none
Problem beim Veröffentlichen des TS-GW RRS feed

  • Frage

  • Hallo zusammen,

    hab ein Problem mit dem Veröffentlichen des TS-GW über den TMG (ohne SP1).

    Beim Aufruf über RDP erscheint im TMG Log folgende Fehlermeldung:

     

    Verweigerte Verbindung

     

    TMG 08.01.2011 19:46:09

    Protokolltyp: Webproxy (Reverse)

    Status: 12202 Die angegebene URL wurde von Forefront TMG abgelehnt.

    Regel: TSG

    Quelle: 192.168.50.21:50697

    Ziel: 192.168.50.50:443

    Anforderung: RPC_IN_DATA http://tsg.domain.local/rpc/rpcproxy.dll?localhost:3388

    Filterinformationen: Req ID: 0ac0704f; Compression: client=No, server=No, compress rate=0%

     

    Anschließend erscheint ein RPC_OUT_DATA Fehler.

    Das externe Interface hat 192.168.50.0/24.

     

     

    Hat mir vielleicht jemand einen Tip?

     

    Speerle

    Samstag, 8. Januar 2011 18:55

Antworten

  • Mann bin ich ein Depp!!!

    Hatte die falsche IP im DNS drin und den aufruf immer mit dem Hostnamen gemacht. Kaum geändert funktioniert der Zugriff :)

    Hätte noch ergänzend eine Frage zu den Zertifikaten. Erfolgt nun mittels RDP über den TSG der Zugriff auf einen Host, meldet dieser, dass "Keine Sperrprüfung für das Zertifikat durchgeführt werden konnte". Das wundert mich nun etwas, da ich das public Zertifikat auf meinem Zugriffsrechner importierte. Bei dem Dialog kann das Zertifikat zwar manuell importiert werden, aber das will ich nicht bei jedem Server machen.

     

    Tips? :)

     

    Grüße und danke für die Hilfe

     

    speerle

    Sonntag, 9. Januar 2011 17:15

Alle Antworten

  • Hi,

    Quelle ist die 192.168.50.21 und Ziel die 192.168.50.50? Gleiches Netz? Wenn das externe Interface die 192.168.50.0/24 ist, wie ist dann die IP des internen Netzwerks, wo das TSG steht?
    Die URL die verweigert wird ist die des RPC over HTTP Proxy, welcher fuer das TSG verwendet wird!
    Am TMG hast Du die Exchange Web Client Veroeffentlichung fuer Outlook Anywhere / RPC over HTTPS verwendet? Die erlaubt den URL Pfad /RPC, und diese wird ja verweigert.
    Sourcen (bitte damit nochmal gegen Dein Szenario checken:
    http://blog.forefront-tmg.de/?p=248
    http://technet.microsoft.com/de-de/library/cc731353(WS.10).aspx
    http://blogs.technet.com/b/tnmag/archive/2008/08/18/enhance-ts-gateway-security-with-isa-server-2006.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Samstag, 8. Januar 2011 19:33
    Moderator
  • Mann bin ich ein Depp!!!

    Hatte die falsche IP im DNS drin und den aufruf immer mit dem Hostnamen gemacht. Kaum geändert funktioniert der Zugriff :)

    Hätte noch ergänzend eine Frage zu den Zertifikaten. Erfolgt nun mittels RDP über den TSG der Zugriff auf einen Host, meldet dieser, dass "Keine Sperrprüfung für das Zertifikat durchgeführt werden konnte". Das wundert mich nun etwas, da ich das public Zertifikat auf meinem Zugriffsrechner importierte. Bei dem Dialog kann das Zertifikat zwar manuell importiert werden, aber das will ich nicht bei jedem Server machen.

     

    Tips? :)

     

    Grüße und danke für die Hilfe

     

    speerle

    Sonntag, 9. Januar 2011 17:15
  • Hi,

    der Rechner moechte gerne checken, ob das Zertifikat abgelaufen, kompromittiert ist etc. Das nennt sich dann Sperrpruefung. Sperrpruefung kann klassich in Form einer CRL (Certificate Revocation List) oder etwas moderner mit OCSCP (Online Certificate Status Protocol) durchgefuehrt werden. Im Zertifikat ist hinerlegt, wo der CDP Pruefpunkt liegt (kann in der Regel per HTTP, LDAP / FILE erreicht werden). Welche Zertifikat meinst Du jetzt? Geh mal in die Eigenschaft des betroffenen Zertifkat und schau ob der CRL Pfad erreichbar ist.  Welches Public Zertifikat meinst Du?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Sonntag, 9. Januar 2011 18:15
    Moderator
  • Hallo Marc,

    danke für dne Hinweis. Hab den Zugriff über TMG als Webveröffentlichung auf certenroll gemacht. Wollte eigentlich noch den HTTP Filter eingrenzen auf die GET-Methode und als Dateiendung .crl. Bin dazu noch nicht gekommen weil die Webveröffentlichung für die RemoteApps nicht klappt. Naja, erstmal Feierabend :)

    Viele Grüße

    Speerle

    Samstag, 15. Januar 2011 16:28
  • In meinem Fall war der öffentliche Pfad falsch, also genauso blöd :)

    Grüße

    Freitag, 9. November 2012 08:38