Forefront TMG und multiple ausgehende IP-Adressen
Hallo Leutz,
bei einem Kunden haben wir heute die ISA 2006 EE Konfiguration auf TMG EMS migriert und anschliessend begonnen die ISA NLB Node zu entfernen und als neue TMG Server in das TMG EE Array aufzunehmen. Gesagt getan, nach der Neuinstallation eines alten ISA Node mit TMG und Aufnahme in das TMG EMS Array funktionierte auch die Kommunikation der Standorte untereinander mit den anderen ISA Arrays, eingehend funzte auch alles, aber ausgehende Kommunikation war nicht moeglich. Der Kunde hat am Internet Uplink mehrere oeffentliche IP gebunden (fuer Reverse Publishing), aber nur eine ausgehende IP ist an der Front Firewall erlaubt. Bei ISA 2006 wurde ja bekanntlich immer die erste gebundene IP des Netzwerkadapters verwendet, so dass ich auch bei TMG von dem Verhalten ausging. Dem ist aber zumindest in meiner Umgebung nicht so.
Wie das ganze sich verhaelt und wie man(n) einen Wuerkaround schaffen kann, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/tmg-multiple-ip.pdf
Zusammengefasst: Loesung ist es die neue Funktion des ENAT von TMG zu verwenden. Bei einem NAT Verhaeltnis ist es moeglich die ausgehende IP zu bestimmen. Danach funktionierte der ausgehende Datenverkehr problemlos, bis auf das Surfen am TMG selbst. Hier gibt es die Abhilfe, am TMG im IE den Proxy auf den TMG zu setzen, aber NIS/E-Mail und Malware Updates ueber die TMG-Konsole lassen sich auch nicht laden, da hier der Proxy scheinbar nicht verwendet wird und das TMG Netzwerkobjekt LOCALHOST kann man nicht in die NAT Netzwerkregel fuer ENAT setzen. Loesung war hier mit Proxycfg den Proxy zu setzen.
Die Frage die sich mir stellt: Wie loest man das Problem wenn als Netzwerkverhaeltnis ROUTE verwendet wird. Funktioniert es da dann wieder wie bei ISA 2006?
Mangels eines vergleichbaren und zugreifbaren Kundensystems konnte ich noch nicht abschliessend evaluieren, ob das Problem kundenspezifisch oder ein Bug/Feature von TMG ist. Im April werde ich eine aehnliche Konstellation bei einem anderen Kunden implementieren und dann auf meinem Blog berichten.
Gruss Marc
P.S.: Bitte um Comments auf dem Blog oder PM, wenn sich das bei Euch nicht so verhaelt
P.S.2: Geschrieben auf meinem Netbook auf dem Fitnessrad im Fitnesscenter meines Kunden mit VPN Verbindung ueber TMG zum Kundennetz 🙂