ISA 2004 nur als Proxy, keine Firewall

[domi974]

hallo @all,

wie der titel schon sagt, will ich den isa 2004 in einer sbs umgebung nur als proxy und nicht als firewall laufen lassen. ich habe auch mittlerweile rausgefunden, dass man unter den vorlagen "einzelner netzwerkadapter" auswählen muss. allerdings habe ich 2 nics im server und das soll auch so bleiben.

das netzwerk sieht folgendermaßen aus:

internet --> pix --> 1. nic sbs --> 2. nic sbs --> lan

da der netzwerkverkehr durch die pix geregelt wird, möchste ich die isa firewall ausschalten um mögliche fehlerquellen zu umgehen. die pix sollte ausreichen.

wie kann ich es nun erreichen, das ich den isa nur als proxy mit 2 nics laufen lassen kann?
vielleicht hätte ich das update von isa 2000 auf isa 2004 sein lassen sollen. vorher lief alles wunderbar. die ereignisanzeige ist nach dem update voller fehler, exchange dienste, routing und ras, terminalservices etc. starten nicht richtig, ich denke das liegt an der firewall.
ich hab auch nicht so die ahnung vom isa und wollte mich jetzt da nicht einarbeiten. das kostet mich nur zeit, die ich nicht habe und er soll ja auch nur als proxy dienen...
reicht es vielleicht einfach die firewallrichtlinien zu löschen?

kann mir jemand helfen?

danke im voraus

btw: gegoogelt und hier im forum gesucht, aber nix gefunden

[Stefan.Haegele]

Wenn du nur die Firewall ausschalten willst,
erstelle eine Regel, welche Alle Aktionen auf allen Netzwerken für alle Benutzer erlaubt.
Macht zwar keinen Sinn, aber es funktioniert.

Stefan

[domi974]

hallo stefan,

das hab ich schon getestet, aber ich erhalte immer noch einen haufen fehlermeldungen... ich kann auch nicht einschätzen, ob diese meldungen tatsächlich durch den isa verursacht werden. eventid.net hilft mir an dieser stelle nicht wirklich weiter...

was mache ich mit den automatisch erstellten firewallregeln? einfach deaktivieren? jo, eigentlich schon, oder? :/
die standardregel die als letztes abgearbeitet wird, sperrt jeglichen datenverkehr. kommen sich dann die 2 nicht in die quere? löschen oder deaktivieren kann ich die standardregel ja nicht... ich teste das mal...

gibt es keine andere möglichkeit isa 2004 als proxy mit 2 nics laufen zu lassen? ich versteh nicht, warum ms das so geändert hat. es wird doch sicherlich viele netze geben, in denen eine pix oder eine ähnliche fw vor dem inet steht und dahinter ein isa!

[Stefan.Haegele]

Zitat von domi974 hallo stefan, das hab ich schon getestet, aber ich erhalte immer noch einen haufen fehlermeldungen... ich kann auch nicht einschätzen, ob diese meldungen tatsächlich durch den isa verursacht werden. eventid.net hilft mir an dieser stelle nicht wirklich weiter... was mache ich mit den automatisch erstellten firewallregeln? einfach deaktivieren? jo, eigentlich schon, oder? :/ die standardregel die als letztes abgearbeitet wird, sperrt jeglichen datenverkehr. kommen sich dann die 2 nicht in die quere? löschen oder deaktivieren kann ich die standardregel ja nicht... ich teste das mal... gibt es keine andere möglichkeit isa 2004 als proxy mit 2 nics laufen zu lassen? ich versteh nicht, warum ms das so geändert hat. es wird doch sicherlich viele netze geben, in denen eine pix oder eine ähnliche fw vor dem inet steht und dahinter ein isa!

Die Standartregel kann nicht gelöscht werden.
Richtig ist, dass diese als letzte abgearbeitet wird. Wenn du jedoch vorher eine Regel definiert, welche alles erlaubt, wird diese verwendet. Der ISA-Server nimmt immer die erste passende Regel.
Was hast du denn für Fehlermeldungen beim Exchangeserver ?

Stefan

[domi974]

hallo stefan,

bin jetzt zuhause, muss morgen nochmal im büro nachschauen. wenn ich den server durchboote, erhalte ich mehrere mails vom sbs server mit den fehlermeldungen über die dienste. das hatte ich vor dem update auf isa 2004 nicht.

meld mich morgen nochmal

[domi974]

hallo,

beim hochfahren des sbs servers erhalte ich mails vom sbs, das der dienst msexchangeis auf pending steht. ebenso sind die dienste termservice und remoteaccess gestoppt. wenn ich mich allerdings auf den server einlogge und mir die dienste anschaue, dann laufen alle ausser routing und ras, was ich sowie vorerst deaktiviert hatte. diese meldungen hatte ich vorher nicht erhalten.

ebenso sehe ich in der ereignisanzeige:

Ereignistyp: Fehler
Ereignisquelle: MSExchangeDSAccess
Ereigniskategorie: Topologie
Ereigniskennung: 2114
Datum: 19.07.2005
Zeit: 12:06:24
Benutzer: Nicht zutreffend
Computer: SBS
Beschreibung:
Prozess INETINFO.EXE (PID=1208). Fehler bei der Topologieerkennung: Fehler 0x80040952.

und nochmal das gleiche ausser:

Beschreibung:
Prozess WMIPRVSE.EXE -EMBEDDING (PID=2824). Fehler bei der Topologieerkennung: Fehler 0x80040952.

laut eventid kann er keinen dc finden, was nur teilweise sinn macht. ich habe nämlich einen 2. dc im netz stehen, aber da das ein sbs ist, weiss ich nicht, ober er "nur" nach dem sbs sucht.

dann erhalte ich noch den fehler im verzeichnisdienst:

Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 2087
Datum: 19.07.2005
Zeit: 12:06:13
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: SBS
Beschreibung:
Active Directory konnte den folgenden DNS-Hostnamen des Quelldomänencontrollers nicht zu einer IP-Adresse auflösen. Dieser Fehler verhindert die Replizierung von Hinzufüge- bzw. Löschvorgängen oder Änderungen im Active Directory zwischen einen oder mehreren Domänencontrollern in der Gesamtstruktur. Sicherheitsgruppen, die Gruppenrichtlinie, Benutzer und Computer und deren Kennwörter werden dadurch inkonsistent zwischen den Domänencontrollern, solange dieser Fehler nicht behoben wird. Eventuell wird auch die Anmeldungsauthentifizierung bzw. der Zugriff auf Netzwerkressourcen, beeinflusst.

Quelldomänencontroller:
2. dc
Zusätzliche Daten
Fehlerwert:
11004 Der angeforderte Name ist gültig, es wurden jedoch keine Daten des angeforderten Typs gefunden.

und 3 sekunden später erzählt er mir, das alle probleme bezüglich der aktualsierung der ad behoben wurden...

diese fehler tauchen nur beim hochfahren auf. ich hatte gehofft, das mit dem sbs sp1 die ganzen fehlermeldungen, die man auch laut ms ignorieren konnte, endlich behoben wären. jetzt geht das ganze grad weiter...
fehler mit der replikation hatte er mir auch angezeigt (nur vorhin nicht, als ich den server testweise duchgebootet hab.. grml)
ich kann halt nicht immer einschätzen inwieweit ich die fehler ignorieren kann und inwiefern isa was damit zu tun hat. wie gesagt, vor dem update auf isa 2004 hatte ich die ganzen meldungen nicht

erhalten die sbs-admins unter euch auch solche fehler?

[Stefan.Haegele]

Naja, der SBS hat beim Starten viel zu tun.
Eine Lösung wäre, alle Exchange-Dienste auf manuell zu ändern und dann nach dem Start per Hand (Skript) zu starten. Ich habe auch irgenwo schon mal so ein Skript gesehen. Wenn du wilölst, dann ich mal schauen.

Stefan

[domi974]

das ist nett, danke, aber ich weiss nicht genau, ob ich die exchange-dienste auf manuell stellen will. andererseits bringt mich das auf eine idee. ich kann sie ja mal testweise auf manuell stellen, den server durchbooten, exchange dienste starten und nachschauen, ob die meldungen immer noch erscheinen.

[Stefan.Haegele]

Zitat von domi974 das ist nett, danke, aber ich weiss nicht genau, ob ich die exchange-dienste auf manuell stellen will. andererseits bringt mich das auf eine idee. ich kann sie ja mal testweise auf manuell stellen, den server durchbooten, exchange dienste starten und nachschauen, ob die meldungen immer noch erscheinen.

Wäre eine Möglichkeit.

Hier der Link für das Skript: http://www.wintotal.de/yad/index.php?rb=1054&id=2585

[domi974]

danke werd mir das script mal doch runterladen und testen, warum nicht? der server wird sowieso noch nicht produktiv eingesetzt

die dienste auf manuell zu stellen etc. hab ich heute zeitlich nimmer geschafft... grml