none
HTTPS RRS feed

  • Pergunta

  • Ola pessoal,

    Atualmente precisei usar alguns comandos no TMG pois haviam varias saidas para porta https, entao usei o seguinte comando:

    Dim root
    Dim tpRanges
    Dim newRange
    Set root = CreateObject("FPC.Root")
    Set tpRanges = root.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
    set newRange = tpRanges.AddRange("SSL 80", 80, 80)
    tpRanges.Save

    Após isso comecei a receber as seguintes mensagens no Event Viewer de Sistema:

    "O seguinte alerta fatal foi gerado: 10. O estado do erro interno é 10.

    Schannel
    36888
    Erro"

    Meu log de sistema esta lotado com isso.

    Porem se eu desligar o Https Inspection o erro para de acontecer,

    E tambem sites que começam com https, nao consigo mais acessar, senao desligando o https inspection.

    Como posso resolver isso, tem como desfazer o comando acima para a porta 80 ?

    Obrigada


    terça-feira, 7 de maio de 2013 11:46

Respostas

  • Ola junior,

    Dei uma olhada melhor no link que voce me passou, http://technet.microsoft.com/en-us/library/cc302450.aspx

    E fiz alguns testes em maquinas virtuais, e ao retirar a porta 80 do tunel, que eu havia colocado no primeiro script, e reiniciar os servicos do TMG, tudo voltou ao normal.

    O meu erro e que nao havia reiniciado os servicos do TMG, e neste caso nao precisei reinstalar.

    Pelo que vi a porta 80 nao faz parte do tunel e eu havia colocado no primeiro script, ao retirar e reiniciar os servicos do tmg voltou ao normal.

    Te agradeço pelo link.

    • Marcado como Resposta Patricia_senna sexta-feira, 10 de maio de 2013 11:56
    sexta-feira, 10 de maio de 2013 11:56

Todas as Respostas

  • Pessoal,

    Sera que alguem tem pelo menos uma ideia?

    obrigada

    quarta-feira, 8 de maio de 2013 12:39
  • Patricia,

    Não consegui entender o pq de usar comandos para banir portas, voce poderia apenas fechar as portas utilizando a rede localhost que é pertinente ao host TMG.

    Se for maquinas da tua rede, utilize a regra que uso no meu ambiente.
    Libere o https apenas para destinos que conheça, como governo, bancos e aplicações, pro resto fecha tudo.


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    quarta-feira, 8 de maio de 2013 23:41
  • Junior,

    Eu apliquei o comando, por causa desse problema:

    Status: 12204 The specified Secure Sockets Layer (SSL) port is
    not allowed. Forefront TMG is not configured to allow SSL requests from this
    port. Most Web browsers use port 443 for SSL requests.

    Então pesquisando em varios artigos, base de conhecimento da microsoft, e principalmente o site isa.org, foi indicado rodar o comando acima.

    Porem agora, se eu ligo o https inspection, eu nao consigo navegar em nenhum site https, e aparece a mensagem:

    " O internet explorer impediu este site de exibir conteudo com erros de certificado de segurança"

    Se eu desligar o https inspection, ai eu consigo navegar nos sites https inspection, porem

    eu preciso do https inspection, pois é norma da empresa por segurança checar os certificados, pois a empresa aqui acessa e envia muitos arquivos governamentais e sigilosos.

    Esta bem complicado de resolver isso, pois eu antes testei em ambiente de produção e o problema tinha sido resolvido, mas depois de alguns dias verificamos o problema quanto ao https inspection.

    quinta-feira, 9 de maio de 2013 11:02
  • Realmente Patricia desconheço esse problema.
    E olha que eu trabalho com o TMG há muito tempo.

    Eu particurlamente utilizo todos os servidores virtulizados no Hyper-v, comecei adotar essa pratica quando eu me deparei com problemas que não achava a solução, e quando achava resolvia um problema e aparecia outros rss

    Neste caso apenas reverto a vm e ta tudo certo.

    Vou pesquisar aqui tbem pra te ajudar, caso ache uma resposta posto aqui.

    me add no msn que conversamos por la.

    abs


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    quinta-feira, 9 de maio de 2013 15:14
  • é como eu disse junior, esta bem complicado,

    ainda nao temos aqui um contrato com a microsoft, para casos mais problematicos como esse.

    mas se voce ou alguem do forum puder me ajudar, eu agradeço imensamente.

    grande abraço e obrigada

    Nao sei como pelo voltar o que foi feito, ou se tem como restaurar algum servico referente ao https inspection

    quinta-feira, 9 de maio de 2013 15:41
  • essa tua maquina é virtual?

    Esse comando que vc rodou mexeu nos registros, se vc tiver uma restauração do sistema restaure e faça os testes!


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    quinta-feira, 9 de maio de 2013 15:57
  • O servidor é fisico.

    Não foi configurado anteriormente a reustauração do sistema, por segurança pois se o servidor for infectado por algum virus, na restauração volta ao cenario de infecção.

    quinta-feira, 9 de maio de 2013 16:16
  • Patricia,

    Acho que esse link vai te ajudar, pois nele ensina como criar os tuneis e tambem como excluir!

    da uma olhada

    http://technet.microsoft.com/en-us/library/cc302450.aspx


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    quinta-feira, 9 de maio de 2013 16:44
  • Oi junior, eu tinha visto este link, e nele eu verifiquei um script, que lista as portas que estao em tuneis

    o nome do script é,  Script Listing: ShowTPRanges.vbs

    Ao executar esse script no servidor TMG as saidas foram as seguintes:

    http: 80: 80-80

    NNTP: 563-563

    SSL: 443-443

    NNTP E SSL estao corretos, ou seja faz parte de um tunel SSL, porem listou a porta 80: 80-80 como porta de tunel, ai ja nao sei se esta correto.

    Outra coisa, no https inpection, o problema ocorre exatamente se eu configurar para mandar especionar o trafego e validar o certificado ( primeira opção), se eu configurar a segunda opção Nao inspecionar o trafego, mas validar os certificados (segunda opção) o problema nao ocorre.

    Ou seja o TMG nao esta conseguindo recuperar o trafego SSL, para verificar se o conteudo do certificado é valido.

    Dentro disso, sera que é porque a porta 80, esta como tunel SSL ?

    quinta-feira, 9 de maio de 2013 18:21
  • 80: 80-80

    Ta certo pois seu servidor escuta no proxy na porta 8080, então existe um tunel entre a 80 e 8080.
    O problema teu é grave, e talvez para nao perder muito tempo, eu faria backup das tuas regras .xml
    Desisntalava o tmg e instalava novamente


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    quinta-feira, 9 de maio de 2013 18:36
  • tudo bem, mas sera que ao restaurar as regras isso sobreposto ou adicionado?

    E as demais configuracoes como fica?

    quinta-feira, 9 de maio de 2013 18:41
  • as principais regras vao voltar ao normal..

    quanto as configurações de vpn que talvez vc precise refazer, mais se eu nao me engano volta com o backup.

    estou no msn nos falamos por la


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    quinta-feira, 9 de maio de 2013 18:47
  • Ola junior,

    Dei uma olhada melhor no link que voce me passou, http://technet.microsoft.com/en-us/library/cc302450.aspx

    E fiz alguns testes em maquinas virtuais, e ao retirar a porta 80 do tunel, que eu havia colocado no primeiro script, e reiniciar os servicos do TMG, tudo voltou ao normal.

    O meu erro e que nao havia reiniciado os servicos do TMG, e neste caso nao precisei reinstalar.

    Pelo que vi a porta 80 nao faz parte do tunel e eu havia colocado no primeiro script, ao retirar e reiniciar os servicos do tmg voltou ao normal.

    Te agradeço pelo link.

    • Marcado como Resposta Patricia_senna sexta-feira, 10 de maio de 2013 11:56
    sexta-feira, 10 de maio de 2013 11:56
  • Show de bola!

    Parabéns!

    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    sexta-feira, 10 de maio de 2013 15:03