Forums Neueste Beiträge
 

Probleme beim Veröffentlichen mehrerer Websites mit TMG

15/03/2010 - 09:54 von Markus Rödel | Report spam
Guten Morgen,
ich kàmpfe seit làngerem mit dem Problem, dass ich über einen TMG mehrere
Websites veröffentlichen möchte. Folgende Randbedingungen:
TMG mit 2 Internetzugàngen und aktiviertem Load Balancing
Einer der Internetzugànge geht über ein 'externes Netz' mit 30 IPs ins
Internet. Über den Adapter dieses Subnetzes sollen 4 verschiedene Websites
auf 4 verschiedenen IPs veröffentlicht werden.
Auf der Haupt-IP der Karte für dieses Netz wird ein OWA veröffentlicht. Das
klappt völlig problemlos, incl. Umleitung von http auf https und Form-based
Authentication.
Alle weiteren IP's dieser Karte sind jedoch nur sporadisch aus dem Internet
zu erreichen. Dabei klappt der Ping auf diese Adressen immer, jedoch erfolgt
kein Connect auf demn veröffentlichten Port 80 oder 443. Der TMG loggt dabei
eine Initiierte Verbindung und gleich darauf eine Beendete Verbindung, ohne
jedoch einen Eintrag für Reverse Proxy, der kommt, wenn die Verbindung
erfolgreich ist. Wireshark meldet, dass kein TCP-Handshake erfolgt.
Wie gesagt, das ganze funzt auch zwischendurch mal, dann wieder nicht.
Tests aus dem externen Subnetz (also dem Netz, zu dem die externe TMG-Karte
gehört) klappen dagegen immer.
Ich hab diverse Versuche mit unterschiedlichen Listener-Konfigurationen
gemacht, mit und ohne Umleitung auf https, mit und ohne Authentifizierung -
immer der gleiche Effekt. Der Listener wurde jeweils immer nur an eine der
externen IPs gebunden.
Den Versuch, mit SAN Zertifikaten hab ich auf Anraten aufgegeben und wollte
die Websites jetzt ganz konventionell mit einem Zertifikat pro Site und IP
veröffentlichen. Aber wie gesagt - auch bei einfacher http-Veröffentlichung
tritt der Effekt ein.
Ich hab auch schon getest, ob die NAT-Konfiguration auf mehrere ausgehende
Adresse erweitert werden muss, was aber auch nichts brachte.
Hat von euch jemand noch eine Idee?

Besten Dank und viele Grüße,

Markus
 

Lesen sie die antworten

#1 Christian Gröbner [MVP]
15/03/2010 - 10:26 | Warnen spam
Hallo Markus,

hast du für die Netzwerkkarten die Schnittstellen-Metrik konfiguriert? Dein
Problem hört sich mir stark danach an.

Siehe hierzu:

http://blogs.technet.com/isablog/ar...t-tmg.aspx

Gruß

Christian


Christian Gröbner
MVP Forefront
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/

"Markus Rödel" <Markus Rö schrieb im
Newsbeitrag news:
Guten Morgen,
ich kàmpfe seit làngerem mit dem Problem, dass ich über einen TMG mehrere
Websites veröffentlichen möchte. Folgende Randbedingungen:
TMG mit 2 Internetzugàngen und aktiviertem Load Balancing
Einer der Internetzugànge geht über ein 'externes Netz' mit 30 IPs ins
Internet. Über den Adapter dieses Subnetzes sollen 4 verschiedene Websites
auf 4 verschiedenen IPs veröffentlicht werden.
Auf der Haupt-IP der Karte für dieses Netz wird ein OWA veröffentlicht.
Das
klappt völlig problemlos, incl. Umleitung von http auf https und
Form-based
Authentication.
Alle weiteren IP's dieser Karte sind jedoch nur sporadisch aus dem
Internet
zu erreichen. Dabei klappt der Ping auf diese Adressen immer, jedoch
erfolgt
kein Connect auf demn veröffentlichten Port 80 oder 443. Der TMG loggt
dabei
eine Initiierte Verbindung und gleich darauf eine Beendete Verbindung,
ohne
jedoch einen Eintrag für Reverse Proxy, der kommt, wenn die Verbindung
erfolgreich ist. Wireshark meldet, dass kein TCP-Handshake erfolgt.
Wie gesagt, das ganze funzt auch zwischendurch mal, dann wieder nicht.
Tests aus dem externen Subnetz (also dem Netz, zu dem die externe
TMG-Karte
gehört) klappen dagegen immer.
Ich hab diverse Versuche mit unterschiedlichen Listener-Konfigurationen
gemacht, mit und ohne Umleitung auf https, mit und ohne
Authentifizierung -
immer der gleiche Effekt. Der Listener wurde jeweils immer nur an eine der
externen IPs gebunden.
Den Versuch, mit SAN Zertifikaten hab ich auf Anraten aufgegeben und
wollte
die Websites jetzt ganz konventionell mit einem Zertifikat pro Site und IP
veröffentlichen. Aber wie gesagt - auch bei einfacher
http-Veröffentlichung
tritt der Effekt ein.
Ich hab auch schon getest, ob die NAT-Konfiguration auf mehrere ausgehende
Adresse erweitert werden muss, was aber auch nichts brachte.
Hat von euch jemand noch eine Idee?

Besten Dank und viele Grüße,

Markus

Ähnliche fragen