locked
TMG-/ISA-Client verwirft Proxyausnahmen im IE RRS feed

  • Frage

  • Wir setzen derzeit einen ISA 2004 ein und bereiten derzeit die Migration auf TMG 2010 vor.

    Bei den Usern ist der ISA im IE als Proxy konfiguriert, für das Lokale Netz sind Ausnahmen eingetragen die über GPOs an die Clients ausgerollt werden.

    Nun haben wir bei Powerusern für die der Proxyeintrag im IE nicht ausreicht, den ISA bzw. TMG-Client installiert. Allerdings verlieren diese User im IE ihre Proxyausnahmen mit der Auswirkung dass die SingleSignOn nicht mehr an die intern Webserver (IIS) weitergereicht wird und unser kleines Sharepoint Intranet für diese User nicht mehr benutzerbar ist.

    Kann mir jemand weiterhelfen?

    Gruß Jochen

    Montag, 6. Dezember 2010 14:00

Antworten

  • Problem wurde mittlerweile gelöst:

    1. Ich hab in der management.ini den Eintrag "EnableWebProxyAutoConfig=" auf 0 gesetzt so dass die Vorgaben der GPO nicht mehr überschrieben werden

    2. Am TMG hab ich die internen Domains mit abschließendem Slash angegeben, z.B. *.intern.loc/, so dass auch Standardeinstellung auf internen Domains direkt zugegriffen wird.

    • Als Antwort markiert Marc.Grote Donnerstag, 3. Februar 2011 08:09
    Donnerstag, 3. Februar 2011 08:03

Alle Antworten

  • Hi,

    der TMG Client konfiguriert die Webproxy Settings automatisch mit den im TMG hinterlegten Webproxy Einstellungen. Du musst also die Einstellungen am TMG konfigurieren oder die Funktion ausschalten dass der TMG Client die Webproxy Einstellungen schreibt:
    http://www.isaserver.org/tutorials/Understanding_and_installing_ISA_Firewall_Clients.html
    http://www.msisafaq.de/anleitungen/2004/Grundlagen/Firewallclient.htm
    http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-installing-configuring-Forefront-TMG-client.html


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 6. Dezember 2010 14:12
  • Hallo Marc, danke für die Links!

    Hier noch ein paar Details:

    Am ISA sind bei den FW-Clienteinstellungen alle internen DNS-Domänen und IP-Netze als Proxyausnahmen konfiguriert. Diese Ausnahmen ignoriert der Client aber komplett bzw. schreibt diese nicht beim IE in die Konfig (muss er das überhaupt?!?).
    Am Client kann ich das Häckchen für die automatische Webbrowserkonfiguration entfernen, beim nächsten Anmelden ist das wieder drinnen.

    Wenn alle Programme Proxyfähig wären, dann bräuchte ich den Client ja erst gar nicht aber bei uns muss der Internetzugriff auf Benutzerebene verwaltet und gesteuert werden können.

    Ich werde mich noch etwas einlesen und ein paar Tests durchführen.

    Montag, 6. Dezember 2010 15:39
  • Hi,

    bei ISA gab es da mal ein Problem, dass die Ausnahmen ignoriert wurden:
    http://blogs.isaserver.org/pouseele/2006/07/21/solving-the-directly-access-these-servers-or-domains-issue-in-isa-server-2004-sp2/
    Wegen der Webproxykonfiguration musst Du das am TMG ausschalten:
    TMG Konsole - Eigenschaften des Netzwerks wo der TMG Client verwendet wird - Registerkarte Forefront TMG Client - Webbrowserkonfiguration ....


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 6. Dezember 2010 16:03
  • Problem wurde mittlerweile gelöst:

    1. Ich hab in der management.ini den Eintrag "EnableWebProxyAutoConfig=" auf 0 gesetzt so dass die Vorgaben der GPO nicht mehr überschrieben werden

    2. Am TMG hab ich die internen Domains mit abschließendem Slash angegeben, z.B. *.intern.loc/, so dass auch Standardeinstellung auf internen Domains direkt zugegriffen wird.

    • Als Antwort markiert Marc.Grote Donnerstag, 3. Februar 2011 08:09
    Donnerstag, 3. Februar 2011 08:03
  • Hi,

    super, schoen das es funktioniert


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 3. Februar 2011 08:09