ohne Domainzugriff installieren. Ganz ehrlich, als VPN Gateway würde ich (auch nach einigen Projekten in der Praxis) das TMG nicht einsetzen. Jedenfalls nicht in den Aussenstellen. Da ist ein beliebiger VPN Router billiger und unkomplizierter. ;) Bye Norbert Zitieren Link zu diesem Kommentar
pichocki 0 Geschrieben 1. Oktober 2013 Autor Melden Teilen Geschrieben 1. Oktober 2013 Guten Morgen - und danke bis hier. Auf Plattmachenundneuaufsetzen läuft es wohl hinaus, aber DANACH kann odrr sollte ich den TMG doch in die Domäne aufnehmen, oder? Ein einfacher VPN-Router tuts leider nicht, denn wegen der in der Außenstelle deutlich besseren Netzanbindung (DSL 100/100 in Schweden) soll unser RDS-Server dort stehen... Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 1. Oktober 2013 Melden Teilen Geschrieben 1. Oktober 2013 Und was hat die Leitungsgeschwidigkeit mit dem VPN Router zu tun? Zitieren Link zu diesem Kommentar
pichocki 0 Geschrieben 1. Oktober 2013 Autor Melden Teilen Geschrieben 1. Oktober 2013 Die hat nix mit dem VPN zu tun - ist aber der Grund dafür, dass ich dort den RDS-Server (mit unserer Online-Software) betreiben möchte. Und ein "einfacher VPN-Router" wird wohl das ganze Konstrukt aus RDS-Gateway-mit-Drumherum kaum hinreichend unterstützen (zumindest unserer Erfahrung nach, oder kennst Du ein entsprechendes bezahlbares Produkt?). Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 1. Oktober 2013 Melden Teilen Geschrieben 1. Oktober 2013 Dann stell das TMG für die Veröffentlichung aber nicht für die VPN Connection dahin. Spricht ja nix dagegen einfach beides einzusetzen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.