none
TMG - Браузер не может отобразить эту веб-страницу

    Вопрос

  • Всем привет!

    Недавно установил TMG, пытаюсь как то освоится и разобраться после ISA 2006. Ситуация следующая:

    Необходимо что бы для внутренней сети был закрыт доступ на все внешние возможные почтовые сервисы (Gmail.com, Mail.ru и т.д.) и по запросу для отдельных пользователей доступ должен быть открыт. Вроде бы все просто, но возникают сложности.

    Вот пример правил для решения данной задачи:

    * Проверка HTTPS выключена.

    Для каждого правила определены протоколы HTTP и HTTPS. 

    Далее я столкнулся с тем, что все равно Gmail, открывался для пользователей т.к. определялся в категории "Поисковые системы". В этом случае я воспользовался переопределением категории URL-адресов и определил "mail.google.com/*", как "Веб-почта". После этого сайт перестал открываться, но теперь вместо предупреждения выходит лишь:

    Что я забыл или не так сделал?

    Спасибо за ранее за помощь.


    25 мая 2012 г. 6:15

Ответы

  • в этой статье описано, как блокировать https

    http://technet.microsoft.com/en-us/library/cc302531.aspx 

    и парочка аналогичных тем на англоязычном технете

    http://social.technet.microsoft.com/Forums/nl-NL/Forefrontedgegeneral/thread/7a61131d-1451-447e-97d3-bb9e06a5ca56

    http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/a7d84dbb-1d4c-4712-9326-4e21bde9984fк

    у меня на стенде такая же ситуация - обращение по https показывает ошибку подключения

    ну и чтобы добить тему - поведение, когда ie8-9 показывает ошибку при обращении на сайт https, который был заблокирован на tmg, оказывается, by design

    http://msdn.microsoft.com/en-us/magazine/dd565641%28VS.85%29.aspx

    Windows Internet Explorer 7 would simply render the page returned from the proxy and execute that page in the context of the target server. Internet Explorer 8 has a feature that ensures that the secure connection is made all the way to the target server. If it isn't, then no page is displayed.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий



    5 июня 2012 г. 8:14
  • 8,9 версии ie должны вести себя именно так, это фича для повышения безопасности.

    обойти можно следующим образом:

    HKEY_CURRENT_USER (или hkey_local_machine)
         SOFTWARE
              Microsoft
                   Internet Explorer
                        Main
                             FeatureControl
                                 FEATURE_RETURN_FAILED_CONNECT_CONTENT_KB942615
    DWORD : iexplore.exe  Value : 1

    после этого возвращается страница ошибки с tmg 403 доступ запрещен


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий


    6 июня 2012 г. 8:41
  • Здравствуйте, коллеги.

    Хотел поделиться результатом обращения в Microsoft. Редактирование реестра в данном случае единственное решение. Данное неудобство является By Design.

    • Помечено в качестве ответа Yuriy Lenchenkov 16 августа 2012 г. 13:23
    7 августа 2012 г. 13:44

Все ответы

  • HTTPS Не проходит, настройте сертификат.

    26 мая 2012 г. 12:37
  • HTTPS Не проходит, настройте сертификат.

    Сейчас попробую выдать сертификат, внутренним автономным центром сертификации, что бы не пришлось распространять сертификат на клиентские машины. Ведь проверка HTTPS отключена, почему требуется сертификат?
    28 мая 2012 г. 3:43
  • Настройте Переопределения категорий URL адресов (URL Category Overrides) и пропишете mail.google.com как Веб-Почту.
    28 мая 2012 г. 9:36
  • Настройте Переопределения категорий URL адресов (URL Category Overrides) и пропишете mail.google.com как Веб-Почту.
    Я ведь так и сделал. В описании написано или речь о чем то другом?
    28 мая 2012 г. 10:10
  • Разбираясь я понял что это возникает только с  "https://" переопределениями URL, даже если отдельно создать "Набор URL-адресов" и указать там любые сайты которые используют HTTPS и запретить их в каком нибудь правиле, то вместо страницы предупреждения TMG, будет ошибка открытия страницы. Кто нибудь вообще пытался закрыть Gmail.com, Mail.ru? Прошу помочь, это очень серьезно для организации в которой я работаю.
    29 мая 2012 г. 5:50
  • Создайте новый наборов доменных имен (Domain Name Set) укажите в нем все домены(mail.google.com, mra.mail.ru и т.д.). Добавьте этот набор в поле "куда" в запрещающее и разрешающее правила. Все будет работать(перед тестированием не забудьте дропнуть существующие сессии ибо правила переменяются только на новые сессии).
    30 мая 2012 г. 4:00
  • Создайте новый наборов доменных имен (Domain Name Set) укажите в нем все домены(mail.google.com, mra.mail.ru и т.д.). Добавьте этот набор в поле "куда" в запрещающее и разрешающее правила. Все будет работать(перед тестированием не забудьте дропнуть существующие сессии ибо правила переменяются только на новые сессии).

    Эффект тот же.

    30 мая 2012 г. 4:41
  • а в логах TMG  что пишет при попытке обращения к mail.google.com?
    30 мая 2012 г. 11:35
  • а в логах TMG  что пишет при попытке обращения к mail.google.com?

    А как бы мне развернуто показать логи Вам, что бы было правильное представление? Вот скриншот, в данном случае были использованы "Набор доменных имен" для заперта "mail.google.com". 

    В браузере ошибка.

    30 мая 2012 г. 12:10
  • Кстати правило по середине я не понимаю почему срабатывает, в ней указаны только конкретные пользователи, а не все пользователи. Оно работает по HTTP и HTTPS протоколу. Почему анонимные запросы проходят как разрешенные не понятно?
    30 мая 2012 г. 12:23
  • А настройки прокси внутренним адресом TMG вбиты в браузере? Похоже на то, что пользователи просто не авторизуются на прокси.

    MCITP, MCTS, OCA.

    31 мая 2012 г. 4:34
  • А настройки прокси внутренним адресом TMG вбиты в браузере? Похоже на то, что пользователи просто не авторизуются на прокси.

    MCITP, MCTS, OCA.

    Конечно настроено. Остальной трафик HTTP, прекрасно проксируется и это в журналах отлично видно как работают определённые правила. Проблема именно HTTPS. Это ведь какая то не стандартная ошибка? У меня еще установлена утилита "bandwidth splitter for TMG", я уже думаю на неё. 
    31 мая 2012 г. 4:43
  • bsplitter тоже может быть помехой. на 2006ой он частенько подключивал. лучше вначале добиться нормальной работы без левых эддонов.

    1 июня 2012 г. 9:09
    Отвечающий
  • bsplitter тоже может быть помехой. на 2006ой он частенько подключивал. лучше вначале добиться нормальной работы без левых эддонов.

    Да я тоже так думал. Но не поленился и переставил TMG несколько раз, хорошо что пока на стадии перехода. В общем с нуля поднятый TMG, чистый, даже без обновлений, версии Enterprise реагирует точно так же. Правда заметил без установленных сервис паков, категории URL работаю лучше т.е. не пришлось переопределять для gmail и еще несколько адресов, что это веб-почта, а не поисковые системы. После установки обновлений сразу все сбивается. Установлены были версия как русская, так и английская. Вы мне скажите, неужели это только у меня так? Кто нибудь успешно смог запретить по URL внешние почтовые клиенты, работающие через HTTPS? Есть ли смысл переходить на TMG с ISA 2006? 
    1 июня 2012 г. 11:10
  • здесь http://www.microsoft.com/security/portal/mrs/

    mail.google.com классифицируется как почта и поисковик

    gmail.com - почта

    mail.ru - сайты-порталы, почта, поисковик

    почта на mail.ru - e.mail.ru

    механизм определения категорий на сайте этом сайте и в tmg одинаков, насколько я знаю.

    там же, можете сами указать более подходящую категорию, например, для e.mail.ru но насколько быстро это сработает и сработает ли - не могу сказать


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    4 июня 2012 г. 8:52
  • здесь http://www.microsoft.com/security/portal/mrs/

    mail.google.com классифицируется как почта и поисковик

    gmail.com - почта

    mail.ru - сайты-порталы, почта, поисковик

    почта на mail.ru - e.mail.ru

    механизм определения категорий на сайте этом сайте и в tmg одинаков, насколько я знаю.

    там же, можете сами указать более подходящую категорию, например, для e.mail.ru но насколько быстро это сработает и сработает ли - не могу сказать


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Да я знаю. Категории ладно с ними, вопрос почему когда пытаешься запретить веб-почту на протоколе HTTPS, любыми методами и категориями и просто набором URL и даже набором доменных имен, правило срабатывает, но в браузере просто ошибка? Кто нибудь успешно пробовал запрещать HTTPS cайты типа gmail.com и других?
    4 июня 2012 г. 9:07
  • в этой статье описано, как блокировать https

    http://technet.microsoft.com/en-us/library/cc302531.aspx 

    и парочка аналогичных тем на англоязычном технете

    http://social.technet.microsoft.com/Forums/nl-NL/Forefrontedgegeneral/thread/7a61131d-1451-447e-97d3-bb9e06a5ca56

    http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/a7d84dbb-1d4c-4712-9326-4e21bde9984fк

    у меня на стенде такая же ситуация - обращение по https показывает ошибку подключения

    ну и чтобы добить тему - поведение, когда ie8-9 показывает ошибку при обращении на сайт https, который был заблокирован на tmg, оказывается, by design

    http://msdn.microsoft.com/en-us/magazine/dd565641%28VS.85%29.aspx

    Windows Internet Explorer 7 would simply render the page returned from the proxy and execute that page in the context of the target server. Internet Explorer 8 has a feature that ensures that the secure connection is made all the way to the target server. If it isn't, then no page is displayed.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий



    5 июня 2012 г. 8:14
  • в этой статье описано, как блокировать https

    http://technet.microsoft.com/en-us/library/cc302531.aspx 

    и парочка аналогичных тем на англоязычном технете

    http://social.technet.microsoft.com/Forums/nl-NL/Forefrontedgegeneral/thread/7a61131d-1451-447e-97d3-bb9e06a5ca56

    http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/a7d84dbb-1d4c-4712-9326-4e21bde9984fк

    у меня на стенде такая же ситуация - обращение по https показывает ошибку подключения

    ну и чтобы добить тему - поведение, когда ie8-9 показывает ошибку при обращении на сайт https, который был заблокирован на tmg, оказывается, by design

    http://msdn.microsoft.com/en-us/magazine/dd565641%28VS.85%29.aspx

    Windows Internet Explorer 7 would simply render the page returned from the proxy and execute that page in the context of the target server. Internet Explorer 8 has a feature that ensures that the secure connection is made all the way to the target server. If it isn't, then no page is displayed.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий



    Спасибо за ответ! Просмотрел все ссылки, даже установил "Fiddler2" и попробовал просмотреть трафик. Не до конца во всем разобрался правда. Извините если что упустил, наверное опыта пока не хватает в этом до конца разобраться. Так как решить данную ошибку или найти какое то хотя бы альтернативное решение? У нас установлен в рабочей среде сервер ISA 2006, с ним таких проблем не возникает, по идеи последней статьи должна возникать такая же ошибка. Синтаксис в TMG я использовал все строго первой статье. В общем на вашем стенде, как получилось исправить данную ситуацию? 
    6 июня 2012 г. 6:57
  • У пользователей используется IE 9.


    6 июня 2012 г. 6:57
  • 8,9 версии ie должны вести себя именно так, это фича для повышения безопасности.

    обойти можно следующим образом:

    HKEY_CURRENT_USER (или hkey_local_machine)
         SOFTWARE
              Microsoft
                   Internet Explorer
                        Main
                             FeatureControl
                                 FEATURE_RETURN_FAILED_CONNECT_CONTENT_KB942615
    DWORD : iexplore.exe  Value : 1

    после этого возвращается страница ошибки с tmg 403 доступ запрещен


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий


    6 июня 2012 г. 8:41
  • 8,9 версии ie должны вести себя именно так, это фича для повышения безопасности.

    обойти можно следующим образом:

    HKEY_CURRENT_USER (или hkey_local_machine)
         SOFTWARE
              Microsoft
                   Internet Explorer
                        Main
                             FeatureControl

    DWORD : iexplore.exe  Value : 1

    после этого возвращается страница ошибки с tmg 403 доступ запрещен


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Спасибо за вашу помощь! Вы имеете введу создать запись в контейнере "FeatureControl"? В этом случае результата нет.

    Нашел статью http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/846aae6a-60b4-4bcc-a8b7-c588bf05ad26, но в этом случае необходимо в контейнере "FeatureControl" создать 2 дополнительных контейнера и уже в них создавать запись DWORD : iexplore.exe  Value : 1 . В случае при обращение к HTTPS сайтам просто браузер очень долго пытается что то загрузить, по времени я не стал ждать больше 5 минут и закрыл его. У вас на стенде работает данное альтернативное решение?

    6 июня 2012 г. 9:40
  • да, работает. создавать надо на клиентах, естественно, а не на tmg

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    6 июня 2012 г. 10:18
  • да, работает. создавать надо на клиентах, естественно, а не на tmg

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Да я это понял. Создавал на двух клиенских машинах. Одна машина с IE8 и другая с IE9. Вы создавали запись "iexplore.exe" в контейнере "FeatureControl", либо как указано в данной статье, http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/846aae6a-60b4-4bcc-a8b7-c588bf05ad26?


    6 июня 2012 г. 10:30
  • Кстати получается это проблема браузеров IE8-9, а что касается остальных? Например я проверил на браузере Chrome и Mozilla, тоже самое, Ошибка страницы при обращение на запрещенные HTTPS сайты.
    6 июня 2012 г. 11:09
  • прошу прощения за ошибку. должно быть так

    HKEY_CURRENT_USER (или hkey_local_machine)
    SOFTWARE
    Microsoft
    Internet Explorer
    Main
    FeatureControl
    FEATURE_RETURN_FAILED_CONNECT_CONTENT_KB942615 - этот ключ надо создать

    DWORD : iexplore.exe Value : 1


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    6 июня 2012 г. 11:33
  • прошу прощения за ошибку. должно быть так

    HKEY_CURRENT_USER (или hkey_local_machine)
    SOFTWARE
    Microsoft
    Internet Explorer
    Main
    FeatureControl
    FEATURE_RETURN_FAILED_CONNECT_CONTENT_KB942615 - этот ключ надо создать

    DWORD : iexplore.exe Value : 1


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Спасибо! Да так и сделал, в этом случае браузер страницу грузит и не выходит никаких сообщений, просто как будто грузится страница. Буду думать дальше, может быть не хватает последних обновлений для IE9.
    6 июня 2012 г. 12:01
  • откуда же он грузит страницу, если она заблокирована на tmg???????

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    6 июня 2012 г. 12:07
  • откуда же он грузит страницу, если она заблокирована на tmg???????

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Юрий, извините я ошибся. Опишу более понятно. Если использовать:

    HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_RETURN_FAILED_CONNECT_CONTENT_KB942615

    DWORD : iexplore.exe  Value : 1

    В этом случае при обращении на запрещенный HTTPS сайт, например "mail.google.com" или "www.Homebank.kz", в логах TMG видно что срабатывает запрещающие правило, но в этот момент в браузере возникает "Ошибка страницы", так же как и возникала ранее. Протестировано на двух машинах с браузером IE9 и IE8.

    Если использовать:

    HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SHOW_FAILED_CONNECT_CONTENT_KB942615

    DWORD : iexplore.exe  Value : 1

    В этом случае при обращении на запрещенный HTTPS сайт, срабатывает запрещенное правило на TMG, но браузер висит на шаге "Ожидание" и больше ничего не происходит.

    Возможно что ошибка заключается в другом?

    Извините за неудобство, в вопросе TMG совсем не опытный и разобраться одному не получается.

     

    6 июня 2012 г. 12:53
  • предлагаю видео, как это работает на ie9 через tmg в качестве прокси-сервера

    sdrv.ms/NMn5PA


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    7 июня 2012 г. 9:03
  • предлагаю видео, как это работает на ie9 через tmg в качестве прокси-сервера

    sdrv.ms/NMn5PA


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Спасибо за ваше старание и помощь! К сожалению по переходя по ссылке выдается ошибка "Страница не найдена". Можно еще раз открыть доступ к файл на Skydrive? 

    Спасибо!

    7 июня 2012 г. 15:35
  • я заметил что меня преследуют ошибки))
    7 июня 2012 г. 15:37
  • https://skydrive.live.com/redir?resid=CC51815FEEB6BC7D!112&authkey=!ALIVgUGDPzlrgTc

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий


    7 июня 2012 г. 17:48
  • https://skydrive.live.com/redir?resid=CC51815FEEB6BC7D!112&authkey=!ALIVgUGDPzlrgTc

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий


    Спасибо! Заметил что тест проходил на серверной системе Windows 2008 или выше. Так же протестировал на Windows 2008 R2, да действительно работает! Конечно сообщение отличается от обычного сообщения о запрете, но это все я думаю можно исправить изменением шаблонов страниц об ошибках. Дело в том что на Windows 7, браузер так же застывает на шаге "Ожидание" или во все неадекватно реагирует на ссылки, переходя по ним ничего не происходит и иногда возникает просто ошибка в браузере. Я не знаю в чем может быть причина, тестировалось на разных машинах, с только что установленной и уже давно работающей в сети системой. Пользователи в нашей компании очень строги ко всяким подобным мелочам, им сложно объяснить что в браузере есть какие то механизмы защиты или еще что то. Скажите а у вас есть возможность проверить работу данного решения на Windows 7? Спасибо большое вам за помощь! 
    8 июня 2012 г. 4:31
  • на 7 с ie8 тоже работает способ

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    8 июня 2012 г. 8:27
  • Вот и у меня должен работать, но решительно отказывается. В любом случае руководство не примет такой вариант решения, я так понял работать это будет только с IE, а что делать с другими браузерами? Попробую обратиться в поддержку Microsoft с данной проблемой, надеюсь что нибудь решиться. Спасибо огромное всем за помощь! С темой не знаю что делать, проблема до конца не решена, наверное отпишусь после и тогда и закроем. Если у кого то есть еще какие либо идеи или предложения, то прошу поделиться. 
    8 июня 2012 г. 9:27
  • Dmitriy Kozhemyak, что Вам ответила поддержка?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    15 июня 2012 г. 10:42
  • Dmitriy Kozhemyak, что Вам ответила поддержка?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    К сожалению отправить запрос по продукту не удалось, по некоторым причинам. В этом году должна была быть куплена "Премьер-поддержка Microsoft", но это на днях было перенесено на следующий год. В общем я через несколько дней закрою тему, попробую обратиться к менеджеру Microsoft нашей организации и все узнать, как действовать в данном случае. Спасибо!
    19 июня 2012 г. 12:04
  • Здравствуйте, коллеги.

    Хотел поделиться результатом обращения в Microsoft. Редактирование реестра в данном случае единственное решение. Данное неудобство является By Design.

    • Помечено в качестве ответа Yuriy Lenchenkov 16 августа 2012 г. 13:23
    7 августа 2012 г. 13:44