Montag, 16. Januar 2012

TMG mit multiplen WAN IP-Adressen und L2TP

Im Rahmen einer ISA -> TMG Migration bin ich auf einen sehr merkwürdiges Problem von TMG / Server 2008R2 gestoßen. Dieses stellt sich wie folgt dar.

Wer früher einen ISA 2006 mit mehreren WAN IP Adressen betrieben und darüber eine L2TP Einwahl für Clients bereitgestellt hat, wird diese Konstellation unter Microsoft Forefront TMG auf Windows Server 2008R2 eventuell nicht ohne weiteres bereitstellen können.

Grund hierfür ist, dass  Windows Server 2008R2 über einen neuen IP Stack verfügt.

Siehe dazu folgenden Microsoft Artikel:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;969029


Hierzu ein kleines Beispiel:

Der TMG Server verfügt über die folgenden externen IP Adressen:

x.x.x.182 - x.x.x.185

Die Clients verbinden sich per L2TP über die IP Adresse x.x.x.185.

In ISA 2006 / 2003R2 konnte die Verbindung auf dieser, aber auch auf allen anderen IP Adressen aufgebaut werden.

Unter TMG / 2008R2 ist das nicht mehr möglich, da TMG / 2008R2 ggf. nicht auf der IP Adresse antwortet auf der die Einwahl erfolgt ist, sondern eine scheinbar beliebige nimmt z.B. x.x.x.184. TMG verweigert in Folge dessen den Verbindungsaufbau.

Dieses Verhalten kann durch einen MS Hotfix / Workaround beeinflusst werden. Dabei wird auf Betriebssystemebene eine primäre IP Adresse für ausgehenden Datenverkehr festgelegt.
Eingestellt von um
Tags: , ,
Reaktionen: