Keine Verbindung über ISA

[aysyxc 10]

Ich habe einen ISA Server (ISA 2004 auf 2003 Server R2) der hinter einem proxy steht.

Will erstmal nur Protokolle damit machen, bis er richtig läuft und dann den proxy ersetzt!

 

Über meinen Testclient kriege ich aber keine Verbindung hin. Die Fehlermeldung ist das der ISA die URL verweigert hat.

Auch von ISA selbst habe ich keine Internetverbindung!

Wie komme ich ins Internet?

 

Auffällig ist auch das immer wenn ich in einer Firewallregel ein Protokoll einstellen will das sich die Verwaltungskonsole dann aufhängt (Fehlermeldung: Der Vorgang ist fehlgeschlagen.) Warum hängt er sich auf?

 

Was mich auch wundert ist das ich anscheinend einen SQL laufen habe der allerdings keine Verbindung zu einer Datenbank hat. Brauche ich den SQL? Wie kann ich den anbinden?

 

Vielen Dank

[Rudman 10]

SQL brauchste nicht.

du solltest eher das Problem lösen, das dir die konsole nicht abschmiert. wenn der die änderungen nicht übernehmen kann, wird die ganze regel auch nicht funktionieren...

 

hast du ISA 2004 SP2 installiert?

[aysyxc 10]

Danke für den Tipp mit dem SP2 hatte gedacht ich hatte es schon drauf, habe mich aber geirrt. Mit dem SP2 habe ich zumindest kleine Abstürze mehr!

 

Allerdings habe ich jetzt eine Fehlermeldung das er die Adresse über mein Gateway am Client nicht auflösen kann. Gateway ist der ISA, muss der ISA auch DNS-Server sein? Wie sage ich ihm das er DNS Anfragen auf meinen Proxy weiterleiten soll?

[Rudman 10]

?

nö der brauch kein DNS Server sein, er sollte wissen wer einer ist.

er braucht die regeln dazu das DNS anfragen irgendwo hin geschickt werden dürfen.

 

Ansonsten wären info´s nicht schlecht, Aufbau, nur Proxy oder nur Firewall oder beides gleichzeitig zusammen.

[aysyxc 10]

Wo würdest du die Regel denn einbauen wie würde sie aussehen?

 

Der ISA soll Proxy und Firewall sein.

[Christoph35 10]

er braucht die regeln dazu das DNS anfragen irgendwo hin geschickt werden dürfen.

 

DNS Queries sind dem ISA per Default in der System-Policy erlaubt; du musst ihm nur in der normalen IP-Konfiguration sagen, welchen DNS Server er fragen soll.

 

Ansonsten schließe ich mich meinem Vorposter an. Ein bischen Information über die Konfiguration des Netzes wäre nicht schlecht.

 

Christoph

[Rudman 10]

DNS Queries sind dem ISA per Default in der System-Policy erlaubt

Ich glaube die sind nicht default, wenn nicht vor installation bzw. konfiguration, der DNS in den IP eigenschaften eingetragen wurde.

 

hast du den als Back Frontfirewall im einsatz...wir brauchen info´s:D

[aysyxc 10]

Ok Info´s:

 

Habe ein 50 W2K / XP Client´s.

HTTP läuft über Port 3128.

Der Proxy ist eine 2000 Workstation, mit AVM Ken! als Proxy.

Ich habe einen internen DNS der alle externen Anfragen an den Proxy weiterleitet.

 

Der ISA soll in Zukunft den Part des Proxys übernehmen.

In der Testphase soll er aber zwischen Proxy und Netzwerk stehen und nur Berechtigungen verteilen und Berichte erstellen. Habe ihn als Proxy und Firewall eingerichtet.

Auf dem ISA habe ich ein Protokoll erstellt das HTTP über Port 3128 ausgehend erlaubt.

Mein Testclient hat eine feste IP und als Gateway und der DNS ist die interne Adresse des ISA eingetragen.

 

 

Hoffe das hilft weiter!

[Christoph35 10]

Auf dem ISA habe ich ein Protokoll erstellt das HTTP über Port 3128 ausgehend erlaubt.

 

 

Mein Testclient hat eine feste IP und als Gateway und der DNS ist die interne Adresse des ISA eingetragen.

 

Gib besser dem DNS Server per Regel die Möglichkeit DNS Queries ins Internet zu schicken und gib dem Client in der IP-Konfiguration den richtigen DNS Server.

[aysyxc 10]

Habe dem Testclient die "normale" DNS Serveradresse gegeben = Fehlanzeige

 

Der DNS ist so konfiguriert das er alle Namen die er nicht auflösen kann über meinen Proxy an einen öffentlichen DNS forwordet.

[Christoph35 10]

Habe dem Testclient die "normale" DNS Serveradresse gegeben = Fehlanzeige

 

Mit welcher Fehlermeldung?

 

Welches Default Gateway hat der DNS Server? Den Ken!-Proxy?

 

Setze das Default GW auf den ISA und erstelle auf dem ISA eine Regel, die dem DNS Server die externe Namensauflösung ermöglicht:

 

Regel:

Name: Allow DNS

Action: Allow

Protocol: DNS (nicht DNS Server!)

From: Internal (oder besser: computer- oder computerset-objekt mit (allen) DNS Servern erstellen)

To: External

Cond.: All users

 

Kann auch sein, dass du ausserdem noch Firewall- und WebProxy-Chaining konfigurieren musst, mit dem Ken! als Upstreamserver.

 

Christoph

[aysyxc 10]

 

Kann auch sein, dass du ausserdem noch Firewall- und WebProxy-Chaining konfigurieren musst, mit dem Ken! als Upstreamserver.

 

Christoph

 

 

Wo definiere ich das?

 

Die DNS Regel habe ich bereits drin!

 

Der DNS Server hat kein Default Gateway, hat er bis jetzt aber auch nicht gebraucht weil er alle unbekannten anfragen ja an den Proxy erfolgreich weiterleitet.

 

Ich hatte die Ganze Zeit die Fehlermeldung das das Gateway den Namen nicht aauflösen kann.

Jetzt bekomme ich nur die Browserfehlermeldung "Die Seite kann nicht angezeigt werden."

[Christoph35 10]

Firewall Chaining und WebChaining kannst Du definieren, indem Du unter Configuration auf "Networks" klickst, und dann rechts unter "Tasks" auf "Define Firewall Chaining Properties" respektive "Create new Webchaining Rule" klickst.

 

Aber ich tappe immer noch etwas im dunkeln bzgl. der genauen Konfiguration bei euch...

 

Sieht das etwa so aus`:

 

LAN (z.b. 192.168.0.0) <-> (192.168.0.1) ISA (192.168.1.1) <-> (192.168.1.2) Ken! (publ. IP) <-> Internet

 

?

[aysyxc 10]

Ja, Genau so sieht unsere Konfiguration aus!

 

Brauche ich unbedingt das vordefinierte Netzwerk "Extern" oder kann ich auch ein eigenes Netzwerk erstellen "Proxy" wo nur die IP des Proxy enthalten ist?

[Rudman 10]

dann sollte die Anfrage aber nur bis dahin gehen und nicht weiter