[Win2003 Ent] ISA2004 op 2 domains - Serversoftware en clouddiensten

woensdag 6 augustus 2008 15:10

Acties:

Topicstarter

Beste Collega's,

Na vele verwoede pogingen kom ik er maar niet uit.
De situatie is als volgt:

Ik heb een Win2003+SP2 Enterprise met ISA2004 SP2.
Deze heb ik uitgevoerd met 2 Netwerkkaarten waarvan 1 in het productie domein, en 1 in het test domein.
Ik stel de kaarten in met statische adressen en heb de ISA2004 aangemeld in het test domein.
De bedoeling is alles te blokkeren vanuit productie, en toe te laten wat ik allow in de ISA.
Nu komt het voor dat als ik de ISA server reboot, hij in wil loggen op het productie domein (wat dus niet werkt, aangezien hij daar geen account heeft). Na een paar reboots probeerd hij het vervolgens weer in Test wat hem weer online brengt.

Nu zoek ik een mogelijkheid om te forceren dat de ISA server altijd naar het testdomein kijkt ipv productie.
Iemand enig idee?
Mocht iets niet duidelijk zijn graag aangeven dan zal ik waar nodig aanvullen.

prod..............test
[]------->isa<------[]

woensdag 6 augustus 2008 15:22

Acties:

alt-92

ye olde farte

GeeMoney schreef op woensdag 06 augustus 2008 @ 15:10:
Nu zoek ik een mogelijkheid om te forceren dat de ISA server altijd naar het testdomein kijkt ipv productie.
Iemand enig idee?

Dan moet je kijken naar de functionaliteit van het onderliggende OS, want ISA zelf doet daar namelijk niks mee.

In ieder geval: je kan de AD Site (en dus de domain controller(s) in die site) hardcoded inkloppen in je registry -
HKLM/system/current control set/services/netlogon/parameters en dan SiteName.

Koppel dat met een HOSTS entry naar de juiste IP adres voor de servers, en je moet een heel eind komen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 6 augustus 2008 15:32

Acties:

GeeMoney

Topicstarter

alt-92 schreef op woensdag 06 augustus 2008 @ 15:22:
[...]

Dan moet je kijken naar de functionaliteit van het onderliggende OS, want ISA zelf doet daar namelijk niks mee.

In ieder geval: je kan de AD Site (en dus de domain controller(s) in die site) hardcoded inkloppen in je registry -
HKLM/system/current control set/services/netlogon/parameters en dan SiteName.

Koppel dat met een HOSTS entry naar de juiste IP adres voor de servers, en je moet een heel eind komen.

Bedankt voor je snelle reactie.
Om mijn post volledig te maken, ik heb een oude ISA server nog staan, en deze wil ik dus vervangen voor een nieuwe (bigger/better je kent het wel).
De oude ISA connect echter wel altijd naar het Testdomein, zonder dat 1 van bovenstaande oplossingen is toegepast?
Je begrijpt, ik wil graag weten hoe dit dan kan

Ik heb van de oude ISA een export gemaakt, deze geimporteerd op de nieuwe (en nagelopen) en het OS qua settings exact gelijk gemaakt. Behalve dat ik nu een SP2 op mijn Win2k3 heb staan en de oude heeft helemaal geen SP.

woensdag 6 augustus 2008 16:16

Acties:

alt-92

ye olde farte

Hoe staat de binding order dan bijvoorbeeld van je netwerkkaarten?
Als de eerste NIC die up komt degene is die in je Test netwerk hangt kan dat natuurlijk ook al van invloed zijn

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 6 augustus 2008 17:05

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

alt-92 schreef op woensdag 06 augustus 2008 @ 15:22:
[...]In ieder geval: je kan de AD Site (en dus de domain controller(s) in die site) hardcoded inkloppen in je registry -
HKLM/system/current control set/services/netlogon/parameters en dan SiteName.

Waarom zou je dat willen doen? Het onderliggende OS is site-aware en zou via de srv-records in DNS de juiste site en DC al moeten kunnen vinden. Als dat niet goed gaat, zal dat opgelost moeten worden. (en niet middels een ietwat smerige hack)

Domeinen in hetzelfde Forest, of verschillende Forests?
Ip-ranges van de NIC's zijn gekoppeld aan de juiste AD-site
Niet toevallig dezelfde Netbios namen voor de domeinen (in het geval van meerdere Forests)
DNS-instelling staan goed op de ISA-server?
Wat zegt Netdiag

[ Voor 6% gewijzigd door Question Mark op 06-08-2008 17:06 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 6 augustus 2008 19:13

Acties:

alt-92

ye olde farte

Question Mark schreef op woensdag 06 augustus 2008 @ 17:05:
[...]
Waarom zou je dat willen doen?

Hey, ik heb nooit gezegd dat het geen ranzige workaround was

Wij hebben dit bij een aantal Admin workstations moeten doen in verband met een onvoltooide uitrol van nieuwe certificaten voor SmartCards - een paar domain controllers in één site liepen zwaar te bokken en kregen de nieuwe certs niet.
Dan ben je dus dead in the water met je nieuw enrolled SmartCard en moet je wel een andere DC in een andere site kiezen want een nette manier om binnen een site altijd één DC te gebruiken is er ook niet echt

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 7 augustus 2008 14:16

Acties:

GeeMoney

Topicstarter

Ik heb gekozen voor een iets andere oplossing.
Ik had bij beide netwerkkaarten DNS ingevuld, terwijl hij maar aan 1 kant hoeft te resolven en dergelijke.
Nu is het probleem ook opgelost van de verkeerde DC te pakken....

donderdag 7 augustus 2008 16:53

Acties:

alt-92

ye olde farte

Ehm.. Ok.
Ik was er dan ook al vanuit gegaan dat dát sowieso al gecontroleerd was - vandaar de reghack

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 8 augustus 2008 10:30

Acties:

GeeMoney

Topicstarter

alt-92 schreef op donderdag 07 augustus 2008 @ 16:53:
Ehm.. Ok.
Ik was er dan ook al vanuit gegaan dat dát sowieso al gecontroleerd was - vandaar de reghack

Excuses

Ik kwam hier later ook pas achter toen ik nogmaals de netwerk settings naliep....