none
TMG перестает правильно отрабатывать правила публикации RRS feed

  • Вопрос

  • Было уже раньше, отключил фаервол на ексченже, 25 порт стал отрабатывать стабильно. Потом стали проблемы с 110 портом, после рестарта службы тмг, все работает, спустя время нет. Решилось удалением одного правила в ТМГ касательно pop3. Теперь пробросил 443 порт и опять тоже самое.

    Закрытое соединение TMG 1/21/2011 10:38:55 AM
    Тип журнала: Служба межсетевого экрана
    Состояние: Закрытое соединение
    Правило: pop POP3-сервер
    Источник: Внешняя (77.246.230.9:60584)
    Назначение: Внутренняя (192.168.1.200:110)
    Протокол: POP3-сервер


    После нескольких минут видим вот что:
    Отклоненное соединение TMG 1/21/2011 10:42:48 AM
    Тип журнала: Служба межсетевого экрана
    Состояние: Пользовательские запросы запрещены правилами политики. 
    Правило: Правило по умолчанию
    Источник: Внешняя (77.246.230.9:51482)
    Назначение: Локальный компьютер (89.20.10.30:110)
    Протокол: POP3


    Почему-то запросы начинают приходить на локальную карту с внешним IP.

    Публиковал согласно:
    http://khlebalin.wordpress.com/2010/06/15/публикация-owa-на-tmg-еще-одно-альтернативн/

    Есть идеи? =\
    21 января 2011 г. 12:47

Ответы

  • если вы уберете шлюз с интерфейса inet это повлияет на работу вашей сети?

    опять же ситуация с 2-мя шлюзами получилась - один шлюз для ppp соединения (видимо, стоит галка использовать шлюз в удаленной сети в его настройках) и второй шлюз на подключении inet.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    • Помечено в качестве ответа Oleg.A 22 января 2011 г. 11:29
    21 января 2011 г. 14:57

Все ответы

  • http://i15.fastpic.ru/big/2011/0121/4a/54fdfa3591a6be6661a82c385d3f414a.jpg

    TMG 2101 SP1 rollup 2

    21 января 2011 г. 12:49
  • вот как происходит- сервер TMG не трогаю вообще и вот что в логах когда я тестирую коннект:

    http://i15.fastpic.ru/big/2011/0121/74/4d71698daa9d2caafe11ebd4ea888474.jpg

    21 января 2011 г. 13:09
  • в качестве предположения - к 9 правилу добавить ко всем пользователям еще system and network service

    а шлюз в сети один или кроме tmg еще железка есть?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    21 января 2011 г. 14:04
  • Нет шлюз- это и есть ТМГ (2 сетевые и vpn через которое подается интернет). Есть еще вот какие ошибки:

     

    Описание: В результате внесенных в настройки изменений доступ к хранилищу настроек заблокирован.
    Описание: Внесенные в конфигурацию изменения могут привести к потере подключения к серверу хранилища настроек TMG и поэтому не могут быть применены. Данное оповещение вызвано "ошибка соединения с контроллером домена". Описание ошибки: The specified server cannot perform the requested operation.

    Сбой произошел из-за ошибки: The specified server cannot perform the requested operation.

     
     
    Копал сейчас в сторону флуд атаки, добавил IP контроллера и екс в исключения, убрал Recieve-side scaling state . Не помогло. Не сохраняет изза того, что подключение с КД сбрасывает:

    Описание: Превышено ограничение числа не TCP-сеансов, разрешенных с одного IP-адреса.

    Описание: Forefront TMG отключил не TCP-соединение от 192.168.1.100, поскольку превышен лимит подключений для данного IP-адреса. Следует установить больший лимит подключений для IP-адресов последовательно соединенных прокси-серверов и сдвоенных компьютеров с сервером Forefront TMG с отношением преобразования адресов (NAT).

    После того, как я настроил флуд атаку, ничего не изменилось...
    • Изменено Oleg.A 21 января 2011 г. 14:15
    21 января 2011 г. 14:11
  • после переподключения PPP или сохранения каких-либо настроек на ТМГ, правило начинает отрабатывать, но не долго...
    21 января 2011 г. 14:14
  • итого 3 сетевых подключения получается - 2 интерфейса и один ppp?

    выложите ipconfig /all и route print что ли


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    21 января 2011 г. 14:23
  • http://s2.ipicture.ru/uploads/20110121/5tKNedtT.jpg

    http://s2.ipicture.ru/uploads/20110121/LK09p1Rp.jpg

    21 января 2011 г. 14:35
  • если вы уберете шлюз с интерфейса inet это повлияет на работу вашей сети?

    опять же ситуация с 2-мя шлюзами получилась - один шлюз для ppp соединения (видимо, стоит галка использовать шлюз в удаленной сети в его настройках) и второй шлюз на подключении inet.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    • Помечено в качестве ответа Oleg.A 22 января 2011 г. 11:29
    21 января 2011 г. 14:57
  • пока работает без шлюза, надо ехать домой, если из дома будет все ок, значит сработало, отпишусь, спасибо! :)
    21 января 2011 г. 15:12
  • все работает, странно почему все остальные правила отрабатывались нормально... Вы мой спаситель! =)
    22 января 2011 г. 11:28