Forefront TMG und multiple ausgehende IP-Adressen

Hallo Leutz,

bei einem Kunden haben wir heute die ISA 2006 EE Konfiguration auf TMG EMS migriert und anschliessend begonnen die ISA NLB Node zu entfernen und als neue TMG Server in das TMG EE Array aufzunehmen. Gesagt getan, nach der Neuinstallation eines alten ISA Node mit TMG und Aufnahme in das TMG EMS Array funktionierte auch die Kommunikation der Standorte untereinander mit den anderen ISA Arrays, eingehend funzte auch alles, aber ausgehende Kommunikation war nicht moeglich. Der Kunde hat am Internet Uplink mehrere oeffentliche IP gebunden (fuer Reverse Publishing), aber nur eine ausgehende IP ist an der Front Firewall erlaubt. Bei ISA 2006 wurde ja bekanntlich immer die erste gebundene IP des Netzwerkadapters verwendet, so dass ich auch bei TMG von dem Verhalten ausging. Dem ist aber zumindest in meiner Umgebung nicht so.
Wie das ganze sich verhaelt und wie man(n) einen Wuerkaround schaffen kann, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/tmg-multiple-ip.pdf

Zusammengefasst: Loesung ist es die neue Funktion des ENAT von TMG zu verwenden. Bei einem NAT Verhaeltnis ist es moeglich die ausgehende IP zu bestimmen. Danach funktionierte der ausgehende Datenverkehr problemlos, bis auf das Surfen am TMG selbst. Hier gibt es die Abhilfe, am TMG im IE den Proxy auf den TMG zu setzen, aber NIS/E-Mail und Malware Updates ueber die TMG-Konsole lassen sich auch nicht laden, da hier der Proxy scheinbar nicht verwendet wird und das TMG Netzwerkobjekt LOCALHOST kann man nicht in die NAT Netzwerkregel fuer ENAT setzen. Loesung war hier mit Proxycfg den Proxy zu setzen.
Die Frage die sich mir stellt: Wie loest man das Problem wenn als Netzwerkverhaeltnis ROUTE verwendet wird. Funktioniert es da dann wieder wie bei ISA 2006?

Mangels eines vergleichbaren und zugreifbaren Kundensystems konnte ich noch nicht abschliessend evaluieren, ob das Problem kundenspezifisch oder ein Bug/Feature von TMG ist. Im April werde ich eine aehnliche Konstellation bei einem anderen Kunden implementieren und dann auf meinem Blog berichten. 

ERGAENZUNG 08.04.2010 – Das scheint bei Design so zu sein und kein TMG Problem: http://support.microsoft.com/kb/969029/en-us – Danke an Jason Jones fuer die Info.
http://social.technet.microsoft.com/Forums/en-US/ForefrontedgePub/thread/52b08c5d-6652-4d79-8f46-f9125905d73d/

Gruss Marc

P.S.: Bitte um Comments auf dem Blog oder PM, wenn sich das bei Euch nicht so verhaelt
P.S.2: Geschrieben auf meinem Netbook auf dem Fitnessrad im Fitnesscenter meines Kunden mit VPN Verbindung ueber TMG zum Kundennetz 🙂

Consulter im Hotel …

Hallo Leutz,

nach fast drei Wochen Abwesenheit von meinem Lieblingskunden bin ich wieder fuer 2 Wochen in Bad Pyrmont gelandet und werde die 4 ISA Server 2006 EE in zwei Arrays auf Forefront TMG EE migrieren. Ein detailliertes Bilderbuch ueber den Migrationsablauf wird folgen wenn wir das Projekt abgeschlossen haben.

Es folgen Bilder:

     

Gruss Marc aka Jens Baier

Consulter im Hotel …

Hallo Leutz,

diese Woche hat es mich fuer 3 Tage nach Cremlingen bei Braunschweig zu einer Exchange Server 2010 Einfuehrung (Migration von Tobit) verschlagen. Nebenbei muss ich noch einen Exchange Server 2007 deinstallieren und einen ISA Server fuer OWA/OA und iphone Sync konfigurieren. Am Donnerstag steht dann die 071-669 Pruefung, ebenfalls in Braunschweig an.

Es folgen Bilder (endlich mal wieder BMW fahren 🙂

   

Gruss Marc aka Jens Baier

Consulter im Hotel …

Hallo Leutz,

endlich mal wieder zuhause seit mehreren Wochen das erste Wochenende at home, deswegen ein Blogeintrag von zu Hause 🙂
Heute Abend bin ich mit Bjoern A. (Danke Bjoern) aus Eberswalde nach Hause gekommen, waherend des Radelns mache ich gerade Buerokrams (was immer so alles anfaellt, wenn man nicht zuhause ist), und kurz “Freude am Fahren” gehabt, bis es angefangen hat zu regnen, sowie die ueblichen Taetigkeiten eines “Single” erledigt. Samstag und Sonntag gebe ich wieder meinen MCITP-EA Kurs in Stadthagen.

Es folgen Bilder:

  

Gruss Marc aka Jens Baier

the it crowd…

…Tach Allerseits,

ein Kumpel von mir meinte ich solle mir die Serie “The IT Crowd” mal anschauen. Ich muss sagen: ich erkenne euch alle wieder (ich selber bin natüüüüürlich ausgenommen)!!!

😉

Theitcrowd.png

http://de.wikipedia.org/wiki/The_IT_Crowd

einen Ticken besser finde ich zwar “The Big Bang Theory”, ist aber halt etwas weniger IT drinne.

Big Bang Theory.png

http://de.wikipedia.org/wiki/Big_Bang_Theory

Gruß, Jens Mander aka Karsten Hentrup…

|<-|

SETUP /PrepareLegacyExchangePermissions (Migration 2003 auf 2010)

Hallo Leutz,

im Rahmen der Exchange Server 2003 auf Exchange Server 2010 Migration bei meinem Kunden sind wir heute auf Probleme mit der Domaenen / Forest Vorbereitung gestossen.
Der Befehl SETUP /PrepareLegacyExchangePermissions bereitet die Exchange 2003 Organisation und die Exchange 2010 Organisation darauf vor, dass der Exchange 2003 RUS mit Exchange 2010 waehrend der Coexistenzphase miteinander kommunizieren kann. Der Befehl schlug aber staendig fehl, weil er anmeckerte, dass die sechs Empfaengerrichtlinien keine konsistente E-Mail Policy haben. im ESM sah alles sauber aus, Repadmin meldete auch keine Probleme und die Loesung war schlussendlich ein nicht replizierter Empfaengerrichtlinien-Eintrag im AD, welchen wir mit ADSIEDIT (Stichwort: GatewayProxy und MSExchNonAuthoritativeDomains) ermitteln und entsprechend fuellen konnten.
Das folgende Bilderbuch zeigt den Loesungsansatz:
http://www.it-training-grote.de/download/PrepareLegacyExchangePermissions.pdf

Gruss Marc

Afrikanisch Essen in Berlin

Hallo Leutz,

ich blogge live aus dem Savanna in Berlin (http://www.savanna-berlin.de/), wo wir lecker afrikanischer bzw. aethiopisch-eritreischer Spezialitaeten zu uns nehmen. Wer sind wir? Sven, Sebastian, Marc, Dennis, Anton und Mirco. Was gab es zu Essen?: Sambusa Siga, Savanna Grillplatte und Owuso Drak Beer.

Es folgen Bilder:

                

Das Essen war sehr lecker, aber auch sehr uebersichtlich (180 EUR fuer 6 Personen ist auch ganz schoen gesalzen), so dass wir nach dem Essen noch einen leckeren Doener verdrueckt haben.

Gruss Marc

Consulter im Hotel…

Hallo Leutz,

es hat mich mal wieder fuer knapp 6 Tage in meine alte Heimat nach Eberswalde verschlagen. Leider hat es hier wieder angefangen zu schneien :-(. In den naechsten 5 Tagen steht eine Einfuehrung von Microsoft Forefront TMG fuer EAS und OA auf dem Plan, sowie Restarbeiten der Domaenenmigration auf Windows Server 2008 R2 und eine Vorplanung zur Migration der 4 Exchange Server 2003 auf Exchange Server 2010. Die Woche wird bestimmt lustig, da ein Consultant Kollege ebenfalls wegen anderer Themen vor Ort ist, so dass wir einen Abend vermutlich mal Berlin unsicher machen werden :-). An drei anderen Abenden habe ich mir leider Fernwartungstermine auferlegen lassen (1x ISA TSG, 1x ISA iphone, 1 x ISA S2S VPN, 1x ISA OWA Zertifikate), so dass es mit der Arbeit am TMG Buch mal wieder knapp wird 🙁

Es folgen Bilder:

   

Gruss Marc aka Jens Baier