Vraag : Rijtjes resultaat ISA/TMG 2010's in de Verpletterende Kwestie van het Netwerk

Probleem: Ik kan niet van LAN met DMZ verbinden, door twee ISA/TMG servers.

I hebben een netwerk LAN & DMZ met een netwerk van de Perimeter binnen - tussen. Een server van TMG 2010 beschermt elk, zoals dit:

LAN -->|tmg2010-a|<-- HET NETWERK VAN DE PERIMETER -->|tmg2010-B|<-- DMZ1

I am op RemoteDesktop (RDP) zich nu concentreren voor, nochtans het probleem ligt met al verkeer dat niet proxied door tmg2010-A.

I kan door de volmacht (tmg2010-a) van LAN met DMZ1
I verbinden kan RDP van het NETWERK van de PERIMETER aan DMZ
I heeft geen servers van Vensters in het netwerk is van de Perimeter zodat kan ik geen RDP van LAN aan het netwerk van de Perimeter testen, nochtans kan ik tot het toegang hebben met succes gebruikend andere toegangsregelen zoals SSH.
I KAN niet, RDP van LAN aan DMZ1. Wanneer ik dit probeer, produceert tmg2010-a, de fout die het niet het netwerk kan vinden DMZ wijzen op. (De Verwijzing maakte beeld vast: tmg2010-Aerror.jpg bl " >


I heeft ook het scherm vastgemaakt van de actieve netwerkroutes is ontsproten. Zoals u zult zien, is er route leidend het verkeer DMZ (172.29.17.0) aan de externe interface voor tmg2010-B (172.29.16.20) Naast dit, weten standaardrouters .16.1 & 16.2, zowel het hoe te om het .17.0 netwerk te vinden, en ook, kan bl " >
Active Route van het Netwerk op LAN firewall.


I am dit is geen zeer gemeenschappelijke configuratie, maar het zou nog moeten werken aangezien het configured.

As een zijnota heeft. Ik heb een regel die op tmg2010-a gevormd, mijn werkstation op LAN, onbeperkte uitgaande toegang toelaten.

Per de logboekfout in bijlage, dit duidelijk een verpletterende fout schijnt te zijn, en niet wijst op een firewalltoegangsregel fout, zoals, de eerste klap het het schermschot het programma opende, de gevormde regel die al uitgaand toelaten correct wordt teweeggebracht en een verbinding aan de DMZ1 network.
Any op dit in werking gesteld?

Antwoord : Rijtjes resultaat ISA/TMG 2010's in de Verpletterende Kwestie van het Netwerk

Ik vond mijn antwoord. In het kort, is het geen gesteunde configuratie op ISA/TMG. Omdat het verkeer uit een netwerk komt, de verre server ISA/TMG niet direct in bijlage waaraan is, laat vallen het het het zoals spoofed. Zo de enige manier om van een netwerk in bijlage aan één ISA/TMG aan een andere een netwerk te leiden in bijlage aan een verschillende server ISA/TMG, (alhoewel een simi-vertrouwd op perimeternetwerk, die privé IP gebruiken) uit elkaar plaatst, is het verre netwerk te behandelen Extern door het niet in netwerken te bepalen ISA/TMG.

Het volgende is een uittreksel van Microsoft TechNet, schetsend regels om Netwerken te vormen:
(http://technet.microsoft.com/en-us/library/cc995185.aspx)

„Elk netwerk u cre�ërt moet een huurnetwerkadapter hebben verbonden aan het. Bijvoorbeeld, om een topologie tot stand te brengen die het interne collectieve netwerk omvat, moeten Internet, en een perimeternetwerk, drie netwerkadapters op de computer van het Front worden geïnstalleerd en worden toegelaten TMG. Er zijn bepaalde uitzonderingen. In een rijtjesfirewallconfiguratie, waar Internet achter een perimeternetwerk is, is er geen adapter verbonden aan het externe netwerk. Bovendien heeft een plaats-aan-plaats VPN netwerkvoorwerp geen adapter verbonden aan het.

Alle IP adressen die direct van een netwerkadapter kunnen worden bereikt moeten als deel van het netwerk van het Front worden bepaald TMG dat met de adapter wordt geassoci�ërd. Alle verre subnets moeten correct aan de netwerkdefinitie worden toegevoegd, en de IP adreswaaier van het netwerk moet de verpletterende lijst aanpassen. De routes zouden in de verpletterende lijst voor elke verre subnet moeten worden bepaald. „

Een „pakket wordt overwogen spoofed (en daarom gedaald) als één van het volgende waar is:

Het pakket bevat een bronIP adres dat (volgens de verpletterende lijst) niet bereikbaar door een netwerkadapter verbonden aan het netwerk is.

Het pakket bevat een bronIP adres dat niet tot de adreswaaier van een netwerk verbonden aan de adapter behoort. „


Ik ben helemaal niet opgewonden, maar het kijkt als dat is mijn antwoord.
Andere oplossingen  
 
programming4us programming4us