schiesslt 10 Geschrieben 7. Juli 2011 Melden Geschrieben 7. Juli 2011 Hallo zusammen, ich habe ein kleines Problemchen. Ich habe mir in einer kleinen Testumgebung drei Server aufgesetzt. vsrv01dc - Server 2008 R2 SP1 DC + DNS (erste Domäne) vsrv02fw - Server 2008 R2 SP1 + TMG 2010 vsrv101dc - Server 2008 R2 SP1 DC + DNS (zweite Domäne) vsrv01dc ist im Netzwerk "Internal" vsrv101dc ist im Netzwerk "Internal 2" ich wollte jetzt eine Zonenübertragung machen (fürs erste eine Stubzone einrichten), also... 1. Firewall Policy erstellen a. Allow b. Protocols DNS Server and NetBios Name Service c. From vsrv01dc und vsrv101dc d. To vsrv01dc und vsrv101dc e. All Users f. Apply 2. DNS -> New Zone -> Stub -> Zonenname -> Master Server 10.10.10.10 -> Enter 3. FQDN kann ermittelt werden. 4. Validated: "A timeout occurred during validation" Das Log vom TMG sagt Denied Connection. Source Port ist 58974 (high dynamic Port) Aber müssten diese Ports nicht in der Policy unter Protocols -> Ports abgedeckt sein, da steht bei mir "Allow traffic from any allowed source port" Wenn ich eine weiter Policy mache, wo ich als Protocol "all outbound traffic" angebe funktioniert es auf anhieb. Hab ich irgendwo einen Configfehler?
NorbertFe 2.293 Geschrieben 7. Juli 2011 Melden Geschrieben 7. Juli 2011 Wie ist denn das Netzwerkverhältnis zwischen Internal und Internal 2? Route oder NAT? Bye Norbert
schiesslt 10 Geschrieben 7. Juli 2011 Autor Melden Geschrieben 7. Juli 2011 oh sorry für die fehlende Info -> Route Muss ich da eigentlich Internal und Internal 2 als Source und Destination angeben, oder reicht es wenn ich eins als Source und eins als Destination mach? Rein logisch müssen beide Source und beide Desti sein.
NorbertFe 2.293 Geschrieben 7. Juli 2011 Melden Geschrieben 7. Juli 2011 Die sind bidirektional. Sprich, du brauchst nur Quelle und Ziel jeweils einmal angeben. Allerdings muß das auch in den Firewallregeln entsprechend abgebildet werden. Bye Norbert
schiesslt 10 Geschrieben 7. Juli 2011 Autor Melden Geschrieben 7. Juli 2011 okay danke. was meinst du genau mit "muss in den Firewallregeln entsprechend abgebildet werden"?
NorbertFe 2.293 Geschrieben 7. Juli 2011 Melden Geschrieben 7. Juli 2011 Naja, Netzwerkregel und dann die entsprechenden Firewallregeln für die Protokolle. Bye Norbert
schiesslt 10 Geschrieben 7. Juli 2011 Autor Melden Geschrieben 7. Juli 2011 Hi, aso ja das ist klar. also ahbe jetzt folgendes eingestellt: source: internal destination: internal 2 type: route firewall policy: type: allow protocols: DNS und NetBios From: server1 und server2 To: server1 und server2 (hier ist es ja nicht bidirektional, oder?) Users: all Users habe aber dadurch immer noch das Problem von oben :( wie gesagt, erst wenn ich noch folgende Policy erstelle: type: allow protocols: all outbound traffic From: server1 To: server2 Users: all Users -> dann kann ich die DNS-Zone auf server1 erstellen.
schiesslt 10 Geschrieben 11. Juli 2011 Autor Melden Geschrieben 11. Juli 2011 Also ich finde meinen Fehler nicht. Nur wenn ich eine eigene Policy mache, die den Outbound Traffic expliziet erlaubt, funktioniert die DNS Synchronisation
schiesslt 10 Geschrieben 13. Juli 2011 Autor Melden Geschrieben 13. Juli 2011 gefunden. war so **** und hab das falsche Protocoll verwendet. DNS Server statt DNS.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden