Jump to content

ISA 2004 Verständnisfragen DNS/Netzwerk


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

ich möchte den ISA Server 2004 als Firewall fürs Netzwerk einsetzen, habe aber noch einige Verständnisfragen vorallem bezüglich DNS.

 

folgendes Szenaria sei gegeben:

 

eine Dömäne (W2k3 Server + AD + DNS Server) gegliedert in 4 Subnetze (192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24 und 192.168.3.0/24). Dieses Netzwerk soll jetzt über den ISA Server ins Internet gebracht werden. (momentan IPCOP als Firewall - Standardgateway 192.168.2.1)

 

Der ISA Server soll als Edgefirewall laufen - 2 Netzwerkkarten (Intern 192.168.2.1 und Extern 192.168.178.1 - zum DSL Router)

 

Fragen:

 

1.) wie genau muß jetzt die DNS Auflösung aussehen - Brauche ich einen Extra DNS-Server auf den ISA oder reicht eine DNS Umkonfiguration des bestehenden DNS Server in der AD ? Wie genau müßte diese oder eine andere Lösung dann aussehen ?

 

2.) ISA Server in Domäne aufnehmen oder besser als Standalone Server ?

 

vielen Dank im Vorraus

 

Marco

 

P.S. http://www.msisafaq.de kenne ich - bringt mich aber nicht sehr viel weiter

Link to comment

Hallo Marco,

 

auf dem ISA-Server muß der DNS-Dienst nicht laufen. Wir haben lediglich auf der externen NIC des ISA-Servers externe Namensserver eingetragen. In unserer DNS-Konfiguration haben wir diesbezüglich nichts geändert.

 

Ob Du den ISA-Server in die Domäne aufnimmst oder nicht, ist ja eine Frage der Sicherheit. Der Vorteil der Domänenmitgliedschaft ist der, dass Du personenbezogene Regeln erstellen kannst, und der ISA-Server sich die Authentifizierung direkt vom DC holt. Bei einem standalone ISA-Server müsstest Du einen RADIUS-Server o.ä. aufsetzen.

 

Da unser ISA-Server hinter einer Firewall unserer Providers steht, haben wir Abstand von diesem zusätzlichen Aufwand genommen.

 

Viele Grüße,

Frauke

Link to comment

hallo,

 

habe jetzt soweit alles umgestellt. ich bekomme allerdings nur vom 192.168.0.0/24 netzwerk zugriff auf den isa server. ein zugriff von den anderen 3 subnetzen ist auf den isa server und auch vom isa server aus nicht möglich. wo liegt denn jetzt noch der fehler ???

 

konfiguration isa:

 

192.168.0.254

255.255.255.0

gw -

 

dns 1 - 192.168.0.1

dns 2 - 192.168.0.2

 

 

konfiguration server:

 

192.168.0.10

255.255.255.0

192.168.0.254

 

dns 1 - 192.168.0.1

dns 2 - 192.168.0.2

 

danke

Link to comment

nach langer Nachschicht komme ich einfach nicht mehr weiter. Wer weis Rat ?

 

lokales Netzwerk:

 

Ping von ISA auf Server - OK

Ping von Server auf ISA - OK

Ping von Client auf Server - OK

 

Ping von Client auf ISA - Zeitüberschreitung der Anforderung

Ping von ISA auf Client - will NS über Router auflösen

 

Internet:

 

Ping von ISA ins Internet - OK

Ping von Server ins Internet - OK

Ping von Client ins Internet - Zeitüberschreitung der Anforderung

 

????

Link to comment

Hast Du denn allen Clients die interne NIC des ISA-Servers als Gateway eingetragen?

Hast Du ihn als Proxyserver in den Browsern eingetragen?

Was passiert, wenn Du eine Website aufrufst?

Schalt mal am ISA die Protokollierung ein. Da erhältst Du oft Aufschluß darüber, wo es hakt. Du kannst das Ergebnis ja mal posten.

Mit Ping teste ich am ISA nur selten, weil ICMP standardmäßig verboten ist und das lasse ich i.d.R. auch so.

 

Viel Glück,

Frauke

Link to comment

falscher denkansatz ???

 

ich glaube ich liege im moment völlig verkehrt, was die komplette struktur betrifft. dazu muß ich kurz etwas ausholen.

also es existieren 3 physikalisch getrennte netzwerke die per "routing und rras" im server geroutet werden (server hat demensprechend 3 nic's) - standardgateaway bei den clients also die ip der netzwerkkarte im server.

die internetanbindung erfolgt bisher über isdn modem. als firewall diente ipcop (für modem reichte das vollkommen aus, nach umstellung auf dsl aber für mich nur noch eine notlösung, da ipcop grundsätzlich alle ports von innen nach außen offen hat, außerdem soll jetzt vpn integriert werden etc ...). die anbindung an ipcop erfolgte über die 4. nic im server (client für microsoft netzwerke und dateifreigabe deaktiviert). dieser netzwerkadapter hat als einzigster im server einen standardgateway. die dns server in der domöne leiten demensprechende anfragen für außerhalb an ipcop weiter.

 

ist diese lösung überhaupt mit dem isa server zu ersetzen oder muß ich auf dem isa server alle netzwerke routen (3 seperate nic's) ??? und wenn doch dann wie ???

 

danke

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...