Jump to content

TMG - Konfigurationsspeicherzugriff


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi.

Wir haben ein Problem, an dem wir nun schon "etwas länger" herumwerkeln, und ich wäre über einen Tipp recht erfreut:

 

Wir möchten eine Zweigstelle per VPN-Tunnel anbinden und die entsprechende Infrastruktur zuerst hier bei uns testen.

 

Im "Hauptsitz" haben wir eine Domäne (im w2k8-Modus) und gehen über einen TMG-2010 und eine Fritzbox ins Netz.

 

Nun haben wir einen weiteren TMG aufgesetzt, allerdings hat der während seiner Installation Domänenzugriff gehabt. Nun betreiben wir ihn "separat". Zur Simulation haben wir ihn an den Switch der Fritzbox angeschlossen, so dass beide TMGs sich an der "Außen-NIC" sehen können (natürlich haben diese dafür eigene IPs auf dem Subnetz der Fritzbox.

 

Der VPN-Tunnel wird aufgebaut und steht, und von der "Hauptstelle" kann ich auch in die Dependance zugreifen, z.B. mit PING und sogar mit MSTSC. In die umgekehrte Richtung klappt es NICHT - nicht einmal PING. Der TMG der Außenstelle blockt diesen Verkehr. Das seltsame ist, dass es eine entsprechende Regel gibt, allen Verkehr von seinem internen Netz ins Netz der Hauptstelle zuzulassen - allerdings wird diese Regel nicht angewendet, stattdessen blockiert die Defaultregel alles.

 

Wenn ich mir den TMG der Außenstelle ansehe, dann hat dieser ein Problem beim "Konfigurationsspeicherzugriff". Was ist das, und wie kann ich das beheben? Ist es tatsächlich denkbar, dass der TMG andere Regeln abarbeitet, als er in seiner GUI anzeigt - einfach, weil er diese Regeln nicht "speichern" kann?

 

In der Außenstelle gibt es keinen DC, sondern nur einen Server - den ich gern zum DC hochstufen will. Aber ich denke, es ist sinnvoll, das DCPROMO "durch den Tunnel" zu machen, oder?

 

Es SCHEINT mir so, als suche der Außenstellen TMG einen DC, den er während seiner Installation hatte, und zu dem er nun, nachdem er in die Außenstelle gebracht wurde, zunächst nicht sehen kann. Was machen wir denn bloß falsch?

 

Oder andersherum: Gibt es eine "Best Practice" für das Aufsetzen einer "Außenstelle mit TMG und DC"? Welche Server in welcher Reihenfolge? (Es kann ja wohl kaum notwendig sein, alles in der Hauptstelle mit direktem Zugriff aufs Lan zu konfigurieren und dann die Rechner zu verschiffen... das muss doch auch "remote" gehen, oder?

 

Für jeden Tipp dankbare Grüße,

Ralf Pichocki.

 

Link to comment

Hi, Norbert.

 

Ja, das Problem sehe ich auch so wie Du.

Aber wie ist es zu lösen?

 

Den TMG neu aufsetzen?

 

Und in welcher Reihenfolge dann hochstufen?

 

Zuerst den Standalone-TMG den Tunnel aufbauen lassen (sein Host darf ja wohl Domänenmitglied sein, oder?), dannden anderen Rechner zum DC hochstufen und am Ende den TMG in die Domäne nehmen (geht das überhaupt nachträglich?)

Oder wie ist eine sinnvoll Vorgehensweise?

(Die Vorstellung ist, dass ein Mitarbeiter am anderen Ende der Welt die Dependance einrichtet...)

Link to comment

Hi, Norbert.

 

Ja, das Problem sehe ich auch so wie Du.

Aber wie ist es zu lösen?

Zwei Möglichkeiten.

1. DC vor Ort hinstellen, was natürlich schwer werden dürfte, wenn keine richtige Verbindung besteht.

2. Plattmachen und ohne Domainzugriff installieren.

 

Ganz ehrlich, als VPN Gateway würde ich (auch nach einigen Projekten in der Praxis) das TMG nicht einsetzen. Jedenfalls nicht in den Aussenstellen. Da ist ein beliebiger VPN Router billiger und unkomplizierter. ;)

 

Bye

Norbert

Link to comment

Guten Morgen - und danke bis hier.

 

Auf Plattmachenundneuaufsetzen läuft es wohl hinaus, aber DANACH kann odrr sollte ich den TMG doch in die Domäne aufnehmen, oder?

 

Ein einfacher VPN-Router tuts leider nicht, denn wegen der in der Außenstelle deutlich besseren Netzanbindung (DSL 100/100 in Schweden) soll unser RDS-Server dort stehen...

Link to comment

Die hat nix mit dem VPN zu tun - ist aber der Grund dafür, dass ich dort den RDS-Server (mit unserer Online-Software) betreiben möchte. Und ein "einfacher VPN-Router" wird wohl das ganze Konstrukt aus RDS-Gateway-mit-Drumherum kaum hinreichend unterstützen (zumindest unserer Erfahrung nach, oder kennst Du ein entsprechendes bezahlbares Produkt?).

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...