Discussion:
Problem mit Flutabwehr
(zu alt für eine Antwort)
Marc
2010-03-10 18:49:02 UTC
Permalink
Hallo,

aktuell kaempfe ich an einem TMG mit den Einstellungen der Flutabwehr.
Folgende Meldung / Problem habe ich:

Forefront TMG hat eine Nicht-TCP-Verbindung mit 192.168.150.17 getrennt,
weil das Verbindungslimit für diese IP-Adresse überschritten wurde. Für die
IP-Adressen von verketteten Proxy-Servern und kaskadierten Forefront
TMG-Computern mit NAT-Beziehung muss ein höheres benutzerdefiniertes
Verbindungslimit festgelegt werden.

Um den Server um den es sich hier dreht geht es ausgerechnet um den internen
DNS Server. In den Einstellungen der Flutabwehr habe ich einfach mal zum
testen saemtliche Werte verdoppelt. Ich habe auch den DNS Server zu den
Ausnahmen hinzugefuegt, bringt aber auch nichts. In der Ueberwachung setze
ich die Meldung zurueck, aktualisiere die Ansicht, und die Meldung kommt dann
gleich wieder. Der DNS kan auch keine DNS Anfrage nach extern stellen. Hab
ich geprueft mit nsllokup.

Eine Regel habe ih definiert, dass der DNS Anfragen nach extern stellen
darf. Lase ich mal die ueberwachung mitlaufen, sehe ich dass der Verkehr vom
DNS Server nach extern immer gleich getrennt wird, da das Verbindungslimit
erreicht sei.

Wie kann ich den Fehler korrigieren? Zumahl ich mit so einer Meldung noch
nie konfrontiert war.

Uber einen Tipp waere ich dankbar.

Danke und Gruss

Marc
Jens Baier
2010-03-10 19:06:51 UTC
Permalink
Hi,
Post by Marc
Eine Regel habe ih definiert, dass der DNS Anfragen nach extern stellen
darf. Lase ich mal die ueberwachung mitlaufen, sehe ich dass der Verkehr vom
DNS Server nach extern immer gleich getrennt wird, da das Verbindungslimit
erreicht sei.
Wie kann ich den Fehler korrigieren? Zumahl ich mit so einer Meldung noch
nie konfrontiert war.
Du solltest da eher beim DNS Server ansetzen, der scheint nicht korrekt
konfiguriert sein! Kannst Du die EInstellungen des DNS Servers mal posten.
Macht der evtl. Forward Lookup Tests (Eigenschaften DNS Server)?
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-03-10 19:09:59 UTC
Permalink
hi marc,
Post by Marc
Um den Server um den es sich hier dreht geht es ausgerechnet um den internen
DNS Server. In den Einstellungen der Flutabwehr habe ich einfach mal zum
testen saemtliche Werte verdoppelt. Ich habe auch den DNS Server zu den
Ausnahmen hinzugefuegt, bringt aber auch nichts. In der Ueberwachung setze
ich die Meldung zurueck, aktualisiere die Ansicht, und die Meldung kommt dann
gleich wieder. Der DNS kan auch keine DNS Anfrage nach extern stellen. Hab
ich geprueft mit nsllokup.
der dns ist in den ausnahmen der flutabwehr eingetragen. was macht der gute
denn das soviele anfragen entstehen?
Post by Marc
Eine Regel habe ih definiert, dass der DNS Anfragen nach extern stellen
darf. Lase ich mal die ueberwachung mitlaufen, sehe ich dass der Verkehr vom
DNS Server nach extern immer gleich getrennt wird, da das Verbindungslimit
erreicht sei.
irgendwie scheint der dns viel zuviele anfragen zu stellen? vlt. dort
irgendwas in dutt?
hm, viel mehr fällt mir atm leider auch nicht ein.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Marc
2010-03-11 04:38:01 UTC
Permalink
Hallo Jens & Jens,

ich muss nachsehen wie der DNS konfiguriert ist. Am Montag werde ich wieder
bei dem Kunden Vor Ort sein.

Aus dem Kopf weis ich, dass es intern 2 DNS gibt. Auf dem Dc und auf dem
Exchange. Der DC hat eine Weiterleitung auf den Exchange und der Exchange
geht dann raus. Allerdings hat der Exchange keine Weiterleitung zu einem DNS
vom Provider oder zu einem anderen DNS im INET. Der DNS auf dem Exchange
arbeitet mit den Stammhinweisen. Ich persoenlich wuerde ja eine
DNS-Weitereleitung am Exchange eintragen.

Kann ich am TMG das irgendwie sichtbar machen, was der DNS eigentlich
treibt? Ich meine die Verbindungen die der Server offen hat, welche dieses
Verhalten verursachen? Geht das?

Gruss
Post by unknown
hi marc,
Post by Marc
Um den Server um den es sich hier dreht geht es ausgerechnet um den internen
DNS Server. In den Einstellungen der Flutabwehr habe ich einfach mal zum
testen saemtliche Werte verdoppelt. Ich habe auch den DNS Server zu den
Ausnahmen hinzugefuegt, bringt aber auch nichts. In der Ueberwachung setze
ich die Meldung zurueck, aktualisiere die Ansicht, und die Meldung kommt dann
gleich wieder. Der DNS kan auch keine DNS Anfrage nach extern stellen. Hab
ich geprueft mit nsllokup.
der dns ist in den ausnahmen der flutabwehr eingetragen. was macht der gute
denn das soviele anfragen entstehen?
Post by Marc
Eine Regel habe ih definiert, dass der DNS Anfragen nach extern stellen
darf. Lase ich mal die ueberwachung mitlaufen, sehe ich dass der Verkehr vom
DNS Server nach extern immer gleich getrennt wird, da das Verbindungslimit
erreicht sei.
irgendwie scheint der dns viel zuviele anfragen zu stellen? vlt. dort
irgendwas in dutt?
hm, viel mehr fällt mir atm leider auch nicht ein.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
.
Jens Baier
2010-03-11 06:09:37 UTC
Permalink
Hi,
Post by Marc
Aus dem Kopf weis ich, dass es intern 2 DNS gibt. Auf dem Dc und auf dem
Exchange. Der DC hat eine Weiterleitung auf den Exchange und der Exchange
geht dann raus.
DC hat Weiterleitung auf Exchange? Sehr ungewoehnlich!
Post by Marc
Allerdings hat der Exchange keine Weiterleitung zu einem DNS
vom Provider oder zu einem anderen DNS im INET. Der DNS auf dem Exchange
arbeitet mit den Stammhinweisen. Ich persoenlich wuerde ja eine
DNS-Weitereleitung am Exchange eintragen.
OK, wenn er die Root Hints nimmt sollte das aber auch kein Thema sein, da
diese im Round Robin Verfahren angesprochen werden
Post by Marc
Kann ich am TMG das irgendwie sichtbar machen, was der DNS eigentlich
treibt? Ich meine die Verbindungen die der Server offen hat, welche dieses
Verhalten verursachen? Geht das?
Du kannst ein NETSTAT -ANO | MORE auf dem DNS Server machen und Dir die
Verbindungen angucken
Auf TMG Seite kannst Du mit NETSH - TMG Dir die Connections anzeigen lassen
und wenn das alles nicht reicht mit NETMON den DNS Traffic sniffen
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-03-11 07:37:54 UTC
Permalink
moin marc,
Post by Marc
Aus dem Kopf weis ich, dass es intern 2 DNS gibt. Auf dem Dc und auf dem
Exchange. Der DC hat eine Weiterleitung auf den Exchange und der Exchange
geht dann raus. Allerdings hat der Exchange keine Weiterleitung zu einem DNS
vom Provider oder zu einem anderen DNS im INET. Der DNS auf dem Exchange
arbeitet mit den Stammhinweisen. Ich persoenlich wuerde ja eine
DNS-Weitereleitung am Exchange eintragen.
jau, oder du nimmst einen "öffentlichen" wie von der dtag oder so.
Post by Marc
Kann ich am TMG das irgendwie sichtbar machen, was der DNS eigentlich
treibt? Ich meine die Verbindungen die der Server offen hat, welche dieses
Verhalten verursachen? Geht das?
wie kollege jens schon schrob - der ansatz ist hier sicherlich auf dem
dns-server selber. ist es denn der exchanger, der geblockt wird? dies ist
natürlich doof, wenn der noch nebenbei mails händeln muss.
;-)
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Marc
2010-03-12 04:30:04 UTC
Permalink
Dann denke ich mal, dass am Montag meine erste Handlung darinn besteht, den
DC zum eigentlichen DNS im LAN zu machen und ihm eine Weiterleitung auf einen
externen zu geben.

Dass das etwas ungluecklich ist mit dem DNS auf dem Exchange sehe ich auch
so. Er bekmmt dann eine Weiterleitung auf den DC. Dann sollte eigentlcih sich
die Zahl der offenen TCP Verbindungen nach extern etwas verringern.

Ich melde mich am Montag wieder.

Bis dahin.
Post by unknown
moin marc,
Post by Marc
Aus dem Kopf weis ich, dass es intern 2 DNS gibt. Auf dem Dc und auf dem
Exchange. Der DC hat eine Weiterleitung auf den Exchange und der Exchange
geht dann raus. Allerdings hat der Exchange keine Weiterleitung zu einem DNS
vom Provider oder zu einem anderen DNS im INET. Der DNS auf dem Exchange
arbeitet mit den Stammhinweisen. Ich persoenlich wuerde ja eine
DNS-Weitereleitung am Exchange eintragen.
jau, oder du nimmst einen "öffentlichen" wie von der dtag oder so.
Post by Marc
Kann ich am TMG das irgendwie sichtbar machen, was der DNS eigentlich
treibt? Ich meine die Verbindungen die der Server offen hat, welche dieses
Verhalten verursachen? Geht das?
wie kollege jens schon schrob - der ansatz ist hier sicherlich auf dem
dns-server selber. ist es denn der exchanger, der geblockt wird? dies ist
natürlich doof, wenn der noch nebenbei mails händeln muss.
;-)
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
.
Jens Baier
2010-03-12 04:45:56 UTC
Permalink
Hi,
Post by Marc
Dass das etwas ungluecklich ist mit dem DNS auf dem Exchange sehe ich auch
so. Er bekmmt dann eine Weiterleitung auf den DC. Dann sollte eigentlcih sich
die Zahl der offenen TCP Verbindungen nach extern etwas verringern.
Viel Glueck
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-03-12 08:53:57 UTC
Permalink
huhu,
Post by Marc
Dass das etwas ungluecklich ist mit dem DNS auf dem Exchange sehe ich auch
so. Er bekmmt dann eine Weiterleitung auf den DC. Dann sollte eigentlcih sich
die Zahl der offenen TCP Verbindungen nach extern etwas verringern.
Ich melde mich am Montag wieder.
alles klaro, bis dahin!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Lesen Sie weiter auf narkive:
Loading...