none
Настройка авторизации и клиентов TMG в мультидоменной среде RRS feed

  • Вопрос

  • Приветствую.

    1. Стоит TMG 2010. Соответственно не работает толком ( да и не толком тоже ) авторизаия.

    2. Сеть из трех доменов идущих друг за другом ( от папы дочка, от дочки - внучка ) с официально офрмленными трастами между ними в той-же последовательности.

    3. На сетке через GPO ставится клиент TMG на клиентские системы. С автоконфигом. Без конфы в AD.

    4. В TMG ничего особо не настраивалось в плане авторизаций ( все остальное отстроено и работает уже с пол года без проблем (особых))

    Результат :

    Полный капут в распозновании правил с пользователями, а именно - одно и тоже правило с разницей в долю сеунды на одном и том-же клиенте может то пускать, а то не пускать, причем запрещающее правило может пустить и наоборот, что радует безмерно взрывом мозга. Часто вываливается по решению правила "Не авторизован - пошел вон".

    В сессиях примерно такая картина :

    Иногда проскальзывают и пользователи. А иногда и нет.

    На данный момент все пользователи из внучки, а TMG на основном домене. Но в конечном итоге TMG должен авторизовать со всех трех доменов.

    А теперь вопрос к уважаемым знатокам :

    1. В чем может быть загвоздка, есть ли специфика настройки мультидоменной среды?
    2. Как правильно писать конфиг в AD если доменов много, а TMG один? Т.е. в доках нам говорится : запустите то и то на машинке с TMG ... но она то в одном домене, а пользователи во всех трех.
    3. svchost на клиентах выходит под именем тачки + $ : это нормально вообще?
    4. (попутно) Как запретить пользователям менять настройки клиента TMG?

    Спасибо.




    • Изменено IanRy 6 июня 2012 г. 18:22
    6 июня 2012 г. 18:17

Ответы

  • 1. Почему нельзя настроить напрямую доверие между доменом TMG и доменом с пользователями (нужно одностороннее исходящее либо двухстороннее доверие)? Это снимет многие проблемы.

    2. Пользователи, которые определены в TMG и используются в правилах, могут быть отображены на разных пользователей или группы Windows  в любом из доверенных доменов. Поскольку я не знаю, какими руковдствами Вы пользуетесь, более точно указать Вам, что надо изменить в Ваших действиях, я не могу, но, в принципе, в интерфейсе создания объектов Пользователь в правилах брандмауэра все прозрачно.

    3. Да. Если этот процесс работает под учетной записью Local System или Network Service, то для обращения по сети он использует учетные данные компьютера..


    Слава России!



  • http://technet.microsoft.com/en-us/library/cc441708.aspx

    A question mark (?) indicates that the user name was sent but the user was not authenticated by Forefront TMG. If Forefront TMG access control is not being used, Forefront TMG uses Anonymous.

    видимо, в этом и собака порылась. Сделайте трасты, как написано во втором посте темы


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    8 июня 2012 г. 12:14

Все ответы

  • 1. Почему нельзя настроить напрямую доверие между доменом TMG и доменом с пользователями (нужно одностороннее исходящее либо двухстороннее доверие)? Это снимет многие проблемы.

    2. Пользователи, которые определены в TMG и используются в правилах, могут быть отображены на разных пользователей или группы Windows  в любом из доверенных доменов. Поскольку я не знаю, какими руковдствами Вы пользуетесь, более точно указать Вам, что надо изменить в Ваших действиях, я не могу, но, в принципе, в интерфейсе создания объектов Пользователь в правилах брандмауэра все прозрачно.

    3. Да. Если этот процесс работает под учетной записью Local System или Network Service, то для обращения по сети он использует учетные данные компьютера..


    Слава России!



  • Кстати, за одно вопрос : А что означает "(?)" в конце имени пользователя? У меня часть пользователей со знаком вопроса - часть без.
    7 июня 2012 г. 10:11
  • http://technet.microsoft.com/en-us/library/cc441708.aspx

    A question mark (?) indicates that the user name was sent but the user was not authenticated by Forefront TMG. If Forefront TMG access control is not being used, Forefront TMG uses Anonymous.

    видимо, в этом и собака порылась. Сделайте трасты, как написано во втором посте темы


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    8 июня 2012 г. 12:14