PathFinder 10 Posted December 31, 2009 Report Share Posted December 31, 2009 (edited) Hallo zusammen, Ich habe hier einen Server 2008 R2 der als Hyper-V Host fungiert. in dem Server stecken drei Netzwerkkarten NIC01 = Gateway NIC02 = Firma NIC03 = Technik Alle drei Netzwerkkarten fungieren nur als Bridge. Keine gemeinsame Nutzung durch das Host-System. Auf dem Server läuft weiter ein Hyper-V Child-System mit einem Server2008R2-TMG2010 Der TMG2010 hat quasi die "richtigen" Netzwerkkarten. NIC01 = Gateway 10.0.0.111 (Gateway ist ne Fritz!Box) NIC02 = Firma 192.168.130.199 (DNS-Server ist der Domän-DC) NIC03 = Technik 192.168.135.199 Ich hab noch einen weiteren PC auf dem ebenso Server 2008 R2 läuft und auch dieser Server dient nur als Hyper-V Host. NIC01 = Firma 192.168.130.10 Hier läuft als Child Server2008R2-DC-AD-DNS(Weiterleitung) Der TMG2010 kommt ins Internet alles super Der Domain Controller kommt auch ins Internet Das Problem: Auf dem ersten Host-System mit dem TMG2010 möchte ich nun ein weiteres Child-System laufen lassen das Quasi als Technik Server fungiert. Ich kann zwar vom TMG aus den Technik Server pingen und auch andersherum aber alles andere wird per Standard Richtlinie verboten. HTTP / HTTPS / DNS / NTP / SMTP kein Erfolg. Der Ping ins Internet wird im Log erlaubt durch die Regel TECHNIK. Warum greift die Firewallrichtlinie in den anderen Fällen nicht die ich natürlich erstellt habe ? Auf dem DC klappt es ja auch. Meine Vermutung: Der DC läuft auf dem Host-System2 der Technik Server auf dem Host-System1. Bedeutet die Netzwerkkarte für das Technik Netzwerk 192.168.135.x ist sowohl im TMG gebunden den der muss ja irgendwie mit einem Fuß in dem Netz stehen, als auch auf dem Technik Server denn der braucht ja auch einen Fuß in dem Netz. Beide VMs laufen auf dem selben Host und nutzen die selbe physiche NIC. Der DC auf Host-System2 kommt natürlich über eine eigene NIC in das Firmennetz. Kann das sein ? Das auf einem Hyper-V Host-System nicht ein und die selbe physikalische Netzwerkkarte durch den TMG und ein weiteres Child-System genutzt werden darf ? Irgendwie glaube ich das nicht:confused: Die Meldung die ich im TMG Log sehe heißt Zugriff verweigert auf Basis von Standard-Regel. Quasi die Meldung die man bekommt wenn es für das entsprechende Netz keine Richtlinie gibt. Weitere Daten: - TechnikServer 192.168.135.198 - TMG2010 im Techniknetz 192.168.135.199 pingen geht, in beide Richtungen!! - Firewallrichtlinie für den Adapter TECHNIK - Zulassen - HTTP / HTTPS / DNS / PING usw. - Vernetzung->Netzwerkregeln->Internetzugriff - Netzwerk TECHNIK hinzugefügt. Laut Firewalllog greift die Zugriffsregel für das Techniknetz garnicht, als wäre sie nicht da. Interessant ist noch, setze ich die Regel auf "Verweigern" dann steht im Log nicht verweigert durch TECHNIK sondern durch Standardregel. Außer beim Ping! Steht die Regel auf "Verweigern" dann wird der Ping verweigert und im Log steht durch TECHNIK. Das macht mich etwas konfus =) Adapterbindungsreihenfolge im TMG2010: 1-FIRMA 2-GATEWAY 3-TECHNIK jemand eine Idee ? danke fürs, lesen der Path Edited December 31, 2009 by PathFinder Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.