none
TMG 2010: авторизация веб-прокси клиентов RRS feed

  • Вопрос

  • Добрый день!

    Имею: Домен на windows server 2008 R2.  В составе домена так же имеется сервер windows Server 2008 R2 std с установленным на нем TMG 2010 std без Service Pack 1. TMG 2010 настроен по шаблону как прокси с одной сетевой картой.

    после базовой настройки нарвался на то, что прокси не выпускает в интернет вебпрокси-клиентов (то бишь любой браузер с настроенной прокси в интернет не выходит), в логах сервера TMG сообщается, что соединение идет от anonymous. Следовательно, после открывания любой странички из интернета, имею отчет в браузере:

    Error Code: 502 Proxy Error. Forefront TMG denied the specified Uniform Resource Locator (URL). (12202)

    В свойствах networks\internal  я выставил внутренний диапазон сети 192.168.0.0/23 (как и следовало для моей топологии сети)

    Правила применяются только для authentificated users.

    Авторизация на вебпрокси - integrated. (Networking\Internal\Properties\Web proxy\Authentification)

    Из правил  включены только правила web access policy которое разрешает all users ходить с internal на internal (согласно документации в technet).

    вопрос: как исправить сие безобразие? что это баг или мои ошибки?

     

    Cпасибо.

    30 сентября 2010 г. 11:23

Ответы

Все ответы

  • ну для начала надо перестать путать аутенфикацию с авторизацией - это две большие разницы

    12202 это не ошибка аутенфикации, это просто запрет, смотри по какому правилу это прошло и почему.

    хорошо бы показать список правил с настройками.

    30 сентября 2010 г. 12:51
    Отвечающий
  • Браузер: Mozilla Firefox 3.6.10

    Результат из лога:

    Denied Connection

    PROXY 01.10.2010 9:55:56 Log type: Web Proxy (Forward) Status: 12202 Forefront TMG denied the specified Uniform Resource Locator (URL). Rule: Default rule Source: Internal (192.168.0.254:55429) Destination: External (192.168.0.104:8080) Request: GET http://www.ya.ru/ Filter information: Req ID: 080e1a39 Protocol: http User: anonymous
    Additional information
    • Client agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; ru; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 ( .NET CLR 3.5.30729) YB/5.0.3
    • Object source: (No source information is available.)
    • Cache info: 0x100 (Request includes the CACHE-CONTROL: MAX-AGE, or CACHE-CONTROL: MAX-STALE, or CACHE-CONTROL: MIN-FRESH header.)
    • Processing time: 1 MIME type: 
    исходя из данных - запрос рубится на Default rule  для анонимуса. 


    Список активных правил :
    № Name 		Action 		Protocols 		From/Listener 	To			Conditions Description	Policy
    1.Allow all	Allow 		All Outbound Traffic	Internal Internal			All Users 		Array
    2.Default Rule	Deny 		All Traffic 		All Networks	All Networks
    							(and Local Host)(and Local Host)	All Users		 Array
    Остальные, вложенные настройки правил указаны по дефолту, я в них ничего не менял.
    1 октября 2010 г. 3:33
  • 1.Allow all	
    Allow 		
    All Outbound Traffic	
    Internal Internal			
    All Users 		
    Array

    дык у вас правило не правильно настроено - куда.
    • Помечено в качестве ответа Максим.Х 1 октября 2010 г. 7:50
    1 октября 2010 г. 7:39
  • согласно документации в Technet:http://technet.microsoft.com/ru-ru/library/ee191507.aspx

     

    Ограничения конфигурации с одной сетевой платой

    При использовании конфигурации с одной сетевой платой существует ряд ограничений:

    • Публикация сервера и VPN типа "сеть-сеть" не поддерживаются.
    • Трафик от клиентов SecureNAT и Forefront TMG не поддерживается.
    • Правила доступа следует настраивать только с использованием адресов источников с внутренними IP-адресами.
    • Политики межсетевого экрана не должны относится к внешней сети.

     

    Если я правильно понял: то направление должно быть From: Internal To: Internal

     

    Исправьте меня, если я ошибаюсь.

     

    Добавлено:

    Ради интереса поставил To: External - действительно не верно настроено направление "куда".

    тогда вопрос что имелось в виду по вышеприведенной  ссылке?

    1 октября 2010 г. 7:46
  • так ведь русским по-белому написано: Правила доступа следует настраивать только с использованием адресов ИСТОЧНИКОВ с внутренними IP-адресами
    а "куда" это назначение, а не источник :))

    1 октября 2010 г. 12:37
    Отвечающий