locked
Erreur DNS et Live Messenger RRS feed

  • Question

  • Bonjour tout le monde,

    Voulant mettre en avant les logiciels de Micorsoft, je viens d'installer sur un serveur test, le fameux TMG.

    Facilité de configuration normale, installation très facile, paramétrage plus dur ^_^

    Je me permets de vous poser la question à vous, professionnels des systèmes Microsoft.
    J'ai eu quelques soucis afin d'ouvrir les ports pour certains sites et applications.

    Dans un premier temps le serveur est installé sur une machine Hyper V 2008r2.
    Je possède un AD sous 2008R2 aussi.
    Tous mes postes après l'installation de TMG passent par lui en passerelle donc.
    J'éprouve quelques soucis, lorsque je veux aller sur le site de lemonde.fr, au bout d'un certain temps le site est comme qui dirait DOWN ... Aucun message de Forefront à ce propos dans IE ...
    Si je reset mon serveur DNS (AD,DHCP) le site repart ...
    Même Windows Live Messenger lui est impossible de se connecter.
    Lorsque j'active l'autorisation à mon poste de se connecter au flux de ce logiciel via TMG, une très légère modification s'opère : j'arrive au chargement des différentes parties du logiciel mais après, une déconnexion survient.
    Quelques sites mettant à disposition du Streaming en Flash ne sont pas accessibles.
    J'ai désactivé le filtrage web mais aucune modification en ma faveur ...

    Existe-t'il à l'intérieur de cette "usine à gaz", une option permettant d'ouvrir ces accès là ? :o

    Merci par avance à tous :)

    lundi 5 décembre 2011 23:19

Réponses

  • Bonsoir,

    pour le DNS, ce message indique que le processus de nettoyage n'a rien trouvé à supprimé; pas vraiment grave.

    ce que je vous conseille de faire c'est de créer une règle d'accès TMG pour autoriser le trafic de type "serveur DNS" de votre serveur vers le réseau externe. ça devrait régler quelques problèmes: les client pourront se connecter à internet seulement en utilisant TMG comme passerelle.

    Bonne chance et tenez moi au courant!

     

    P.S: j'arrive pas à ouvrir votre lien, essayez de poster l'image sur un autre site.

    mercredi 7 décembre 2011 20:05

Toutes les réponses

  • bonjour,

    une copie du log TMG permettrait peut être d'y voir plus clair.

    vous pouvez suivre cette procédure pour interroger les logs TMG: http://technet.microsoft.com/fr-fr/library/cc441466.aspx

    Merci de poster les résultats!

    mardi 6 décembre 2011 15:21
  • Bonjour,
    J'ai déjà regardé le LOG de TMG.
    Etant donné qu'il est assez long, je ne sais pas si vous voulez que je vous copie tout ...

    Au sujet du site Lemonde, quand j'ai préalablement vider le cache DNS, je vois bien que TMG accepte la connexion sur l'adresse IP correspondante au site.
    Malheureusement, au bout de 2minutes, lorsque je n'ai plus accès au site, rien ne s'affiche concernant l'adresse IP de ce dernier.
    Pourtant je demande à ma requête de regarder autant firewall que proxy.
    Je vous copie une partie du log requête faite sur le site à 11h33.


    Je suis arrivé à débloquer pas mal de connexion grâce à ce journal mais là je trouve pas ...
    J'ai regardé l'observateur d'évènement DNS, mais aucun message n'apparait pourtant lorsque je vide le cache cela repart.
    Quand je rentre l'adresse PROXY de mon serveur dans les options internet de mes postes clients, j'ai l'erreur DNS qui redescend (lemonde.fr).
    Lorsque je regarde le log TMG du poste faisant parti du domaine et ayant le proxy dans IE, j'obtiens cette erreur :

    Échec de la connexion SERVERFOREFRONT 07/12/2011 14:14:24
    Type de journal : Proxy Web (transmission)
    État : 11001 Hôte inconnu.
    Règle : Autoriser l'accès Web pour tous les utilisateurs
    Source : Interne (192.168.0.14:62847)
    Destination : Externe (192.168.0.5:80)
    Demande : GET http://www.lemonde.fr/
    Informations sur les filtres : Req ID: 0da0c85f; Compression: client=Yes, server=No, compress rate=0% decompress rate=0%
    Protocole : http
    Utilisateur : anonymous
    Informations supplémentaires
    • Agent client : Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
    • Source de l'objet : Internet (La source est Internet. L'objet a été ajouté au cache.)
    • Informations sur le cache : 0x5 (La demande ne doit pas être générée à partir du cache. La demande inclut l'un des en-têtes suivants : CACHE-CONTROL:NO-CACHE ou PRAGMA:NO-CACHE.)
    • Temps de traitement : 23391 Type MIME :

     

    Apparement ce serait surtout le service netbios à destination de 192.168.0.255 sur le port 137 ...
    Mais bizarre que ca marche bien pendant un certain temps et puis plus rien ...

    J'ai remarqué aussi, pour Google Docs, si je ne mets pas dans mes paramètres IE le proxy, je n'y ai pas accès vu que c'est en HTTPS.
    Déjà je trouve ca un peu bête, si vous permettez, d'être obligé de mettre le proxy dans les paramètres, alors que dans mes connexions réseau ma passerelle est mon proxy ...
    De plus, lorsque je vais sur d'autres sites en HTTPS, il y va très bien sans rajouter le proxy dans IE...

    Concernant Windows Live Messenger et le site en flash que je ne pouvais pas consulter les problèmes sont résolus.

    En tout cas merci de votre intervention :)


    • Modifié Tistou mercredi 7 décembre 2011 13:16
    mercredi 7 décembre 2011 10:45
  •  

    j'ai plusieurs pistes, mais avant, j'aurais besoin de quelques détails:

    - est-ce que vous utilisez un serveur DNS dans votre réseau pour la résolution de nom locale et sur internet?

    - est-ce que vos clients sont configurés pour utiliser le client TMG?

    - est-ce que vous avez activé l'inspection HTTPS sur TMG?

    edit: j'arrive pas à voir l'image que vous avez posté dans votre réponse
    • Modifié M.Laichour mercredi 7 décembre 2011 14:19 j'ai oublié d'indiquer que je voyais pas tout le contenu de la réponse
    mercredi 7 décembre 2011 14:17
  • Merci pour la rapidité déjà :)

    Oui, bien sur comme j'ai dit dans mon premier post.
    Je possède un autre serveur 2008 r2 dont les r$oles sont : DNS, DHCP, AD, WSUS, MDT.

    Non je n'ai pas encore installé le client TMG.
    Edit : je l'ai installé mais pour le google doc ca n'a rien changé, si je mets rien dans proxy il ne veut pas.
    J'obtiens cette erreur :

    Connexion refusée SERVERFOREFRONT 07/12/2011 16:30:42
    Type de journal : Proxy Web (transmission)
    État : 12227 Le nom du certificat de serveur SSL fourni par un serveur de destination ne correspond pas au nom de l'hôte requis.
    Règle : Autoriser l'accès Web pour tous les utilisateurs
    Source : Interne (192.168.0.14:58599)
    Destination : Externe (we-in-f138.1e100.net 173.194.66.138:443)
    Demande : 173.194.66.138:443
    Informations sur les filtres : Req ID: 0da0de71; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protocole : https-inspect
    Utilisateur : anonymous
    Informations supplémentaires
    • Source de l'objet : Internet (La source est Internet. L'objet a été ajouté au cache.)
    • Informations sur le cache : 0x0
    • Temps de traitement : 0 Type MIME :

    Oui, justement car j'ai activé l'inspection HTTPS que j'ai ce genre de petit soucis.

    Voici le lien de l'image :
    http://potos34.free.fr/Diver/TMG_Rapport.jpg

    J'ai continué à regarder de mon côté, j'ai bel et bien un souci avec mon serveur DNS.
    Lorsque je vais dans l'observateur d'évènement j'ai :
    Le serveur DNS a temrminé un cycle de nettoyage, mais aucun noeud n'a été visité. [...]

    Je pense que celà peut venir d'une mauvaise configuration de ma part.

    Du fait que j'ai changé l'ip de mon modem routeur afin d'avoir des plages différentes.
    Je suis sur une configuration en 3 plages.
    Une plage Internet 192.168.1.
    Une plage locale 192.168.0.
    Une plage DMZ 192.168.10.

    Sachant que mon serveur est DNS, j'ai donc rajouté l'ip 192.168.1. afin qu'il contacte un serveur DNS Externe (OpenDNS).

    Je sais pas si c'est vraiment comme ca que l'on configure ...

    Merci encore :)


    • Modifié Tistou mercredi 7 décembre 2011 15:32
    mercredi 7 décembre 2011 15:23
  • Bonsoir,

    pour le DNS, ce message indique que le processus de nettoyage n'a rien trouvé à supprimé; pas vraiment grave.

    ce que je vous conseille de faire c'est de créer une règle d'accès TMG pour autoriser le trafic de type "serveur DNS" de votre serveur vers le réseau externe. ça devrait régler quelques problèmes: les client pourront se connecter à internet seulement en utilisant TMG comme passerelle.

    Bonne chance et tenez moi au courant!

     

    P.S: j'arrive pas à ouvrir votre lien, essayez de poster l'image sur un autre site.

    mercredi 7 décembre 2011 20:05
  • Bonsoir,

    Ok c'est ce que j'ai vu après coup sur le net.
    Comme des personnes avaient d'autres problèmes et ceci venait s'y rajouter; pour ca que j'ai eu peur !

    En ce qui concerne le DNS, je ne dis pas que vous avez tort.
    Juste je ne comprends pas quelle règle il faut faire pour que mon Serveur DNS (192.168.0.1) contacte mon modem routeur (192.168.1.254).Ce qui crée un gros trous de sécurité pour ca que je cherche ...

    Edit : J'ai créé la règle super ca marche. J'ai gardé que 192.168.0.1 pour mon serveur ! Ouf :) Merci pour l'info :)
    Problème du site Lemonde toujours pareil ...

     Tout mes postes marchent avec la passerelle dirigeait vers mon serveur ForeFront.
    Je comprends pas pourquoi que ce site qui fait ca ... Dès que le cache est vidé ca repart 5minutes ...

    Voici sur un autre site le screenshot : http://imageshack.us/photo/my-images/14/tmgrapport.jpg/

    Ce que je n'ai pas trouvé c'est pour l'ouverture de port par exemple mon modem routeur est donc sur 192.168.1.254, mais il n'ouvre les plages IP que vers les 192.168.1....
    Donc, comment je peux faire pour ouvrir un port sur un de mes postes vers internet ?

    Par exemple le RDP d'un poste client ... (Ouverture du 3389 sur mon modem routeur mais vers où ? vers l'ip de mon TMG ? et après ouvrir le 3389 que sur un poste ? )

    Pour Exchange aussi ... Je dois ouvrir les ports POP3 IMAP et SMTP mais je vois pas trop comment là.
    Il doit falloir que j'ouvre donc sur la freebox les ports que je dirige vers TMG et ensuite je dis à TMG d'ouvrir les protocoles MAIL, du Serveur Exchange vers l'extérieur ? 
    Mais il n'y a pas une extension de Exchange que l'on installe en DMZ ? (enfin ca c'est un peu du hors sujet peut-être) 

    Il doit y avoir une redirection je pense mais où ...

    Merci encore pour les éclaircissements :)

    • Modifié Tistou jeudi 8 décembre 2011 18:56
    jeudi 8 décembre 2011 18:19
  • bonjour,

    vu qu'il y a plusieurs plages d'adresses, je pense qu'il faut ouvrir les ports adéquats sur votre freebox pour autoriser le serveur TMG à les utiliser lorsque'il communique avec l'extérieur.

    par rapport à exchange, il faut créer une règle de publication sur tmg pour autoriser le trafic entrant destiné à exchange à transiter par tmg et également ouvrir les ports correspondants sur la freebox.

    donc, dans les grandes lignes; vous devez, pour chaque type de trafic, ouvrir les ports sur la freebox (un mappage de port) et en suite créer les règles adéquates sur tmg.

    j'espère que ça pourra vous aider!

    vendredi 9 décembre 2011 10:24
  • Bonjour,

     

    Pourriez-vous exécuter TMG BPA et nous poster le fichier XML de réponse. Cela nous permettra d'y voir plus clair.

    Pour info, TMG BPA est téléchargeable depuis : http://www.microsoft.com/download/en/details.aspx?id=17730

    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    samedi 10 décembre 2011 13:07
  • Bonjour,

    Grande nouvelle : Le Monde marche très bien :)
    Donc, la méthode de M.Laichour d'ouvrir le protocole DNS dans TMG a bien été la solution à ce problème !
    Un bon point de réglé :)

    Concernant TMG BPA, vous voulez toujours que je vous poste le fichier de réponse ? D'après ce que j'ai cru comprendre c'était pour résoudre mon soucis de Le Monde ?
    Ou ça peut me servir pour mon problème d'Exchange ?

    Je sais bien que TMG bloque tout, c'est pour cela que je recherche dans cette usine à gaz, la règle qu'il faut exactement pour ouvrir les ports pour mon EXCHANGE. -_- 

    De plus, j'aurai une autre question par rapport au relevé de Mail sur Wifi via les téléphones.
    Dès que je suis sur le Wifi, le téléphone m'avertit que le certificat n'est pas installé ... De ce fait aucun mail n'arrive ni ne part avec n'importe quelle boite ...
    Y-a-t'il un paramétrage à mettre en oeuvre sur les téléphones, tout en restant en Wifi bien sur. (Je ne trouve pas l'option de connecter à un Domaine sur mon Iphone lol :) ) 

    Merci encore pour tout vos éclaircissements :)

    lundi 12 décembre 2011 11:34
  • Bonjour,

    En effet, il faut que le serveur DNS puisse résoudre les noms externes :)

    Si vous avez une autre question, merci de cérer un autre thread.

     

    Bonne continuation,
    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    lundi 12 décembre 2011 12:17
  • Bonjour,

    Ok Alex, je créerai un autre post pour Exchange après avoir exploré les pistes les plus connues ! :)

    Par contre il subsiste toujours le problème de MSN.

    Lors d'une reconnexion il n'y a aucun soucis avec TMG, mais lors d'une nouvelle connexion (chargement des réseaux chargement des flux ...) impossible qu'il se connecte ...
    Pourtant j'ai bien créé une règle dans le pare-feu autorisant le protocole Windows Live Messenger sur mon poste.

    Y-a-t'il une autre règle pour ce dernier ?

    Merci encore pour tout.

    jeudi 15 décembre 2011 07:57