» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

anton04

Стоит на резервном. Денег нет на отдельные машины расскидать(

Добавлено:
С*ка всплыл почему то в dns старый кд который уже давным давно убрали(

Добавлено:
anton04

Как можно вычистить с компьютера старый днс? в АД его нет, только в ДНС, удаляю записи на обоих серверах а после перезагрузки опять появляется

Как выяснилось всплыл старый днс, и резервный пытался с ним сделать репликацию. Но всплыл еще один ньюянс, где то вычитал на форумах. Бекап делает керио, и если разворачивать бакап то перестает работать репликация. Недавно разворачивал бекап, и посмотрев по логах на следующий день перестала работать репликация. Проблему решил понижением резервного КД до обычного

Добрый день!

Столкнулся с такой проблемой!

Нужно ограничить скорость группе на развлекательный сайты!

Все настроил и работает нормально, но на youyube i facebbok ограничение не работает!

Как быть, подскажите где копать где копать?

Заранее спасибо!


Добавлено:
На youtube i facebook

Добрый день!

Microsoft Forefront TMG firewall stopped как исправить?



Делаю перезагрузку TMG firewall дает ошибку




Добавлено:
Windows could not stop the Microsoft Forefront TMG storage service on TMG

error 1061: the service cannot accept control messages at this time


service TMG firewal не отвечает

где копать?

Добрый день, помогите с проблемой
есть сеть с 20 компами в домене,
стоит Forefront TMG ,
на двух ПК пропал инет, сеть работает на все 100% но инета нету у этих двух из 20,
тот юзер который без инета сел на соседнем пк там где работает инет, он может зайти в инет под своей учоткой, тобиш дело не в квоте, пробывал сносить касперского переустанавливать TMG, результата нет. в чем может быть причина?

west08013
Попробуй сделать следующее на компах где нет Интернета:
Выполни команды:

Цитата:

netsh int ip reset

и

Цитата:

netsh winsock reset

Можно и даже нужно полностью переустановить протокол TCP/IP
1. Загрузись в "Безопасный режим" (кнопка F8 при загрузке)
2. Запусти regedit и удали 2 ключа в реестре:

Цитата:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\

3. Открой файл C:\windows\inf\Nettcpip.inf в текстовом редакторе -
Найти раздел:

Цитата:

[MS_TCPIP.PrimaryInstall]

В этом разделе будет запись:

Цитата:

Characteristics = 0xa0

замени 0xa0 на 0x80
Сохрани файл.
4. В этом пункте надо зайти в настройки сетевого адаптера. Для этого нужно зайти в "Панель Управления" -> "Просмотри состояния сети и задач" -> "Изменение параметров адаптера" -> правой кнопкой мыши щелкнуть значок "Подключение по локальной сети" и в контекстном меню выбрать "Свойства".
Далее требуется последовательно щелкнуть "Установить" -> выбрать "Протокол" и нажать кнопку "Добавить".
5. В окне "Выбор сетевых протоколов" щелкнуть "Установить с диска"
6. В окне "Копировать файлы с диска:" ввести "C:\Windows\inf" и нажмите кнопку ОК.
7. Выделить пункт "Протокол Интернета (TCP/IP)" и нажми кнопку ОК
8. После этих манипуляций станет активна кнопка "Удалить", с помощью которой удаляется "Протокол Интернета (TCP/IP)"
Теперь выдели "Протокол Интернета (TCP/IP)" и удали его.
9. Перезагрузи компьютер
10. Зайти опять в "Панель Управления" -> "Просмотри состояния сети и задач" -> "Изменение параметров адаптера" -> правой кнопкой мыши щелкни значок "Подключение по локальной сети" и в контекстном меню выбери "Свойства", используя кнопку "Установить с диска" установи "Протокол Интернета (TCP/IP)", при установке укажи путь - С:\windows\inf
11. Еще раз перезагрузи компьютер
12. Проверь, заработал ли Интернет.

west08013

Причём ту TMG я вообще не врубаюсь!? Зачем писать тогда в этот топик?

, засрали ветку. ))
Это я ему посоветовал, но потом понял что, не надо было этого делать.

Привет. Подскажите, на тмг2010 для блокировки доступа к https сайтам, достаточно включить проверку только сертификатов сайтов ( в настройках проверки https)? Спасибо

Добрый всем, люди подскажите не посвященному - tmg 2010 веб доступ к сайтам, какие то непонятки в плане на яндекс ходит на гугл меил нет, но пинг ходит а по http не удается подключиться. Как так может быть?

cRYSMAS
скрин правил присылай

ambal2007
уже разобрался у меня мозилка глючила, в ИЕ все открывается и работает.

Вопрос можно прикрутить Exchange 2013 к tmg 2010?
Суть проблемы в кратце: в локальной сити ссылки на внешнее имя и внутреннее работает все ходят на OWA ECP и т.д. проблем нет, на сервере TMG вылазит ошибка: страничка недоступна в логах пишет: источник 10.10.1.1 (Сервер TMG) получатель 10.10.1.10(Exchange 2013) порт 443 по протоколу https-innspec примечание неудачная попытка соединения
и ппц какого ляда?
серты установлены с Екч. TMG 2010 в домене.

При публикации сервера Exchange 2013 в TMG2010 есть только сервера от 2000 до 2010 а 2013 нету я выбрал как 2010.

При проверке правила только exchange и public каталог не найдет. а OWA ECP ошибок не найдено.

Подскажите куда смотреть?

cRYSMAS
добавьте в исключение HTTPS inspection Ваш сервер Excluding sources and destinations from HTTPS inspection

При публикации Exchange 2013 через визард TMG Server 2010 необходимо внести изменения в правила публикации как это сделать указанно тут Publishing Exchange 2013 Outlook Web App

Так же стоит проверить Метод Аутентификации как на слушателе TMG Server 2010 так и на Exchange 2013

Цитата:

123Maximus123

Добрый, отключил проверку по https, так все работает.
А TMG настолько умный что блокирует назначение айпи адреса?.
Тобишь не могу получить по dhcp айпи адрес. в логах dhcp запрос отклонен. прописываю правило источник внешеняя сеть, получатель локальный комп. протокол dhcp запрос - разрешить. - отклонен все равно. Что делаю не так?

Добрый день cRYSMAS

Цитата:

Тобишь не могу получить по dhcp айпи адрес. в логах dhcp запрос отклонен. прописываю правило источник внешеняя сеть, получатель локальный комп. протокол dhcp запрос - разрешить. - отклонен все равно. Что делаю не так?

Уточните для чего на внешнем интерфейсе TMG динамический IP адрес? или опишите какая стоит задача?
**SOLUTION**
Для получения динамического IP адреса на внешнем интерфейсе Вам необходимо на текущей конфигурации TMG внести изменения в системные политики TMG -> KB article 841141 (статья KB для ISA 2004/2006 но настройки верны и для TMG 2010)
или же при первоначальной настройке TMG 2010 в Configuration Wizard указать получения динамического IP адреса на внешнем интерфейсе TMG 2010 сервера


при этом вы увидите уведомление/предупреждение



Рекомендуется на внешнем интерфейсе TMG 2010 устанавливать статические IP адреса.

добрый, я как с этим продуктом не сталкивался трудился на КВФ, задача стоит что б продемонстрировать выше стоящему руководству вход на свою почту посредством Exchange из вне (не локальная доменная сеть), а так как играюсь на тестом сервере и всех тонкостей работы TMG еще не знаю, а сейчас все это ходит через фряху и айпишник динамический, буду просить своего провайдера выделить временно статический айпи. спасибо за инфу.
Попробую, отпишусь.

Оффтопик
cRYSMAS
Для решения вашей задачи возможны 4 варианта на базе продукта TMG 2010
1) ActiveSync - публикация протокола для мобильных устройств
2) Outlook Web App (OWA) - веб интерфейс ящика Exchange
3) Outlook anywhere - доступ к почтовому ящику по средствам клиента MS Office Outlook
4) VPN на базе TMG 2010 сервер когда требуется доступ к другим сервисам вашей сети.

Все выше перечисленное возможно реализовать на вашем FreeBSD маршрутизаторе, Аутентификацию (учетных записей) доступа придется переложить на Exchange сервер. в случае использования TMG возможны варианты разграничения прав доступа к сервисам Exchange путем создания групп в TMG.

Народ, добрый день.
Кто пробовал заблокировать HTTP- туннель от Ultrasurf?

Добавлено:
https://ru.wikipedia.org/wiki/Ultrasurf
Программное обеспечение работает путем создания зашифрованного туннеля HTTP между компьютером пользователя и центральной базой прокси-серверов, что позволяет пользователям обходить брандмауэры. UltraReach использует только свои собственные серверы.

Случилась вот такая проблема:
ISA2004. MDaemon. Раньше почтовик и ИСА стояли на одной машине. Теперь разнес.
В какой-то момент времени вместо внешнего адреса почтового сервера 193.104.69.228 начинает в логах вылезать внешний адрес ИСА 193.104.69.226. Естессно все принимающие стороны говорят что такого не знают, поэтому все сессии Terminated. На ветке MDaemon говорят что это ИСА. Куда копать - не понимаю.

plastunspb
Добрый день
оффтопик
не совсем понятен смысл слова "разнес", если это 2 разные физические машины и Мдемон стоит позади ISA 2004 сервера то вам необходимо произвести публикацию всех необходимы портов на ISA 2004 (с внесением изменений в сопутствующие сервесы -DNS ). Если же ISA 2004 и Мдемон подключены к глобальной сети Интернет независимыми подключениями то вам необходимы другие меры.
ЗЫ Уберите реальные адреса ваших серверов из Вашего сообщения.
у Вас существует 1 запись МХ -> 10 mail.t*****w.ru. [TTL=900] IP=193.*.*.**8
по указанному IP нет ответа на 25/110 порты

Milas8
как вариант воспользоваться AppLocker + GPO (веб браузеры и прочее)
запрет по списку IP адресов (Ultrasurf) или же по сигнатуре его клиента или заголовкам
Configuring HTTP filtering
Configuring the ISA Server 2006 HTTP Filter

Добрый день! Помогите пожалуйста.. всё перепробовал, все праздники убил на настройку, но так и не победил.

Имеется введённый в домен TMG 2010 на Windows Server 2008 R2 и на этом же компьютере установлен почтовый сервер Mdaemon 12

Конфигурация стандартная, одна сетевая карта смотрит к провайдеру (получает всё по DHCP и потом устанавливается PPPoE соединение), вторая в свитч внутренней сети.

Внешний айпи статический белый,
внутренний статический локальный.

Сделал правило публикации почтового сервера, протоколы SMTP Server, IMAP Server, POP3 Server, в качестве публикуемого хоста указал внутренний айпи сервера с TMG. Входящая почта нормально работает, письма все приходят, а вот с отправкой беда полная.
Сделал правило доступа, разрешающее протокол SMTP (TCP: 25 исходящий) из всех сетей (внутренняя, внешняя, локалхост) во все сети для всех пользователей, но не могу никуда подключиться.

Когда пробую телнетом, то
Цитата:    
C:\Users\Administrator.SPORT>telnet smtp.yandex.ru 25
Connecting To smtp.yandex.ru...Could not open connection to the host, on port 25 : Connect failed    


Когда пробую тестовое письмо отправить, то в логах почтового сервера

Sat 2015-01-10 17:57:01: Parsing message <c:\mdaemon\queues\remote\retry\pd90000000476.msg>
Sat 2015-01-10 17:57:01: * From: a.i@a-sport.ru
Sat 2015-01-10 17:57:01: * To: nospan1@mail.ru
Sat 2015-01-10 17:57:01: * Subject: =?UTF-8?B?0J/RgNC+0LHQsA==?=
Sat 2015-01-10 17:57:01: * Size (bytes): 3375
Sat 2015-01-10 17:57:01: * Message-ID: <74417075-F066-4ED8-A42E-BF3487B09AE6@a-sport.ru>
Sat 2015-01-10 17:57:01: Attempting SMTP connection to [mail.ru]
Sat 2015-01-10 17:57:01: Resolving MX records for [mail.ru] (DNS Server: 194.247.191.131)...
Sat 2015-01-10 17:57:01: * P=010 S=000 D=mail.ru TTL=(8) MX=[mxs.mail.ru]
Sat 2015-01-10 17:57:01: Attempting SMTP connection to [mxs.mail.ru:25]
Sat 2015-01-10 17:57:01: Resolving A record for [mxs.mail.ru] (DNS Server: 194.247.191.131)...
Sat 2015-01-10 17:57:01: * D=mxs.mail.ru TTL=(1) A=[94.100.180.150]
Sat 2015-01-10 17:57:01: * D=mxs.mail.ru TTL=(1) A=[217.69.139.150]
Sat 2015-01-10 17:57:01: Randomly picked 94.100.180.150 from list of A records
Sat 2015-01-10 17:57:01: Attempting SMTP connection to [94.100.180.150:25]
Sat 2015-01-10 17:57:01: Waiting for socket connection...
Sat 2015-01-10 17:57:22: * Winsock Error 10060 The connection timed out.
Sat 2015-01-10 17:57:22: * 94.100.180.150 added to connection failure cache for 5 minutes
Sat 2015-01-10 17:57:22: This message is 0 days old; it has 2 days left to get delivered
Sat 2015-01-10 17:57:23: SMTP session terminated (Bytes in/out: 0/0)
Sat 2015-01-10 17:57:23: ----------    


А в мониторе на TMG сервере следующее:
При попытке отправить письмо сначала появляется строка о том, что соединение установлено

Initiated Connection NEWMAIL 10.01.2015 17:43:12
Log type: Firewall service
Status: The operation completed successfully.
Rule: [System] Allow SMTP from Forefront TMG to trusted servers
Source: Local Host (194.247.191.18:10287)
Destination: External (93.158.134.38:25)
Protocol: SMTP
Additional information
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 0ms Original Client IP: 194.247.191.18

но потом через несколько секунд появляется запись о том, что соединение разорвано

Closed Connection NEWMAIL 10.01.2015 17:43:19
Log type: Firewall service
Status: A connection was closed because no SYN/ACK reply was received from the server.
Rule: [System] Allow SMTP from Forefront TMG to trusted servers
Source: Local Host (194.247.191.18:10273)
Destination: External (213.180.204.38:25)
Protocol: SMTP
Additional information
Number of bytes sent: 152 Number of bytes received: 0
Processing time: 69093ms Original Client IP: 194.247.191.18    

Сейчас тут в примере системное правило (которое по умолчанию в TMG 2010), но когда я включал правило, разрешающее протокол SMTP из всех сетей во все сети, то в логе было именно оно, а всё остальное тоже самое

Я пробовал снимать галочку SMTP фильтр в свойствах протокола SMTP, пробовал отключать системные правила, касающиеся SMTP трафика, пробовал выключать всякие детекторы вторжения, вирусов и т.д., выключал и включал IP Packet Filter, ничего не помогает. И гуглил 2 дня и яндексил, информации мало. Код ошибки при разрыве соединения 0xc0040038 FWX_E_TCP_NO_SERVER_REPLY

но по этой ошибке ничего вразумительного не нашел

Подскажите пожалуйста, что еще можно попробовать? С ISA Server 2004 такая конфигурация отлично работала 3 года, а тут вот обновился до TMG 2010 и такой затык на несколько дней. Рад буду любым советам и помощи

awe007
Добрый день.
1) Вам стоит проверить вашу доменную зону "a*****t.ru" на предмет МХ записей и завести их верно
2)Ваш IP адрес 148.***.*.*2 (это внешний интерфейс(IP адрес) на TMG ???) не отвечает на 25/110, значит что то все же с публикацией\правилом доступа
3) Mdaemon на каких сетевых слушает - внутренняя или внешняя сеть ?
4) Как почтовые клиенты настроены ? что у них указанно в качестве POP3/SMTP серверов
5) В вашем логе Ошибки с TMG есть Source: Local Host (194.2**.***.*8) можно узнать - это внешний интерфейс (IP адрес) на TMG ???
0xc0040038 FWX_E_TCP_NO_SERVER_REPLY - проблема с маршрутизацией, отправленные пакеты не могут возвратиться, как пример\вариант вышестоящий провайдер блокирует smtp сервера у себя в сети , Вы указали что у вас DLS подключение
ЗЫ Уберите реальные адреса ваших серверов из Вашего сообщения.

Привет всем:
Настроил в Isa правило для SMTPS(порта 465)(настроил аналогично правилу для PoP3, так как это правило работает), пытаюсь отправить почту с удаленного компьютера через наш почтовый сервер- ошибки
Ошибки в почтовом клиенте The bat на удаленном компе
14.01.2015, 16:11:57: SEND - Подключеник к SMTP-серверу **.**.***.*** через порт 465
!14.01.2015, 16:11:58: SEND - Невозможно соединиться с сервером. Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение

Смотрю логи isa по порту 465:
первое сообщение - the operation completed successfully
второе -A connection was abortively closed after one of the peers sent an rst segment
Странно, настроил аналогично работающему правилу, но почему то isa обрывает подключение(( Где копать?

ph5


Цитата:

Странно, настроил аналогично работающему правилу, но почему то isa обрывает подключение(( Где копать?

Конечно в исе! Аналогично настроенное правило тоже SMTPS? И внутренний адрес у нового правила тот же? Иса какая?

anton04
ISA 2004 St
Нет, аналогично настроенное правило это для POP3.
Правило для POP3 так выглядит:
Action - Allow.
Protocol - POP3, POP3 Server, POP3S Server.
From\Listener - External, Internal, Local Host.
To - Internal, Local Host.
Condition - All user

При этом у удаленного пользователя принимается почта с нашего сервера, как будто он внутри нашей сетки находится.

Делаю аналогичное правило для SMTPS(естественно, протоколы меняю на SMTPS) - что бы человек мог через наш сервер отправлять почту - ошибки "A connection was abortively closed after one of the peers sent an rst segment"

ph5


Цитата:

ISA 2004 St

SP стоят все?

У тебя демон стоит на исе что-ли!?

anton04
Да, все сервис паки есть
И мдаемон, да, на проксике isa

при ошибке
(12204) The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests.

нужно внести порты в SSL, переложите пжл у кого сохранились:
http://www.isatools.org/tools/isa_tpr.js
http://www.isatools.org/tools/ISAtrpe.zip

взято здесь, похоже сайт увели:
http://www.isaserver.org/articles/2004tunnelportrange.html

http://tmg-cpechana.blogspot.ru/2011/04/isa-tunnel-port-tool-isa-tprjs.html
http://sysadmins.ru/download.php?id=1275

http://support.microsoft.com/kb/283284/

Xatrix
оф сайт
Redline ISA Server / TMG Toolkit 1.3
http://www.redline-software.com/ger/download/

Описание
Tunnel Port Range Editor
manual http://www.it-training-grote.de/download/isaserver-toolkit.pdf

зеркало http://rghost.ru/60531026