TMG - Браузер не может отобразить эту веб-страницу
-
25 мая 2012 г. 6:15
Всем привет!
Недавно установил TMG, пытаюсь как то освоится и разобраться после ISA 2006. Ситуация следующая:
Необходимо что бы для внутренней сети был закрыт доступ на все внешние возможные почтовые сервисы (Gmail.com, Mail.ru и т.д.) и по запросу для отдельных пользователей доступ должен быть открыт. Вроде бы все просто, но возникают сложности.
Вот пример правил для решения данной задачи:
* Проверка HTTPS выключена.
Для каждого правила определены протоколы HTTP и HTTPS.
Далее я столкнулся с тем, что все равно Gmail, открывался для пользователей т.к. определялся в категории "Поисковые системы". В этом случае я воспользовался переопределением категории URL-адресов и определил "mail.google.com/*", как "Веб-почта". После этого сайт перестал открываться, но теперь вместо предупреждения выходит лишь:
Что я забыл или не так сделал?
Спасибо за ранее за помощь.
- Изменено Dmitriy Kozhemyak 25 мая 2012 г. 6:17 Ошибка
Все ответы
-
26 мая 2012 г. 12:37
HTTPS Не проходит, настройте сертификат.
-
28 мая 2012 г. 3:43
Сейчас попробую выдать сертификат, внутренним автономным центром сертификации, что бы не пришлось распространять сертификат на клиентские машины. Ведь проверка HTTPS отключена, почему требуется сертификат?HTTPS Не проходит, настройте сертификат.
-
28 мая 2012 г. 9:36Настройте Переопределения категорий URL адресов (URL Category Overrides) и пропишете mail.google.com как Веб-Почту.
-
28 мая 2012 г. 10:10
Настройте Переопределения категорий URL адресов (URL Category Overrides) и пропишете mail.google.com как Веб-Почту.
Я ведь так и сделал. В описании написано или речь о чем то другом? -
29 мая 2012 г. 5:50Разбираясь я понял что это возникает только с "https://" переопределениями URL, даже если отдельно создать "Набор URL-адресов" и указать там любые сайты которые используют HTTPS и запретить их в каком нибудь правиле, то вместо страницы предупреждения TMG, будет ошибка открытия страницы. Кто нибудь вообще пытался закрыть Gmail.com, Mail.ru? Прошу помочь, это очень серьезно для организации в которой я работаю.
-
30 мая 2012 г. 4:00Создайте новый наборов доменных имен (Domain Name Set) укажите в нем все домены(mail.google.com, mra.mail.ru и т.д.). Добавьте этот набор в поле "куда" в запрещающее и разрешающее правила. Все будет работать(перед тестированием не забудьте дропнуть существующие сессии ибо правила переменяются только на новые сессии).
-
30 мая 2012 г. 4:41
Создайте новый наборов доменных имен (Domain Name Set) укажите в нем все домены(mail.google.com, mra.mail.ru и т.д.). Добавьте этот набор в поле "куда" в запрещающее и разрешающее правила. Все будет работать(перед тестированием не забудьте дропнуть существующие сессии ибо правила переменяются только на новые сессии).
Эффект тот же.
-
30 мая 2012 г. 11:35а в логах TMG что пишет при попытке обращения к mail.google.com?
-
30 мая 2012 г. 12:10
а в логах TMG что пишет при попытке обращения к mail.google.com?
А как бы мне развернуто показать логи Вам, что бы было правильное представление? Вот скриншот, в данном случае были использованы "Набор доменных имен" для заперта "mail.google.com".
В браузере ошибка.
-
30 мая 2012 г. 12:23Кстати правило по середине я не понимаю почему срабатывает, в ней указаны только конкретные пользователи, а не все пользователи. Оно работает по HTTP и HTTPS протоколу. Почему анонимные запросы проходят как разрешенные не понятно?
- Изменено Dmitriy Kozhemyak 20 июня 2012 г. 6:17
-
31 мая 2012 г. 4:34А настройки прокси внутренним адресом TMG вбиты в браузере? Похоже на то, что пользователи просто не авторизуются на прокси.
MCITP, MCTS, OCA.
-
31 мая 2012 г. 4:43
А настройки прокси внутренним адресом TMG вбиты в браузере? Похоже на то, что пользователи просто не авторизуются на прокси.
Конечно настроено. Остальной трафик HTTP, прекрасно проксируется и это в журналах отлично видно как работают определённые правила. Проблема именно HTTPS. Это ведь какая то не стандартная ошибка? У меня еще установлена утилита "bandwidth splitter for TMG", я уже думаю на неё.
MCITP, MCTS, OCA.
- Изменено Dmitriy Kozhemyak 20 июня 2012 г. 6:18
-
1 июня 2012 г. 9:09Отвечающий
bsplitter тоже может быть помехой. на 2006ой он частенько подключивал. лучше вначале добиться нормальной работы без левых эддонов.
-
1 июня 2012 г. 11:10
Да я тоже так думал. Но не поленился и переставил TMG несколько раз, хорошо что пока на стадии перехода. В общем с нуля поднятый TMG, чистый, даже без обновлений, версии Enterprise реагирует точно так же. Правда заметил без установленных сервис паков, категории URL работаю лучше т.е. не пришлось переопределять для gmail и еще несколько адресов, что это веб-почта, а не поисковые системы. После установки обновлений сразу все сбивается. Установлены были версия как русская, так и английская. Вы мне скажите, неужели это только у меня так? Кто нибудь успешно смог запретить по URL внешние почтовые клиенты, работающие через HTTPS? Есть ли смысл переходить на TMG с ISA 2006?bsplitter тоже может быть помехой. на 2006ой он частенько подключивал. лучше вначале добиться нормальной работы без левых эддонов.
- Изменено Dmitriy Kozhemyak 1 июня 2012 г. 11:11 Ошибка
-
4 июня 2012 г. 8:52
здесь http://www.microsoft.com/security/portal/mrs/
mail.google.com классифицируется как почта и поисковик
gmail.com - почта
mail.ru - сайты-порталы, почта, поисковик
почта на mail.ru - e.mail.ru
механизм определения категорий на сайте этом сайте и в tmg одинаков, насколько я знаю.
там же, можете сами указать более подходящую категорию, например, для e.mail.ru но насколько быстро это сработает и сработает ли - не могу сказать
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
4 июня 2012 г. 9:07
Да я знаю. Категории ладно с ними, вопрос почему когда пытаешься запретить веб-почту на протоколе HTTPS, любыми методами и категориями и просто набором URL и даже набором доменных имен, правило срабатывает, но в браузере просто ошибка? Кто нибудь успешно пробовал запрещать HTTPS cайты типа gmail.com и других?здесь http://www.microsoft.com/security/portal/mrs/
mail.google.com классифицируется как почта и поисковик
gmail.com - почта
mail.ru - сайты-порталы, почта, поисковик
почта на mail.ru - e.mail.ru
механизм определения категорий на сайте этом сайте и в tmg одинаков, насколько я знаю.
там же, можете сами указать более подходящую категорию, например, для e.mail.ru но насколько быстро это сработает и сработает ли - не могу сказать
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
5 июня 2012 г. 8:14
в этой статье описано, как блокировать https
http://technet.microsoft.com/en-us/library/cc302531.aspx
и парочка аналогичных тем на англоязычном технете
у меня на стенде такая же ситуация - обращение по https показывает ошибку подключения
ну и чтобы добить тему - поведение, когда ie8-9 показывает ошибку при обращении на сайт https, который был заблокирован на tmg, оказывается, by design
http://msdn.microsoft.com/en-us/magazine/dd565641%28VS.85%29.aspx
Windows Internet Explorer 7 would simply render the page returned from the proxy and execute that page in the context of the target server. Internet Explorer 8 has a feature that ensures that the secure connection is made all the way to the target server. If it isn't, then no page is displayed.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
- Изменено Yuriy Lenchenkov 5 июня 2012 г. 9:21
- Предложено в качестве ответа Yuriy Lenchenkov 5 июня 2012 г. 9:21
- Помечено в качестве ответа Vinokurov YuriyModerator 19 июня 2012 г. 11:58
-
6 июня 2012 г. 6:57
Спасибо за ответ! Просмотрел все ссылки, даже установил "Fiddler2" и попробовал просмотреть трафик. Не до конца во всем разобрался правда. Извините если что упустил, наверное опыта пока не хватает в этом до конца разобраться. Так как решить данную ошибку или найти какое то хотя бы альтернативное решение? У нас установлен в рабочей среде сервер ISA 2006, с ним таких проблем не возникает, по идеи последней статьи должна возникать такая же ошибка. Синтаксис в TMG я использовал все строго первой статье. В общем на вашем стенде, как получилось исправить данную ситуацию?в этой статье описано, как блокировать https
http://technet.microsoft.com/en-us/library/cc302531.aspx
и парочка аналогичных тем на англоязычном технете
у меня на стенде такая же ситуация - обращение по https показывает ошибку подключения
ну и чтобы добить тему - поведение, когда ie8-9 показывает ошибку при обращении на сайт https, который был заблокирован на tmg, оказывается, by design
http://msdn.microsoft.com/en-us/magazine/dd565641%28VS.85%29.aspx
Windows Internet Explorer 7 would simply render the page returned from the proxy and execute that page in the context of the target server. Internet Explorer 8 has a feature that ensures that the secure connection is made all the way to the target server. If it isn't, then no page is displayed.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
6 июня 2012 г. 6:57У пользователей используется IE 9.
- Изменено Dmitriy Kozhemyak 6 июня 2012 г. 8:07
-
6 июня 2012 г. 8:41
8,9 версии ie должны вести себя именно так, это фича для повышения безопасности.
обойти можно следующим образом:
HKEY_CURRENT_USER (или hkey_local_machine)
SOFTWARE
Microsoft
Internet Explorer
Main
FeatureControl
FEATURE_RETURN_FAILED_CONNECT_CONTENT_KB942615
DWORD : iexplore.exe Value : 1после этого возвращается страница ошибки с tmg 403 доступ запрещен
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
- Изменено Yuriy Lenchenkov 15 июня 2012 г. 10:42
- Предложено в качестве ответа Yuriy Lenchenkov 15 июня 2012 г. 10:42
- Помечено в качестве ответа Vinokurov YuriyModerator 19 июня 2012 г. 11:58
-
6 июня 2012 г. 9:40
8,9 версии ie должны вести себя именно так, это фича для повышения безопасности.
обойти можно следующим образом:
HKEY_CURRENT_USER (или hkey_local_machine)
SOFTWARE
Microsoft
Internet Explorer
Main
FeatureControl
DWORD : iexplore.exe Value : 1после этого возвращается страница ошибки с tmg 403 доступ запрещен
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
Спасибо за вашу помощь! Вы имеете введу создать запись в контейнере "FeatureControl"? В этом случае результата нет.
Нашел статью http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/846aae6a-60b4-4bcc-a8b7-c588bf05ad26, но в этом случае необходимо в контейнере "FeatureControl" создать 2 дополнительных контейнера и уже в них создавать запись DWORD : iexplore.exe Value : 1 . В случае при обращение к HTTPS сайтам просто браузер очень долго пытается что то загрузить, по времени я не стал ждать больше 5 минут и закрыл его. У вас на стенде работает данное альтернативное решение?
-
6 июня 2012 г. 10:18да, работает. создавать надо на клиентах, естественно, а не на tmg
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
6 июня 2012 г. 10:30
да, работает. создавать надо на клиентах, естественно, а не на tmg
Да я это понял. Создавал на двух клиенских машинах. Одна машина с IE8 и другая с IE9. Вы создавали запись "iexplore.exe" в контейнере "FeatureControl", либо как указано в данной статье, http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/846aae6a-60b4-4bcc-a8b7-c588bf05ad26?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
- Изменено Dmitriy Kozhemyak 6 июня 2012 г. 10:34
-
6 июня 2012 г. 11:09Кстати получается это проблема браузеров IE8-9, а что касается остальных? Например я проверил на браузере Chrome и Mozilla, тоже самое, Ошибка страницы при обращение на запрещенные HTTPS сайты.
- Изменено Dmitriy Kozhemyak 6 июня 2012 г. 11:09
-
6 июня 2012 г. 11:33
прошу прощения за ошибку. должно быть так
HKEY_CURRENT_USER (или hkey_local_machine)
SOFTWARE
Microsoft
Internet Explorer
Main
FeatureControl
FEATURE_RETURN_FAILED_CONNECT_CONTENT_KB942615 - этот ключ надо создатьDWORD : iexplore.exe Value : 1
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
6 июня 2012 г. 12:01
Спасибо! Да так и сделал, в этом случае браузер страницу грузит и не выходит никаких сообщений, просто как будто грузится страница. Буду думать дальше, может быть не хватает последних обновлений для IE9.прошу прощения за ошибку. должно быть так
HKEY_CURRENT_USER (или hkey_local_machine)
SOFTWARE
Microsoft
Internet Explorer
Main
FeatureControl
FEATURE_RETURN_FAILED_CONNECT_CONTENT_KB942615 - этот ключ надо создатьDWORD : iexplore.exe Value : 1
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
- Изменено Dmitriy Kozhemyak 6 июня 2012 г. 12:02
-
6 июня 2012 г. 12:07откуда же он грузит страницу, если она заблокирована на tmg???????
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
6 июня 2012 г. 12:53
откуда же он грузит страницу, если она заблокирована на tmg???????
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
Юрий, извините я ошибся. Опишу более понятно. Если использовать:
HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_RETURN_FAILED_CONNECT_CONTENT_KB942615
DWORD : iexplore.exe Value : 1
В этом случае при обращении на запрещенный HTTPS сайт, например "mail.google.com" или "www.Homebank.kz", в логах TMG видно что срабатывает запрещающие правило, но в этот момент в браузере возникает "Ошибка страницы", так же как и возникала ранее. Протестировано на двух машинах с браузером IE9 и IE8.
Если использовать:
HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SHOW_FAILED_CONNECT_CONTENT_KB942615
DWORD : iexplore.exe Value : 1
В этом случае при обращении на запрещенный HTTPS сайт, срабатывает запрещенное правило на TMG, но браузер висит на шаге "Ожидание" и больше ничего не происходит.
Возможно что ошибка заключается в другом?
Извините за неудобство, в вопросе TMG совсем не опытный и разобраться одному не получается.
-
7 июня 2012 г. 9:03
предлагаю видео, как это работает на ie9 через tmg в качестве прокси-сервера
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
7 июня 2012 г. 15:35
предлагаю видео, как это работает на ie9 через tmg в качестве прокси-сервера
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
Спасибо за ваше старание и помощь! К сожалению по переходя по ссылке выдается ошибка "Страница не найдена". Можно еще раз открыть доступ к файл на Skydrive?
Спасибо!
-
7 июня 2012 г. 15:37я заметил что меня преследуют ошибки))
-
7 июня 2012 г. 17:48https://skydrive.live.com/redir?resid=CC51815FEEB6BC7D!112&authkey=!ALIVgUGDPzlrgTc
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
- Изменено Yuriy Lenchenkov 7 июня 2012 г. 17:49
-
8 июня 2012 г. 4:31
https://skydrive.live.com/redir?resid=CC51815FEEB6BC7D!112&authkey=!ALIVgUGDPzlrgTc
Спасибо! Заметил что тест проходил на серверной системе Windows 2008 или выше. Так же протестировал на Windows 2008 R2, да действительно работает! Конечно сообщение отличается от обычного сообщения о запрете, но это все я думаю можно исправить изменением шаблонов страниц об ошибках. Дело в том что на Windows 7, браузер так же застывает на шаге "Ожидание" или во все неадекватно реагирует на ссылки, переходя по ним ничего не происходит и иногда возникает просто ошибка в браузере. Я не знаю в чем может быть причина, тестировалось на разных машинах, с только что установленной и уже давно работающей в сети системой. Пользователи в нашей компании очень строги ко всяким подобным мелочам, им сложно объяснить что в браузере есть какие то механизмы защиты или еще что то. Скажите а у вас есть возможность проверить работу данного решения на Windows 7? Спасибо большое вам за помощь!
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
8 июня 2012 г. 8:27на 7 с ie8 тоже работает способ
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
8 июня 2012 г. 9:27Вот и у меня должен работать, но решительно отказывается. В любом случае руководство не примет такой вариант решения, я так понял работать это будет только с IE, а что делать с другими браузерами? Попробую обратиться в поддержку Microsoft с данной проблемой, надеюсь что нибудь решиться. Спасибо огромное всем за помощь! С темой не знаю что делать, проблема до конца не решена, наверное отпишусь после и тогда и закроем. Если у кого то есть еще какие либо идеи или предложения, то прошу поделиться.
- Изменено Dmitriy Kozhemyak 8 июня 2012 г. 9:29
-
15 июня 2012 г. 10:42Dmitriy Kozhemyak, что Вам ответила поддержка?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
19 июня 2012 г. 12:04
Dmitriy Kozhemyak, что Вам ответила поддержка?
К сожалению отправить запрос по продукту не удалось, по некоторым причинам. В этом году должна была быть куплена "Премьер-поддержка Microsoft", но это на днях было перенесено на следующий год. В общем я через несколько дней закрою тему, попробую обратиться к менеджеру Microsoft нашей организации и все узнать, как действовать в данном случае. Спасибо!
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
-
7 августа 2012 г. 13:44
Здравствуйте, коллеги.
Хотел поделиться результатом обращения в Microsoft. Редактирование реестра в данном случае единственное решение. Данное неудобство является By Design.
- Помечено в качестве ответа Yuriy Lenchenkov 16 августа 2012 г. 13:23
.png)
