Verkehrswege zu TMG…

Verkehrswege zu TMG…

…Tach Allerseits,

folgende Varianten habe ich kürzlich nochmal verifiziert.

1. Für einen internen Client, der über TMG z.B. ins Internet möchte “sieht” TMG wie folgt aus:

pic2 - keine gruppe

Hier ist gut erkennbar, das TMG Port 8080 für Webproxyclients und Port 1745 für Firewall- äh TMG-Clients zur Verfügung stellt.

 

2. Ist eine Client-Maschine hingegen Mitglied der “Remoteverwaltungscomputer”, dann sieht das Scan-Ergebnis so aus:

pic3 - remoteverwaltungscomputer

Hier ist deutlich mehr möglich – ein “Remoteverwaltungscomputer” kann z.B. von Haus aus per RDP und RPC den TMG administrieren. Verantwortlich für die Umsetzung sind die bereits integrierten Systemrichtlinien.

 

3. Neu seit TMG ist ein Computersatz in der Toolbox mit dem Namen “Verwaltete Servercomputer”. Dieser wird (warum auch immer) während der TMG-Installation wie von Zauberhand mit einer kleinen IP-Range gefüllt. Bei meiner Installation wo TMG die interne IP 10.10.10.1 hat ist die Range wie folgt: 10.10.10.0 – 10.10.10.31.

pic0

 

Die Beschreibung des Computersatzes besagt folgendes: Vordefinierter Computersatz, der aus den Computern besteht, die eine Verbindung mit dem Konfigurationsspeicherserver dieses Arrays herstellen dürfen.

Soso, TMG scheint also davon auszugehen, das falls ein Array gegründet werden soll (EMS oder Standalone), dann befinden sich anderen TMG-Hosts IP-technisch in der Nähe. Eine Systemrichtlinie öffnet für diese Range folgende Verbindungswege:

pic1 - verwaltete servercomputer

Von diesen IPs kann ohne Probleme mit dem AD-LDS des TMG kommuniziert und Regelwerk eingepflegt werden. Warum diesem Computersatz allerdings nicht der gleiche Zugriff gewährt wird, wie den Remoteverwaltungscomputern ist mir ein Rätsel!

Gruß, Jens Mander aka Karsten Hentrup…

|<-|

Kommentare sind geschlossen.