IT Service ist überfordert. ISA Konfiguration für Agenda und Starmoney

[cebo 10]

ok, habe einigermaßen verstanden.

 

es sieht folgendermaßen aus:

 

Es gibt eine forward- Lookupzone. In den Eigenschaften ist als Namensserver nur mein Server angegeben, ebenso WINS. Die Zonenübertragung wird nur an Namenserver gestattet

 

In den Eigenschaften von DNS ist als Schnittstelle nur die Interne Karte eingetragen. Es gibt eine Weiterleitung. Dort sind 3 IPs eingetragen, die mein Router als DNS des Internetanbieters genannt hat. Auf der Karte Hinweise auf das Stammverzeichnis sind diverse Servernamen aufgeführt.

Auf dem Reiter Überwachen bekomme ich pos. Meldung über einfache Abfrage an diesem Server und Rekursive Abfrage an andere DNS Server.

[nobex 10]

Das sieht doch schon mal ganz gut aus. Was passiert denn, wenn Du am Client nslookup aufrufst? Wird als Standardserver Dein Server (mit Namen ODER IP-Adresse) angezeigt? Was passiert bei Eingabe von http://www.google.de?

[cebo 10]

nslookup:

Standardserver:meinserver.ip

Adresse: IP

 

http://www.google.de:

der Befehl ist entweder falsch geschrieben oder konnte nicht gefunden werden

[nobex 10]

OK, nicht klar ausgedrückt, cmd starten -> nslookup starten -> am nslookup-Prompt eingeben: http://www.google.de'>http://www.google.de

Jetzt kommt entweder

---------

Server: meinserver

Address: IP

http://www.google.de wurde von meinserver nicht gefunden: Non-existent domain

---------

oder

---------

Server: meinserver

Address: IP

Nicht autorisierte Antwort:

Name: http://www.l.google.com

Addresses: 216.239.59.104, 216.239.59.103, 216.239.59.147, 216.239.59.99

Aliases: http://www.google.de, http://www.google.com

---------

Wenn erster Fall eintritt ist die Weiterleitung fehlerhaft konfiguriert.

[cebo 10]

jaja, klappt*freu*.

Habe

 

Server: meinserver.IP

Address:IP

 

Nicht autorisierte Antwort:

Name: http://www.l.google.com

Addresses:66.249.93.99, 66.249.93.104

Aliases:http://www.google.de, http://www.google.com

 

Aber wieso hast du mehr IPs als ich ?

[nobex 10]

Wenn das soweit klappt dann sollte auf diesem Client auch das surfen ohne Proxy möglich sein (in den Internet-Optionen unter Verbindung alles leer)

OK, wenn jetzt Deine Steuer-Software auf dem Client nicht funktioniert wirst Du doch den Firewall-Client probieren müssen da hier wohl sekundäre Verbindungen (von aussen nach innen) benötigt werden. Hier gibt es etwas über die Zugriffsarten mit und ohne Client nachzulesen.

[cebo 10]

ja, die Häkchen in den Verbindungsoptionen des IE auf dem Client sind alle entfernt.

Grundsätzlich würde ich jedoch gerne Delfin über den Server aktivieren. Ich versuche aber mal das jetzt am Clienten zu erledigen.

[cebo 10]

Hi, also ich habe gerade mal den starmoney business probiert. Ein Update des Programms hat funktioniert Als ich dann auf HBCI zugreifen wollte, kam die Fehlermeldung:

 

StarMoney Business 1.0

 

 

Aufträge senden

 

Achtung: Der Auftrag wurde nicht ausgeführt

 

Warnungen / Fehlermeldungen zu gesendeten Aufträgen (siehe

Protokoll):

- Dialogbearbeitung abgebrochen (BLZ: geixt )

- Verbindungsaufbau fehlgeschlagen

- TCP-Verbindung kann nicht hergestellt werden (I002.RL.S-

HBCI.DE)

 

THX

[nobex 10]

Für Anwendungen, welche direkt auf dem Server laufen, sollte es doch überhaupt keine Probleme geben.

Am Client installiere doch mal den Firewall-Client (liegt auf Deinem Server in der Freigabe mspclnt o.ä.)

[s.k. 11]

Hi, also ich habe gerade mal den starmoney business probiert. Ein Update des Programms hat funktioniert Als ich dann auf HBCI zugreifen wollte, kam die Fehlermeldung... TCP-Verbindung kann nicht hergestellt werden

Kein Wunder. Wenn ich den Thread richtig verfolgt habe, hast Du auch noch keine Protokollregel für HBCI erstellt. Bislang ging es nur um Elster.

 

Grundsätzlich würde ich jedoch gerne Delfin über den Server aktivieren. Ich versuche aber mal das jetzt am Clienten zu erledigen.

Für Anwendungen, welche direkt auf dem Server laufen, sollte es doch überhaupt keine Probleme geben.

Man sollte sich schon rechtzeitig Gedanken machen, wo die Applikation läuft (Client oder Terminalserver), denn die ISA-Konfig ist dann eine andere. Für Anwendungen, die auf dem Server laufen, muss im ISA2000 eine Paketfilter-Regel erstellt werden.

 

Wenn das soweit klappt dann sollte auf diesem Client auch das surfen ohne Proxy möglich sein (in den Internet-Optionen unter Verbindung alles leer)

Scheint zu funktionieren, denn cebo schrieb ja bereits um 10.51h:

Im Exploer des Clients ist KEINE automatische Suche und KEIN Proxy eingetragen und das Internet funktioniert gut über den Gateway.

 

OK, wenn jetzt Deine Steuer-Software [Anmerkung S.K.: gemeint war hier eigentlich noch die Elster-Komponente von Agenda - nicht Starmoney oder?] auf dem Client nicht funktioniert wirst Du doch den Firewall-Client probieren müssen da hier wohl sekundäre Verbindungen (von aussen nach innen) benötigt werden

Sekundäre Verbindungen kann es hier eigentlich nicht geben, da das dann über die Janaserver Extragateways nicht funktionieren würde.

 

 

@cebo: Gehen wir mal davon aus, dass Agenda scheinbar keine Trennung dahingehend zulässt, dass für HTTP der Proxy genutzt wird und für Elster eine (geroutete) Direktverbindung.

Da Deine Clients jetzt offenkundig ohne Proxyeintrag surfen können, sollte es jetzt möglich sein, in Agenda die Proxynutzung zu deaktivieren. Aktiviere also unter "Internet1" den Punkt "Agenda-Installation mit direktem Internetzugang" - dann sollte Agenda vom Client aus in vollem Umfang funktionieren.

 

 

Gruß

Steffen

[cebo 10]

@ SK

 

In der Tat, habe gerade den Elsterkontakt vom Clienten heraus mit ohne Proxyeinstellungen in Agenda hergestellt. Das ist schon einmal ein großer Erfolg. !!

 

THX

[s.k. 11]

Hallo cebo,

 

mit ohne Proxyeinstellungen

Herrlich! :D

 

In der Tat, habe gerade den Elsterkontakt vom Clienten heraus ... in Agenda hergestellt. Das ist schon einmal ein großer Erfolg. !!

Freut mich. Was fehlt denn jetzt noch? Eigentlich nur noch Starmoney. Das ist das Selbe "in grün" --> nur TCP Port 3000.

 

Wenn Du es allerdings auf dem Server laufen lassen willst (*schüttel*), dann ist der ISA wie gesagt etwas anders zu konfigurieren. Weite Teile dieses Threads wären dann auch entbehrlich gewesen... :(

 

 

Gruß

Steffen

[cebo 10]

ok, ich werde mir jetzt den Port 3000 vornehmen.

 

Starmoney soll weiterhin am Clienten ausgeführt werden.

 

Ich fürchte jedoch, dass Delfi in Agenda zwingend am Server zu bedienen sein muss. Es werden bei dieser Prozedur durch den Clienten so viele Daten durch das Netzwerk geschickt, dass ich zwischen jeder einzelnen Meldung zu Elster ne Zigarette rauchen könnte.

 

Hab keine Lust, mir einen Lungenschaden zu holen. ;)

[s.k. 11]

Ich fürchte jedoch, dass Delfi in Agenda zwingend am Server zu bedienen sein muss. Es werden bei dieser Prozedur durch den Clienten so viele Daten durch das Netzwerk geschickt, dass ich zwischen jeder einzelnen Meldung zu Elster ne Zigarette rauchen könnte.

Kann mir nicht vorstellen, dass es auf dem Server spürbar schneller geht. Wenn doch, solltest Du mal dem Flaschenhals in Deinem Netzwerk suchen!

 

Für den Fall, dass Agenda wirklich auf den Server wandert, wo auch der ISA installiert ist, benötigst Du 3 IP-Paketfilter-Regeln:

1. (für HTTP) Protokoll: TCP, Richtung: ausgehend, lokaler Port: alle, Remoteport: 80

2. (für HTTPS) Protokoll: TCP, Richtung: ausgehend, lokaler Port: alle, Remoteport: 443

3. (für Elster) Protokoll: TCP, Richtung: ausgehend, lokaler Port: alle, Remoteport: 8000

 

Wenn FTP auch erforderlich sein sollte, dann

4. (für FTP-Datenkanal) Protokoll: TCP, Richtung: ausgehend, lokaler Port: alle, Remoteport: 21

 

Die sekundäre Verbindung ("Datenkanal") sollte m.E. vom FTP-Anwendungsfilter dynamisch zugelassen werden.

 

 

Gruß

Steffen

[cebo 10]

Muss ich eigentlich für den Port 3000 und 8000 auch zwingend einen IP Paketfilter erstellen ? Wenn ja, warum unterscheidet MS die Protokollregel vom Firewallschutz ?

 

Du hast mir jetzt oben schon die Antwort gegeben aber warum brauch ich den Paketfilter nur wenns auf dem Server läuft. ?