Pytanie : Plecy ISA/TMG 2010's rezultat w Sieć Numer banku Zagadnienie

Problem: I być sprawnie od the LAN the DMZ, przez dwa ISA/TMG servers.

I mieć LAN & DMZ sieć z Perymetr sieć sprawnie. TMG 2010 serwer ochraniać 2010, tak jak 2010:

LAN -->|tmg2010-A|<-- PERYMETR SIEĆ -->|tmg2010-B|<-- DMZ1

I am ogniskowanie na RemoteDesktop (RDP) na razie, jednakże the problem kłamać z wszystkie ruch drogowy che proxied tmg2010-A.

I móc przez the prokurent (tmg2010-A) od LAN DMZ1

I móc RDP od PERYMETR SIEĆ DMZ

I żadny Windows serwer w the Perymetr sieć więc I móc RDP od LAN the Perymetr sieć, jednakże I móc ono pomyślnie using inny dojazdowy reguła tak jak SSH.

I MÓC, RDP od LAN DMZ1. Gdy I próbować móc, tmg2010-A, wytwarzać the błąd wskazywanie ono móc the DMZ sieć. (Odniesienie dołączać wizerunek: tmg2010-Aerror.jpg)

tmg2010-Aerror.jpg (54 KB) (Kartoteka Typ Szczegół)

Errors na LAN firewall.

I także dołączać parawanowy strzał the aktywny sieć trasa. Gdy ty widzieć, tam  być trasa the DMZ ruch drogowy (172.29.17.0) the zewnętrznie interfejs dla tmg2010-B (172.29.16.20) W dodatku do, the brak router .16.1 & 16.2, znać dlaczego the .17.0 sieć, i także, być sprawnie pomyślnie them.

route-print.jpg (84 KB) (Kartoteka Typ Szczegół)

Active Sieć Trasa na LAN firewall.

I am świadomy " być prawdziwy pospolity konfiguracja, ale ono wciąż musieć gdy ono mieć configured.

As boczny notatka. I konfigurować reguła na tmg2010-A, pozwalać mój stacja robocza na the LAN, nieograniczony wyjeżdżające dostęp.

Per the dołączać bela błąd, to wyraźnie pojawiać się numer banku błąd, i nie zapora dostęp reguła błąd, as, the pierwszy uderzenie notować na the parawanowy strzał, wskazywać the konfigurować reguła wszystko wyjeżdżające prawidłowo wywoływać i związek zapoczątkowywać the DMZ1 network.

Any przemyśliwanie na być?

Odpowiedź : Plecy ISA/TMG 2010's rezultat w Sieć Numer banku Zagadnienie

I zakładać mój odpowiedź. W skrót, ono być podtrzymany konfiguracja na ISA/TMG. Ponieważ the ruch drogowy przychodzić od sieć, che the pilot ISA/TMG serwer być bezpośrednio dołączać, ono opuszczać ono ono bezpośrednio. W Ten Sposób the jedyny sposób od sieć dołączać jeden ISA/TMG jeden sieć dołączać różny ISA/TMG serwer, (nawet jeśli simi-ufać perymetr sieć, using intymny IP przestrzeń), być the daleki sieć jako External ono w ISA/TMG'S sieć.

The następujący być ekscerpcja od Microsoft TechNet, rządzić dla konfigurowanie Sieć:
(http://technet.microsoft.com/en-us/library/cc995185.aspx)

"Ono sieć ty tworzyć musieć oddany sieć adaptator kojarzyć z ono. Na przykład, topologia który zawierać the wewnętrzny sieć korporacyjna, the Internet, i perymetr sieć, trzy sieć adaptator musieć instalować i na the Przód TMG komputer. Tam  być niektóre wyjątek. W kolejny zapora konfiguracja, dokąd the Internet być za perymetr sieć, tam  być żadny adaptator kojarzyć z the zewnętrznie sieć. W dodatek, VPN być usytuowanym--być usytuowanym sieć przedmiot mieć adaptator kojarzyć z ono.

Wszystkie IP adres który móc dosięgać bezpośrednio od sieć adaptator musieć definiować jako część the Przód TMG sieć który kojarzyć z the adaptator. Wszystkie daleki subnets musieć dodawać prawidłowo the sieć definicja, i the Adres IP pasmo the sieć musieć the numer banku stół. Trasa musieć definiować w the numer banku stół dla definiować daleki subnet. "

"Paczka rozważać spoofed (i tym samym opuszczać) jeżeli jeden the następujący być prawdziwy:

The paczka zawierać źródło Adres IP który (według the numer banku stół) być sieć przez sieć adaptator kojarzyć z the sieć.

The paczka zawierać źródło Adres IP który należeć the adres pasmo sieć kojarzyć z the adaptator. "


I wcale ekscytować, ale ono patrzeć jakby nie być mój odpowiedź.