fazez

Hallo Blackbox, aktuell ist der Forefront TMG Firellwall, Proxy, VPN-Server und Edge-Transport für Exchange. Das interne Netz ist geroutet, das bedeutet dass Drucker, Server, Clients, Switches usw. jeweils in einem eigenen Netz liegen und in der Mitte mit einem Router (W2k8R2) verbunden sind. Die Grundüberlegung war, dass ich meine Netzwerklast durch Broadcasts minimiere, wenn ich mir solche Broadcast domains aufbaue. Jetzt habe ich vor kurzem die Cisco ASA5510 dazu bekommen und wollte ein zweistufiges Firewallsystem aufbauen. Bekomme aber jetzt auf Grund meiner Netzwerkkonfiguration immer mehr Probleme. Ziel ist es, dass ich die ASA5510 als VPN Server einsetzen kann und dass natürlich alle VPN-Clients auf die Ressourcen zugreifen können, auf die sie müssen. Den Forefront TMG würde ich weiter als als Edge-Transport und Proxy betreiben. Gibt es nicht irgendwo eine Auflistung verschiedener Konzepte mit Bewertung? Danke, MfG Fazez

Hallo zusammen, bin gerade dabei IPSec VPN an einer ASA5510 einzurichten. User Authentication soll über LDAP laufen. Wie ich es gemacht habe (siehe Anlage): Nachdem mein Netz geroutet ist komme ich von meinem Inside-Interface der ASA5510 nicht zu meinem AD. Dazu habe ich an der ASA eine weitere NIC eingerichtet die nur die LDAP abfragen an das AD machen soll. -ist das prinzipiell ok, oder hab ich mir hier schon ein Ei gelegt? Security Level des LDAP-interface ist 100. Testweise habe ich einen IP-Pool auf der ASA erstellt der den VPN-Clients zugewiesen wird. Das Standardgateway der VPN-Clients ist dann immer die erste Adresse des Netzes in dem der Pool liegt. Muss ich dazu NAT Regeln auf der ASA und dem ForefrontTMG erstellen, dass die VPN-Clients aufs interne Netzwerk zugreifen können? Wenn ja, verstehe ich nicht von welchem Interface der traffic dann ausgeht. Denn diese Gatewayadresse die den VPN-Clients zugewiesen wird, muss eine Adresse auf der ASA sein, ist aber nirgends für eine Regel verwendbar? Schöner wäre es doch die IP-Adressen vom DHCP-Server zu bekommen?! Nachdem auch der DHCP-Server in einem anderm Netz liegt, geht das ja auch nicht ohne weiteres? - ich habe keine weitere NIC an der ASA dafür zu verfügung - Könnte dem dhcp noch eine IP-Adresse in dem Netz vom AD geben (wobei das aber kaum die Lösung sein kann?). Hat jemand vielleicht ein paar gute Hinweise für mich bzw. etwas zu lesen, dass sich mit dieser Thematik befasst? Danke, MfG Fazez

Danke für die Antwort. Bei dem Link geht es immer um XP, und ich hab ja ein Problem mit nem Windows 7 Rechner (gehabt). Ich weiß zwar nicht genau warum, aber das Problem scheint jetzt behoben zu sein: Das stand an dem Client im Eventlog: Log Name: Application Source: Microsoft-Windows-User Profiles Service Date: 08.08.2011 11:36:30 Event ID: 1530 Task Category: Level: Warning User: NT-AUTORITÄT\SYSTEM Computer: PC.domäne.de Description: Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß. DETAIL - 1 user registry handles leaked from \Registry\User\S-1-5-21-3667231485-2785676493-812232399-1288: Process 3704 (\Device\HarddiskVolume2\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3667231485-2785676493-812232399-1298\Software\Microsoft\Windows\CurrentVersion\Explorer Bin hergegangen und habe am Client "msiexec /unregister" ausgeführt --> Neustart --> "misexec /regserver" ausführen --> Neustart --> Alle Laufwerke werden wieder passend verbunden. Der Eventlog-Eintrag von oben kommt auch nicht mehr. mfg Fazez

Hallo zusammen, Bei uns werden ein paar Netzlaufwerke über ein Script, dass einen Task erstellt, welcher dann nach der Anmeldung ausgeführt wird, verbunden. Das ganze funktioniert einwandfrei, bis auf an einem einzigen Windows 7 Rechner. Da werden die Laufwerke immer erst nach der zweiten Anmeldung verbunden bzw. wenn der PC einen kompletten Reboot macht, werden bei der nächsten Anmeldung keine Laufwerke verbunden. Kennt jemand dieses verhalten? Danke, MfG Fazez

Ich glaub nicht, das ich den gleichen Fehler noch mal mache, aber wenn, dann probier ichs aus :) MfG Fazez

Verdammt, hab doch im ASDM geschaut und nichts gefunden :( Jetzt auf einmal finde sogar ich das Logging... Danke fürs Augen öffnen Blackbox :) MfG Fazez

Hallo zusammen, hab schon ewig im Netz gesucht, aber nichts brauchbares gefunden; vielleicht auch einfach die falschen Suchbegriffe verwendet :confused: Habe hier den Forefront TMG Security for Exchange hinter einer Cisco ASA5510 stehen. Wenn ich die Antivirusmodule aktualisieren will, schlägt dass immer Fehl bei den Updates von Kaspersky. ASA Version 8.3 Forefront TMG 2010 SP1 Am TMG im Log steht das hier: EventID 6019 Microsoft Forefront Protection hat beim Durchführen eines Scanmodulupdates einen Fehler festgestellt. Scanmodul: Kaspersky Fehlerdetail: Fehler beim Testen des Scanmoduls. EventID 6012 Microsoft Forefront Protection hat beim Durchführen eines Scanmodulupdates einen Fehler festgestellt. Scanmodul: Kaspersky Fehlercode: 0x80004005 Fehlerdetail: Beschreibung: Fehler beim Laden des Scanmoduls. Ohne die ASA kommen die Updates einwandfrei rein. Weiß jemand was ich an der ASA einstellen muss dass die Updates durchgehen? Dieser KB947187 ist zum einen uralt und zum andern kann ich den nicht installieren. Es kommt das die benötigte update.inf nicht gefunden werden kann. Gibt es so einen Paketfilter wie am forefront TMG, wo ich sehen kann was die ASA zulässt und was nicht? Danke, MfG Fazez

Also hat geklappt. Nachdem löschen der VMDR war dann auch der inaktive Speicher weg. Die Backupplatten haben sich ohne weiteres einbinden lassen und ich konnte sogar die einstelungen von vorher importieren, somit sind meine Sicherungsaufgaben auch gleich wieder da. MfG Fazez

Danke für die Antwort, jetzt habe wir fast gleichzeitig gepostet :) Ich nutze das VMDR nur um schnell files wieder herzustellen oder eben um mir Testkisten zu erstellen. Wichtige Daten werden zusätzlich an einem anderen Server auf Band gesichert und ausser Haus gebracht. Dann lösch ich die VMDR mal setze sie neu auf. MfG Fazez

Fällt mir grad ein: Bringt es was die VMDR zu löschen? Dann sollte doch der inaktive Datenspeicher auch verschwinden. Die Backups auf den anderen eingebundenen Platten sind ja wieder lesbar wenn ich einen neue VMDR aufsetze und die Backup-Datensüeicher wieder mounte?

Hallo zusammen, hab mir selbst ein Ei gelegt :( Im Einsatz sind zwei ESXi4 server mit vcenter und VMDR. Ich klone immer einen Server auf einen anderen Datenspeicher um damit ein paar tests zu machen. Ich weiß nicht ob es wirklich relevant ist, was ich im Detail gemacht habe. Jedenfalls ist die Situation jetzt folgende: An der VMDR ist ein Datenspeicher eingebunden, den ich am Storage gelöscht habe. Wenn ich bei der ausgeschalteten VMDR versuche die Festplatte zu entfernen kommt "DiskCapControl: Minimum > Maximum in SetRange (53687091200.0)" sobald ich besagte Festplatte nur anklicke. Wenn ich dann trotzem die Festplatte entfernen möchte kommt "Ungültige Konfiguration für Gerät '0'". Wenn ich die VMDR einschalten will kommt ein Fehler dass auf besagte Festplatte nicht zugegriffen werden kann und deshalb die Maschine nicht gestartet werden kann. Auch der Versuch wieder ein Datenspeicher mit gleichem Namen zu erstellen schlägt fehl mit der Meldung dass es einen Speicher mit diesem Namen schon gebe. Ich sehe den Datenspeicher an einem ESX Server als inaktiv, habe aber keine option diesen zu entfernen. Auch wenn ich alle HBAs neu prüfen lasse, verschwindet er nicht. (Vermutlich weil er eben in der VMDR noch eingebunden ist). Gibts ne Möglichkeit das entfernen des Datenspeichers zu erzwingen? Ich hoffe es ist einigermaßen verständlich was mein Problem ist :) Danke, MfG Fazez

Klingt einleuchtend, danke!!! MfG Fazez

Eine kleine Frage hätt ich noch :) Ich hab am Server sowohl in den Empfangs- als auch in den Sendeconnectoren 10240KB eingetragen. Warum kann ich besagtes PDF-Dokument mit 9MB problemlos nach extern senden? Beim Versand müssten doch auch noch die 30% drauf kommen...?! Danke, MfG Fazez

Ah ok, sowas hab ich vermutet :) NorbertFe und RobertWi ihr seid echt klasse, super Antworten nahezu in Echtzeit!! Vielen Dank!! MfG Fazez

Naja. Mein Testfile ist eine PDF Datei die im Eigenschaften-Dialog mit 8.896.512 Bytes (Größe auf dem Datenträger) angegeben wird. Wenn ich jetzt ne neue Email erstelle, die Anlage von oben anfüge und das Ding das als msg abspeichere, hat die Datei nun eine Größe von 9.027.584 Bytes. Für mich ist das weniger als 10MB. Hab noch ein paar weitere Testemails mit Anhang geschrieben: Zip Datei mit 5.361.664 Bytes (Größe auf dem Datenträger) geht einwandfrei. Rar Datei mit 7.757.824 Bytes (Größe auf dem Datenträger) gleicher Fehler; Mail zu groß. Ist das normal so? MfG Fazez

Hallo zusammen, bin gerade von einem Kollegen darauf hingewiesen worden, dass es nicht möglich ist eine 9MB Email zu empfangen. Als erstes habe ich mir selber eine Email von extern mit ca. 8Mb geschickt. Daraufhin bekam ich das: Technical details of permanent failure: Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 552 552 5.3.4 Message size exceeds fixed maximum message size (state 18). Ich habe hier einen Exchange 2010 SP1 und einen Forefront TMG der auch als EDGE-Transport-Server läuft. Ich dachte mir, dass irgendwo in den Empfangconnectoren oder in den Transporteinstellungen vom Exchange ein falscher Wert drin steht und desshalb größere Mails abgelehnt werden. Aber an beiden oben genannten Punkten ist 10240KB (default) eingetragen. Am Forefront TMG in der Emailrichtlinie ist auch 10240KB eingetragen. Genauso wie in den Empfangsconnectoren am Edge-Transportserver. Gibts da noch irgendwo ne Einstellmöglichkeit? -wobei ich die defaultwerte nie geändert habe. Senden von 9MB geht ohne Probleme. Danke, MfG Fazez

Also ich hab nachdem das mit dem sauberen Systemstart nicht funktioniert hat, nicht weiter nach dem Fehler gesucht. Hab mir dann den Server aus der Sicherung vor 2 Tagen wiederhergestellt (das war bevor ich begonnen hatte die Win-Updates zu installieren) und noch mal probiert. Hab den IE einzeln installieren wollen aber wieder den gleichen Fehler bekommen. Dann hab ich händisch nen neuen DNS Server aufgesetzt und läuft auch schon mit IE9 so wie er soll :) MfG Fazez

Danke für die Antwort, leider bekomm ich wenn wie beschrieben die Systemstartelemente deaktiviere den gleichen Fehler. -Ich denke ich bin schneller dran, wenn ich den Server noch mal neu aufsetze, als ewig eine Fehlersuche zu betreiben. MfG Fazez

Der EventLog für den Internet Explorer ist leer, nicht ein Eintrag drin. Unter C:\Windows\Logs habe ich eine "IE9_NR_Setup.txt" gefunden. Werd aber nicht wirklich schlau daraus. ================================================== Start of IE9 NoReboot Servicing 6.1.7601-2.1 DNS.Firma\administrator OS:AMD64 IENrUtil:amd64 IEversion:8.0.7601.17514 Date(UT):20110622-145311 Command line: C:\Windows\TEMP\IE9AA91.tmp\IE9-support\ienrcore.exe /memsec IESETUP_NRCTX_0728 ________Parsing dynamic policy file: 'C:\Windows\TEMP\IE9AA91.tmp\IE9-support\NrPolicy.txt' ________ WARNING ________ IESetup environment variable is predefined as 'C:\Windows\TEMP\IE9AA91.tmp\IE9-support' MSU location set to 'C:\Windows\TEMP\IE9AA91.tmp\IE9-support\IE9-win7AMD64.msu' IE version set to '8.0.7601.17514' IE bitness set to 'amd64' executing must-succeed process '"C:\Windows\System32\cmd.exe" /C IF NOT EXIST "%IESetup%\IeNrCore.exe" exit 1 > C:\Windows\Logs\IESetup_20110622-145311_temp.log 2>&1' executing must-succeed process '"C:\Windows\System32\cmd.exe" /C IF NOT EXIST "%IESetup%\ieinfra.manifest" exit 1 > C:\Windows\Logs\IESetup_20110622-145311_temp.log 2>&1' executing must-succeed process '"C:\Windows\System32\cmd.exe" /C IF NOT EXIST "%IESetup%\trustedinstaller.exe.manifest" exit 1 > C:\Windows\Logs\IESetup_20110622-145311_temp.log 2>&1' executing must-succeed process '"C:\Windows\System32\cmd.exe" /C echo Mumfile = "%IESetup%\Microsoft-Windows-InternetExplorer-Optional-Package~31bf3856ad364e35~%IESetupBitness%~~%IESetupInstalledVersion%.mum" > C:\Windows\Logs\IESetup_20110622-145311_temp.log 2>&1' Mumfile = "C:\Windows\TEMP\IE9AA91.tmp\IE9-support\Microsoft-Windows-InternetExplorer-Optional-Package~31bf3856ad364e35~amd64~~8.0.7601.17514.mum" executing must-succeed process '"C:\Windows\System32\cmd.exe" /C IF NOT EXIST "%IESetup%\Microsoft-Windows-InternetExplorer-Optional-Package~31bf3856ad364e35~%IESetupBitness%~~%IESetupInstalledVersion%.mum" exit 1 > C:\Windows\Logs\IESetup_20110622-145311_temp.log 2>&1' executing must-succeed process '"C:\Windows\System32\cmd.exe" /C IF NOT EXIST "%IESetup%\Microsoft-Windows-InternetExplorer-Optional-Package~31bf3856ad364e35~%IESetupBitness%~~%IESetupInstalledVersion%.cat" exit 1 > C:\Windows\Logs\IESetup_20110622-145311_temp.log 2>&1' NRFindPreserviceProblems... true 03 1724 RmMainWindow "Internet Explorer" - "C:\Program Files (x86)\Internet Explorer\iexplore.exe" false 02 3308 RmOtherWindow "Internet Explorer" - "C:\Program Files (x86)\Internet Explorer\iexplore.exe" false 02 3216 RmOtherWindow "Internet Explorer" - "C:\Program Files (x86)\Internet Explorer\iexplore.exe" true 03 2588 RmExplorer "Windows-Explorer" - "C:\Windows\explorer.exe" false 05 2648 RmOtherWindow "Symantec CMC SmcGui" - "C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\SmcGui.exe" false 03 3848 RmMainWindow "Microsoft Management Console" - "C:\Windows\System32\mmc.exe" true 02 0372 RmService "Symantec Event Manager" - "ccEvtMgr" true 02 0372 RmService "Symantec Settings Manager" - "ccSetMgr" true 02 1572 RmService "Symantec Endpoint Protection" - "Symantec AntiVirus" true 02 0944 RmService "Symantec Management Client" - "SmcService" true 02 0756 RmService "DHCP-Client" - "Dhcp" true 02 0756 RmService "Windows-Ereignisprotokoll" - "eventlog" true 02 0756 RmService "TCP/IP-NetBIOS-Hilfsdienst" - "lmhosts" false 05 0796 RmCritical "Aufgabenplanung" - "Schedule" changing S_NONR to S_FALSE End of IE9 NoReboot Servicing ========================================== @Zahni: Wenn ich den Englischen IE von dem Link von dir installiere, bekomm ich die gleiche Meldung dass der IE nicht installiert wurde, nur eben auf englisch. MfG Fazez

ok, hab mir grad den Standalone installer vom IE9 heruntergeladen und versucht zu installieren. Es kommt dann nur eine Meldung, dass der IE nicht installiert wurde und dass zur Problembehebung eine Verknüpfung auf dem Desktop erstellt worden ist. Verknüpfung geht hier hin: Troubleshoot problems when you cannot install Internet Explorer 9 1. Betriebssystem passt: w2k8r2 (SP1) 2. Voraussetzungen manuell installieren: Wenn ich dem Link folge und KB2454826 (für w2k8 und win7) herunterlade bekomm ich Meldung dass das Update nicht für mein System geeignet ist. 3. keine updates pending 4. Virenscanner aus bringt auch nix. Gibts vielleicht irgendwo ein InstallLog vom IE wo ich bisschen mehr Info herbekomme? MfG Fazez

Hallo zusammen, ich habe gerade an einem Windows 2008 R2 die windowsupdates installiert und beim IE9 einen Fehler bekommen. Auf dem Server ist nur DNS installiert sonst ist da nichts gemacht worden. In der Ereignisanzeige finde ich diesen Eintrag Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80070643 fehlgeschlagen: Windows Internet Explorer 9 für Windows Server 2008 R2 für x64-basierte Systeme Hat wer schon mal dieses Problem gehabt? Ich kann über google nichts brauchbares finden und die Microsoft Hilfe-Seite bringen mir auch nix. Danke, MfG Fazez

Servus Dominique01520, sorry, konnt leider nicht früher antworten. es sind wirklich zwei Standorte. Der zweite Standort ist zwar nur 300m entfernt, aber die Verbindung dort hin geht über eine äußert schmale Leitung von ca. 8Mbit. Um kein unnötigen Broadcasttraffic über die schmale Leitung zu jagen, wollte ich eben für jeden Standort ne eigene Broadcastdomain haben. Wird das klassischerweise über VLANs gelöst oder gibts da ne bessere herangehensweise? MfG Fazez

Hallo Dominique01520, danke für Deine Antwort. und genau so isses! Darum meinte ich dass der DHCP Broadcast eben bei beiden Schnittstellen 172.20 und 172.21 am Router ankommt. Wär anders formuliert natürlich bisschen besser gewesen :) Was kann ich machen um das so zum laufen zu bringen? VLAN? MfG Fazez

Am DHCP-Server in den Adressleases wird bei einer Anfrage wie oben beschrieben ein lease vergeben. Am Client erhalte ich im cmd-fenster den Zugriff verweigert wie oben beschrieben. Im Event-Log am Client häufen sich diese Einträge. Die IP-Adresslease 0.0.0.0 für die Netzwerkkarte mit der Netzwerkadresse 000xxxxxxxxx wurde durch den DHCP-Server 172.18.0.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Kennt wer ein Tutorial in dem beschrieben wird, wie zu verfahren ist, wenn man zwei verschiedene Netze für Clients hat und der DHCP in einem dritten Netz steht? Danke, MfG Fazez

Hallo zusammen, habe ein Problem mit einem neuen DHCP-Server den ich aufsetzen möchte. Folgende Situation: w2k8 R2 DHCP-Server: 172.18.0.1 w2k8 R2 Router: 172.18.0.254 172.20.0.254 172.21.0.254 Clients Standort 1: 172.20.0.1 - 253 Clients Standort 2: 172.21.0.1 - 253 Der Router ist immer in den jeweiligen Netzen das Gateway. Der DHCP-Server hat zwei Bereiche (172.20 & 172.21), welche auch aktiviert sind. Habe am Router das DHCP-Relay Agent Protokoll installiert und die zwei NIC (172.20.x.x und 172.21.x.x) zugewiesen. Wenn ich jetzt an einem Test-XP-Client einen ipconfig /release und dann ipconfig /renew mache bekomme ich diese Meldung: Windows-IP-Konfiguration Beim Aktualisieren der Schnittstelle "LAN-Verbindung" ist folgender Fehler aufge treten: Zugriff verweigert An welcher Stelle wird der Zugriff verweigert, wo finde ich entsprechende Logfiles? Aus meiner Sicht kann es nicht am Client liegen, denn wenn ich die VM ins Produktivnetz nehme bekomme ich problemlos eine IP. Router: Kann ich mir auch nicht vorstellen, da ich am Server ja sehe, dass DHCP anfragen und antworten ankommen. Bleibt nur der DHCP-Server, aber wo werden die DHCP-Anfragen protokolliert? Danke, MfG Fazez PS: Eines ist mir noch nicht ganz klar. Ich habe gelesen, dass der DHCP-Server automatisch IP Adressen aus dem richtigen Bereich vergibt. Sprich wenn eine anfrage an die 172.21.0.254 geschickt wird, leitet der Router die anfrage an den DHCP-Server im 172.18. Netz weiter. Im Paket steht aber noch mit drin, dass es ursprünglich von 172.21 kommt und deswegen nimmt der DHCP-Server auch eine Andresse aus diesem Bereich? Stimmt das so? Jetzt kommt mein Verständnisproblem: Eine DHCP Anforderung ist eine art Broadcast. Wenn jetzt also ein Client einen solchen Broadcast sendet, kommt der auf beiden Netzwerkschnittstellen (172.20 und 172.21) am Router an. Dann vergibt der DHCP für diese Anfrage jeweils eine IP aus einem der Netze?