none
Erro - GMAIL - Forefront RRS feed

  • Pergunta

  • Prezados, boa tarde.

    Estou com um problema ao tentar liberar o gmail em minha empresa.

    Utilizo o Forefront TMG 2010, e a regra aqui em nossa empresa é o seguinte.

    Todos os sites são bloqueados, só são liberados os sites que estiverem em uma lista especifica. 

    Já liberei as URLs do google, gmail..e nada, sempre ocorre esse erro:

     

    Conexão Negada SRVPROXY 28/03/2011 14:26:57 

    Tipo de log:Proxy da Web (Direto) 

    Status: 12202 O Forefront TMG negou a URL especificada.  

    Regra:Regra padrão 

    Origem:Interno (192.168.4.11:50734) 

    Destino:Externo (192.168.4.10:443) 

    Solicitação: www.google.com:443 

    Informações do filtro:Req ID: 0a475d8a; Compression: client=No, server=No, compress rate=0% decompress rate=0% 

    Protocolo:SSL-tunnel 

    Usuário:anonymous 

     Informações adicionais 

     Já lí em alguns foruns que devo estender a porta, através do script "isa_tpr.js", mas não certo...

    Alguém poassui alguma idéia?

    Obrigado.

    segunda-feira, 28 de março de 2011 17:55

Respostas

  • Anderson, a sua configuração de rede está errada.

    Você não deve configurar DNS na placa de rede Externa.

    A configuração DNS deve ser feita somente na placa de rede interna e apontando somente para o seu DNS Interno, que responda pelo seu dominio.

    Em binding order, verifica se a placa de rede interna está no topo.


    Renato Marson Pagan
    • Marcado como Resposta Anderson_Bloch terça-feira, 5 de abril de 2011 17:51
    quinta-feira, 31 de março de 2011 13:43
  • Caro colega, segue algumas dicas:

    1 - Como já foi dito aqui não se deve utilizar DNS na placa externa do TMG, apenas na interna apontando para seus servidores de AD.

    2 - Tenha certeza que existe uma regra liberando o protocolo DNS para seus servidores de AD. E que seus servidores de AD tem o default gateway apontando para o TMG.

    3 - Tenha certeza que ao clicar duas vezes na regra do GMAIL, na aba protocolos, os protocolos HTTP e HTTPS se econtram lá.

    4 - Verifique seus relógios, certificados não aceitam horas muito diferentes na estação e do servidor.

    Por fim, se nada funcionar... da um ping em www.gmail.com e mail.google.com, e nos passe o resultado.

    Abraços.

    • Marcado como Resposta Anderson_Bloch terça-feira, 5 de abril de 2011 17:51
    terça-feira, 5 de abril de 2011 01:51

Todas as Respostas

  • Vc esta liberando HTTPS??

    Crie domain Sets: *.gmail.com


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    segunda-feira, 28 de março de 2011 18:16
  • Ola David, obrigado pelo retorno.

     

    Sim, já criei o domain sets, mas mesmo o erro continua.

    =/

    segunda-feira, 28 de março de 2011 18:30
  • Crie uma regra liberando todos os protocolos para *.gmail.com

    Coloque a regra no topo.

    faça o teste.


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    segunda-feira, 28 de março de 2011 18:49
  • Mesmo erro David. Sempre a mesma mensagem:

    Solicitação: www.google.com:443 

    Já fiz até liberando o ip do cliente totalmente, e mesmo assim o erro continua.

    segunda-feira, 28 de março de 2011 19:01
  • Como esta regra....

    Quando vc monitora esta caindo na regra padrao?


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    segunda-feira, 28 de março de 2011 19:19
  • Bom dia David, sim vai para regra padrão.

    Porém fiz um teste com outros e-mails, e ocorre o mesmo erro. Ele não permite acessar.

    Fiz o teste com Yahoo, Bol e a mesma mensagem.

    Qualquer conexão que ele tente via HTTPS ele barra.

    Porém esta liberado, certinho.

    Não estou entendo o motivo de travar...

     

    terça-feira, 29 de março de 2011 12:34
  • Restarta o serviços do ISA!

    Ta sendo gerado agum evento, no event viewer?

    Libere essa regra para all users....

    Tire o proxy do usuario desabilite o FC e faça o teste....

     

     

    Uma duvida.... Vc esta trabalhando com Content type???


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    terça-feira, 29 de março de 2011 12:57
  • Verifica se não esta habilitado o HTTPS Inspection.
    Eu por todos e Todos por mim - PESSOAL POR FAVOR QUALIFIQUEM SE O POST TE AJUDOU
    terça-feira, 29 de março de 2011 14:38
  • Anderson, só uma coisa. Você criou o Domain name Set para *gmail.com ou *.gmail.com.

    Se criar para *.gmail.com o gmail.com nao vai acessar.

    Eu testei aqui e consegui acessar criando um Domain Name Set com as seguintes entradas:

    *gmail.com
    *google.com

    Da uma olhada no link abaixo. Tem diferença entre *.gmail.com e *gmail.com
    http://technet.microsoft.com/en-us/library/cc750328.aspx

    []'s

    Renato Marson Pagan


    Renato Marson Pagan
    terça-feira, 29 de março de 2011 18:14
  • Prezados, muito obrigado pelas respostas.

     

    Irei fazer os testes que vocês me informaram, e posto aqui os resultados.

     

    Mais uma vez, muito obrigado a todos.

    quarta-feira, 30 de março de 2011 11:59
  • Prezados, bom dia!

     

    Fiz todos os procedimentos que vocês me informaram, porém não libera esse bendito gmail..rs..Já fiz de tudo. 

    Com toda certeza deve ser um detalhe bobo, mas não estou encontrando.

    Vejam a imagem de minhas regras. Acho que esta .

    Realmente não sei o que falta.

    Muito obrigado pela ajuda de todos.

     

    http://tinypic.com/view.php?pic=wtvxhx&s=7

    http://tinypic.com/view.php?pic=ics9og&s=7

    quinta-feira, 31 de março de 2011 12:05
  • Renato, criei da forma que você orientou. 

    Mesmo assim, não deu certo.

    Não estou encontrando o problema, fiz tudo de acordo.

    Parece ser apenas um detalhe bobo que não encontro.

     

    http://tinypic.com/view.php?pic=wtvxhx&s=7

    http://tinypic.com/view.php?pic=ics9og&s=7

     

    Essas são minhas regras.

    Obrigado pela ajuda.

    quinta-feira, 31 de março de 2011 12:15
  • Anderson, cola aqui o log do ISA quando o acesso é negado.

    Eu estou com uma regra igual a sua aqui e está funcionando.
    Allow - HTTP/HTTPS - Interna - *gmail.com / *google.com / - All Users

    Na imagem nao da pra ver. Só para confirmar, você está liberando os protocolos HTTP e HTTPS né?


    Renato Marson Pagan
    quinta-feira, 31 de março de 2011 12:36
  • Nessa sua regra se vc colocar rede externa funciona?

    Tente colocanfo

    *.gmail.com

    *.google.com

    Liberando todos os protocolos;


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    quinta-feira, 31 de março de 2011 12:40
  • Olá, Renato.
    Segue o Log:
    Conexão Negada SRVPROXY 31/03/2011 09:40:37 
    Tipo de log:Proxy da Web (Direto) 
    Status: 12202 O Forefront TMG negou a URL especificada.  
    Regra:Regra padrão 
    Origem:Interno (192.168.4.11:50174) 
    Destino:Externo (192.168.4.10:443) 
    Solicitação: www.google.com:443 
    Informações do filtro:Req ID: 0a1633b0; Compression: client=No, server=No, compress rate=0% decompress rate=0% 
    Protocolo:SSL-tunnel 
    Usuário:anonymous 
     Informações adicionais 
    Agente de cliente: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2)
    Origem do objeto: Internet (A origem é a Internet. O objeto foi adicionado ao cache.)
    Informações de cache: 0x0
    Tempo de processamento: 0 Tipo MIME: 
    Sim, esta sim para HTTP. HTTPS, olha a imagem:
    http://tinypic.com/r/zkhitd/7
     
    quinta-feira, 31 de março de 2011 12:49
  • Anderson, cola o ipconfig /all aqui.
    Renato Marson Pagan
    quinta-feira, 31 de março de 2011 13:11
  • Olá, Renato.
    Segue o Log:
    Conexão Negada SRVPROXY 31/03/2011 09:40:37 
    Tipo de log:Proxy da Web (Direto) 
    Status: 12202 O Forefront TMG negou a URL especificada.  
    Regra:Regra padrão 
    Origem:Interno (192.168.4.11:50174) 
    Destino:Externo (192.168.4.10:443) 
    Solicitação: www.google.com:443 
    Informações do filtro:Req ID: 0a1633b0; Compression: client=No, server=No, compress rate=0% decompress rate=0% 
    Protocolo:SSL-tunnel 
    Usuário:anonymous 
     Informações adicionais 
    Agente de cliente: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2)
    Origem do objeto: Internet (A origem é a Internet. O objeto foi adicionado ao cache.)
    Informações de cache: 0x0
    Tempo de processamento: 0 Tipo MIME: 
    Sim, esta sim para HTTP. HTTPS, olha a imagem:
    http://tinypic.com/r/zkhitd/7
     

    Esta caindo na regra padrao....

    TEm alguma inconsistencia na sua regra.....


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    quinta-feira, 31 de março de 2011 13:17
  • Segue Renato:

     

     

    Configuração de IP do Windows

     

       Nome do host. . . . . . . . . . . . . . . . : srvproxy

       Sufixo DNS primário . . . . . . . . . . . . : diamante.local

       Tipo de nó. . . . . . . . . . . . . . . . . : híbrido

       Roteamento de IP ativado. . . . . . . . . . : sim

       Proxy WINS ativado. . . . . . . . . . . . . : não

       Lista de pesquisa de sufixo DNS . . . . . . : diamante.local

     

    Adaptador PPP Conexão de Banda Larga:

     

       Sufixo DNS específico de conexão. . . . . . :

       Descrição . . . . . . . . . . . . . . . . . : Conexão de Banda Larga

       Endereço Físico . . . . . . . . . . . . . . :

       DHCP Habilitado . . . . . . . . . . . . . . : Não

       Configuração Automática Habilitada. . . . . : Sim

       Endereço IPv4. . . . . . . .  . . . . . . . : 187.127.240.49(Preferencial)

       Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.255

       Gateway Padrão. . . . . . . . . . . . . . . : 0.0.0.0

       Servidores DNS. . . . . . . . . . . . . . . : 200.165.132.148

                                                     200.165.132.155

       NetBIOS em Tcpip. . . . . . . . . . . . . . : Desabilitado

     

    Adaptador Ethernet Conexão local 2:

     

       Sufixo DNS específico de conexão. . . . . . :

       Descrição . . . . . . . . . . . . . . . . . : Realtek RTL8139/810x Family Fas

    t Ethernet NIC

       DHCP Habilitado . . . . . . . . . . . . . . : Não

       Configuração Automática Habilitada. . . . . : Sim

       Endereço IPv4. . . . . . . .  . . . . . . . : 192.168.254.1(Preferencial)

       Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.0

       Gateway Padrão. . . . . . . . . . . . . . . : 192.168.254.254

       IAID de DHCPv6. . . . . . . . . . . . . . . : 302047309

       DUID de Cliente DHCPv6. . . . . . . . . . . : 00-01-00-01-14-2A-6A-E6-00-25-2

    2-18-13-84

       Servidores DNS. . . . . . . . . . . . . . . : 200.176.2.10

                                                     200.176.2.12

       NetBIOS em Tcpip. . . . . . . . . . . . . . : Habilitado

     

    Adaptador Ethernet Conexão local:

     

       Sufixo DNS específico de conexão. . . . . . :

       Descrição . . . . . . . . . . . . . . . . . : NIC Fast Ethernet PCI-E Realtek

     Família RTL8102E/RTL8103E (NDIS 6.20)

       DHCP Habilitado . . . . . . . . . . . . . . : Não

       Configuração Automática Habilitada. . . . . : Sim

       Endereço IPv6 de link local . . . . . . . . : fe80::7147:b713:a4cb:ca20%11(Pr

    eferencial)

       Endereço IPv4. . . . . . . .  . . . . . . . : 192.168.4.10(Preferencial)

       Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.0

       Gateway Padrão. . . . . . . . . . . . . . . :

     

    2-18-13-84

       Servidores DNS. . . . . . . . . . . . . . . : fec0:0:0:ffff::1%1

                                                     fec0:0:0:ffff::2%1

                                                     fec0:0:0:ffff::3%1

       NetBIOS em Tcpip. . . . . . . . . . . . . . : Habilitado

     

    Adaptador de túnel Teredo Tunneling Pseudo-Interface:

     

       Estado da mídia. . . . . . . . . . . . . .  : mídia desconectada

       Sufixo DNS específico de conexão. . . . . . :

       Descrição . . . . . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interfa

    ce

       Endereço Físico . . . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0

       DHCP Habilitado . . . . . . . . . . . . . . : Não

       Configuração Automática Habilitada. . . . . : Sim

     

     

    quinta-feira, 31 de março de 2011 13:22
  • Não David,  a regra não funciona.

    Coloquei também esses dois termos e nada.

    Liberei até o ip total do cliente, e barra na mesma coisa.

     

    quinta-feira, 31 de março de 2011 13:23
  • Anderson, a sua configuração de rede está errada.

    Você não deve configurar DNS na placa de rede Externa.

    A configuração DNS deve ser feita somente na placa de rede interna e apontando somente para o seu DNS Interno, que responda pelo seu dominio.

    Em binding order, verifica se a placa de rede interna está no topo.


    Renato Marson Pagan
    • Marcado como Resposta Anderson_Bloch terça-feira, 5 de abril de 2011 17:51
    quinta-feira, 31 de março de 2011 13:43
  • Boa Tarde Galera.

    Só lembrando o povo, estamos falando de TMG e não de ISA server. Vamos usar o termo certo para o pessoal que for fazer um consulta não se confundir.

     

    Anderson pelo que eu vi nas imagens que vc postou em domain set "GMAIL" você está colocando o dominio *gmail.com ao invés de *.gmail.com.

    Quando você coloca *gmail.com o TMG entende que é exatamente esse dominio que você quer liberar.

    Quando você coloca *.gmail.com o TMG entende que você está liberando todos subdominios de gmail.com, ou seja, tudo que vier antes .gmail.com

    Exemplo. mail.gmail.com; mail2.gmail.com


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 31 de março de 2011 19:40
  • Felipe, não acho que essa afirmação esteja correta. Você tem alguma fonte falando sobre isso?

    De acordo com a documentação oficial http://technet.microsoft.com/en-us/library/cc750328.aspx e com testes que realizei, se você liberar *.gmail.com ele so vai liberar hosts em .gmail.com, por exemplo xxx.gmail.com, teste.gmail.com.

    Se ele tentar acessar http://gmail.com não vai passar:

    * When you create a domain with a wildcard character, such as *.microsoft.com, this only includes host computers at the domain, for example www.microsoft.com, ftp.microsoft.com. Note that if the domain name points to a host, *.microsoft.com will have no effect on the URL http://microsoft.com.

    Quando você libera *gmail.com você está liberando http://gmail.com e todos os hosts desse dominio.


    Renato Marson Pagan
    quinta-feira, 31 de março de 2011 20:51
  • Felipe, não acho que essa afirmação esteja correta. Você tem alguma fonte falando sobre isso?

    De acordo com a documentação oficial http://technet.microsoft.com/en-us/library/cc750328.aspx e com testes que realizei, se você liberar *.gmail.com ele so vai liberar hosts em .gmail.com, por exemplo xxx.gmail.com, teste.gmail.com.

    Se ele tentar acessar http://gmail.com não vai passar:

    * When you create a domain with a wildcard character, such as *.microsoft.com, this only includes host computers at the domain, for example www.microsoft.com, ftp.microsoft.com. Note that if the domain name points to a host, *.microsoft.com will have no effect on the URL http://microsoft.com.

    Quando você libera *gmail.com você está liberando http://gmail.com e todos os hosts desse dominio.


    Renato Marson Pagan

    É amigão fiz o teste aqui e você está certo *gmail.com bloqueia o dominio gmail.com e os subdominios. Porém eu nunca vi em documentação official isso. Se você tiver ai posta para eu dar uma olhada.

    Agora a parte de *.gmail.com o que eu expliquei eh exatamente a documentação fala. E geralmente esses dominio sempre mapeia para um host do dominio e a regra funciona.

     


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    sexta-feira, 1 de abril de 2011 05:33
  • Oi Felipe, eu tb não sabia até uns dias atrás.

    Nesse link abaixo, ele descreve isso:

    "When you create a domain with a wildcard character, such as *.microsoft.com, this only includes host computers at the domain, for example www.microsoft.com, ftp.microsoft.com. Note that if the domain name points to a host, *.microsoft.com will have no effect on the URL http://microsoft.com."
    http://technet.microsoft.com/en-us/library/cc750328.aspx 

    []'s

    Renato Marson Pagan


    Renato Marson Pagan
    sexta-feira, 1 de abril de 2011 11:56
  • Oi Felipe, eu tb não sabia até uns dias atrás.

    Nesse link abaixo, ele descreve isso:

    "When you create a domain with a wildcard character, such as *.microsoft.com, this only includes host computers at the domain, for example www.microsoft.com, ftp.microsoft.com. Note that if the domain name points to a host, *.microsoft.com will have no effect on the URL http://microsoft.com."
    http://technet.microsoft.com/en-us/library/cc750328.aspx 

    []'s

    Renato Marson Pagan


    Renato Marson Pagan

    Renato isso ai eu Sabia sim. Como eu descrevi la encima. Como a maioria digo 99% dos sites estão hosdepados em Hosts (Servidores) de um dominio. Ex www.dominio.local (www é um host) e quando você entra em http://dominio.local faz um redirecionamento para www.dominio.local a regra funciona com *.dominio.local.

     

    O que eu não sabia era do *dominio.local (sem o ponto entre * e o dominio.local) isso eu nunca vi em documentação nenhuma.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    sexta-feira, 1 de abril de 2011 12:46
  • Caro colega, segue algumas dicas:

    1 - Como já foi dito aqui não se deve utilizar DNS na placa externa do TMG, apenas na interna apontando para seus servidores de AD.

    2 - Tenha certeza que existe uma regra liberando o protocolo DNS para seus servidores de AD. E que seus servidores de AD tem o default gateway apontando para o TMG.

    3 - Tenha certeza que ao clicar duas vezes na regra do GMAIL, na aba protocolos, os protocolos HTTP e HTTPS se econtram lá.

    4 - Verifique seus relógios, certificados não aceitam horas muito diferentes na estação e do servidor.

    Por fim, se nada funcionar... da um ping em www.gmail.com e mail.google.com, e nos passe o resultado.

    Abraços.

    • Marcado como Resposta Anderson_Bloch terça-feira, 5 de abril de 2011 17:51
    terça-feira, 5 de abril de 2011 01:51
  • Prezados, boa tarde!

     

    Muito obrigado a tados.

    O erro estava mesmo no DNS do servidor. Tirei ele, e tudo funciona perfeitamente!

    Muito obrigado pela ajuda e por todas as respostas.

     

    Forte abraço!

    terça-feira, 5 de abril de 2011 17:51