TMG mit multiplen WAN IP-Adressen und L2TP

Im Rahmen einer ISA -> TMG Migration bin ich auf einen sehr merkwürdiges Problem von TMG / Server 2008R2 gestoßen. Dieses stellt sich wie folgt dar.

Wer früher einen ISA 2006 mit mehreren WAN IP Adressen betrieben und darüber eine L2TP Einwahl für Clients bereitgestellt hat, wird diese Konstellation unter Microsoft Forefront TMG auf Windows Server 2008R2 eventuell nicht ohne weiteres bereitstellen können.

Grund hierfür ist, dass  Windows Server 2008R2 über einen neuen IP Stack verfügt.

Siehe dazu folgenden Microsoft Artikel:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;969029

Hierzu ein kleines Beispiel:

Der TMG Server verfügt über die folgenden externen IP Adressen:

x.x.x.182 - x.x.x.185

Die Clients verbinden sich per L2TP über die IP Adresse x.x.x.185.

In ISA 2006 / 2003R2 konnte die Verbindung auf dieser, aber auch auf allen anderen IP Adressen aufgebaut werden.

Unter TMG / 2008R2 ist das nicht mehr möglich, da TMG / 2008R2 ggf. nicht auf der IP Adresse antwortet auf der die Einwahl erfolgt ist, sondern eine scheinbar beliebige nimmt z.B. x.x.x.184. TMG verweigert in Folge dessen den Verbindungsaufbau.

Dieses Verhalten kann durch einen MS Hotfix / Workaround beeinflusst werden. Dabei wird auf Betriebssystemebene eine primäre IP Adresse für ausgehenden Datenverkehr festgelegt.

Logon-Link in OWA Logoff-Seite hinzufügen

User von Outlook Web Access kennen das Problem: Man klickt in OWA auf den Abmelden-Button und möchte sich dann doch noch mal wieder anmelden. Auf der Logoff-Seite gibt es jedoch keinen Link, um sich wieder einzuloggen, also muß man die URL neu eingeben, ziemlich umständlich...

Man kann die Logoff-Seite jedoch anpassen und einen Link hinzufügen. Und das geht so:

1.) Sicherheitskopie der Datei C:\Program Files\Microsoft\Exchange Server\ClientAccess\Owa\auth\logoff.aspx machen
2.) logoff.aspx mit Notepad öffnen
3.) nach "Message%" suchen
4.) folgende Zeile nach dem nächsten "</tr>" einfügen:

<tr><td align="center"><a href="https://webmail.example.com/owa"><b>Login</b></a></td></tr>

5.) Datei speichern, fertig!

So sieht's dann aus:



Wenn Sie mehrere Client Access Server haben, müssen Sie die Änderung natürlich auf jedem CAS durchführen. Vor der Installation eines Rollups oder eines Service Packs, sollte die Datei gesichert werden, da sie u.U. überschrieben wird.

Kleiner Nachtrag:

Wenn man OWA über einen ISA Server veröffentlicht, lautet die entsprechende Datei auf dem ISA Server "C:\Programme\Microsoft ISA Server\CookieAuthTemplates\Exchange\HTML\logout_smimecap.htm".

Damit die Änderung sichtbar wird, muß der Dienst "Microsoft Firewall" neugestartet werden.

Virtualisierung von ISA Servern

Kürzlich habe ich bei einem Kunden einen ISA Server 2006 in einer VM unter XEN Server installiert. Anfangs lief auch alles gut, bis ich die Web-Veröffentlichung des Exchange-Servers von einigen Servern testen wollte.

Von einigen Servern lief's ohne Probleme, andere liefen beim Verbinden mit Port 443 in einen Timeout. Es stellte sich heraus, daß alle Server, die auf dem gleichen XEN-Server wie der ISA Server liefen, KEINE HTTPS-Verbindung aufbauen konnten (Ping z.B. ging!), von allen anderen Servern aus ging es.

Ursache ist das Feature "TaskOffloading", das mittlerweile standardmäßig bei Windows Server 2003 aktiviert ist. Nachdem TaskOffloading per Registry auf dem ISA Server deaktiviert wurde (http://support.microsoft.com/Default.aspx?scid=kb%3ben-us%3b904946&x=9&y=15), klappte dann auch die Verbindung von VMs, die auf dem gleichen Host liefen.

Ich hab's noch nicht getestet, aber ich vermute, daß das gleiche Problem auch unter ESX und Hyper-V auftreten wird...