unknown
2010-03-15 08:54:01 UTC
Guten Morgen,
ich kämpfe seit längerem mit dem Problem, dass ich über einen TMG mehrere
Websites veröffentlichen möchte. Folgende Randbedingungen:
TMG mit 2 Internetzugängen und aktiviertem Load Balancing
Einer der Internetzugänge geht über ein 'externes Netz' mit 30 IPs ins
Internet. Über den Adapter dieses Subnetzes sollen 4 verschiedene Websites
auf 4 verschiedenen IPs veröffentlicht werden.
Auf der Haupt-IP der Karte für dieses Netz wird ein OWA veröffentlicht. Das
klappt völlig problemlos, incl. Umleitung von http auf https und Form-based
Authentication.
Alle weiteren IP's dieser Karte sind jedoch nur sporadisch aus dem Internet
zu erreichen. Dabei klappt der Ping auf diese Adressen immer, jedoch erfolgt
kein Connect auf demn veröffentlichten Port 80 oder 443. Der TMG loggt dabei
eine Initiierte Verbindung und gleich darauf eine Beendete Verbindung, ohne
jedoch einen Eintrag für Reverse Proxy, der kommt, wenn die Verbindung
erfolgreich ist. Wireshark meldet, dass kein TCP-Handshake erfolgt.
Wie gesagt, das ganze funzt auch zwischendurch mal, dann wieder nicht.
Tests aus dem externen Subnetz (also dem Netz, zu dem die externe TMG-Karte
gehört) klappen dagegen immer.
Ich hab diverse Versuche mit unterschiedlichen Listener-Konfigurationen
gemacht, mit und ohne Umleitung auf https, mit und ohne Authentifizierung -
immer der gleiche Effekt. Der Listener wurde jeweils immer nur an eine der
externen IPs gebunden.
Den Versuch, mit SAN Zertifikaten hab ich auf Anraten aufgegeben und wollte
die Websites jetzt ganz konventionell mit einem Zertifikat pro Site und IP
veröffentlichen. Aber wie gesagt - auch bei einfacher http-Veröffentlichung
tritt der Effekt ein.
Ich hab auch schon getest, ob die NAT-Konfiguration auf mehrere ausgehende
Adresse erweitert werden muss, was aber auch nichts brachte.
Hat von euch jemand noch eine Idee?
Besten Dank und viele Grüße,
Markus
ich kämpfe seit längerem mit dem Problem, dass ich über einen TMG mehrere
Websites veröffentlichen möchte. Folgende Randbedingungen:
TMG mit 2 Internetzugängen und aktiviertem Load Balancing
Einer der Internetzugänge geht über ein 'externes Netz' mit 30 IPs ins
Internet. Über den Adapter dieses Subnetzes sollen 4 verschiedene Websites
auf 4 verschiedenen IPs veröffentlicht werden.
Auf der Haupt-IP der Karte für dieses Netz wird ein OWA veröffentlicht. Das
klappt völlig problemlos, incl. Umleitung von http auf https und Form-based
Authentication.
Alle weiteren IP's dieser Karte sind jedoch nur sporadisch aus dem Internet
zu erreichen. Dabei klappt der Ping auf diese Adressen immer, jedoch erfolgt
kein Connect auf demn veröffentlichten Port 80 oder 443. Der TMG loggt dabei
eine Initiierte Verbindung und gleich darauf eine Beendete Verbindung, ohne
jedoch einen Eintrag für Reverse Proxy, der kommt, wenn die Verbindung
erfolgreich ist. Wireshark meldet, dass kein TCP-Handshake erfolgt.
Wie gesagt, das ganze funzt auch zwischendurch mal, dann wieder nicht.
Tests aus dem externen Subnetz (also dem Netz, zu dem die externe TMG-Karte
gehört) klappen dagegen immer.
Ich hab diverse Versuche mit unterschiedlichen Listener-Konfigurationen
gemacht, mit und ohne Umleitung auf https, mit und ohne Authentifizierung -
immer der gleiche Effekt. Der Listener wurde jeweils immer nur an eine der
externen IPs gebunden.
Den Versuch, mit SAN Zertifikaten hab ich auf Anraten aufgegeben und wollte
die Websites jetzt ganz konventionell mit einem Zertifikat pro Site und IP
veröffentlichen. Aber wie gesagt - auch bei einfacher http-Veröffentlichung
tritt der Effekt ein.
Ich hab auch schon getest, ob die NAT-Konfiguration auf mehrere ausgehende
Adresse erweitert werden muss, was aber auch nichts brachte.
Hat von euch jemand noch eine Idee?
Besten Dank und viele Grüße,
Markus