locked
Pb affichage sur certains sites web RRS feed

  • Question

  • Bonjour,

    J'ai un Isa Server 2006 sur Windows 2003. Mes Clients Windows 7 ont le proxy défini dans IE et pas de passerelle.
    Tout marche presque normalement sauf que pour certains sites :
    - c'est hyper lent à s'afficher alors que si j'enlève le proxy de IE et que je mets la passerelle (donc en direct) c'est rapide et normale.
    - çà ne s'affichent pas du tout avec un message : "500 Erreur interne du serveur. Argument non valide. Une application a appelé une fonction en lui passant un paramètre non valide. (10022)",
    - à d'autres moments j'ai des croix rouges mélangé à des bout de texte du site en question.
    J'ai l'impression que les sites qui posent soucis utilisent du Java. Je veux bien poster des logs si vous voulez. Merci pour l'aide car je suis en rupture totale d'idées.
    En voilà un qui a une page qui coince : http://www2.pole-emploi.fr/espacecandidat/romeligne/RliIndex.do
    Merci
    jeudi 6 octobre 2011 14:46

Réponses

  • Tu dois donc avoir un filtre TrendMicro installé dans ISA, ... si c'est le cas essaye de le désactiver

    Au pire, tu n'as pas une option dans Trend sinon pour indiquer de ne plus faire d'analyse ?


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    mardi 18 octobre 2011 09:34

Toutes les réponses

  • Bonjour,

    Pour les sites de type Java, ... il faut les paramétrer pour utiliser des paramètres proxy. Car c'est externe à Internet Explorer (ou Firefox, ..) et donc utilisent des paramètres TCP/IP en tant que SecureNat si passerelle donc ;)

    Tu devrais vérifier tes paramètres de proxy concernant la lenteur par rapport à une configuration SecureNat (passerelle), notamment au niveau de l'authentification.

    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    vendredi 7 octobre 2011 13:28
  • Bonjour,

    Je ne comprends pas bien. Peut-tu me ré-éxpliquer.

    Merci

    vendredi 7 octobre 2011 14:58
  • Bonjour,

    En fait ce que j'essaye d'expliquer, c'est lorsqu'un site Internet nécéssite des composants tiers de type ActiveX, Java, etc... Ces derniers sont instanciés en dehors du navigateur. Ces composants ne bénéficient donc pas forcément des paramètres de Proxy. Donc sans paramètres de Proxy, cela utilise naturellement les paramètres TCP/IP de la station. Il est parfois possible avec WinHTTP de configurer le proxy pour la couche réseau, si l'application tierce sait reconnaître et utiliser WInHTTP : http://msdn.microsoft.com/en-us/library/windows/desktop/aa382925(v=vs.85).aspx WinHTTP se configure avec Netsh : http://technet.microsoft.com/en-us/library/cc731131(WS.10).aspx

    Mais regarde d'abord la configuration spcéifique à chaque applicationn pour spécifier des paramètres de proxy. Par exemple, ici un paramètre de proxy Java pour lui indiquer d'utiliser les paramètres proxy du navigateur :

    Je te propose de bien comprendre le concept des différents clients ISA/TMG, afin de savoir ce qu'est un client SecureNat, Proxy et TMG : http://technet.microsoft.com/en-us/library/bb794762.aspx

     

    J'espère aoir été plus clair,
    N'hésite pas à poser des questions plus précises si tu souhaites de plus amples informations.

    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    samedi 8 octobre 2011 08:39
  • Merci.

    J'ai bien configuré IE avec mon proxy + java avec le proxy de IE mais çà coince toujours. Dans mon nouvel exemple, site = http://intermarche.symexo.com, la page apparait des fois au bout de plusieurs minutes et des fois pas du tout.

    sur mon ISA, j'ai çà :


    Et je fais partie du groupe "Ordinateurs d'administration". Je n'ai donc pas de restrictions. Je ne comprends pas.

    mardi 11 octobre 2011 13:23
  • Bonjour,

    Ton serveur ISA n'a qu'une seule carte réseau ? (SIngleNic scénario)

    Car la destination devrait être Externe si tu as bien deux cartes réseaux (nous parlions de SecureNat). Et tu peux faire une journalisation en ajoutant en critère ton adresse IP et tenter d'accéder au site web en question. Au niveau règle associée lors de la tentative, est-ce bien celle que tu indiques dans ton scrfeenshot ? Tu as des accès refusé ?

     


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    • Marqué comme réponse mazu26 mardi 11 octobre 2011 15:29
    • Non marqué comme réponse mazu26 mardi 11 octobre 2011 15:38
    mardi 11 octobre 2011 13:26
  • Mon ISA a 2 cartes réseau. Une relié au LAN et l'autre vers l'internet.

    Je ne veux pas mettre de passerelle sur mes clients donc en fait pas de securenat. Je ne veux pas permettre à mes clients d’accéder en direct vers l'externe. c'est pour çà que je met l'adresse de mon serveur ISA dans les param proxy de IE.

    • Modifié mazu26 mardi 11 octobre 2011 14:28
    mardi 11 octobre 2011 14:04
  • Ok, tu peux nous faire une journalisation stp ? (j'ai cru la voir, mais là je la vois plus).

    Si tu veux, tu peux me l'envoyer séparement si tu ne souhaites pas la publier.

    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    mercredi 12 octobre 2011 09:31
  • Merci Alex

    Mais comment je t'envoie la chose séparemment. Je ne vois pas de lien pour créer un message privé.

    Pourquoi avoir mis résolu sur mon threads " Type de session isa" ?

    • Modifié mazu26 mercredi 12 octobre 2011 11:05
    mercredi 12 octobre 2011 11:02
  • Sur mon email alex [no/spam] @ alexgiraud . net

    Concernant l'autre thread, on peut en parler directement sur ce dernier : http://social.technet.microsoft.com/Forums/fr-FR/1134/thread/e4fbbe80-575a-4940-90da-8b0c5e16093d/#7189eba2-49f4-4c89-b3d7-d700f95be633 

     


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    mercredi 12 octobre 2011 13:41
  • Alors pour moi tu n'as pas paramétré le proxy, du moins sur le poste que tu m'indiques avec les logs fournis (cela explique peut-être les problèmes SecureNat sur ton autre Thread).

    En fait dans le log, tu as "Type d'enregistrement de journal : Pare-feu" et ceci pour toutes les requêtes .. Aucune session proxy vérifies tes paramètres de proxy client/server (voir si WPAD, etc...)


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    mercredi 12 octobre 2011 15:45
  • Bonjour,

    Une erreur de ma part, c’est beaucoup mieux si je prends un PC client standard plutôt que mon PC d’administrateur qui lui n’obéit pas aux mêmes règles dans ISA et qui n’a pas non plus la même configuration.

    Donc j’ai refait le test avec un « vrai PC client ». Sur ce client il n' y donc pas de pas de passerelle réseau mais juste le positionnement des paramètres de proxy. Par mail je t'envoie le journal avec tentative de connexion à http://intermarche.symexo.com. Je crois avoir le même résultat c-a-d toujours dans type enregistrement : Pare-Feu ! Je ne comprends vraiment pas.

    Çà prends toujours plusieurs minutes avant d’afficher quelque chose ou même rien.

    Ma règle pour un "vrai PC Clients" :


    Merci



    • Modifié mazu26 jeudi 13 octobre 2011 13:06
    jeudi 13 octobre 2011 08:06
  • Hello,

    Tu n'as pas de route statique par hasard ? Renvoie-nous un ipconfig /all d'un de tes pc puis un route print stp

    Tu n'aurai pas déployé le client ISA sinon ? ....


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    jeudi 13 octobre 2011 08:48
  • Je viens de t'envoyer par mail les infos.

    Sinon pas de client ISA d'installé sur les client. Pour infos ma journalisation je la fais comme çà :

     

     

    jeudi 13 octobre 2011 09:07
  • Au niveau de cette règle dans les propriétés de "Proxy HTTP", j'ai coché "Filtre de proxy web" et maintenant j'ai 2 Type d'enregistrement dans le journal : Pare-feu + Filtre de Proxy Web. Je te renvoie du coup un nouveau journal car il faut toujours plusieurs minutes pour mon site s'affiche.

    jeudi 13 octobre 2011 13:35
  • Hello,

    Je viens de regarder ... Mais alors je découvre autre chose. As-tu installé un produit TrendMicro ? Que ce soit sur le serveur ISA ou sur les clients ?

    Pourquoi je dis ça ?

    1. Je vois des requêtes avec l'agent client TMUFE
    2. J'ai des accès à des urls sur les serveurs web de Trend Micro

    Alors j'ai déjà connu des situations où des agents AV comportent des fonctions de proxy, pour permettre une analyse anltimalware. Cela fait donc un second proxy consécutif, ce n'est pas recommandé.

    Alors si c'est sur le serveur ISA, il faut désactiver la fonction proxy de l'agent AV et faire les exclusions (http://technet.microsoft.com/en-us/library/cc707727.aspx). Et retester si c'est toujours lent.

    Ensuite, tenter de désactiver cette fonction également sur un poste de travail et refaire des tests ... L'idée est de détecter ici si cet agent est responsable directement ou pas dans cette éventuelle lenteur.

    Ou encore, as-tu peut-être une passerelle Interscan ? Voir : http://esupport.trendmicro.com/solution/en-us/1033579.aspx

     


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    jeudi 13 octobre 2011 15:28
  • Bonjour Alex,

    Effectivement tu as peut-être mis le doigt sur quelque chose d’intéressant. Au sein de l'entreprise nous avons :

    - D'une part : la suite Trend Micro Worry-Free Business Security Advanced avec sur mes postes (clients et serveurs) la partie Trend Micro Security Agent et sur mon ISA la partie serveur avec Trend Micro Security Server qui installe aussi la console web Worry-Free (console de gestion centralisée).

    - D'autre part j'ai aussi sur mon ISA Trend Micro Interscan VirusWall 7.

    Je vais tester en désactivant sur mon Windows 2003 le service Trend Micro Interscan VirusWall.
    • Modifié mazu26 vendredi 14 octobre 2011 07:41
    vendredi 14 octobre 2011 07:17
  • Bonjour,

    As-tu un retour suite aux différents test ?


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    lundi 17 octobre 2011 15:18
  • Ben

    En fait quand j’arrête le service Windows Trend Micro Interscan VirusWall sur la même machine que Isa, y'à plus d'accès à Internet.

    Dans la doc de config de Interscan, j'ai ce qui suit. Chez moi j’ai choisi "Standalone Mode". J'aurais peut-être pas du ?

    HTTP Configuration

    Before InterScan VirusWall can monitor HTTP traffic, you need to configure the HTTP proxy settings.

    Reverse proxy is used to present a secure content server to outside clients and prevent direct, unmonitored access to their server.

    Configuring the HTTP proxy settings

    To configure the HTTP proxy settings for InterScan VirusWall:

    1. On the left menu, select HTTP > Configuration.

    2. Select the mode.

    3. Use standalone mode if you want InterScan VirusWall to serve as the network's sole HTTP proxy server.

    4. If using dependent mode, type the upstream proxy name and port number.

    This configuration is used to protect clients from receiving malicious HTTP-borne risks from a server. The typical use case is to protect Web users on your network from receiving malicious Internet downloads. In the dependent mode, ISVW and the clients that it protects are typically installed within the same LAN, and InterScan VirusWall is dependent upon an upstream proxy to access the HTTP server.

    • If using reverse mode, type the address and port number of the HTTP server that you want to protect.

    This configuration places InterScan VirusWall between a Web server and the clients of that server. This is a less common configuration, and is typically used to protect Web servers from having malicious content uploaded to them. In the reverse mode proxy topology, InterScan VirusWall is typically installed close to the Web server that it protects and is separated from the clients by the Internet.

    • Note: Refer to the Administrator's Guide for information about the HTTP VirusWall working mode.

    1. Type the HTTP Listening Port (default 8080).

    2. In order for your users to access FTP servers using anonymous FTP over HTTP, type a legitimate email address in Anonymous FTP over HTTP logon email.

    3. If you want to record all HTTP requests in a log file, select Log HTTP requests. By default, this function is disabled.

    • Modifié mazu26 mardi 18 octobre 2011 08:21
    mardi 18 octobre 2011 08:07
  • Tu n'aurais pas configuré ton ISA en utilisant un chainage Proxy ? Regarde dans les paramètres réseaux, si tu n'as pas un paramètre similaire à celui-ci ?


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    mardi 18 octobre 2011 08:15
  • Non :

    mardi 18 octobre 2011 08:53
  • Tu dois donc avoir un filtre TrendMicro installé dans ISA, ... si c'est le cas essaye de le désactiver

    Au pire, tu n'as pas une option dans Trend sinon pour indiquer de ne plus faire d'analyse ?


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    mardi 18 octobre 2011 09:34