» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Доброго дня. Подскажите как определить будет ли fwc отправлять все запросы на tmg какой то программы? Столкнулся с проблемой, почему то не в какую не хочет отправлять запросы UDP порты 55050-55151, шлются напрямую на шлюз...

Xasan


Цитата:

Подскажите как определить будет ли fwc отправлять все запросы на tmg какой то программы?

Логирование TMG Вам в помощь


Цитата:

Столкнулся с проблемой, почему то не в какую не хочет отправлять запросы UDP порты 55050-55151, шлются напрямую на шлюз...

Не понятно, а почему они НЕ должны туда посылаться!? Возможно стоит добавить Вашу программу в исключение в настройках FWC на стороне TMG.

Цитата:

Доброго дня. Подскажите как определить будет ли fwc отправлять все запросы на tmg какой то программы? Столкнулся с проблемой, почему то не в какую не хочет отправлять запросы UDP порты 55050-55151, шлются напрямую на шлюз...

возможно стоит внести ip адрес/FQDN имя которое является локальным ресурсом в исключение для прямого подключение к ресурсу минуя FWC и Web proxy Bypassing Forefront TMG for Web proxy client requests Configuring Direct Access for Web Proxy Connections
или запретить прослушивать запросы от данного приложения в TMG Firewall Client (об это вам сообщил anton04)
Configuring application settings for Forefront TMG Clients

Немного не поняли меня, я наоборот хочу, что бы определенная программа наоборот работала через fwc принудительно. Она же наоборот не в какую не хочет использовать fwc а ломится на шлюз по умолчанию, TMG в данной топологии не является шлюзом..

Xasan
Воспользуйтесь этой статьей Configuring application settings for Forefront TMG Clients

Deconstructing Forefront Threat Management Gateway (TMG) 2010 Firewall Client Operation and Communication

внесите имя процесса и установите ключ "Disable" в значение 0
или/и
внесите имя исполняемого файла и установите ключ "DisableEx" в значение 0

воспользуйтесь утилитой TCPView v3.05 (Sysinternals) для мониторинга подключений а так же Мониторингом на TMG сервере, и проверьте работает ли ваша конфигурация как вы ожидали.

Привет всем! Уже вопрос задавали, повторюсь: нужно блокирнуть вконтакте и одноклассники в isa 2004. Одноклассники вроде блокируются, а вот вконтактик... по https никак не получается. Может все такие есть решение?

ph5

Цитата:

а вот вконтактик... по https никак не получается. Может все такие есть решение?

Блокируй по IP адресам DNS серверов.

SergeyMark
Конкретно по ip сложно его поймать... Попробую по диопазону ip адресов блокирнуть. Или ты и имел ввиду диапозон?

ph5
IP будет наиболее результативно так как там HTTPS. ISA говорит что используй URL Sets & Domain Sets НО есть GoogleChrome и ему подобные браузеры на них действуют только Address ranges

под сети VKontakte Ltd
bgp.he.net

123Maximus123
В итоге против контактика, однокл-ов и стограмма использовал Address ranges... По другому не получалось. Https чет не позволял по ip и DNS блочить

ph5
TMG HTTPS inspection

но там тоже свои грабли и костыли

ph5

Цитата:

Или ты и имел ввиду диапозон?

Я имел в виду IP адрес сервера DNS.Узнать не сложно. Можно поиском в инете. Можно специальных сайтах. Например http://speed-tester.info/dig.php

Может кто сталкивался, при установке adobe flash, acrobat reader, там сначала файл закачивается а потом только он закачивает саму программу. Так вот загрузчик файла все время обрывается. Где это можно исправить в ТМГ?

Leon1978

Добавить *.adobe.com в список исключений для антивирусной проверки

Li_Support_Ltd
что за антивирусная проверка? У меня нету такой на ТМГ.

SergeyMark
Узнать не проблема. Проблема в том, что ip часто меняются. Я решил проблему блокировки ВК и Стограмма с помощью Address ranges.
Leon1978
У меня такая фигня на isa 2004 когда стоит запрет на закачку exe-файлов. Временно убираю запрет и все закачивается и устанавливается. Вообще раньше было попроще - можно было качать полные дистрибы адобе. Но потом они это прикрыли

Leon1978
вам необходимо проверить что является причиной вашей блокировки
настройка логирования
Understanding TMG Logging
настройка проверки наличия вредоносных программ
1,2,3


оффтопик
Adobe Flash Player Distribution
Adobe Reader for Windows
+ ftp://ftp.adobe.com/pub/adobe/reader/win

Leon1978

Цитата:

Так вот загрузчик файла все время обрывается

Загрузчик основного пакета не умеет работать через прокси с авторизацией.
ph5

Цитата:

Вообще раньше было попроще - можно было качать полные дистрибы адобе. Но потом они это прикрыли

Не прикрыли. http://www.adobe.com/ru/products/flashplayer/distribution3.html

Добавлено:
ph5

Цитата:

Узнать не проблема. Проблема в том, что ip часто меняются

ip днс сервера vk.com? С чего они будут меняться? Их всего три и они не менялись ни разу.

SergeyMark
У меня инет не через прокси идет, через НАТ все. Добавил в исключения инспекции сайт. Но все равно не идет.

Народ кто-нибудь ставил TMG на Windows 2012- что-то у меня при установке выдает нужно поставить ему NET Framework 3.5 (SP1) -хотя на 2012 уже установлен NET Framework 4,5.
Остальные необходимые службы ставил отсюда -
https://technet.microsoft.com/ru-ru/library/dd896981.aspx
з.ы неохота откатываться на Windows 2008R2
вот еще нашел по теме http://forum.ixbt.com/topic.cgi?id=7:42118

Цитата:

Народ кто-нибудь ставил TMG на Windows 2012- что-то у меня при установке выдает нужно поставить ему NET Framework 3.5 (SP1) -хотя на 2012 уже установлен NET Framework 4,5.
Остальные необходимые службы ставил отсюда -
https://technet.microsoft.com/ru-ru/library/dd896981.aspx
з.ы неохота откатываться на Windows 2008R2

3.5 и 4.5 это разные вещи. На 2012 3.5 нет в стандарте, надо руками его установить и все норм будет.
Скачать тут можешь http://www.microsoft.com/ru-Ru/download/details.aspx?id=21

Цитата:

Скачать тут можешь http://www.microsoft.com/ru-Ru/download/details.aspx?id=21

немного смущает это Поддерживаемая операционная система Windows Server 2003; Windows Server 2008; Windows Vista; Windows XP
еще инфа http://ddslook.com/net-framework-3-5-windows-server-2012/

Цитата:

Скачать тут можешь

Чего его качать, он в состав дистрибутива входит, ставится как компонент

Цитата:

Чего его качать, он в состав дистрибутива входит, ставится как компонент

да все верно только при установке его ничего не происходить т.е.
он не устанавливается, доходить до 66% - и усе
з.ы все разобрался для установки нужно ОБЗАТЕЛЬНО иметь доступ к интернет... только в этом случае устанавливается корректно 100%

s800
Если указать альтернативное место - диск с дистрибутивом - всё ставится

Hunta
да разобрался уже сам спасибо, конечно - НО есть один момент - при установке дистриб TMG ругается на недостающие компоненты, не указывая их... http://rghost.ru/6x4JLq7lY/image.png ума не приложу что-ему еще надо, вроде поставил все по списку, кроме Установщика Microsoft windows 4.5. API web служб Windows.
p/s Вопрос актуален - как поставить TMG на 2012?
У кого есть опыт в установке напишите плз.

s800
Из того, что я знаю (и некоторого личного опыта), могу сказать, что это как минимум не поддерживается, а скорее всего - не ставится.

Привет всем! Люди, у кого нибудь получалось в isa успешно блокировать Facebook? Вот "Одноклаccники" проще всего оказалось блокирнуть - создал url sets и туда разные имена сайта впихнул. С "Вконтакте" и "Инстаграм" так не прокатило, пришлось Address Ranges создавать, причем для "Инстаграм" в двух экземплярах. С Фейсбуком не знаю как быть! Даже диапазон адресов нельзя узнать, а через url sets и Domain name sets не прокатывает((

B DNS
127.0.0.1 vk.ru
далее по списку.

Чтоб не резолвилось, короче.

Привет. Ткните плиз где можно узнать о приобритении и стоимости url web filtering, чтобы сайты по категориям блокировать. Спасибо