TMG FireWall

?Op donderdag 12 januari merkte ik dat op de TMG server verkeer van interne clients niet intern worden geroute door de TMG server. Dit was in de log bestanden op in de denied server rules na te lezen. hierdoor ben ik nagegaan waar deze wel naar toe werden verwezen. Dit bleek het perimeter netwerk dat in oktober naar behoefte van MS lync edge server is aangepast.

Doordat clients naar het perimeter netwerk worden verwezen wordt het interne verkeer van en naar webapplicaties die gebruik maken van het FQDN verwezen naar niets. Problemen die hiermee te maken hebben is:

  • Verkeer komt niet aan op de webserver en men krijgt een 502 error.
  • WSUS diensten die verwijzen naar FQDN kunnen niet updaten
  • MOM aanvragen om clients en servers controleren worden niet gevonden en monitoring van servers geven een foutieve status door waardoor er niet proactief kan worden gehandeld.

Na het aanpassen vanhet perimeter netwerk kon TMG niet meer laden en de storage server van TMG gaf foutmeldingen. Na uitzoeken hebben we dit hersteld naar oorsprokelijke instellingen.

Vrijdag 13 januarie ben ik rond 12:00 er achtergekomen dat intern wel uitgebeld kon worden, maar er kon niet meer ingebeld worden. Hierdoor heb ik contact gezocht met interoute, zij konden niet direct mij vertellen wat het probleem kon zijn en hebben het incident doorgezet naar het NOC. Hierop heb ik contact opgemonen met BPMI. aangezien de TMG packetes werden dienied door de TMG server op de default rule. Alle instellingen voor Lync waren hersteld zoals deze op de ochtend van donderdag 12 januarie waren.

Ik ben door Maurice Perijn door verbonden in een conf call met Boudewijn Plomp een Security specialist met kennis van MS TMG 2010 server. We zijn alle rulles voor Lync doorlopen en kwamen wederom er achter dat het perimeter netwerk voor problemen zorgde. Na het verwijderen van onjuiste noteringen binnen TMG kon ik geen conectie meer kijgen met de storage service. Deze zorgt voor het correct oplsaan van de Firewall rules. Na wikken en wegen of het mogelijk is om de service te herstellen heb ik rond 15:00 besloten om de server op nieuw op te bouwen met als doel de eerste behoeften (internet) weer aan de praat te krijgen. Ik zou dan met hulp van Bouwdewijn de Lync Firewall rulles kunnen herstellen.

Om 17:00 waren de basis settings voor het internet verkeer weer hersteld. DNS forwarding was weer vankracht en internet kon weer organisatie wijd worden gebruikt. Lync werkt nog niet zaterdag 14 januarie heb ik hiervoor telefonische overleg met bouwdewijn om Lync weer aan de paraat te krijgen zidat maandag ochtend men weer telefonisch bereikbaar is. In navolging hiervan zal ik de CRM, APT, Insite en Extranet Websites weer beschikbaar stellen. Interne clients kunnen weer met FQDN comuniceren waardoor bovenstaande diensten zoals MOM en WSUS weer normaal functioneren.