Zitat von »BloodHound«

ich verusche einen ISA Server 2004 mit einer 3-leg perimeter Topologie zum Laufen zu bringen.

Zuallererst mal ... Was sagt denn die Überwachung?

... dann noch ein paar Punkte, die mir adhoc einfallen:

1. Hast Du die Systemregeln angepasst, daß der ISA selbst auf die Umkreisnetze zugreifen darf?

2. Welche Netzwerk-Verhältnisse haben die Umkreisnetze? NAT oder Route?
Kennt der ISA die statischen Routen, die "durch den ISA" gehen?

3. NTDS-Vertrauensstellungen, Kerberos und andere Hürden - ist dein DNS überhaupt authorisiert?
Funktionieren ALLE internen Namensauflösungen?

4. Hast Du einen konsistenten Patch-Status? Manche ServicePacks vertragen sich nicht.

5. Der ISA ist manchmal zickig bei der Übernahme von Topologie-Änderungen - am Besten einfach mal neu starten.

mfg, Thomas

Hallo erstmal,
bin mit dem System von Bloodhound vertraut, da wir sozusagen gemeinsam an dem Netzwerk arbeiten und kann soviel hinzufügen:

laut überwachung werden die erforderten Verbindungen teilweise initiiert (also, wenn ich pinge, geht es laut überwachung durch)
Bei DNS anfragen wird der netbios-nameservice geblockt, obwohl ich den nach aussen sogar explizit freigeschalten habe (sollte das nicht über DNS laufen ????)

Der ISA darf ganz offensichtlich zugreifen, da vom ISA aus der zugriff gewährt wird (zb. DNS intern, ping, windows networking, etc.)

Der Ingate macht NAT via RAS auf das 10.0.10.0-er und das 10.0.4.0-er Netz. Routing zwichen 10.0.4.0 und 10.0.10.0

DNS ist authorisiert, intern funktionieren alle namensauflösungen, die hürde, die nicht genommen wird, ist eben das weiterleiten nach aussen. Da bekomme ich ein timeout, was kein wunder ist, wenn man aus dem Perimeter (10.0.10.0) Netzwerk nichtmal nach aussen per IP pingen kann.

Den ISA hab ich schon öfters neugestartet, hilft nichts.

Zu den patches kann ich dir nur schreiben: ISA SP2 ist installiert und ansonsten alle patches von windows update