Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Hallo,
ik probeer volledig virtueel een netwerkopstelling na te bootsen.
Wel met een "echte" DNS-naam. Gedelegeerd van een reeds bestand domein.

Het is de bedoeling om een 3-leg perimeter te bouwen. Zoals onderstaand schema.
http://www.wehuberconsult...yout_995C/3leg%5B2%5D.jpg

Probleem is nu: mijn dns server zit in het internal network & mijn ad server zit in het perimeter network.
Pingen van de 1e server naar de andere gaat dus niet.
De routering van heel het netwerk gebeurt adhv forefront tmg.
Heb nogtans hierop de verschillende netwerken ingesteld en rules aangemaakt maar pingen lukt nog steeds niet. Iemand enig idee hoe ik kan troubleshooten of links naar goeie tut's.
Ben hier een leek in maar wil wel veel bijleren.

Acties:
  • 0 Henk 'm!

  • Razwer
  • Registratie: December 2000
  • Laatst online: 28-09 17:01
natuurlijk gaat pingen niet, je moet er wel eerst een rule voor aanmaken
procotols: ICMP
from: Internal
from: Perimeter
to: Internal
to: Perimeter

Newton's 3rd law of motion. Amateur moraalridder.


Acties:
  • 0 Henk 'm!

  • Rolfie
  • Registratie: Oktober 2003
  • Nu online
OS Firewall op je server?
standaard staat volgens mij op Windows 2008 ICMP uit.

En anders in de logfiles van je TMG server kijken. Daarin staat hoe en of wat de packets mogen, of niet mogen.

Acties:
  • 0 Henk 'm!

  • webspider0
  • Registratie: Augustus 2010
  • Laatst online: 16-09 19:02
Zou het kunnen zijn dat er op de AD of de DNS server nog een eigen firewall heeft draaien waarop de ping pakketten worden geblokkeerd?

Samen met het bericht van Razwer, zou de ping dan toch zeker mogelijk zijn.

Probeer ook eens een keer door middel van de monitor van de TMG server te kijken of de pakketten wel binnenkomen, als ze binnenkomen en hij blokkeert ze dan zie je ook welke regel die blokkade verzorgt dat is een zeer handige functie bij het troubleshooten van je firewall.

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Nu online

Jazzy

Moderator SSC/PB

Moooooh!

Begrijp ik goed dat je een domain member in je perimiter netwerk wilt zetten? Of bedoelde je wat anders met "mijn ad server zit in het perimeter network".

Dat is niet zo'n handige opstelling omdat je nu een hele zwik poorten open moet zetten vanuit je DMZ naar het veilige interne netwerk. Wanneer een hacker nu één van je DMZ servers weet te overmeesteren, heeft hij gelijk vrije toegang tot je AD en interne netwerk.

Het idee achter een DMZ is juist dat 'vreemd verkeer' niet verder dan de DMZ komt en niet bij je interne netwerk. Verkeer vanuit de DMZ naar intern moet je dus zo veel mogelijk beperken.

Exchange en Office 365 specialist. Mijn blog.