locked
TS-Gateway über Forefront veröffentlichen RRS feed

  • Frage

  • Hallo zusammen,

    das Thema gab es zwar schon mehrfach, aber richtig schlau bin ich da nicht draus geworden.

    Also: Ich habe einen Terminalserver (2008R2), auf dem auch das TS-Gateway installiert ist. Im IIS stehen für die Verzeichnisse "rpc" und "rdweb"die Auth. auf "Standard" und "Windows". Aufruf der Programme mittels rdp-Datei funktioniert intern einwandfrei. Am Forefront (2008R2, TMG2010), welcher nicht Mitglied der Domain ist, wollte ich eine Zugriffsregel laut "http://blog.forefront-tmg.de/?p=248" erstellen. Leider passt das alles nicht, denn wenn ich im Listener -> Auth. "HTTP - integriert - Windows AD" einstelle, habe ich den angegebenen Punkt in der Regel -> Auth.-Delegierung -> Kerberos/NTLM nicht mehr. Also habe ich sämtliche Möglichkeiten der Auth. durchgespielt, komme aber immer wieder zum gleichen Ergebnis, wenn man sich von extern verbinden will:

    Meldung 1:

    Protokolltyp: Webproxy (Reverse)
    Status: 12309 Der ISA Server erfordert Autorisierung, um die Anforderung durchführen zu können. Der Zugriff auf den Webserver wird verweigert. Wenden Sie sich an den Serveradministrator.
    Regel: TS-Gateway
    Quelle: xxx:51131
    Ziel: xxx:443
    Anforderung: RPC_IN_DATA http://rdp.firma.de/rpc/rpcproxy.dll?localhost:3388
    Filterinformationen: Req ID: 0a18f898; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protokoll: https
    Benutzer: anonymous

    Meldung 2:

    Protokolltyp: Webproxy (Reverse)
    Status: 12309 Der ISA Server erfordert Autorisierung, um die Anforderung durchführen zu können. Der Zugriff auf den Webserver wird verweigert. Wenden Sie sich an den Serveradministrator.
    Regel: TS-Gateway
    Quelle: xxx:51132
    Ziel: xxx:443
    Anforderung: RPC_OUT_DATA http://rdp.firma.de/rpc/rpcproxy.dll?localhost:3388
    Filterinformationen: Req ID: 0a18f89b; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protokoll: https
    Benutzer: anonymous

    Wo liegt der Fehler, bzw. wie sollte die Auth. grundsätzlich ablaufen?

    Vielen Dank

     

    André


    • Bearbeitet Jacke_dd Freitag, 7. Oktober 2011 09:42
    Freitag, 7. Oktober 2011 09:40

Antworten

  • Hi Christian

    super, so funktioniert es!

    Vielen Dank

     

    André

    Freitag, 7. Oktober 2011 09:59

Alle Antworten

  • Hi,

    damit du eine Kerberosdelegierung machen kannst muss der TMG zwingend Mitglied der Domain sein. Alternativ am TMG keine Authentifizierung fordern und die direkte Authentifizierung am Webserver erlauben.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    • Als Antwort vorgeschlagen Wolverine74 Freitag, 7. Oktober 2011 10:14
    Freitag, 7. Oktober 2011 09:53
  • Hi,

    schau mal:
    http://blog.forefront-tmg.de/?p=248


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort vorgeschlagen Wolverine74 Freitag, 7. Oktober 2011 10:14
    Freitag, 7. Oktober 2011 09:58
  • Hi Christian

    super, so funktioniert es!

    Vielen Dank

     

    André

    Freitag, 7. Oktober 2011 09:59