none
Создание обычных публикаций в UAG RRS feed

  • Вопрос

  • Здравствуйте.

    Столкнулся со следующей проблемой. Установил  UAG, настроил на нем публикации Exchange и SharePoint, это все отлично работает. Но дальше началось самое интересное - понадобились обычные web-публикации (сайтов визиток и т.п.), без авторизации со стороны UAG, навороченных Policy, удобного корпоративного портала. Так вот эта операция не получается - не удается создать простой транк, который будет с этим работать. Пробую сделать эту публикацию в рамках оснастки TMG на том же сервере, но не получается - подключения не проходит. Со стороны ГФП сервера выдает ошибку 404, со стороны клиентской машины не открывается вообще (time out). 

    Со стороны UAG netstat не показывает открытого 80 порта на прослушивания трафика по этому IP.

    Подскажите, можно ли при работающем UAG создавать публикации в TMG? и можно ли в UAG создавать обычные http публикации?

    Заранее благодарю.


    • Изменено Viktor Sirenko 29 ноября 2011 г. 9:16 изменения контекста и исправление ошибки
    • Перемещено Dmitry Davydov 9 декабря 2011 г. 11:48 (От:Forefront Endpoint Security)
    28 ноября 2011 г. 14:57

Ответы

Все ответы

  • Нельзя в консоле TMG на UAG создавать правила публикации. Все правила должны быть созданы через консоль UAG.

    http://myitforum.com/cs2/blogs/forefrontsecurity/archive/2010/12/29/publishing-internet-web-site-with-uag-part-1.aspx


    MCITP. Знание - не уменьшает нашей глупости.

    29 ноября 2011 г. 9:11
  • Поднастроил HTTP trunk и в итоге добился того, что он начал пробрасывать соединение на web-сервер, но вместе с этим он прокидывает данные сессии UAG, что вызывает 500 Internal Error и сайт не отображается. В адресной строке вижу следующие данные: 

    http://site.ru/uniquesigde992772fd012b206f8de794a9b30d9a/uniquesig0/

    и выводит страницу:

    Internal Server Error

    The server encountered an internal error or misconfiguration and was unable to complete your request.

    Please contact the server administrator, admin@site.ru and inform them of the time the error occurred, and anything you might have done that may have caused the error.

    More information about this error may be available in the server error log.


    Apache/2.2.3 (CentOS) Server at 10.0.1.150 Port 80

    Товарищи, подскажите как решается данная проблема, т.к. не очень хочется возвращаться для публикации на обычный TMG, уж очень понравились функциональные возможности UAG'а для корпоративных ресурсов.

    29 ноября 2011 г. 9:12
  • спасибо, но в статье которую вы дали ссылку абсолютно не очевиден их механизм предоставления доступа. + они используют авторизацию SSO через портал, а она мне в данном случае (авторизация) вообще не нужна силами UAG
    29 ноября 2011 г. 9:33
  • Вот почему требуеться авторизация для публикации сайта.

    http://www.prostructure.com/blog/2011/09/22/limitations-of-uag-2010-for-publishing-public-websites/

    http://blogs.technet.com/b/ucedsg/archive/2010/08/16/do-i-use-forefront-tmg-or-forefront-uag-for-reverse-proxy-publishing-for-exchange-2010.aspx

     


    MCITP. Знание - не уменьшает нашей глупости.
    29 ноября 2011 г. 13:37
  • я отлично понимаю зачем нужна авторизация :) Но речь идет не о Exchange и не об SharePoint, а об обычно HTTP web-site. Прочитав последнюю статью понял, что на UAG это сделать проблематично и он под это не адаптирован => здравствуй, снова ТМГ! Или есть еще комментарии практические :)
    29 ноября 2011 г. 14:33
  • Установите TMG можно на виртуалке и публикуйте. Правилами хорошо тона считаеться разносить proxy и reverse proxy. Что повышает балансировку нагрузки и распределения рисков.

    Еще раз сравнение TMG и UAG.

    http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-UAG-feature-comparison.html

     

     


    MCITP. Знание - не уменьшает нашей глупости.
    30 ноября 2011 г. 6:07
  • Спасибо за ответы, очень приятно участие к чужим проблемам.

    К сожалению установка TMG на виртуалке в ряде уже проведенных тестов себя положительно не показала. Собственно этого же не рекомендует делать компания Майкрософт в требования к данному виду ПО. Да и с точки зрения стабильности и надежности системы - это не самый лучший вариант, т.к. сервер публикации может подвергаться атакам со вне и в случае достижения успеха злоумышленника будут недоступны ресурсы не только с наружи, но и корпоративные ресурсы изнутри, работающие на том же Virtual Server Host.

    2 декабря 2011 г. 5:11
  • День добрый.

    Виктор, при создании VLAN и привязки к сетевым интерфейсам Hyper-V,  а также организация DMZ. Позволяет использовать виртуальные машины. При этом требуеться планировать ресурсы Hyper-V для TMG.

    http://technet.microsoft.com/en-us/library/cc891502.aspx  


    MCITP. Знание - не уменьшает нашей глупости.
    2 декабря 2011 г. 5:28
  • Олег, ну а смысл в этом, если 80% публикаций будет на TMG, и для 20% держать UAG, по-моему мнению не рационально ;)

    Спасибо за ссылки.

    2 декабря 2011 г. 5:40
  • Смысл:

    1. В распределении потоков.

    2. Балансировки нагрузки на уровне сервисов.

    3. Разные политики и разные ресурсы.

    4. Уменьшения рисков.

    http://postmaster.ge/blog/post/Exchange-Server-and-TMG-ISA-IAG-UAG-who-is-who.aspx

     


    MCITP. Знание - не уменьшает нашей глупости.
    2 декабря 2011 г. 5:53
  • Олег, возможно в данном случае не очень очевидно, но если мы размещаем ТМГ на сервере для виртуалок, то мы повышаем риски работы всей системы, т.к. сервер публикаций является той границей, которая будет максимально подвержена атакам, что в любом случае повлияет на работоспособность всего сервера. 

    Вариант использования виртуалок мне кажется интересен, но только при следующем подходе. 1 Сервера - 2 виртуальных сервера (ТМГ и UAG), возможно это вы имели в виду. Попробую посмотреть на технические возможности данного сервера, и если возможно приму ваше решение к реализации ;) В принципе за виртуализацией будущее, но в любом случае сервера охраны периметра должны быть изолированы даже физически ;)

    2 декабря 2011 г. 6:01

  • MCITP. Знание - не уменьшает нашей глупости.
    • Помечено в качестве ответа Viktor Sirenko 4 декабря 2011 г. 0:09
    2 декабря 2011 г. 6:25
  • Реализация.

    Два сервера Hyper-V в DMZ, на нем размещены масcивы UAG и TMG сетевыми адаптерами в своих VLAN сетях. На них публикуються свои ресурсы.

    Так вижу использование UAG и TMG.


    MCITP. Знание - не уменьшает нашей глупости.
    2 декабря 2011 г. 6:33
  • Спасибо, теперь все предельно прозрачно ;)
    2 декабря 2011 г. 6:43