locked
Forefront TMG (Webproxy / Cache) + IE8 + Authentifizierung: unvollständige, fehlerhafte Darstellung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Ich bin in o.g. Frage am verzweifeln. Im englische Forum (Artikel http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/c5157c01-642e-4b90-9b39-ca3ff4254e78) antwortet mir leider niemand, daher nun der Versuch hier:

    Folgendes Szenario:

    Viele Windows XP Clients mit Internet Explorer 6 inkl. SP3 und aller Hotfixes: Surfverhalten über TMG einwandfrei!
    Einige weinige XP Clients mit Internet Explorer 6 inkl. SP3 und aller Hotfixes: Surfverhalten über TMG teils schlecht mit 3 Fehlern

    Bide Installationen erhalten über GPO nur die Startseite, ein paar Sites als vertrauenswürdig und die proxy.pac gesetzt.

    Die 3 Fehler sind:

    1.) "Bad Request" und anschliessender Anzeite eines Kerberos-Authetisierungs-Cookies oder
    2.) fehlerhafte Darstellung, das (meineransicht) das CSS nicht korrekt interpretiert wurde oder
    3.) ein paar (wenige) fehlende Elemente (meist Bilder).

    Nummer 2.) kann in 3.) überführt werden durch drücken der Taste F5.

    TMG hat eine Netzwerkkarte, Servicepack und Updates sind (problemlos) installiert, ein paar Erlauben- und Verbotsregeln auf Usergruppen bezogen sind eingerichtet.

    Das Verhalten ist soweit wie erwartet:

    IE8 versucht sich anonym zu verbinden, wird abgewiesen und authentisiert sich via Kerberos. Nur werden Seiten, sie auf Apache laufen oft die o.g. Fehler beobachtet.

    Bitte stellt mir Fragen oder noch besser gebt mir einen Hinweis, wie ich weiter suche kann und eine Lösung finden.

    Beste Dank, Gruß Arnold

    Dienstag, 18. Januar 2011 12:32

Antworten

  • Question
    Anmelden
    0
    Anmelden

    hm - d.h. auch wenn du kein pac-file verwendest, dann sind die gleichen auffälligkeiten zu beobachten.

    dann fällt mir hier so aus dem effeff leider nicht mehr viel zu ein, außer: ip verwenden.

    ;-)

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 20. Januar 2011 14:47

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    moin arnold,

    hm - ein wenig schwer und ein wenig kaffeesatzleserei, da ich die geschichte nicht im betrieb sehen kann:

    grundsätzliche konfigurationsschwächen solltest du testen, wie: korrekte nic-konfig, bindungsreihenfolge und dns-auflösungsmechanismen deines netzes.

    ie6 definitiv auf die halde bringen und durch einen neueren browser ablösen! egal welcher browser: alle machen zuerst einen anonymen verbindungsaufbau und wenn z.b. ein proxy oder eine website dies ablehnt, dann erst wird authentifiziert (z.b. windows integrated).

    tmg ist im single-nic-modus aufgezogen - bin ich persönlich kein großer freund von, da hier häufig regeln falsch umgesetzt werden und grundkonfigs falsch ausgerollt werden, besser mindestens 2-beinig imho.

    weiter suchen würde ich im logging und den alarmen. dedizierte zugriffe starten und schauen welche regel wann, was und warum blockt.

    sorry, aber mehr fällt mir so "aus der hüfte heraus" leider nicht ein.

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 18. Januar 2011 16:00
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jens, danke für die Antwort, und deine Ausführungen.

    Ein paar Anmerkungen und Annäherungen an das Problem:

    1.) nach weiteren Recherchen im Internet bin ich auf folgenden Hinweis gestossen: statt des DNS Aliases zu verwenden, sollte ich den eigentlichen servernamen verwenden. Resultat: es wurde besser aber nicht gut

    2.) nach der Idee statt des Servernamens, direkt die IP-Adresse zu nutzen, scheint nun alles gut.

    -> Namensauflösungsproblem? Server ist korrekt eingerichtet (wir nutzen hier QIP) hat auch nie dieses Phänomen gezeigt, Clients funktionieren bisher auch problemlos; sind wir einem bisher unbemerkten Problem auf der Spur? Irgend eine Idee?

    Ich arbeite für einen grossen Konzern, so dass Änderungen bezogen auf IE6/IE8 bereits seit einem Jahr geplant werden und nun endlich umgesetzt werden. Es braucht alles seine Zeit, bis solche Änderungen durchgeführt werden. Über die Notwendigkeit brauchen wir - wie ich denke - nicht reden.

    Ebenso über die One-NIC Idee, aber die "Steering Commitees" entscheiden so, dann wird es auch so umgesetzt. Wir nutzen von unserem Standort aus einen Upstream-Proxy zum Bordergateway.

    Was ist denn Deiner meinung nach Besonderes bei One-NIC zu beachten, im Hinblick auf Deine Aussage " .... da hier häufig regeln falsch umgesetzt werden und grundkonfigs falsch ausgerollt werden ...." ?

    Ist doch eher eine der einfachsten - beinahe plumpen - Konfigurationen - täusche ich mich?

    Besten Dank für weitere Anregungen, Gruß, Arnold

    Dienstag, 18. Januar 2011 21:05
  • Question
    Anmelden
    0
    Anmelden

    Wir haben eine 95% Lösung gefunden:

    http://blogs.technet.com/b/isablog/archive/2008/06/26/understanding-by-design-behavior-of-isa-server-2006-using-kerberos-authentication-for-web-proxy-requests-on-isa-server-2006-with-nlb.aspx

    Das nutzen eine DNS-Alias erzeugt meine Authentisierungsprobleme, es muss der SPN benutzt werden. Leider werden dadurch nicht alle Seiten korrekt dargestellt, allerdings deutlich mehr als bisher!

    Das Nutzen der IP-Adresse des Servers bringt 100% Erfolg. Wieso? Wo ist jetzt die Erglärung?

    Irgend eine Idee?

    Gruß, Arnold

    Mittwoch, 19. Januar 2011 12:48
  • Question
    Anmelden
    0
    Anmelden

    hm - eine erklärung kann ich dir so aus der ferne für das verhalten nicht geben, bis auf die vermutung das der dns vlt. der anfrage-last nicht gewachsen ist??? arbeitet ihr mit auto-discovery?

    ein verdacht könnte der ie6 mit zu hoher authentifizierungslast sein, aber dann müssten die ie8 sauber laufen - es sei denn eure dcs kämen mit den authentifizierungsanfragen nimmer klar?!

    bei single nic beachten: template im erste-schritte-assistenten auswählen, kontrollieren ob routing-tabellen mit adress-tabellen des tmg übereinstimmen. regelwerk korrekt aufbauen - es gibt z.b. kein "extern" mehr.

    noch eins: ich vermeide proxy-ketten wo es nur geht, da auch dies immer wieder regelmäßig zu ärger führt (veränderte http-header, unterschiedliche deep-instpection-features, delays).

    aber natürlich ist mir bewusst das itw die umsetzungen nicht immer so laufen und auch ich muss leider manchmal an solche szenarien (single-nic, proxyketten) bei meinen kunden ran.

    ;-)

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 20. Januar 2011 07:20
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wir arbeiten nicht mit Autodiscovery (falls Du WPAD meinst), wir nutzen eine proxy.pac Datei.

    Authentifizierungsanfragen auf den DCs lassen wir seit gestern mitprotokollieren.

    Nun habe ich des Öfteren gelesen - wie DU auch schreibst, es gäbe kein extern mehr?!?

    Ist das bei Forefront TMG auch noch so?

    Ich habe das Objekt allerdings?!?!

    Donnerstag, 20. Januar 2011 09:27
  • Question
    Anmelden
    0
    Anmelden

    moin arnold,

    wpad.dat und proxy.pac sind dasselbe - nur andere namen. aber ich denke mal das deine proxy.pac selbsterstellt auf irgendeinem internen webserver liegt.

    teste doch mal ob das verhalten sich ändert, wenn du einen browser mit ohne proxy.pac nimmst!

    im single-nic baut man klassischerweise regelwerk von intern nach intern, da es in der konstellation kein extern mehr gibt. klar ist das objekt noch vorhanden, da "extern" quasi ein synonym für "alles was tmg nicht kennt" ist. tmg "kennt" aber alles, da nur eine nic. ;-)

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 20. Januar 2011 09:59
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    danke ... für die WPAD proxy.pac Erklärung, als ich es las, fiel es mir auch wieder ein (ich werde alt).

    Zum Verhalten: Ich verteile via pac i.A. die IP-Adresse des TMG, da so alles funktioniert. Auf meinem Test-Client habe ich es exakt so bereits durchgespielt, wie Du es schildertst und das Verhalten ist wie bereits am anfäglich geschildert.

    Jederzeit reproduzierbar. Die Logs auf den drei DCs sind ebenfalls nicht auffällig. Hilft eine Beobachtungen der Authetisierungen auf dem TMG - max ca. 400/s als kurzer Peak, sonst ca. 5/s

    Donnerstag, 20. Januar 2011 11:43
  • Question
    Anmelden
    0
    Anmelden

    hm - d.h. auch wenn du kein pac-file verwendest, dann sind die gleichen auffälligkeiten zu beobachten.

    dann fällt mir hier so aus dem effeff leider nicht mehr viel zu ein, außer: ip verwenden.

    ;-)

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 20. Januar 2011 14:47