Marco_AC 10 Geschrieben 16. Mai 2005 Melden Teilen Geschrieben 16. Mai 2005 Hallo, ich möchte den ISA Server 2004 als Firewall fürs Netzwerk einsetzen, habe aber noch einige Verständnisfragen vorallem bezüglich DNS. folgendes Szenaria sei gegeben: eine Dömäne (W2k3 Server + AD + DNS Server) gegliedert in 4 Subnetze (192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24 und 192.168.3.0/24). Dieses Netzwerk soll jetzt über den ISA Server ins Internet gebracht werden. (momentan IPCOP als Firewall - Standardgateway 192.168.2.1) Der ISA Server soll als Edgefirewall laufen - 2 Netzwerkkarten (Intern 192.168.2.1 und Extern 192.168.178.1 - zum DSL Router) Fragen: 1.) wie genau muß jetzt die DNS Auflösung aussehen - Brauche ich einen Extra DNS-Server auf den ISA oder reicht eine DNS Umkonfiguration des bestehenden DNS Server in der AD ? Wie genau müßte diese oder eine andere Lösung dann aussehen ? 2.) ISA Server in Domäne aufnehmen oder besser als Standalone Server ? vielen Dank im Vorraus Marco P.S. http://www.msisafaq.de kenne ich - bringt mich aber nicht sehr viel weiter Zitieren Link zu diesem Kommentar
frauke 10 Geschrieben 17. Mai 2005 Melden Teilen Geschrieben 17. Mai 2005 Hallo Marco, auf dem ISA-Server muß der DNS-Dienst nicht laufen. Wir haben lediglich auf der externen NIC des ISA-Servers externe Namensserver eingetragen. In unserer DNS-Konfiguration haben wir diesbezüglich nichts geändert. Ob Du den ISA-Server in die Domäne aufnimmst oder nicht, ist ja eine Frage der Sicherheit. Der Vorteil der Domänenmitgliedschaft ist der, dass Du personenbezogene Regeln erstellen kannst, und der ISA-Server sich die Authentifizierung direkt vom DC holt. Bei einem standalone ISA-Server müsstest Du einen RADIUS-Server o.ä. aufsetzen. Da unser ISA-Server hinter einer Firewall unserer Providers steht, haben wir Abstand von diesem zusätzlichen Aufwand genommen. Viele Grüße, Frauke Zitieren Link zu diesem Kommentar
Marco_AC 10 Geschrieben 17. Mai 2005 Autor Melden Teilen Geschrieben 17. Mai 2005 hallo, habe jetzt soweit alles umgestellt. ich bekomme allerdings nur vom 192.168.0.0/24 netzwerk zugriff auf den isa server. ein zugriff von den anderen 3 subnetzen ist auf den isa server und auch vom isa server aus nicht möglich. wo liegt denn jetzt noch der fehler ??? konfiguration isa: 192.168.0.254 255.255.255.0 gw - dns 1 - 192.168.0.1 dns 2 - 192.168.0.2 konfiguration server: 192.168.0.10 255.255.255.0 192.168.0.254 dns 1 - 192.168.0.1 dns 2 - 192.168.0.2 danke Zitieren Link zu diesem Kommentar
Marco_AC 10 Geschrieben 18. Mai 2005 Autor Melden Teilen Geschrieben 18. Mai 2005 nach langer Nachschicht komme ich einfach nicht mehr weiter. Wer weis Rat ? lokales Netzwerk: Ping von ISA auf Server - OK Ping von Server auf ISA - OK Ping von Client auf Server - OK Ping von Client auf ISA - Zeitüberschreitung der Anforderung Ping von ISA auf Client - will NS über Router auflösen Internet: Ping von ISA ins Internet - OK Ping von Server ins Internet - OK Ping von Client ins Internet - Zeitüberschreitung der Anforderung ???? Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 18. Mai 2005 Melden Teilen Geschrieben 18. Mai 2005 Hy Wie sieht des den Routingtechnisch aus, sehen sich die 3 Subnetze untereinander ? Gruß CoolAce :D Zitieren Link zu diesem Kommentar
Marco_AC 10 Geschrieben 18. Mai 2005 Autor Melden Teilen Geschrieben 18. Mai 2005 Hallo, Routing funktioniert zwischen den 3 Netzen und dem Server 100% - nur zum ISA geht nichts außer vom Server selber. Zitieren Link zu diesem Kommentar
frauke 10 Geschrieben 18. Mai 2005 Melden Teilen Geschrieben 18. Mai 2005 Hast Du denn allen Clients die interne NIC des ISA-Servers als Gateway eingetragen? Hast Du ihn als Proxyserver in den Browsern eingetragen? Was passiert, wenn Du eine Website aufrufst? Schalt mal am ISA die Protokollierung ein. Da erhältst Du oft Aufschluß darüber, wo es hakt. Du kannst das Ergebnis ja mal posten. Mit Ping teste ich am ISA nur selten, weil ICMP standardmäßig verboten ist und das lasse ich i.d.R. auch so. Viel Glück, Frauke Zitieren Link zu diesem Kommentar
Marco_AC 10 Geschrieben 18. Mai 2005 Autor Melden Teilen Geschrieben 18. Mai 2005 falscher denkansatz ??? ich glaube ich liege im moment völlig verkehrt, was die komplette struktur betrifft. dazu muß ich kurz etwas ausholen. also es existieren 3 physikalisch getrennte netzwerke die per "routing und rras" im server geroutet werden (server hat demensprechend 3 nic's) - standardgateaway bei den clients also die ip der netzwerkkarte im server. die internetanbindung erfolgt bisher über isdn modem. als firewall diente ipcop (für modem reichte das vollkommen aus, nach umstellung auf dsl aber für mich nur noch eine notlösung, da ipcop grundsätzlich alle ports von innen nach außen offen hat, außerdem soll jetzt vpn integriert werden etc ...). die anbindung an ipcop erfolgte über die 4. nic im server (client für microsoft netzwerke und dateifreigabe deaktiviert). dieser netzwerkadapter hat als einzigster im server einen standardgateway. die dns server in der domöne leiten demensprechende anfragen für außerhalb an ipcop weiter. ist diese lösung überhaupt mit dem isa server zu ersetzen oder muß ich auf dem isa server alle netzwerke routen (3 seperate nic's) ??? und wenn doch dann wie ??? danke Zitieren Link zu diesem Kommentar
Marco_AC 10 Geschrieben 18. Mai 2005 Autor Melden Teilen Geschrieben 18. Mai 2005 fehler gefunden - für jeden den es interessiert: die übrigen netzwerke müssen per hand in die routingtable eingefügt werden - dann klappt es auch mit den nachbarn genauer text unter: http://www.isaserver.org/tutorials/2004cannotlogon.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.