Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Автор: anton04
Дата сообщения: 31.03.2015 10:43
ambal2007

тут
Автор: noize88
Дата сообщения: 02.04.2015 15:02
Добрый день, помогите разобраться с публикацией sharepoint (IIS) на TMG 2010

Внутри сети все работает отлично.
При загрузке документов через внешний опубликованный IP вылетает ошибка


Код ошибки: 500 Внутренняя ошибка сервера. Сервер отклонил указанный URL-адрес.
Обратитесь к администратору сервера. (12202)

При этом удалять просматривать файлы я могу.

Публикация через HTTP и HTTPS
Автор: Hunta
Дата сообщения: 03.04.2015 13:51
noize88
А Шарепойнт о внешнем имени что-то знает?
Автор: Auxilium
Дата сообщения: 05.04.2015 09:13
ph5
измените фильтр как *.Facebook.com
Автор: 123Maximus123
Дата сообщения: 21.04.2015 08:32
noize88
Добрый день
ознакомьтесь с циклом статей
Planning for SharePoint Publishing with TMG

Publishing Microsoft SharePoint 2010 with Forefront TMG and different authentication options


Publishing Microsoft Office SharePoint Server


так же при публикации SharePoint необходимо настроить Alternate Access Mapping (AAM)
SharePoint Alternate Access Mapping (AAM) for Dummies

обратите внимание на правильность настройки слушателя-аутентификации

Автор: kot488
Дата сообщения: 23.04.2015 10:09
Поставил вчера форефронт 2010, пытаюсь выпустить мобильные телефоны в мир а они не выходят. Создал правило выпускать всех пользователей, источником трафика указал телефоны (создал компьютеры с именами как у телефонов и IP их постоянный) но все равно не выпускает в мир( Что не так делаю? Регистрацию запросов убрал


Короче разобрался, в настройках резервирования ip тем кто не в домене указал днс провайдера, и пошли все в мир)

но не могу подключится по рдп, проброс остался старый, сделал правило на вход 3391 порта, но не пускает(
Автор: Hunta
Дата сообщения: 23.04.2015 23:26
kot488

Цитата:
но не могу подключится по рдп,

Насколько помню, в правиле надо указать, что источник запроса - tmg, а не исходный клиент
Автор: Ditius
Дата сообщения: 26.04.2015 23:19
Добрый день! Помогите разобраться, как лучше реализовать...
Стоит TMG2010 , который смотрит на провайдера через PPPoE с ip адресом 2.2.2.2, в локалку адресом 192.168.0.100. Вторым ip на этом же интерфейсе 192.168.0.101 . Есть клиент с адресом 192.168.0.2, который ходит через tmg в интернет на внешний сервер 5.5.5.5.

Нужно сделать, что бы клиент обращался по адресу 192.168.0.101(например по РДП) и попадал на внешний сервер. Никак не пойму как это реализовать...
Автор: Hunta
Дата сообщения: 27.04.2015 19:02
Ditius

Цитата:
Помогите разобраться, как лучше реализовать


А он знает толк в извращениях
Автор: fly_indiz
Дата сообщения: 28.04.2015 18:53
я бы попробовал сделать правило публикации "наоборот". Может и прокатит кстати. Опубликовать сервак (выбрать нужные сервер-протоколы) с адресом 5.5.5.5 прослушивая внутренний интерфейс
Автор: kot488
Дата сообщения: 30.04.2015 10:45
Hunta

Цитата:
Насколько помню, в правиле надо указать, что источник запроса - tmg, а не исходный клиент


Запрос от локального компьютера к локальному?
Автор: bahtey
Дата сообщения: 30.04.2015 12:21
kot488
Объясните чуть подробнее, вы подключиться (так понимаю по RDP) не можете к железякам внутри периметра, или к устройствам в глобальной сети.
Автор: kot488
Дата сообщения: 30.04.2015 12:46

Цитата:
Объясните чуть подробнее, вы подключиться (так понимаю по RDP) не можете к железякам внутри периметра, или к устройствам в глобальной сети.



С мира пытаюь подключиться к компьютеру на котором стоит форефронт который смотрит в мир
Автор: bahtey
Дата сообщения: 30.04.2015 18:58
О! так это другое дело, а то у вас вообще никак не указано, что пытаетесь именно к серверу подключаться.
Вам надо на уровне системных правил (они скрыты по умолчанию), указать для машин (доверенным и имеющим свой ip-адрес), что они находятся в группе remote desktop management (давно не занимался подобным, потому лишь по памяти указываю названия, да к тому же технически удобнее было на англ.версии все делать). Потому как это уже со стороны системы операционной, не просто железяка с брандмауэром, а многоуровневая защищенная модель.
Автор: Hunta
Дата сообщения: 30.04.2015 19:36
kot488
Если Вы создаёте правило публикации внутреннего компа по rdp, в правиле публикации на закладке To (описывающей внутренний адрес публикуемого сервера) ставится, что запрос выглядит как пришедший с TMG компа.
Если публикуется по rdp сам TMG - то адрес, на который направляется трафик (закладка To) - внешний адрес TMG. Вроде так. Нужно ли в этом случае играться настройкой Request for the published server - не могу сказать наверняка - такого не пробовал

bahtey
Системные правила относятся к трафику, источником или получателем которого выступает local host. Соответственно, предлагаемого Вами к изменению правило - это правило управления по rdp самим tmg компом. Если цель - подцепиться по rdp к самому tmg - то да. Но если этот комп идет из инета - какой адрес Вы предлагаете прописывать на закладку From или в группы Remote Management Computers или Enterprise Remote Management Computers?
Автор: bahtey
Дата сообщения: 30.04.2015 19:51
Hunta
Я об этом и написал в сообщении, потому как из сообщения автора понял. что это и нужно.

Если нужно управление из другого места нужными машинами внутри периметра, можно просто указать для правила публикации в пути from - external и указать порт свободный (допустим 50002, это не будет мешать серверу и в плане безопасности).
потом в rdp клиенте указать строку ip:50002.
isa/tmg сама будет слушать по этому адресу для нужной машины.
Автор: Hunta
Дата сообщения: 30.04.2015 20:39
bahtey
Какой адрес предлагаете добавить в группу Remote Management, если клиент идёт из инета?
Автор: bahtey
Дата сообщения: 30.04.2015 21:06
Hunta
Вы так быстро добавили к своему тексту в течение короткого времени, что прошу прощения, я не видел этой "добавки" про вариации.

по вопросу: а это зависит от режима и версии шлюза (std/ent). и не забывайте, что расширенный режим выбирается, когда управлять собираетесь в режиме связки управления шлюзом в среде доверенных шлюзов (допустим в среде одного предприятия, но в разных филиалах)

Добавлено:
вообще, про эти вариации должно быть в технете.
Я не могу указать статьи здесь, в этом браузере нет закладок про это.

Концепция про режимы между isa/tmg одинаковы.
Автор: Hunta
Дата сообщения: 30.04.2015 21:39
bahtey
Вы не поняли мой вопрос.
Группа Remote Management - это группа, которая участвует в системном правиле, разрешающем подключение к tmg серверу по протоколу rdp, так?
Значит, надо добавить ip компа, с которого собираются по rdp управлять tmg, в эту группу. Вопрос - какой адрес надо добавлять, если этот комп - в инете?
Автор: bahtey
Дата сообщения: 30.04.2015 22:39
Так вас интересует все же что должно в этой группе, а то про режим enterprise пошел разговор?

Еще раз,по моей практике я создавал группу, в которой указывались машины (их адреса - ip, других вещей шлюз не позволяет добавлять, типа физического адреса, хотя может где есть решение). Потому лучше дома (если из дома нужно) иметь постоянный белый ip, либо с dhcp самим порешать вопрос. А чем вас собственно смущает комп из инета?

Если сильно смущает, делаете vpn-соединение и будете в локальной сети, и уже там будет ваша машина с адресом internal, а дальше уже проще и еще более безопасней.
Автор: Hunta
Дата сообщения: 01.05.2015 00:43
bahtey
Меня ничего не смущает, за исключением того, что у компа в инете в общем случае динамический адрес и поэтому системны политики для данного случая малогодны. Как я писал в ответе - никто не мешает сделать правило публикации, которые приводит трафик на сам tmg - и никаких заморочек с адресами в инете
Автор: kot488
Дата сообщения: 05.05.2015 09:46
Победил, изменил в системной политике удаленный доступ, разрешил доступ с внешней сети и подключился) всем спасибо за помощь и с прошедшими и наступающими праздниками
Автор: kot488
Дата сообщения: 07.05.2015 09:51
Теперь с другими граблями столкнулся( нужно выпустить планшеты и телефоны в мир, сделал правило, с такого то IP в мир выпускать всех пользователей. У в дхцп указал пользователям выдавать dns 8.8.8.8. Работало пока не сделал доступ по РДП, теперь они могут выходить в мир только если указываем адрес прокси. как можно это подправить?
Автор: anton04
Дата сообщения: 08.05.2015 17:28
kot488


Цитата:
еперь они могут выходить в мир только если указываем адрес прокси. как можно это подправить?


Прописать в DHCP прокси сервер.
Автор: kot488
Дата сообщения: 12.05.2015 10:31

Цитата:
Прописать в DHCP прокси сервер.


У меня dhcp сервер поднят на 2003 ос, там не вижу прокси указать
Автор: Hunta
Дата сообщения: 12.05.2015 16:58
kot488
Добавляется руками Option с кодом 253, если мне не изменяет память, но - это на совести клиента - будет ли он обрабатывать конкретные опции

И мне кажется, проблема не в этом. Никаких проблем с выходом в инет в домашней сети со смартфона (да, через TMG) не наблюдаю
Автор: klifsys
Дата сообщения: 23.05.2015 06:06
Друзья, помогите. Есть ТМГ с ОДНОЙ сетевой картой.
Совсем запутался с направлениями куда и от куда.
Правило для примера:
от куда - все сети
куда - все сети
кто - группы из АД + прошедшие проверку (нужно ли это?)
протоколы - весь исходящий трафик.
Если меняю "все сети" на "внешняя" или другие в самых разных вариантах, то выдается сообщение типа "вы уверены... тмг с одной сетевой картой... бла бла... да? нет?", иногда с пропаданием инета.
Как же все же правильно? Не будет ли по подобному правилу локальный трафик учитываться как внешний?
Автор: bahtey
Дата сообщения: 23.05.2015 08:43
klifsys
у вас выше стоит 2-й брандмауэр?
2-ю карту совсем нет места поставить и привязать ей адрес внутренней сети?
Автор: klifsys
Дата сообщения: 23.05.2015 08:51
Да, этот TMG за ISA отцовского домена, служит только для ограничения и контроля использования трафика. Вторая сетевая карта есть, но какой в ней смысл если сервер подключен все равно одним шнурком в локальную сеть, а другой (сети) нет.

Добавлено:
bahtey, подскажи, пожалуйста еще одну вещь: не хочу открывать рдп протоколы и т.д. и для администрирования поставил себе консоль ТМГ, но она не видит проксю, достаточно на сервере разрешить удаленное подключение или еще что-то нужно делать?
Автор: bahtey
Дата сообщения: 23.05.2015 09:51
http://www.redline-software.com/rus/support/docs/isaserver/FW_C_RemoteAdmin.php

в закладках найдено. выбирайте что угодно. единственное, насколько помню в реб вэб-кэширования не будет доустпа п оконсоли. но могу ошибьтся.

Добавлено:
блин, по удаленки тормозит канал, текст кривой, извините. ссылку не могу проверить по этому. кстати, там должна быть статя по поводу веб-цепочек, это как раз при режиме ваших соединений.

Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495

Предыдущая тема: Kerio WinRoute Firewall (часть 4)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.