locked
TMG : Activation du fitrage HTTPS et plus d'accès à google : erreur 12227 RRS feed

  • Question

  • Bonjour à tous,

    J'ai activé avant les vacances le filtrage HTTPS sur TMG.

    L'ensemble des postes sont dans le domaine. Le déploiement du certificat s'est fait à travers le domaine.

    Pour les postes non-intégrés au domaine, j'ai installé le certificat à la mano.

    A mon retour de vacances, aujourd'hui, impossible d'accéder à Google.

    Les utilisateurs accèdent aux sites en http et certains en https comme le creditmutuel et d'autres mais Google c'est non !

    Hormis les postes de quelques personnes qui ont le client forefront, tous les utilisateurs sont en securenat et la plupart utilisent IE. Le problème est identique avec les autres navigateurs et j'ai également essayé de passer les client web en mode proxyweb mais cela ne change.

    Je pourrais ajouter le domaine Google dans les exceptions HTTPS mais j'aimerais comprendre pourquoi cela ne fonctionne pas, c'est étrange.

    Pou rappel, l'erreur 12227 me donne

    Le nom du certificat de serveur SSL fourni par un serveur de destination ne correspond pas au nom de l'hôte requis.

    Note : en attendant, j'ai mis Google en exception https mais du coup le safe search ne fonctionne plus :-(

    au plaisir de vous lire


    vendredi 3 janvier 2014 11:42

Réponses

Toutes les réponses

  • Bonjour Anthony,

    Sauf erreur de ma part, les certificats utilissé par Google sont de type wildcard (*.Google.fr, *.Google.com...) ce que TMG n'apprécie pas car il n'est alors pas en mesure de vérfier celui-ci avec suffisament de précision.

    Voici un article TechNet en anglais traitant des différents problèmes liés au filtrage HTTPS et aux types de certificats des serveurs web: http://technet.microsoft.com/fr-fr/library/ee796230.aspx#jdn84jdd4009ikj.


    Marc Lognoul [Infrastructure Expert]

    My Site/Mon Site |  MyBlog [EN]  | Mon Blog [FR]  |  Twitter  |  LinkedIn

    • Marqué comme réponse Anthony Leduc vendredi 3 janvier 2014 16:05
    vendredi 3 janvier 2014 14:02
  • Bonjour Marc,

    Merci pour ta réponse.

    du coup, je suis obligé à me résoudre à ajouter leurs domaines dans les exceptions HTTPS. (Google.fr, .com, googlegroups etc..) pfftt

    Du coup cela m'amène à une autre question et j'en profite, peut-être auras tu une réponse ;-)

    Depuis que j'ai activé le filtrage HTTPS, certains sites comme Facebook ou addons.Mozilla.org ne s'affichent pas correctement. Je n'ai pas les images, mais juste du texte.

    Cela ne le fait pas sur tous les sites en https mais c'est assez gênant. Surtout que même si je crée une exception https cela ne règle pas le problème.

    Des idées ?

    vendredi 3 janvier 2014 16:05
  • Bonsoir, Pour identifier avec précisions des éléments bloqué des sites, je repartirais des log TMG. Il n'est pas impossible que d'autres policies soient à l'origine du blocage, cela permettra de les identifier.

    Marc Lognoul [Infrastructure Expert]

    My Site/Mon Site |  MyBlog [EN]  | Mon Blog [FR]  |  Twitter  |  LinkedIn

    vendredi 3 janvier 2014 16:37
  • Bonsoir,

    Je regarde cela lundi...j'ai posté la question en me disant que peut-être tu avais peut-être déjà rencontré ce problème ?

    Dès lundi, je donne plus d'infos.

    Bon week-end en attendant

    vendredi 3 janvier 2014 20:46
  • Bonjour,

    J'ai déjà rencontré le problème sur des site de recherche type Google, qui mette des images ou d'autres éléments du site en cache mais par contre, aucun souvenir de problèmes sur FB ou Mozilla.org précisément.


    Marc Lognoul [Infrastructure Expert]

    My Site/Mon Site |  MyBlog [EN]  | Mon Blog [FR]  |  Twitter  |  LinkedIn

    dimanche 5 janvier 2014 16:02
  • Argghh je m'arrache les cheveux en regardant les logs.

    1 - Quand j'essaye d'accéder à Internet,  et en regardant en parallèle les logs dans TMG, je vois que tous les pc essayent d'accéder régulièrement à l'ip 192.168.0.60 qui est en fait une connexion VPN initiée certainement de chez moi. C'est le serveur DHCP (installé sur un autre serveur) qui gère l'adressage des clients VPN.

    2- Concernant l'affichage des images, si je vais sur le site https://addons.mozilla.org/fr/firefox/

    J'obtiens cet affichage même si j'ai précisé qu'il ne devait pas y avoir d'inspection HTTPS sur ce domaine.

    En vérifiant les logs, je n'ai rien de refusé

    Voir image ici

    https://www.dropbox.com/s/5rytdgqp83u8u9r/Capture3.PNG

    Les connexions fermées concernent le filtre Safesearch uniquement.

    Du coup, j'ai 2 gros pb.

    Au plaisir de te lire, j'espère que cela va t'aider...je désespère.

    lundi 6 janvier 2014 11:00
  • Je me réponds à moi-même concernant les images qui n'apparaissent pas.

    en fait, j'ai désactivé le module de compression HTTP/HTTPS dans TMG et les pages s'affichent correctement maintenant...et cela sur tous les sites.

    Il y a quand même des choses quoi m'échappent ...pourquoi l'affichage de certains sites en https fonctionnent correctement et d'autres non !!

    L'effet micro-climat ?

    lundi 6 janvier 2014 11:38
  • Bonjour Anthony,
    En effet j'ai très souvent remarqué des problèmes avec la compression HTTP embarquée dans TMG.
    Pour ma part, même si je n'exclus pas le microclimat :), je pencherais plutôt pour une incompatibilité avec la manière dont certains site web compresseraient eux-mêmes certains objets HTTP (ou ne compressent pas),voire avec certaines en-têtes HTTP. Donc, difficile à identifier avec précision...

    Marc Lognoul [Infrastructure Expert]

    My Site/Mon Site |  MyBlog [EN]  | Mon Blog [FR]  |  Twitter  |  LinkedIn

    mardi 7 janvier 2014 07:32
  • Merci Marc pour tes explications.

    J'ajoute un petit élément que j'ai oublié de préciser hier, qu'il faut également désactiver la mise en cache des requêtes SSL. Du coup, l'affichage des pages HTTPS est nettement plus rapide.

    Encore merci pour ton aide Marc. Je vais maitenant essayer de résoudre le pb avec l'adresse ip 192.168.0.60 et tout sera parfait ^^.

    A titre d'info, j'avais demandé à mon fournisseur de me faire un devis pour un ASA me proposant les mêmes fonctions que TMG et j'ai laissé tomber. (environ 6 000 € !!)

    mardi 7 janvier 2014 13:08