» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

concorde

Пробежавшись быстро по предоставленным скриншотам вижу несуразицу. Предлагаю Вам для себя разрисовать что от куда по какому протоколу и порту у Вас настроено (идёт). А так же что требует аутентификации, а что нет.

Я думаю вы сами всё сразу поймёте. Ну, а если нет то тогда выкладывайте что получилось сюда. Коллективно разберёмся.

P.S. Не кажется Вам странным что вы пытаетесь перенаправить HTTPS с 443 на внутренний HTTP 80?

anton04

Цитата:

P.S. Не кажется Вам странным что вы пытаетесь перенаправить HTTPS с 443 на внутренний HTTP 80?

Не кажется. А должно? TMG внешний мир слушает на 443 порту, с внутренним веб-сервером общается на порту 80, что здесь странного? А по поводу аутентификации не совсем понял вопрос.

concorde


Цитата:

TMG внешний мир слушает на 443 порту, с внутренним веб-сервером общается на порту 80, что здесь странного?

Странно, то что 443 это HTTPS и требует сертификат (который у Вас установлен), а 80 это HTTP, который сертификат не требует.
Вот я Вам и говорю разрисуйте на бумаге как вы представляете что у Вас работает и как в данном контексте. И если сами не найдёте ошибки выложите этот рисунок сюда (а так же исходную задачу), будем искать вместе.
Или вы думаете, что по одному правилу публикации мне всё придельно станет ясно где у Вас что не так!? Простите, но мысли я пока читать не умею.

anton04

Цитата:

Странно, то что 443 это HTTPS и требует сертификат (который у Вас установлен), а 80 это HTTP, который сертификат не требует.

Читаем в справке по TMG информацию по настройке сертификатов сервера для безопасной веб-публикации:

Настройка сертификатов сервера для безопасной веб-публикации

Когда осуществляется публикация веб-серверов или приложений Outlook Web Access, в Forefront TMG используются следующие сертификаты.

Мост HTTP/HTTPS:
HTTPS-соединение между внешним клиентом и компьютером Forefront TMG.
HTTP-соединение между компьютером Forefront TMG и внутренним веб-сервером.

Примечание.
Для этого сценария необходим сертификат сервера на компьютере Forefront TMG, чтобы отождествить его с внешним клиентом.

Мост HTTPS/HTTPS.
HTTPS-соединение между внешним клиентом и компьютером Forefront TMG.
HTTPS-соединение между компьютером Forefront TMG и внутренним веб-сервером.

Примечание.
Для этого сценария необходим сертификат сервера на компьютере Forefront TMG, чтобы отождествить его с внешним клиентом, а также необходим сертификат сервера на внутреннем веб-сервере, чтобы отождествить его с компьютером Forefront TMG.


Очевидно, мною был выбран именно первый из предложенных сценариев.

Что же касается проверки подлинности при веб-публикации, то здесь руководствовался статьей http://technet.microsoft.com/ru-ru/library/cc441671.aspx, если конкретно, то из таблицы допустимых сочетаний учетных данных клиента и методов делегирования выбрал первую строку таблицы.
Надеюсь, что вышеозвученные вопросы отпали сами собой.

concorde

Нда... Я бы всё рекомендовал Вам озвучить задачу полностью и имеющиеся ресурсы тоже, а то получается что я клещами вытягиваю из Вас информацию (получается очень не продуктивно).

anton04
есть TMG, есть внутри сети сервер с IIS, на котором поднят сайт
задача: этот самый сайт опубликовать наружу через TMG, все банально до безобразия

concorde

Ну коли всё так просто зачем городить огород с сертификатами и т.п. дребеденью? Публикуйте не защищённый веб сайт без проверки подлинности и т.п., самый простой вариант, а уже если он будет работать и всё же Вам захочется заморачиваться с сертификатами, то у Вас по крайней мере будет от куда плясать (с заведомо рабочего варианта).

Коллеги подскажите как правильно разрешить пользователю доступ к FTP.
Написал правило:
Allow
Protocol: FTP
From: Int
To: Ext
Users: All Users

Initiated Connection SRVTMG 20.12.2013 10:21:57
Log type: Firewall service
Status: Операция успешно завершена.
Rule: Allow FTP
Source: Internal (10.74.4.44:4594)
Destination: External (194.146.119.206:21)
Protocol: FTP
User: domain\user


Режется вот тут:

Denied Connection SRVTMG 20.12.2013 10:21:57
Log type: Firewall service
Status: Отказано в доступе.
Rule: Default rule
Source: Internal (10.74.4.44:4595)
Destination: External (194.146.119.206:14887)
Protocol: Unidentified IP Traffic (TCP:14887)
User: domain\user

DiZka
протокол FTP выбрали из стандартного списка или создали свой кастомный (21 порт)?
Должен быть стандартный. Если стандартный - то в свойствах протокола - отмечена ли у него галочка что к протоколу привязан "FTP-фильтр" и не отключён ли этот фильтр в списке фильтров? Убирать эту привязку нельзя ибо фильтр как раз и обеспечивает сложносоставные вторичнопорождаемые коннекты на произвольные порты во время FTP-сессии для передачи данных.

fly_indiz
Протокол стандартный, галочка не отмечена, сейчас поставлю, проверю....

Спасибо! Дело было в фильтре! Работает!

Очень нужна помощь. ISA server 2006 EE

Опубликован сервер по UDP протоколу . После применения Правила публикации все начинает работать.

Но спустя некоторое время (от часа до нескольких часов) правило публикации перестает работать с ошибкой: Неудачная попытка соединения 0x80070034 ERROR_DUP_NAME.

Заставить работать правило можно только сменой порта везде: на сервере UDP, у клиента и в правиле публикации ISA. Правило начинает работать, пакеты летают. И снова спустя какое то время Неудачная попытка соединения 0x80070034 ERROR_DUP_NAME.

Который день ищу в инете что либо подобное. Ничего. Как ничего не написано про эту ошибку 0x80070034 ERROR_DUP_NAME ( Это вроде наличие в сети одинаковых имен хостов)

Сервера публикуются только по IP. Клиентом со стороны инета является конвертор IP/RS232 который имеет только статический IP, никакого имени. Между конвертором и ISA только маршрутизаторы провайдера. Этот самый конвертор в локальной сети с этим же сервером работает прекрасно. Следовательно проблема со стороны провайдера до ISA. Какое там может быть дублирование имен? Ума не приложу где искать это дублирование имен.

Спасибо.

bs2003
Microsoft рекомендует отключать netbios на внешних интерфейсах. Послушайтесь их.
Если на внутреннем указан сервер wins, то удалите и его.
Возможно поможет.
И не забудьте про этот инструмент -Microsoft Forefront Threat Management Gateway Best Practices Analyzer Tool
Ссылка

Спасибо за ответ. Только NetBios, и так же регистрация DNS и чтение файла LMHosts на внешнем интерфейсе отключены.
Почти 3 недели все работало нормально. Вчера был обрыв ВОК у другого провайдера. И пришлось форвард запросы ДНС сервера направить через этот узел.
И вновь эта ошибка.
Кабель восстановили, все вернул как было. Только вот эта ошибка осталась и никак не уходит. Тестовые UDP запросы на этот порт ISA пропускет. А рабочие пакеты режет

Здравствуйте,
У нас в офисе через роутер подключены к интернету скорость 14/14.
В ТМГ проверяю через speedtest.net скорость отображается как надо тоесть downloads 14 a Uploads 14. Но в клиентских компьютерах при проверке downloads показывает 14, а Uploads 5-6.
Из за чего это так даже не соображаю? где копать что делать?

Кто-нибудь ставил TMG2010SP1+ на 2008R2 полноценный DC ?
Уже когда DC "есть" , то есть после придания серверу роли контроллера.
Поделитесь как ?
Например установка Lyncs тоже оффициально не поддерживается на DC, но есть "инструкция" как его таки поставить на него.


P. S.: Сразу, чтобы расставить все точки на "Ё" - Возгласы и/или брюзжание слюной, типа "да я бы за установку .... (список ПО) на контроллер домена сделал бы ... (список возможных действий) !" , возгласающие засовывают себе это в разные свои места (кому куда приятнее) . Вопрос не "новичества" , а бюджета.

Ребят, помогите разобраться с проблемой : есть шлюз тмг, есть компьютер внутри сети. Есть запрещающее правило вида "запретить весь трафик из внутренней сети на такой домейн нейм сет (mail.google.com)". Експлорер нормально отрабатывает и доступа нет, а хром свободно заходит на эти ресурсы. В чем может быть загвоздка ? Скриншоты прилагаются :
http://s8.uploads.ru/dBD9I.jpg
http://s9.uploads.ru/oYarm.jpg

arm1986
Очевидно у тебя хром обходит прокси.
http://forumaboutproxy.com/oe-oo/kak-nastroit-proksi-v-google-chrome-poshagovaia-instruktsiia-v-fotografiiah/

arm1986

Запрети аномимусы и будет тебе счастье.

SergeyMark


Цитата:

Очевидно у тебя хром обходит прокси.

Ну во первых не обходит, а использует те возможности для коннекта которые предоставлены TMG (т.е. банально не правильно настроен TMG). Иначе грошь цена была бы такому фаеру который обходился бы как два пальца...

Ага, спасибо. Буду пытаться избавляться от правил с "All users"
PS Или можно как то галочкой запретить анонимусов ?

Кто-нибудь UAG настаивал на авторизацию через смарт-карты? Как решить проблему кривого считывания имени субъекта сертификата на русском языке?

http://habrahabr.ru/post/135438/

Добавьте пжл в faq эту понятную и правильную статью по миграции с ISA2006 на TMG2010, потому что в ней ей важный момент, касательно конвертации экспортированного xml файла с помощью EESingleServerConversion.exe

Привет всем!
Подскажите, правильно ли сделал:
Есть задача подключаться извне по RDP к серверу внутри локалки(192.168.1.2), через
проксю isa 2000.
Не хочу, что бы было подключение по 3399.
Что я сделал:
создал нужное правило, в закладке Traffic по кнопке Ports, в разделе Firewall Ports выбрал Publish on this port instead of the default port: 10001
Теперь подключение к статическому внешнему ip выглядит так: *.*.*.*:10001
Все правильно?
Или нужно еще на самом локальном серваке rdp порт менять?

Подскажите, пожалуйста, будет ли работать "односторонний" site-to-site vpn?
Дано: центральный офис, филиал, учетная запись для подключения сотрудников к центральному офису (клиент-сервер).
Я указал эту учетку для vpn site-to-site на tmg (создал сетевое и правило доступа) Подключение происходит, с хоста (с TMG) ресурсы доступны, но из локальной сети удаленные ресурсы недоступны.
Это может быть связано с тем что в центральном офисе не настроено подключение site-to-site? Или это настройка в правилах?
Спасибо.

deIfin
насколько я помню site-to-site настраивается с двух сторон.

Добрый день!

Помогите плиз!

Есть сервер https://172.16.10.252:7781/ec/faces/index.xhtml


как сделать чтоб набирая ec.local в браузере сразу открывалась это

https://172.16.10.252:7781/ec/faces/index.xhtml


Помогите плиз нужно очень срочно!

Заранее спасибо!

Добавлено:
Добрый день!

Помогите плиз!

Есть сервер https://172.16.10.252:7781/ec/faces/index.xhtml


как сделать чтоб набирая ec.local в браузере сразу открывалась это

https://172.16.10.252:7781/ec/faces/index.xhtml


Помогите плиз нужно очень срочно!

Заранее спасибо!

artclub

Причём тут иса!? Вам DNS и веб сервер на что дан то!?

anton04

Ест DNS и веб сервер все работает если набрать https://172.16.10.252:7781/ec/faces/index.xhtml


но не как не могу перенаправить на ec.local

Где копать не знаю?

artclub


Цитата:

Ест DNS и веб сервер

Цитата:

но не как не могу перенаправить на ec.local
Где копать не знаю?

По моему я высказался яснее некуда? Или вы таких "тонких" намёков не понимаете?
Тогда говорю прямо, иса не причём, копайте свой DNS и веб сервер!

И помните каков вопрос, таков и ответ. Коли вопрос не полон, то и ответ соответствующий.

P.S. Умение правильно задавать вопросы

Привет. Тестирую продукт TMG 2010 RTM (пока без обновления самого продукта) в виртуальной среде. Есть несколько вопросов:
В центре обновлений пишет, что nis обновлен сегодня, но версия сигнатур 17.36.0.0. Это майкрософт перестали выпускать сигнатуры, или у меня проблемы? malware inspection версии 1.177.872

Где в настройках программы можно менять Вид окна, котырый тмг выводит , например пользователю, при его входе на запрещенный ресурс? По дефолту окно как на ИСЕ, но точно знаю есть и другие + хочу попробовать самому написать Алерт.

Стратегия использования на клиентских тачка это файрволл клиент, на серверах также их ставить? или их делать клиентами snat ? Спасибо за ответы

Надо ставить пак 1, затем на него апдейт 1, затем пак 2. После этого вопросов будет поменьше.

Цитата:

Где в настройках программы можно менять Вид окна

Страницы ошибок это называется

Добавлено:
Кстати, текст, выводимый на экран можно менять. В свойствах запрещающего правила Действия -- Доплнительно