none
ForeFrontTMGをリバースプロキシとしてSharePoint2010をインターネット公開した際の401権限エラーについて RRS feed

  • 質問

  • いつも参考にさせていただいております。

    表題の件で、自力で解決できない部分があり、お問い合わせさせていただきました。
    些細な情報でも結構ですので、アドバイスいただければ幸いでございます。


    【概要】
    自社内のActiveDirectory配下に構築しているSharePoint2010サーバに対して、社員がインターネット経由でアクセスできるよう、ForeFrontTMGをリバースプロキシとして構築しようとしております。
    その際、401の権限エラーにより、認証を通過できない事象が発生しております。
    どこの部分の権限解放が必要なのか知識が不足している為、アドバイスいただければ幸いでございます。


    【設定内容(概要)】
    ・ForeFrontTMGは、リバースプロキシのみの役割とし、単一ネットワークアダプタ構成で社内のDMZに配置しました。

    ・ForeFrontTMGでは「Webリスナー」「ファイアウォールポリシー」の構成を行いました。

    ・SharePoint2010の側では、リバースプロキシ用(インターネット公開用)の代替アクセスマッピングを構成しました。

    ・その他、サーバー感の名前解決、ルーティングに必要な構成を行いました。


    【エラー内容】
    構成後、ForeFrontで「公開ルールテスト」を実行すると、「401 権限がありません」のエラーが返されます。
    実際に、外部からアクセスを試みると、認証画面は表示されるのですが、正しいパスワードを入力しても「このWebサイトにアクセスするのに必要なアクセス許可がありません。Webサイトの管理者にお問い合わせください。」とのエラーメッセージが返されます。

    【設定内容(詳細)】
    イメージ図を、返答として添付します。

    また、ForeFrontTMGに設定したパラメータを以下に列挙いたします。
    *********************************************
    【Webリスナーの設定】
    リスナーに対して選択されたネットワーク
     内部
     すべてのIPアドレス

    接続
     httpのポート:80
     httpsのポート:443
    リダイレクト
     すべてのトラフィックをhttpからhttpsにリダイレクト

    証明書
     「このWebリスナーに一つの証明書を使う」
     ※自社ドメイン用のワイルドカード証明書(pfx)を、ForeFrontサーバのIISにバインド済み
     ※SharePointサーバのIISにも同じpfxをバインド済み

    認証
    クライアント認証方法
     HTMLフォームの認証
    認証の検証
     Windows(ActiveDirectory)

    フォーム、SSO
     チェック無し


    【公開ルールの設定】
    ※「SharePointの公開」ウィザードを使用
    動作
     許可

    送信元
     任意の場所

    公開先
     SharePointサーバの社内URL
    公開されたサイトへのプロキシ要求
     ForeFrontTMGコンピュータからの要求にする

    トラフィック
     HTTP、HTTPS

    パブリック名
     内部URLと同様のURLを使用

    ブリッジ
     SSLポートに要求をリダイレクトする
     (ポートは、試験用に4430ポートへリダイレクト)

    ユーザー
     認証されたすべてのユーザー

    認証の委任
     NTLM認証
    ************************************************


    追加で必要な情報がありましたら、可能な範囲で提供させていただきます。

    何卒、よろしくお願いいたします。

    • 移動 星 睦美 2012年10月25日 6:50 適切なフォーラム (移動元:SharePoint - インストールと設定、管理)
    2012年10月25日 4:15

回答

  • ぱっと見た感じですが、HTTPSでTerminatedとなっているので、最初に接続に入っているのですが、途中で接続が切れてしまうような状況となっている感じです。

    HTTPSの証明書の検証の除外サイトに、Sharepointのアドレスを追加して試してみてください。

    あとはSourceNetworkがすべて「内部」となっているのが気になります。Sharepointサイトも内部、クライアントPCも内部となっていますが、実際はクライアントPCはDMZに有り、扱いが違うと思うので、★.★.★.のネットワークを別のネットワークセットに追加して、内部ネットワークから外すように構成し直した方がよいかと思います。

    ※最初に「TMG」構成するときには、デフォルトではアダプタに割り当てられたIP体系が全て「内部」に登録されてしまうので一応・・・

    ちなみに、13,14行目の、ICMPはあまり関係ない気がしますので、ポート開放する必要はないかと思います。


    Tadashi Wada

    • 回答の候補に設定 星 睦美 2012年11月6日 5:39
    • 回答としてマーク 星 睦美 2012年11月15日 7:28
    2012年10月30日 14:57

すべての返信

  • 状況の詳細を添付画像で説明したかったのですが、新規ユーザは権限がないようなので、テキストにて状況の詳細を捕捉いたします。


    ・SharePointサーバから、クライアント宛に認証を求める応答が返されますので、経路上のルーティングや名前解決には成功していると思われます。

    ・意図的に誤ったパスワードを入力すると、「ForeFrontTMGにログオンできませんでした。ドメイン名、ユーザー名、およびパスワードが正しいことを確認し、再試行してください。」とのメッセージが表示されます。
    あくまで権限のエラーであり、ID/Passが不正ということは無さそうです。

    ・同じID、Passを使用して、社内LANからはアクセスができます。

    ・インターネット経由でアクセスするPCはドメイン参加できないため、リバプロ経由での認証時にはユーザー名を「[ドメイン名]\[ユーザ名]」としています。
     社内LANからであれば、こちらの方法でもログインに成功しています。

    ・ForeFront側での「認証の委任」の方式は、上述した「NTLM認証」以外にも「委任できません。クライアントは直接認証できます」も試してみましたが、権限エラーの内容は変わりませんでした。

    ・IISの権限を疑い、対象のIISサイトの仮想ディレクトリのアクセス権限を一時的に「Everyone:フルコントロール」にしたものの、挙動は変わりませんでした。

    以上、現状の捕捉になります。

    2012年10月25日 4:30
  • こんにちは。

    詳細がいまいちわからないのですが、認証の有無、401エラーが帰ってきていることから、少なくともTMGでの認証は通っている気がします。トラフィックがうまく通っているかは、TMGのログでリアルタイムで見ることが出来るので、確認してみては如何でしょうか?

    シェアポにうまくトラフィックがリダイレクトできていないと思われますが、リダイレクト先にシェアポのアドレスを入力されているでしょうか?


    Tadashi Wada

    2012年10月28日 16:07
  • 返信いただきありがとうございます。

    リダイレクト先には、SharePointのアドレスを指定してあります。

    ログの件、確認してみました。
    抜粋したものを、下に添付させていただきます。
    (Tab区切りになっていますので、ご確認いただける際にはExcel等に貼り付けていただければ幸いです)

    確認してみた感触として、行番号13~14でSharePointからForeFrontへのICMPがDeniedされているので、
    SharePoint→ForeFrontでPingが通るような対処が必要でしょうか。

    ForeFrontの設置場所がDMZである為、社内のSharePointから直接Pingが通るようにするのも少し怖いでしょうか。
    今現在は、NATしているのでForeFrontのホスト名を指定すれば社内から通信できる状況です。

    有識者の目から、気が付かれた点がありましたら、些細なことでもコメントいただければ幸いです。


    【マスクしたIPの見方】
    DMZ ★.★.★.1 ファイアウォールのDMZ側ポートアドレス
    DMZ ★.★.★.101 ForeFrontTMGサーバIPアドレス
    DMZ ★.★.★.151 クライアントPCIPアドレス
    DMZ ★.★.★.255 DMZブロードキャスト
    社内 △.△.△.101 SharePointサーバIPアドレス

    【ログ抜粋】
    行番号 time IP protocol source destination original client IP source network destination network action status rule application protocol bidirectional
    1 10:50:05 TCP ★.★.★.101:13721 △.△.△.101:443 ★.★.★.101 ローカル ホスト 内部 Establish 0x0 - 識別されない IP トラフィック N
    2 10:50:05 ICMP ★.★.★.101:8 △.△.△.101 ★.★.★.101 ローカル ホスト 内部 Establish 0x0 [System] Forefront TMG から選択したサーバーへの ICMP 要求を許可する Ping N
    3 10:50:05 TCP ★.★.★.101:13721 △.△.△.101:443 ★.★.★.101 ローカル ホスト 内部 Terminate 0x80074e20 - 識別されない IP トラフィック N
    4 10:50:05 TCP ★.★.★.101:13722 △.△.△.101:443 ★.★.★.101 ローカル ホスト 内部 Establish 0x0 - 識別されない IP トラフィック N
    5 10:50:05 ICMP ★.★.★.101:8 ★.★.★.1 ★.★.★.101 ローカル ホスト 内部 Establish 0x0 [System] Forefront TMG から選択したサーバーへの ICMP 要求を許可する Ping N
    6 10:50:05 TCP ★.★.★.101:13722 △.△.△.101:443 ★.★.★.101 ローカル ホスト 内部 Terminate 0x80074e20 - 識別されない IP トラフィック N
    7 10:50:05 TCP ★.★.★.101:13723 △.△.△.101:443 ★.★.★.101 ローカル ホスト 内部 Establish 0x0 - 識別されない IP トラフィック N
    8 10:50:05 TCP ★.★.★.101:13723 △.△.△.101:443 ★.★.★.101 ローカル ホスト 内部 Terminate 0x80074e20 - 識別されない IP トラフィック N
    9 10:50:05 TCP ★.★.★.101:13724 △.△.△.101:443 ★.★.★.101 ローカル ホスト 内部 Establish 0x0 - 識別されない IP トラフィック N
    10 10:50:05 TCP ★.★.★.101:13724 △.△.△.101:443 ★.★.★.101 ローカル ホスト 内部 Terminate 0x80074e20 - 識別されない IP トラフィック N
    11 10:50:05 TCP ★.★.★.101:13725 △.△.△.101:443 ★.★.★.101 ローカル ホスト 内部 Establish 0x0 - 識別されない IP トラフィック N
    12 10:50:05 TCP ★.★.★.101:13725 △.△.△.101:443 ★.★.★.101 ローカル ホスト 内部 Terminate 0x80074e20 - 識別されない IP トラフィック N
    13 10:50:07 ICMP △.△.△.101 ★.★.★.101 △.△.△.101 内部 ローカル ホスト Denied 0xc0040051 なし - 結果コード参照 識別されない IP トラフィック N
    14 10:50:07 ICMP △.△.△.101 ★.★.★.101 △.△.△.101 内部 ローカル ホスト Denied 0xc0040051 なし - 結果コード参照 識別されない IP トラフィック N
    15 10:51:06 ICMP ★.★.★.101:8 △.△.△.101 ★.★.★.101 ローカル ホスト 内部 Terminate 0x80074e20 [System] Forefront TMG から選択したサーバーへの ICMP 要求を許可する Ping N
    16 10:51:06 ICMP ★.★.★.101:8 ★.★.★.1 ★.★.★.101 ローカル ホスト 内部 Terminate 0x80074e20 [System] Forefront TMG から選択したサーバーへの ICMP 要求を許可する Ping N
    17 10:51:18 UDP ★.★.★.101:138 ★.★.★.255:138 ★.★.★.101 ローカル ホスト 内部 Denied 0xc0040025 なし - 結果コード参照 NetBios データグラム N
    18 10:53:19 UDP ★.★.★.151:61696 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    19 10:53:19 UDP ★.★.★.151:61696 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    20 10:53:25 TCP ★.★.★.151:49752 ★.★.★.101:443 ★.★.★.151 内部 ローカル ホスト Establish 0x0 - HTTPS Y
    21 10:53:25 UDP ★.★.★.151:60421 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    22 10:53:25 UDP ★.★.★.151:60421 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    23 10:53:28 UDP ★.★.★.151:56824 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    24 10:53:28 UDP ★.★.★.151:56824 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    25 10:53:33 UDP ★.★.★.151:65261 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    26 10:53:33 UDP ★.★.★.151:65261 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    27 10:53:40 TCP ★.★.★.151:49752 ★.★.★.101:443 ★.★.★.151 内部 ローカル ホスト Terminate 0x80074e20 - HTTPS Y
    28 10:53:40 TCP ★.★.★.151:49753 ★.★.★.101:443 ★.★.★.151 内部 ローカル ホスト Establish 0x0 - HTTPS Y
    29 10:53:40 TCP ★.★.★.151:49753 ★.★.★.101:443 ★.★.★.151 内部 ローカル ホスト Terminate 0x80074e20 - HTTPS Y
    30 10:53:48 UDP ★.★.★.151:52523 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    31 10:53:48 UDP ★.★.★.151:52523 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    32 10:53:54 TCP ★.★.★.151:49754 ★.★.★.101:443 ★.★.★.151 内部 ローカル ホスト Establish 0x0 - HTTPS Y
    33 10:53:54 UDP ★.★.★.101:137 ★.★.★.255:137 ★.★.★.101 ローカル ホスト 内部 Denied 0xc0040025 なし - 結果コード参照 NetBios ネーム サービス N
    34 10:53:54 UDP ★.★.★.101:137 ★.★.★.255:137 ★.★.★.101 ローカル ホスト 内部 Denied 0xc0040025 なし - 結果コード参照 NetBios ネーム サービス N
    35 10:53:54 UDP ★.★.★.101:137 ★.★.★.255:137 ★.★.★.101 ローカル ホスト 内部 Denied 0xc0040025 なし - 結果コード参照 NetBios ネーム サービス N
    36 10:53:56 TCP ★.★.★.151:49754 ★.★.★.101:443 ★.★.★.151 内部 ローカル ホスト Terminate 0x80074e20 - HTTPS Y
    37 10:53:56 TCP ★.★.★.151:49755 ★.★.★.101:443 ★.★.★.151 内部 ローカル ホスト Establish 0x0 - HTTPS Y
    38 10:53:56 TCP ★.★.★.151:49755 ★.★.★.101:443 ★.★.★.151 内部 ローカル ホスト Terminate 0x80074e20 - HTTPS Y
    39 10:53:56 TCP ★.★.★.151:49756 ★.★.★.101:443 ★.★.★.151 内部 ローカル ホスト Establish 0x0 - HTTPS Y
    40 10:53:56 TCP ★.★.★.151:49756 ★.★.★.101:443 ★.★.★.151 内部 ローカル ホスト Terminate 0x80074e20 - HTTPS Y
    41 10:54:03 UDP ★.★.★.151:55074 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N
    42 10:54:03 UDP ★.★.★.151:55074 224.0.0.252:5355 ★.★.★.151 内部 外部 Denied 0xc0040025 なし - 結果コード参照 リンクローカル マルチキャスト名前解決 N

    2012年10月30日 13:53
  • 度々失礼いたします。

    投稿するとTabが消失してしまったため、カンマ区切りでログを再投稿させていただきます。

    お手数おかけいたしますが、アドバイスいただければ幸いです。

    行番号,time,IP protocol,source,destination,original client IP,source network,destination network,action,status,rule,application protocol,bidirectional
    1,10:50:05,TCP,★.★.★.101:13721,△.△.△.101:443,★.★.★.101,ローカル ホスト,内部,Establish,0x0,-,識別されない IP トラフィック,N
    2,10:50:05,ICMP,★.★.★.101:8,△.△.△.101,★.★.★.101,ローカル ホスト,内部,Establish,0x0,[System] Forefront TMG から選択したサーバーへの ICMP 要求を許可する,Ping,N
    3,10:50:05,TCP,★.★.★.101:13721,△.△.△.101:443,★.★.★.101,ローカル ホスト,内部,Terminate,0x80074e20,-,識別されない IP トラフィック,N
    4,10:50:05,TCP,★.★.★.101:13722,△.△.△.101:443,★.★.★.101,ローカル ホスト,内部,Establish,0x0,-,識別されない IP トラフィック,N
    5,10:50:05,ICMP,★.★.★.101:8,★.★.★.1,★.★.★.101,ローカル ホスト,内部,Establish,0x0,[System] Forefront TMG から選択したサーバーへの ICMP 要求を許可する,Ping,N
    6,10:50:05,TCP,★.★.★.101:13722,△.△.△.101:443,★.★.★.101,ローカル ホスト,内部,Terminate,0x80074e20,-,識別されない IP トラフィック,N
    7,10:50:05,TCP,★.★.★.101:13723,△.△.△.101:443,★.★.★.101,ローカル ホスト,内部,Establish,0x0,-,識別されない IP トラフィック,N
    8,10:50:05,TCP,★.★.★.101:13723,△.△.△.101:443,★.★.★.101,ローカル ホスト,内部,Terminate,0x80074e20,-,識別されない IP トラフィック,N
    9,10:50:05,TCP,★.★.★.101:13724,△.△.△.101:443,★.★.★.101,ローカル ホスト,内部,Establish,0x0,-,識別されない IP トラフィック,N
    10,10:50:05,TCP,★.★.★.101:13724,△.△.△.101:443,★.★.★.101,ローカル ホスト,内部,Terminate,0x80074e20,-,識別されない IP トラフィック,N
    11,10:50:05,TCP,★.★.★.101:13725,△.△.△.101:443,★.★.★.101,ローカル ホスト,内部,Establish,0x0,-,識別されない IP トラフィック,N
    12,10:50:05,TCP,★.★.★.101:13725,△.△.△.101:443,★.★.★.101,ローカル ホスト,内部,Terminate,0x80074e20,-,識別されない IP トラフィック,N
    13,10:50:07,ICMP,△.△.△.101,★.★.★.101,△.△.△.101,内部,ローカル ホスト,Denied,0xc0040051,なし - 結果コード参照,識別されない IP トラフィック,N
    14,10:50:07,ICMP,△.△.△.101,★.★.★.101,△.△.△.101,内部,ローカル ホスト,Denied,0xc0040051,なし - 結果コード参照,識別されない IP トラフィック,N
    15,10:51:06,ICMP,★.★.★.101:8,△.△.△.101,★.★.★.101,ローカル ホスト,内部,Terminate,0x80074e20,[System] Forefront TMG から選択したサーバーへの ICMP 要求を許可する,Ping,N
    16,10:51:06,ICMP,★.★.★.101:8,★.★.★.1,★.★.★.101,ローカル ホスト,内部,Terminate,0x80074e20,[System] Forefront TMG から選択したサーバーへの ICMP 要求を許可する,Ping,N
    17,10:51:18,UDP,★.★.★.101:138,★.★.★.255:138,★.★.★.101,ローカル ホスト,内部,Denied,0xc0040025,なし - 結果コード参照,NetBios データグラム,N
    18,10:53:19,UDP,★.★.★.151:61696,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    19,10:53:19,UDP,★.★.★.151:61696,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    20,10:53:25,TCP,★.★.★.151:49752,★.★.★.101:443,★.★.★.151,内部,ローカル ホスト,Establish,0x0,-,HTTPS,Y
    21,10:53:25,UDP,★.★.★.151:60421,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    22,10:53:25,UDP,★.★.★.151:60421,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    23,10:53:28,UDP,★.★.★.151:56824,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    24,10:53:28,UDP,★.★.★.151:56824,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    25,10:53:33,UDP,★.★.★.151:65261,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    26,10:53:33,UDP,★.★.★.151:65261,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    27,10:53:40,TCP,★.★.★.151:49752,★.★.★.101:443,★.★.★.151,内部,ローカル ホスト,Terminate,0x80074e20,-,HTTPS,Y
    28,10:53:40,TCP,★.★.★.151:49753,★.★.★.101:443,★.★.★.151,内部,ローカル ホスト,Establish,0x0,-,HTTPS,Y
    29,10:53:40,TCP,★.★.★.151:49753,★.★.★.101:443,★.★.★.151,内部,ローカル ホスト,Terminate,0x80074e20,-,HTTPS,Y
    30,10:53:48,UDP,★.★.★.151:52523,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    31,10:53:48,UDP,★.★.★.151:52523,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    32,10:53:54,TCP,★.★.★.151:49754,★.★.★.101:443,★.★.★.151,内部,ローカル ホスト,Establish,0x0,-,HTTPS,Y
    33,10:53:54,UDP,★.★.★.101:137,★.★.★.255:137,★.★.★.101,ローカル ホスト,内部,Denied,0xc0040025,なし - 結果コード参照,NetBios ネーム サービス,N
    34,10:53:54,UDP,★.★.★.101:137,★.★.★.255:137,★.★.★.101,ローカル ホスト,内部,Denied,0xc0040025,なし - 結果コード参照,NetBios ネーム サービス,N
    35,10:53:54,UDP,★.★.★.101:137,★.★.★.255:137,★.★.★.101,ローカル ホスト,内部,Denied,0xc0040025,なし - 結果コード参照,NetBios ネーム サービス,N
    36,10:53:56,TCP,★.★.★.151:49754,★.★.★.101:443,★.★.★.151,内部,ローカル ホスト,Terminate,0x80074e20,-,HTTPS,Y
    37,10:53:56,TCP,★.★.★.151:49755,★.★.★.101:443,★.★.★.151,内部,ローカル ホスト,Establish,0x0,-,HTTPS,Y
    38,10:53:56,TCP,★.★.★.151:49755,★.★.★.101:443,★.★.★.151,内部,ローカル ホスト,Terminate,0x80074e20,-,HTTPS,Y
    39,10:53:56,TCP,★.★.★.151:49756,★.★.★.101:443,★.★.★.151,内部,ローカル ホスト,Establish,0x0,-,HTTPS,Y
    40,10:53:56,TCP,★.★.★.151:49756,★.★.★.101:443,★.★.★.151,内部,ローカル ホスト,Terminate,0x80074e20,-,HTTPS,Y
    41,10:54:03,UDP,★.★.★.151:55074,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N
    42,10:54:03,UDP,★.★.★.151:55074,224.0.0.252:5355,★.★.★.151,内部,外部,Denied,0xc0040025,なし - 結果コード参照,リンクローカル マルチキャスト名前解決,N

    2012年10月30日 13:56
  • ぱっと見た感じですが、HTTPSでTerminatedとなっているので、最初に接続に入っているのですが、途中で接続が切れてしまうような状況となっている感じです。

    HTTPSの証明書の検証の除外サイトに、Sharepointのアドレスを追加して試してみてください。

    あとはSourceNetworkがすべて「内部」となっているのが気になります。Sharepointサイトも内部、クライアントPCも内部となっていますが、実際はクライアントPCはDMZに有り、扱いが違うと思うので、★.★.★.のネットワークを別のネットワークセットに追加して、内部ネットワークから外すように構成し直した方がよいかと思います。

    ※最初に「TMG」構成するときには、デフォルトではアダプタに割り当てられたIP体系が全て「内部」に登録されてしまうので一応・・・

    ちなみに、13,14行目の、ICMPはあまり関係ない気がしますので、ポート開放する必要はないかと思います。


    Tadashi Wada

    • 回答の候補に設定 星 睦美 2012年11月6日 5:39
    • 回答としてマーク 星 睦美 2012年11月15日 7:28
    2012年10月30日 14:57
  • お世話になっております。

    せっかくアドバイスをいただいたにも関わらず、返信が遅くなってしまい大変申し訳ございません。
    状況ですが・・・

    >HTTPSの証明書の検証の除外サイトに、Sharepointのアドレスを追加して試してみてください。

    SharePointのURLを除外対象としたり、「HTTPS検査」自体を一時的に無効にしてみましたが、
    挙動に変化はありませんでした。


    >あとはSourceNetworkがすべて「内部」となっているのが気になります。
    >Sharepointサイトも内部、クライアントPCも内部となっていますが、実際はクライアントPCはDMZに有り、扱いが違うと思うので、★.★.★.のネットワークを別のネットワークセットに追加して、内部ネットワークから外すように構成し直した方がよいかと思います。

    こちらのご指摘についてですが、私のほうでは、今回はすべて内部ネットワークで、という認識だったのですが、やはり、それでは正常に機能しないものなのでしょうか。

    今回、バージョン違いではありますが、主に下記URLのドキュメントを参考にしており、「NICは1枚でも構わない」との記述を信じておりました。。。
    http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&ved=0CCQQFjAA&url=http%3A%2F%2Fblogs.technet.com%2Fcfs-filesystemfile.ashx%2F__key%2Fcommunityserver-components-postattachments%2F00-03-21-67-47%2FISAReverseProxyforMOSS.pdf&ei=1rGbULf_L-XZmAW0hYDwDQ&usg=AFQjCNHkbRtmw6WnBL7Puo7kEMN29LruzQ&sig2=cqdoFqNOmgl_wA4CgB5q5A

    今現在想定しているネットワーク構成ですと、NIC2枚での運用は一工夫必要な為、必須である場合は構成を検討したく思います。

    ICMPの件は、見当はずれなことを申し上げてしまい、失礼いたしました。。。

    今現在ですが、とにかくどこが悪いのか絞りきれないため、極々シンプルな環境で一度リバースプロキシを立ててみようと考えております。
    (未だ、一度も正常に動くところを見られていないので・・・)
    一つのサブネットの中で、認証も証明書も無いシンプルなWebサーバを宛先にリバプロを動かしてみて、それが正常に機能しましたら、そこから一歩ずつ発展させていこうかと考えております。
    また、進展がありましたら、ナレッジのために投稿させていただきます。

    2012年11月8日 14:01
  • 「内部」から外す、というのは、物理ネットワークのことでは無く、TMGのネットワークセットの「内部」から当該アドレスを外す、ということです。説明がきちんとしておらず、申し訳ありません。NICは1枚でも動きます。

    デフォルトで、内部ネットワークは、NICに割り当てられているIPすべてが割り当てられてしまうので、実質ほとんど全てのアドレスが内部扱いになってしまっており、起こった現象かと思います。

    参考にされたページを確認しましたが、TMGの設定が完了しているのが前提です。おそらく、きちんとネットワークセットの割り当てがなされれば動作すると思います。

    とりあえずは、ネットワークのマップとTMGへの割り当て、させたい動作を整理して、スッキリした状態でやった方が、ハマらないかとおもいます。


    Tadashi Wada

    • 回答の候補に設定 星 睦美 2012年11月13日 0:49
    2012年11月9日 13:51
  • TashaCorgi さん、こんにちは

    フォーラム オペレーターの星 睦美です。

    Tadashi Wada さんからの返信が検討するヒントになったのではないかと思います。

    今回は私のほうで[回答としてマーク]させていただきました。

    TashaCorgi さんからの情報もお待ちしています。

    それではこれからもTechNet フォーラムをよろしくお願いします。


    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    2012年11月15日 7:32