Wir setzen den Forefront TMG und den TMG-Client zum erstenmal richtig ein.
Dabei haben wir eine knifflige Installation vor uns.
Alle Client-PCs sollten mit dem TMG-Client installiert sein (Standard, einfaches Deployment, für WSock-Anwendungen falls notwendig)
Teile der Client-PCs sollen VPN-Verbindungen aufbauen können (SecNat-Client)
Alle Client-PCs sollen in einfacher Form HTTPS-Verbindungen und Webmail-Accounts (Googlemail, Freemail etc.) nutzen
In der Organisation werden im Prinzip die Clients in zwei Clientbereichen betrieben:
* Bereich 1: Nutzung des Proxy-Servers des TMG vollständig für alle Protokolle
* Bereich 2: Nutzung eines Squid-Proxy für HTTP und für die anderen Protokolle wiederum des TMG
Die Zuweisung der IE-Einstellungen für den Proxy wollten wir über GPO und nicht WSPAD/WPAD realisieren.
So war es gedacht. Damit begannen aber die Probleme, wo ich Euch bitte, mir etwas beim "Sortieren" zu helfen, um die Anforderungen sinnvoll abdecken zu können.
Widersprecht mit bitte, wenn ich nachfolgend eine falsche Aussage treffe:
1. Sobald der TMG-Client installiert ist, funktioniert die IE-Proxy-Verbindungskonfiguration nur noch über WSPAD/WPAD-Verteilung.
2. Wenn dem so ist, wäre der Squid-Proxy z.B. über die Einstellungen im TMG-Server zu konfigurieren, aber dann an allen Clients mit TMG-Client vorgegeben. Das wäre so aber nicht gewollt (Widerspruch zu bereichsorientierter Aufteilung).
3. Wenn SecNat gebraucht wird (VPN) darf der TMG-Client nicht installiert sein oder dieser muss deaktiviert werden.
4. Der TMG-Client verhindert die einfache Nutzung z.B. von Webmail-Accounts
Ist es deshalb nicht sinnvoll folgende Installation zu wählen:
1. Den TMG-Client nur dort installieren, wo weder VPN, HTTPS, Webmail oder unterschiedliche Proxys benötigt werden?
2. Die IE-Einstellungen generell dort ORGA-bezogen über GPO vorgeben, wo kein TMG-client installiert ist.
3. Die generelle SecNat-Nutzung/Freischaltung über DHCP-Vorgabe rückgängig machen. Welche Möglichkeit habe ich aber dann um SecNat computerspezifisch freizuschalten? (außer über feste IP-vorgaben)
Wir haben schon etwas experimentiert:
Sobald wir über GPO die Proxyeinstellungen vornehmen und der TMG-Client installiert bzw. aktiviert ist, werden die Proxyeinstellungen zwar über die GPO vom Client übernommen, aber scheinbar von Geisterhand wird bei den LAN-Einstellungen des IE der Haken
für die Proxynutzung entfernt.
Erschwerend kommt hinzu, dass die Ursprungs-Clientinstallation (bereits mit TMG-Client vorbereitet) mit einem Festplattenschutz versehen ist. Deswegen vermuten wir folgendes Problem: GPO setzt IE-Einstellungen. Bei Aufruf des IE greift der WPAD-Mechanismus,
der über die lokalen alten oder aktualisierten neuen WPAD-Einstellungen die Einstellungen des IE bzgl. der Proxys bei aufruf des IE wieder zurücknimmt.
Also ein ziemliches Durcheinander!
Ich denke es ist sinnvoll, den TMG-Client überall dort nur einzusetzen, wo er nicht mit anderen Vorgaben kollidiert.
Ist das richtig?
Danke für Eure Geduld und Hilfe!
mfg
jf
