Tomy Tom 10 Geschrieben 3. Februar 2006 Melden Teilen Geschrieben 3. Februar 2006 Hallo, ich habe bei einem Kunden ein recht seltsames Problem, nachdem dort ein ISA 2004 installiert wurde. Das Netzwerk des Kunden sieht wie folgt aus: Ein Subnetz welches die IP's 10.2.24.x mit der Subnetmask 255.255.2550 hat und ein Subnetz welches die IP Range von 192.168.0.x mit Subnetmask 255.255.2550 hat. Im 192er Subnetz ist ein Router der die Internetverbindung herstellt. Im 10er Subnetz ist ein SBS2003 Server installiert, der als DC fungiert und mittels einer zweiten Netzwerkkarte auf das 192er Subnetz angeschlossen ist. Vor der ISA 2004 Installation konnten alle Clients die im 10er Netz waren auch auf den Druckern im 192er Netz ausdrucken. Nachdem nun der ISA 2004 installiert ist, können die Clients die im 10er Netz sind nur noch auf den Druckern ausdrucken die sich im 10er Netz befinden. Die Drucker sind auf dem DC bekannt und ich bekomme in der Serververwaltungskonsole angezeigt das die Drucker BEREIT sind, jedoch bekomme ich keine Testseite ausgeruckt. Ein Ping auf die Drucker im 192er Netz funktioniert vom Server aus, auf den Clienst jedoch nicht. Selbst mit der Firewallregel, die ich zu Testzwecken erstellt habe, die den gesamten ausgehendn Verkehr vom internen Netz in das Externe Netz zulässt, sowie vom Externen Netz in das interne Netz bekomme ich auf den Clients beim Ping die Zeitüberschreitung, auf dem Server hingegen kommen die Pingpakete an. Kann mir bitte jemand einen Tipp geben, an welchem Rädchenin nun beim ISA 2004 rehen muß um die Sache wieder so hinzu bekommen das die Clients vom 10er Netz auch wieder auf den Druckern im 192er Netz drucken können ??? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 3. Februar 2006 Melden Teilen Geschrieben 3. Februar 2006 Hi, wie ist der ISA Server denn konfiguriert? Netzwerkinterfaces und Definition des Internen Netzes wären interessant. Ok, ich lese grade SBS, ich gehe davon aus, dass das auch den ISA Server ist? Christoph Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 3. Februar 2006 Autor Melden Teilen Geschrieben 3. Februar 2006 Danke für die Antwort. Es ist richtig das auf dem SBS der ISA 2004 installiert wurde. Ich weiß auch das man eigentlich einen seperaten PC dafür nimmt, aber wenn der Kunde nicht will.......................man kennt das ja ;) Der ISA ist als EDGEFIREWALL konfiguriert. Das 10er Netz wird als INTERN bezeichnet und das 192er als EXTERN. Die Regeln sind wie (laut Kunden) folgt: Von INTERN zum LOKALEN HOST wird der gesamte ausgehende Daenverkehr zugelassen. Von INTERN nach EXTERN wird DNS, HTTP und HTTPS zugelassen. Als letzte Regel ist die Standardregel das der gesamte ausgehende Verkehr von ALLE NETZWERKE (UND LOKALER HOST) nach ALLE NETZWERKE (UND LOKALER HOST) verweigert werden. Meine Testregel das ich von INTERN und LOKALER HOST an EXTERN den gesamten Datenverkehr zulasse hat aber leider auch nichts gebracht :( Zitieren Link zu diesem Kommentar
XP-Fan 219 Geschrieben 3. Februar 2006 Melden Teilen Geschrieben 3. Februar 2006 Ich habe da mal ne Frage: "Im 192er Subnetz ist ein Router der die Internetverbindung herstellt " OK, externes Netz " können die Clients die im 10er Netz sind nur noch auf den Druckern ausdrucken die sich im 10er Netz befinden " OK internes Netz Wo und wie kommen Drucker in das 192.xx Netz ? Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 3. Februar 2006 Autor Melden Teilen Geschrieben 3. Februar 2006 Die externe Netzwerkkarte ist noch an einen Switch angeschlossen, an welchem neben den Druckern auch der ROUTER angeschlossen ist. Diese Konfiguration soll auch weiter eingehalten werden, da im 192er Netz Gäste ihr Laptop anschliessen und man Ihnen neben dem ausdrucken auch das Internet anbietet. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. Februar 2006 Melden Teilen Geschrieben 4. Februar 2006 Selbst mit der Firewallregel, die ich zu Testzwecken erstellt habe, die den gesamten ausgehendn Verkehr vom internen Netz in das Externe Netz zulässt, sowie vom Externen Netz in das interne Netz bekomme ich auf den Clients beim Ping die Zeitüberschreitung, auf dem Server hingegen kommen die Pingpakete an. Mit der Regel hätte es aber zumindest funktionieren müssen Auf jeden Fall ist in der jetzigen Einstekkungen keien Regel da, die das Drucken erlauben würde. Es muss eine Regel für den Zugriff auf die Drucker konfiguriert werden, NBT oder Port 9100, ich weiss nicht, wie die Drucker bei Euch angesprochen werden. Das Realtime-Logging auf dem ISA sollte hier Aufschluss geben grizzly999 Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 6. Februar 2006 Autor Melden Teilen Geschrieben 6. Februar 2006 Ich habe heute den Server wegen einer Softwareinstallation nochmals neustarten müssen. Nach dem Neustart kommen nicht mal mehr der Ping zu den externen Drucker durch. An der zusätzlichen Sotware kann es eher nicht liegen, da diese nur für eine Datenbank zuständig ist, welche auf dem Server abgelegt und gemeinsam gepflegt wird, was auch funktioniert. Zu weiteren Testzwecken habe ich auch ein weiteres Netzwerk auf dem ISA eröffnent, in dem die IP Adressen der externen Drucker stehen, sowie ein weiteren Netzwerksatz, der auch die IP's der externen Drucker enthält. Desweitern habe ich ein Protokoll erstellt, welches ich NBT genannt habe und den Port TCP 9100 belegt. Als Zugriffsregel habe ich dann dem INTERNEN Netzwerk und dem LOKALEN HOST erlaubt über NBT und dem PING auf das Netzwerk EXTERNE DRUCKER zugreifen zu dürfen. Das Realtimeprotokoll des ISA habe ich dann laufen lassen und hier bekomme ich die Meldung das die Verbindung verweigert wird. Seltsam finde ich nur das im Ereignisprotokoll nun ein Konfigurationsfehler angezeigt wird, der besagt das auf der EXTERNEN Schnittstelle Routen ermittelt wurden die nicht mit diesem Adapter übereinstimmen. Als IP's werden hier 10.255.255.255-10.255.255.255 angegeben. Wie um alles in der Welt kommen diese in die Routingtabelle der Externen Netzwerkkarte und wie bekomme ich diese dort wieder heraus ?? Kann dies das Problem sein weshalb ich jetzt auch die externen Drucker nicht mehr anpingen kann ??? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Februar 2006 Melden Teilen Geschrieben 6. Februar 2006 Hast Du auch die entsprechenden Netzwerk-Regeln definiert? Wie sehen die aus? Die müssen auch gegeben sein, sonst nutzen dir die FW-Regeln nichts. Christoph Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 7. Februar 2006 Autor Melden Teilen Geschrieben 7. Februar 2006 So langsam regt mich dieser ISA 2004 wirklich auf :mad: Wir haben diesen nach Rücksprache mit dem Kunden gestern deinstalliert, danach ging wieder alles wie gewohnt. Heute wollte der Kunde nun den ISA 2004 doch wieder haben, also haben wir Ihn wieder installiert. Danach haben wir die exportieren FW Regeln importiert und eine weitere Regel eingefügt, die besagt das NBT auf Port 9100 vom LOKALEN HOST auf EXTERN zugreifen darf. Siehe da man konnte plötzlich wieder vom 10er Netz auf den Druckern im 192er Netz drucken. Alles andere funktioniert auch wunderbar !! Soweit so gut, nur hat nach knappen 6 Stunden der Kunde angerufen das nun die e-Mails nicht mehr rausgehen. Als wir dann wieder vor Ort waren wurden selbst die Mails nicht mehr vom POP3 abgeholt. Nach Echtzeitprotokoll werden SMTP und POP3 die Verbindung verweitert, aber in der Firewall Regel sind diese Protokolle als ZUGELASSEN konfiguriert. Was ich mich jetzt frage ist warum vorher alles wunderbar funktionert, aber nach Zeitpunkt X dann plötzlich irgendwas nicht mehr geht. Sorry, aber ich halte diesne ISA 2004 für absoluten Schrott denn entweder funktioniert eine Firewall GLEICH und spricht auf alle Regeln gleich an, oder sie funktioniert NICHT. Das was ich mit dem ISA 2004 hier erlebt habe lässt mich wirklich an meinem Nervenkostüm knappern, ich komme mich mit diesem Teil so langsam aber sicher echt VERÄPPELT vor. Wenn der ISA 2004 bei mir in der Firma laufen würde und ich jeden Tag damit rechnen darf das irgendwas nicht funktioniert, dann wäre dieser von längst in de Ecke und würde Staub ansetzen. Sorry, war OT aber ich musste mir meinem Frust von der Seele schreiben ;) Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 7. Februar 2006 Melden Teilen Geschrieben 7. Februar 2006 Hi, ich geb Dir einen Rat: besorg dir die ISA 2004 "Bibel" von T. Shinder, da steht alles drin, was Du über den ISA wissen musst ;), auch so einiges an Fallstricken, und wie man sie umgeht. Ich lese das Buch selbst gerade und bin ziemlich angetan davon. http://www.syngress.com/catalog/?pid=2980 Christoph Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Februar 2006 Melden Teilen Geschrieben 7. Februar 2006 So langsam regt mich dieser ISA 2004 wirklich auf :mad: ..... Wenn der ISA 2004 bei mir in der Firma laufen würde und ich jeden Tag damit rechnen darf das irgendwas nicht funktioniert, dann wäre dieser von längst in de Ecke und würde Staub ansetzen. Sorry, war OT aber ich musste mir meinem Frust von der Seele schreiben ;) Sorry, ich muss mir jetzt auch was von der Seele schreiben, und wer mich hier im Forum kennt, weiss halt, ich bin manchmal grausam ehrlich :o Ich denke, du hast einfach nicht genügend Ahnung von dem Produkt, aber, so vermute ich mal aus miener Praxis, vor allem hier im Board, der ISA ist halt von Microsoft, und wie mit vielen Backoffice Produkten wird es oftmals so sein, "Ich kenne doch den NT/2000/2003 Server, den kann ich einigermaßen bedienen, und alls wie im Server schön Klicki-Bunti, das kann ja dann nicht schwierig sein". So ist's mit allen Produkten von Microsoft, egal ob Exchange, ob Sharepoint Portal, ob SQL oder auch ISA usw. Es laufen abertausende ISA 2004 in dieser Welt, es gibt hier und da Probleme, aber so gut wie keiner hat diese Probleme, heute geht das nicht, morgen das dafür, und nach einer Neuinstallation ist es dann genau umgekehrt. Die meisten ISAs tun klaglos ihren Dienst, auch alle, die ich aufgesetzt habe, und die, die die vielen hunderte anderen ISA-Leute aufgesetzt haben. Seltsamerweise suchst du Schuld dann nicht bei dir, sondern es ist wieder mal der liebe XXX-Server von Microsoft schuld, wie so oft. Du hast dich ausgiebig mit dem Produkt beschäftigt? Ich meine so ausführlich, wie es sich für eine Backoffice Produkt gehört? Du hast gar einen ISA-Kurs besucht? Du hast den dicken Schmöker von Dr. Thomas Shinder weitgehend durchgeackert? Du hast den Einsatz vor der Installation geprüft und notfalls auch auf Funktionalität im Lab getestet? So, das musste ich hier mal los werden :D grizzly999 Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 8. Februar 2006 Autor Melden Teilen Geschrieben 8. Februar 2006 .....Die meisten ISAs tun klaglos ihren Dienst, auch alle, die ich aufgesetzt habe, und die, die die vielen hunderte anderen ISA-Leute aufgesetzt haben...... OK, dann erkläre du als Fachmann einem MCSE, welcher als Wahlfach den ISA 2000 hatte und ebenfalls mit diesen schon so einge Installationen hinter sich hat, wie es denn sein kann das nach der NEUINSTALLATION des ISA 2004 und dem IMPOTIEREN der FW-, Netzwerk-Regeln, Netzwerksätzen und Netzwerken dieser dann sang und klanglos das externe Drucken zulässt, aber nach eingen Stunden dem SMTP und POP3 Protokoll den Zugriff verweigert. Verstehe das jetzt bitte nicht persönlich, aber als normaler Mensch gehe ich doch davon aus das wenn ich NICHTS (außer der De- und Neuinstallation des ISA 2004) anderes mache, die GLEICHEN Regeln wieder einsetze doch der gleiche Effekt auftreten sollte. Ich meine wenn an meinem Auto die Scheibenwischer heute nicht funktionieren und ich mich morgen in das Auto setze, dann funktionieren diese ebenfalls nicht, sondern erst wenn ich diese repariert oder in der Werkstatt war. Das ist vielleicht jetzt ein schlechtes Beispiel, aber im Endeffekt trifft es doch genau den Punkt auf den ich hinaus möchte. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.