» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
Добрый день, помогите разобраться с публикацией sharepoint (IIS) на TMG 2010
Внутри сети все работает отлично.
При загрузке документов через внешний опубликованный IP вылетает ошибка
Код ошибки: 500 Внутренняя ошибка сервера. Сервер отклонил указанный URL-адрес.
Обратитесь к администратору сервера. (12202)
При этом удалять просматривать файлы я могу.
Публикация через HTTP и HTTPS
Внутри сети все работает отлично.
При загрузке документов через внешний опубликованный IP вылетает ошибка
Код ошибки: 500 Внутренняя ошибка сервера. Сервер отклонил указанный URL-адрес.
Обратитесь к администратору сервера. (12202)
При этом удалять просматривать файлы я могу.
Публикация через HTTP и HTTPS
noize88
А Шарепойнт о внешнем имени что-то знает?
А Шарепойнт о внешнем имени что-то знает?
ph5
измените фильтр как *.Facebook.com
измените фильтр как *.Facebook.com
noize88
Добрый день
ознакомьтесь с циклом статей
Planning for SharePoint Publishing with TMG
Publishing Microsoft SharePoint 2010 with Forefront TMG and different authentication options
Publishing Microsoft Office SharePoint Server
так же при публикации SharePoint необходимо настроить Alternate Access Mapping (AAM)
SharePoint Alternate Access Mapping (AAM) for Dummies
обратите внимание на правильность настройки слушателя-аутентификации
Добрый день
ознакомьтесь с циклом статей
Planning for SharePoint Publishing with TMG
Publishing Microsoft SharePoint 2010 with Forefront TMG and different authentication options
Publishing Microsoft Office SharePoint Server
так же при публикации SharePoint необходимо настроить Alternate Access Mapping (AAM)
SharePoint Alternate Access Mapping (AAM) for Dummies
обратите внимание на правильность настройки слушателя-аутентификации
Поставил вчера форефронт 2010, пытаюсь выпустить мобильные телефоны в мир а они не выходят. Создал правило выпускать всех пользователей, источником трафика указал телефоны (создал компьютеры с именами как у телефонов и IP их постоянный) но все равно не выпускает в мир( Что не так делаю? Регистрацию запросов убрал
Короче разобрался, в настройках резервирования ip тем кто не в домене указал днс провайдера, и пошли все в мир)
но не могу подключится по рдп, проброс остался старый, сделал правило на вход 3391 порта, но не пускает(
Короче разобрался, в настройках резервирования ip тем кто не в домене указал днс провайдера, и пошли все в мир)
но не могу подключится по рдп, проброс остался старый, сделал правило на вход 3391 порта, но не пускает(
kot488
Цитата:
Насколько помню, в правиле надо указать, что источник запроса - tmg, а не исходный клиент
Цитата:
но не могу подключится по рдп,
Насколько помню, в правиле надо указать, что источник запроса - tmg, а не исходный клиент
Добрый день! Помогите разобраться, как лучше реализовать...
Стоит TMG2010 , который смотрит на провайдера через PPPoE с ip адресом 2.2.2.2, в локалку адресом 192.168.0.100. Вторым ip на этом же интерфейсе 192.168.0.101 . Есть клиент с адресом 192.168.0.2, который ходит через tmg в интернет на внешний сервер 5.5.5.5.
Нужно сделать, что бы клиент обращался по адресу 192.168.0.101(например по РДП) и попадал на внешний сервер. Никак не пойму как это реализовать...
Стоит TMG2010 , который смотрит на провайдера через PPPoE с ip адресом 2.2.2.2, в локалку адресом 192.168.0.100. Вторым ip на этом же интерфейсе 192.168.0.101 . Есть клиент с адресом 192.168.0.2, который ходит через tmg в интернет на внешний сервер 5.5.5.5.
Нужно сделать, что бы клиент обращался по адресу 192.168.0.101(например по РДП) и попадал на внешний сервер. Никак не пойму как это реализовать...
Ditius
Цитата:
А он знает толк в извращениях
Цитата:
Помогите разобраться, как лучше реализовать
А он знает толк в извращениях
я бы попробовал сделать правило публикации "наоборот". Может и прокатит кстати. Опубликовать сервак (выбрать нужные сервер-протоколы) с адресом 5.5.5.5 прослушивая внутренний интерфейс
Hunta
Цитата:
Запрос от локального компьютера к локальному?
Цитата:
Насколько помню, в правиле надо указать, что источник запроса - tmg, а не исходный клиент
Запрос от локального компьютера к локальному?
kot488
Объясните чуть подробнее, вы подключиться (так понимаю по RDP) не можете к железякам внутри периметра, или к устройствам в глобальной сети.
Объясните чуть подробнее, вы подключиться (так понимаю по RDP) не можете к железякам внутри периметра, или к устройствам в глобальной сети.
Цитата:
Объясните чуть подробнее, вы подключиться (так понимаю по RDP) не можете к железякам внутри периметра, или к устройствам в глобальной сети.
С мира пытаюь подключиться к компьютеру на котором стоит форефронт который смотрит в мир
О! так это другое дело, а то у вас вообще никак не указано, что пытаетесь именно к серверу подключаться.
Вам надо на уровне системных правил (они скрыты по умолчанию), указать для машин (доверенным и имеющим свой ip-адрес), что они находятся в группе remote desktop management (давно не занимался подобным, потому лишь по памяти указываю названия, да к тому же технически удобнее было на англ.версии все делать). Потому как это уже со стороны системы операционной, не просто железяка с брандмауэром, а многоуровневая защищенная модель.
Вам надо на уровне системных правил (они скрыты по умолчанию), указать для машин (доверенным и имеющим свой ip-адрес), что они находятся в группе remote desktop management (давно не занимался подобным, потому лишь по памяти указываю названия, да к тому же технически удобнее было на англ.версии все делать). Потому как это уже со стороны системы операционной, не просто железяка с брандмауэром, а многоуровневая защищенная модель.
kot488
Если Вы создаёте правило публикации внутреннего компа по rdp, в правиле публикации на закладке To (описывающей внутренний адрес публикуемого сервера) ставится, что запрос выглядит как пришедший с TMG компа.
Если публикуется по rdp сам TMG - то адрес, на который направляется трафик (закладка To) - внешний адрес TMG. Вроде так. Нужно ли в этом случае играться настройкой Request for the published server - не могу сказать наверняка - такого не пробовал
bahtey
Системные правила относятся к трафику, источником или получателем которого выступает local host. Соответственно, предлагаемого Вами к изменению правило - это правило управления по rdp самим tmg компом. Если цель - подцепиться по rdp к самому tmg - то да. Но если этот комп идет из инета - какой адрес Вы предлагаете прописывать на закладку From или в группы Remote Management Computers или Enterprise Remote Management Computers?
Если Вы создаёте правило публикации внутреннего компа по rdp, в правиле публикации на закладке To (описывающей внутренний адрес публикуемого сервера) ставится, что запрос выглядит как пришедший с TMG компа.
Если публикуется по rdp сам TMG - то адрес, на который направляется трафик (закладка To) - внешний адрес TMG. Вроде так. Нужно ли в этом случае играться настройкой Request for the published server - не могу сказать наверняка - такого не пробовал
bahtey
Системные правила относятся к трафику, источником или получателем которого выступает local host. Соответственно, предлагаемого Вами к изменению правило - это правило управления по rdp самим tmg компом. Если цель - подцепиться по rdp к самому tmg - то да. Но если этот комп идет из инета - какой адрес Вы предлагаете прописывать на закладку From или в группы Remote Management Computers или Enterprise Remote Management Computers?
Hunta
Я об этом и написал в сообщении, потому как из сообщения автора понял. что это и нужно.
Если нужно управление из другого места нужными машинами внутри периметра, можно просто указать для правила публикации в пути from - external и указать порт свободный (допустим 50002, это не будет мешать серверу и в плане безопасности).
потом в rdp клиенте указать строку ip:50002.
isa/tmg сама будет слушать по этому адресу для нужной машины.
Я об этом и написал в сообщении, потому как из сообщения автора понял. что это и нужно.
Если нужно управление из другого места нужными машинами внутри периметра, можно просто указать для правила публикации в пути from - external и указать порт свободный (допустим 50002, это не будет мешать серверу и в плане безопасности).
потом в rdp клиенте указать строку ip:50002.
isa/tmg сама будет слушать по этому адресу для нужной машины.
bahtey
Какой адрес предлагаете добавить в группу Remote Management, если клиент идёт из инета?
Какой адрес предлагаете добавить в группу Remote Management, если клиент идёт из инета?
Hunta
Вы так быстро добавили к своему тексту в течение короткого времени, что прошу прощения, я не видел этой "добавки" про вариации.
по вопросу: а это зависит от режима и версии шлюза (std/ent). и не забывайте, что расширенный режим выбирается, когда управлять собираетесь в режиме связки управления шлюзом в среде доверенных шлюзов (допустим в среде одного предприятия, но в разных филиалах)
Добавлено:
вообще, про эти вариации должно быть в технете.
Я не могу указать статьи здесь, в этом браузере нет закладок про это.
Концепция про режимы между isa/tmg одинаковы.
Вы так быстро добавили к своему тексту в течение короткого времени, что прошу прощения, я не видел этой "добавки" про вариации.
по вопросу: а это зависит от режима и версии шлюза (std/ent). и не забывайте, что расширенный режим выбирается, когда управлять собираетесь в режиме связки управления шлюзом в среде доверенных шлюзов (допустим в среде одного предприятия, но в разных филиалах)
Добавлено:
вообще, про эти вариации должно быть в технете.
Я не могу указать статьи здесь, в этом браузере нет закладок про это.
Концепция про режимы между isa/tmg одинаковы.
bahtey
Вы не поняли мой вопрос.
Группа Remote Management - это группа, которая участвует в системном правиле, разрешающем подключение к tmg серверу по протоколу rdp, так?
Значит, надо добавить ip компа, с которого собираются по rdp управлять tmg, в эту группу. Вопрос - какой адрес надо добавлять, если этот комп - в инете?
Вы не поняли мой вопрос.
Группа Remote Management - это группа, которая участвует в системном правиле, разрешающем подключение к tmg серверу по протоколу rdp, так?
Значит, надо добавить ip компа, с которого собираются по rdp управлять tmg, в эту группу. Вопрос - какой адрес надо добавлять, если этот комп - в инете?
Так вас интересует все же что должно в этой группе, а то про режим enterprise пошел разговор?
Еще раз,по моей практике я создавал группу, в которой указывались машины (их адреса - ip, других вещей шлюз не позволяет добавлять, типа физического адреса, хотя может где есть решение). Потому лучше дома (если из дома нужно) иметь постоянный белый ip, либо с dhcp самим порешать вопрос. А чем вас собственно смущает комп из инета?
Если сильно смущает, делаете vpn-соединение и будете в локальной сети, и уже там будет ваша машина с адресом internal, а дальше уже проще и еще более безопасней.
Еще раз,по моей практике я создавал группу, в которой указывались машины (их адреса - ip, других вещей шлюз не позволяет добавлять, типа физического адреса, хотя может где есть решение). Потому лучше дома (если из дома нужно) иметь постоянный белый ip, либо с dhcp самим порешать вопрос. А чем вас собственно смущает комп из инета?
Если сильно смущает, делаете vpn-соединение и будете в локальной сети, и уже там будет ваша машина с адресом internal, а дальше уже проще и еще более безопасней.
bahtey
Меня ничего не смущает, за исключением того, что у компа в инете в общем случае динамический адрес и поэтому системны политики для данного случая малогодны. Как я писал в ответе - никто не мешает сделать правило публикации, которые приводит трафик на сам tmg - и никаких заморочек с адресами в инете
Меня ничего не смущает, за исключением того, что у компа в инете в общем случае динамический адрес и поэтому системны политики для данного случая малогодны. Как я писал в ответе - никто не мешает сделать правило публикации, которые приводит трафик на сам tmg - и никаких заморочек с адресами в инете
Победил, изменил в системной политике удаленный доступ, разрешил доступ с внешней сети и подключился) всем спасибо за помощь и с прошедшими и наступающими праздниками
Теперь с другими граблями столкнулся( нужно выпустить планшеты и телефоны в мир, сделал правило, с такого то IP в мир выпускать всех пользователей. У в дхцп указал пользователям выдавать dns 8.8.8.8. Работало пока не сделал доступ по РДП, теперь они могут выходить в мир только если указываем адрес прокси. как можно это подправить?
kot488
Цитата:
Прописать в DHCP прокси сервер.
Цитата:
еперь они могут выходить в мир только если указываем адрес прокси. как можно это подправить?
Прописать в DHCP прокси сервер.
Цитата:
Прописать в DHCP прокси сервер.
У меня dhcp сервер поднят на 2003 ос, там не вижу прокси указать
kot488
Добавляется руками Option с кодом 253, если мне не изменяет память, но - это на совести клиента - будет ли он обрабатывать конкретные опции
И мне кажется, проблема не в этом. Никаких проблем с выходом в инет в домашней сети со смартфона (да, через TMG) не наблюдаю
Добавляется руками Option с кодом 253, если мне не изменяет память, но - это на совести клиента - будет ли он обрабатывать конкретные опции
И мне кажется, проблема не в этом. Никаких проблем с выходом в инет в домашней сети со смартфона (да, через TMG) не наблюдаю
Друзья, помогите. Есть ТМГ с ОДНОЙ сетевой картой.
Совсем запутался с направлениями куда и от куда.
Правило для примера:
от куда - все сети
куда - все сети
кто - группы из АД + прошедшие проверку (нужно ли это?)
протоколы - весь исходящий трафик.
Если меняю "все сети" на "внешняя" или другие в самых разных вариантах, то выдается сообщение типа "вы уверены... тмг с одной сетевой картой... бла бла... да? нет?", иногда с пропаданием инета.
Как же все же правильно? Не будет ли по подобному правилу локальный трафик учитываться как внешний?
Совсем запутался с направлениями куда и от куда.
Правило для примера:
от куда - все сети
куда - все сети
кто - группы из АД + прошедшие проверку (нужно ли это?)
протоколы - весь исходящий трафик.
Если меняю "все сети" на "внешняя" или другие в самых разных вариантах, то выдается сообщение типа "вы уверены... тмг с одной сетевой картой... бла бла... да? нет?", иногда с пропаданием инета.
Как же все же правильно? Не будет ли по подобному правилу локальный трафик учитываться как внешний?
klifsys
у вас выше стоит 2-й брандмауэр?
2-ю карту совсем нет места поставить и привязать ей адрес внутренней сети?
у вас выше стоит 2-й брандмауэр?
2-ю карту совсем нет места поставить и привязать ей адрес внутренней сети?
Да, этот TMG за ISA отцовского домена, служит только для ограничения и контроля использования трафика. Вторая сетевая карта есть, но какой в ней смысл если сервер подключен все равно одним шнурком в локальную сеть, а другой (сети) нет.
Добавлено:
bahtey, подскажи, пожалуйста еще одну вещь: не хочу открывать рдп протоколы и т.д. и для администрирования поставил себе консоль ТМГ, но она не видит проксю, достаточно на сервере разрешить удаленное подключение или еще что-то нужно делать?
Добавлено:
bahtey, подскажи, пожалуйста еще одну вещь: не хочу открывать рдп протоколы и т.д. и для администрирования поставил себе консоль ТМГ, но она не видит проксю, достаточно на сервере разрешить удаленное подключение или еще что-то нужно делать?
http://www.redline-software.com/rus/support/docs/isaserver/FW_C_RemoteAdmin.php
в закладках найдено. выбирайте что угодно. единственное, насколько помню в реб вэб-кэширования не будет доустпа п оконсоли. но могу ошибьтся.
Добавлено:
блин, по удаленки тормозит канал, текст кривой, извините. ссылку не могу проверить по этому. кстати, там должна быть статя по поводу веб-цепочек, это как раз при режиме ваших соединений.
в закладках найдено. выбирайте что угодно. единственное, насколько помню в реб вэб-кэширования не будет доустпа п оконсоли. но могу ошибьтся.
Добавлено:
блин, по удаленки тормозит канал, текст кривой, извините. ссылку не могу проверить по этому. кстати, там должна быть статя по поводу веб-цепочек, это как раз при режиме ваших соединений.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.