Hallo Leutz,

nach einigen kleinen TMG Publishings / Implementierungen ging es in den letzten zwei Wochen an meine erste “echte” ISA 2006 EE zu TMG 2010 Migration von zwei ISA 2006 EE Arrays mit jeweils zwei ISA EE Knoten zu TMG 2010. Daraus ist folgende detaillierte “Anleitung” entstanden (zur Zeit ca. 50 Seiten Umfang), welche ich als Basis fuer alle folgenden Implementierungen / Migrationen nehmen werde.

http://www.it-training-grote.de/download/TMG-migration.pdf

Gruss Marc

Hallo Leutz,

zur Ergaenzung zu meinem Blog Eintrag vor einigen Tagen:
http://www.it-training-grote.de/blog/?p=2739
Worum geht es in Kuerze: Windows 2008/R2 verwendet wegen IPv6 Konformitaet (auch um RFC konform zu sein), immer die “niedrigste” IP-Adresse, wenn mehrere IP-Adressen an einer Netzwerkkarte gebunden sind fuer ausgehenden Datenverkehr.

This behaviour is by design:
http://support.microsoft.com/kb/969029 
http://social.technet.microsoft.com/Forums/en-US/ForefrontedgePub/thread/52b08c5d-6652-4d79-8f46-f9125905d73d/

Gruss Marc

Hallo Leutz,

das folgende Bilderbuch zeigt die Einrichtung des Firewall- und Webproxy Logging von Forefront TMG Enterprise (2 Node) auf einen zentralen MS SQL Server 2008 Cluster.

http://www.it-training-grote.de/download/TMG-SQL-Logging.pdf

Gruss Marc

Hallo Leutz,

bei einem Kunden haben wir heute die ISA 2006 EE Konfiguration auf TMG EMS migriert und anschliessend begonnen die ISA NLB Node zu entfernen und als neue TMG Server in das TMG EE Array aufzunehmen. Gesagt getan, nach der Neuinstallation eines alten ISA Node mit TMG und Aufnahme in das TMG EMS Array funktionierte auch die Kommunikation der Standorte untereinander mit den anderen ISA Arrays, eingehend funzte auch alles, aber ausgehende Kommunikation war nicht moeglich. Der Kunde hat am Internet Uplink mehrere oeffentliche IP gebunden (fuer Reverse Publishing), aber nur eine ausgehende IP ist an der Front Firewall erlaubt. Bei ISA 2006 wurde ja bekanntlich immer die erste gebundene IP des Netzwerkadapters verwendet, so dass ich auch bei TMG von dem Verhalten ausging. Dem ist aber zumindest in meiner Umgebung nicht so.
Wie das ganze sich verhaelt und wie man(n) einen Wuerkaround schaffen kann, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/tmg-multiple-ip.pdf

Zusammengefasst: Loesung ist es die neue Funktion des ENAT von TMG zu verwenden. Bei einem NAT Verhaeltnis ist es moeglich die ausgehende IP zu bestimmen. Danach funktionierte der ausgehende Datenverkehr problemlos, bis auf das Surfen am TMG selbst. Hier gibt es die Abhilfe, am TMG im IE den Proxy auf den TMG zu setzen, aber NIS/E-Mail und Malware Updates ueber die TMG-Konsole lassen sich auch nicht laden, da hier der Proxy scheinbar nicht verwendet wird und das TMG Netzwerkobjekt LOCALHOST kann man nicht in die NAT Netzwerkregel fuer ENAT setzen. Loesung war hier mit Proxycfg den Proxy zu setzen.
Die Frage die sich mir stellt: Wie loest man das Problem wenn als Netzwerkverhaeltnis ROUTE verwendet wird. Funktioniert es da dann wieder wie bei ISA 2006?

Mangels eines vergleichbaren und zugreifbaren Kundensystems konnte ich noch nicht abschliessend evaluieren, ob das Problem kundenspezifisch oder ein Bug/Feature von TMG ist. Im April werde ich eine aehnliche Konstellation bei einem anderen Kunden implementieren und dann auf meinem Blog berichten. 

ERGAENZUNG 08.04.2010 – Das scheint bei Design so zu sein und kein TMG Problem: http://support.microsoft.com/kb/969029/en-us – Danke an Jason Jones fuer die Info.
http://social.technet.microsoft.com/Forums/en-US/ForefrontedgePub/thread/52b08c5d-6652-4d79-8f46-f9125905d73d/

Gruss Marc

P.S.: Bitte um Comments auf dem Blog oder PM, wenn sich das bei Euch nicht so verhaelt
P.S.2: Geschrieben auf meinem Netbook auf dem Fitnessrad im Fitnesscenter meines Kunden mit VPN Verbindung ueber TMG zum Kundennetz 🙂