Jump to content

ISA 2004 Verständnisfragen DNS/Netzwerk


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich möchte den ISA Server 2004 als Firewall fürs Netzwerk einsetzen, habe aber noch einige Verständnisfragen vorallem bezüglich DNS.

 

folgendes Szenaria sei gegeben:

 

eine Dömäne (W2k3 Server + AD + DNS Server) gegliedert in 4 Subnetze (192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24 und 192.168.3.0/24). Dieses Netzwerk soll jetzt über den ISA Server ins Internet gebracht werden. (momentan IPCOP als Firewall - Standardgateway 192.168.2.1)

 

Der ISA Server soll als Edgefirewall laufen - 2 Netzwerkkarten (Intern 192.168.2.1 und Extern 192.168.178.1 - zum DSL Router)

 

Fragen:

 

1.) wie genau muß jetzt die DNS Auflösung aussehen - Brauche ich einen Extra DNS-Server auf den ISA oder reicht eine DNS Umkonfiguration des bestehenden DNS Server in der AD ? Wie genau müßte diese oder eine andere Lösung dann aussehen ?

 

2.) ISA Server in Domäne aufnehmen oder besser als Standalone Server ?

 

vielen Dank im Vorraus

 

Marco

 

P.S. http://www.msisafaq.de kenne ich - bringt mich aber nicht sehr viel weiter

Link zu diesem Kommentar

Hallo Marco,

 

auf dem ISA-Server muß der DNS-Dienst nicht laufen. Wir haben lediglich auf der externen NIC des ISA-Servers externe Namensserver eingetragen. In unserer DNS-Konfiguration haben wir diesbezüglich nichts geändert.

 

Ob Du den ISA-Server in die Domäne aufnimmst oder nicht, ist ja eine Frage der Sicherheit. Der Vorteil der Domänenmitgliedschaft ist der, dass Du personenbezogene Regeln erstellen kannst, und der ISA-Server sich die Authentifizierung direkt vom DC holt. Bei einem standalone ISA-Server müsstest Du einen RADIUS-Server o.ä. aufsetzen.

 

Da unser ISA-Server hinter einer Firewall unserer Providers steht, haben wir Abstand von diesem zusätzlichen Aufwand genommen.

 

Viele Grüße,

Frauke

Link zu diesem Kommentar

hallo,

 

habe jetzt soweit alles umgestellt. ich bekomme allerdings nur vom 192.168.0.0/24 netzwerk zugriff auf den isa server. ein zugriff von den anderen 3 subnetzen ist auf den isa server und auch vom isa server aus nicht möglich. wo liegt denn jetzt noch der fehler ???

 

konfiguration isa:

 

192.168.0.254

255.255.255.0

gw -

 

dns 1 - 192.168.0.1

dns 2 - 192.168.0.2

 

 

konfiguration server:

 

192.168.0.10

255.255.255.0

192.168.0.254

 

dns 1 - 192.168.0.1

dns 2 - 192.168.0.2

 

danke

Link zu diesem Kommentar

nach langer Nachschicht komme ich einfach nicht mehr weiter. Wer weis Rat ?

 

lokales Netzwerk:

 

Ping von ISA auf Server - OK

Ping von Server auf ISA - OK

Ping von Client auf Server - OK

 

Ping von Client auf ISA - Zeitüberschreitung der Anforderung

Ping von ISA auf Client - will NS über Router auflösen

 

Internet:

 

Ping von ISA ins Internet - OK

Ping von Server ins Internet - OK

Ping von Client ins Internet - Zeitüberschreitung der Anforderung

 

????

Link zu diesem Kommentar

Hast Du denn allen Clients die interne NIC des ISA-Servers als Gateway eingetragen?

Hast Du ihn als Proxyserver in den Browsern eingetragen?

Was passiert, wenn Du eine Website aufrufst?

Schalt mal am ISA die Protokollierung ein. Da erhältst Du oft Aufschluß darüber, wo es hakt. Du kannst das Ergebnis ja mal posten.

Mit Ping teste ich am ISA nur selten, weil ICMP standardmäßig verboten ist und das lasse ich i.d.R. auch so.

 

Viel Glück,

Frauke

Link zu diesem Kommentar

falscher denkansatz ???

 

ich glaube ich liege im moment völlig verkehrt, was die komplette struktur betrifft. dazu muß ich kurz etwas ausholen.

also es existieren 3 physikalisch getrennte netzwerke die per "routing und rras" im server geroutet werden (server hat demensprechend 3 nic's) - standardgateaway bei den clients also die ip der netzwerkkarte im server.

die internetanbindung erfolgt bisher über isdn modem. als firewall diente ipcop (für modem reichte das vollkommen aus, nach umstellung auf dsl aber für mich nur noch eine notlösung, da ipcop grundsätzlich alle ports von innen nach außen offen hat, außerdem soll jetzt vpn integriert werden etc ...). die anbindung an ipcop erfolgte über die 4. nic im server (client für microsoft netzwerke und dateifreigabe deaktiviert). dieser netzwerkadapter hat als einzigster im server einen standardgateway. die dns server in der domöne leiten demensprechende anfragen für außerhalb an ipcop weiter.

 

ist diese lösung überhaupt mit dem isa server zu ersetzen oder muß ich auf dem isa server alle netzwerke routen (3 seperate nic's) ??? und wenn doch dann wie ???

 

danke

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...