Frage : Zurück zu rückseitigem ISA/TMG 2010's Resultat in der Netz-Wegewahl-Ausgabe

Problem: Ich bin nicht in der Lage, vom LAN an das DMZ anzuschließen, durch zwei ISA/TMG servers.

I ein LAN-u. DMZ Netz mit einem Umkreisnetz in-between. Ein TMG Bediener 2010 schützt jedes, wie dieses:

LAN -->|tmg2010-A|<-- UMKREIS-NETZ -->|tmg2010-B|<-- DMZ1

I morgens fürs Erste konzentrierend auf RemoteDesktop (RDP) gleichwohl das Problem mit allem Verkehr liegt, den, der nicht durch tmg2010-A.

I kann durch die Vollmacht (tmg2010-A) von LAN zu DMZ1
I kann RDP von UMKREIS-NETZ zu DMZ
I keine Windows-Server im Umkreisnetz haben proxied, also kann ich RDP von LAN nicht zum Umkreisnetz prüfen, gleichwohl ich auf es using andere Zugangsrichtlinien wie SSH.
I NICHT, RDP von LAN zu DMZ1. Wenn ich dieses versuche, erzeugt tmg2010-A, die anzeigende Störung, dass es das DMZ Netz nicht finden kann. (Hinweis angebrachtes Bild: tmg2010-Aerror.jpg)
Errors auf LAN firewall.
 das 322785


I haben auch einen Schirmschuß der aktiven Netzwege angebracht. Da Sie sehen, gibt es den Weg, der den DMZ Verkehr (172.29.17.0) verweist auf die externe Schnittstelle für tmg2010-B (172.29.16.20) zusätzlich zusätzlich diesem, zu den Rückstellungsfräsern .16.1 u. 16.2, können beide das .17.0 Netz finden, und auch, in der Lage sind auf them.
Active Netz-Weges auf LAN firewall.
 das 322786


I morgens bewusst dieses ist nicht eine sehr allgemeine Konfiguration, aber es sollte noch arbeiten, da es configured.

As eine seitliche Anmerkung hat. Ich habe eine Richtlinie auf tmg2010-A zusammengebaut und meinen Arbeitsplatz auf dem LAN ermöglicht, uneingeschränkter Auslandszugang.

Per die angebrachte Maschinenbordbuchstörung, diese scheint offenbar, eine Wegewahlstörung zu sein, und nicht meldete eine Brandmauerzugangs-Richtlinienstörung, AS, der erste Schlag den Schirmschuß, anzeigt an, dass die zusammengebaute Richtlinie, die ganz Auslands ermöglicht, richtig ausgelöst wird und ein Anschluss zu den DMZ1 network.

Any Gedanken auf diesem eingeleitet?

Antwort : Zurück zu rückseitigem ISA/TMG 2010's Resultat in der Netz-Wegewahl-Ausgabe

Ich fand meine Antwort. Kurz gesagt ist es nicht eine gestützte Konfiguration auf ISA/TMG. Weil der Verkehr von einem Netz kommt, dem der Fern-ISA/TMG Bediener nicht anbrachte direkt zu ist, lässt er ihn es fallen, wie spoofed. So ist die einzige Weise, von einem Netz zu verlegen, das zu einem ISA/TMG zu anderen ein Netz angebracht wird zu einem anderen ISA/TMG Bediener angebracht wird, (obwohl ein simi-verlässliches Umkreisnetz, using private IP-Räume), das Netz mit größerer geographischer Ausdehnung als External mit dem Definieren es nicht in den ISA/TMG Netzen zu behandeln.

Das folgende ist ein Auszug von Microsoft TechNet und umreißt Richtlinien für zusammenbauennetze:
(http://technet.microsoft.com/en-us/library/cc995185.aspx)

„Jedes Netz, das Sie verursachen, muss einen Adapter des engagierten Netzes haben, der mit ihm verbunden ist. Z.B. um eine Topologie zu verursachen, die das interne private Kommunikationsnetz, das Internet und ein Umkreisnetz umfaßt, müssen drei Netzadapter auf dem Computer der vordersten Reihe TMG angebracht werden und ermöglicht werden. Es gibt etwas Ausnahmen. In einer Rücken an Rückenbrandmauerkonfiguration in der das Internet hinter einem Umkreisnetz ist, gibt es keinen Adapter, der mit dem externen Netz verbunden ist. Zusätzlich hat ein VPN Aufstellungsort-zuaufstellungsort Netzgegenstand nicht einen Adapter, der mit ihm verbunden ist.

Alle IP address, die direkt von einem Netzadapter erreicht werden können, müssen als Teil des Netzes der vordersten Reihe TMG definiert werden, das mit dem Adapter ist. Alle Fernteilnetze müssen der Netzdefinition richtig hinzugefügt werden, und die IP addressstrecke des Netzes muss die Leitwegtabelle zusammenbringen. Wege sollten in der Leitwegtabelle für jedes Fernteilnetz definiert werden. „

„Ein Paket gilt als spoofed (und folglich gefallen) wenn eins vom folgenden zutreffend ist:

Das Paket enthält ein Quellip address, das (entsprechend der Leitwegtabelle) nicht durch einen Netzadapter erreichbar ist-, der mit dem Netz verbunden ist.

Das Paket enthält ein Quellip address, das nicht der Adressenstrecke eines Netzes gehört, das mit dem Adapter verbunden ist. „


Ich werde überhaupt nicht gebegeistert, aber es schaut, wie die meine Antwort ist.
Weitere Lösungen  
 
programming4us programming4us