none
TMG прокси задать внести в исключения некоторые локальные ПК? RRS feed

  • Общие обсуждения

  • Добрый день

    Есть домен на w2k8r2sp1 есть tmg2010sp1+edge_transport2010, есть сам exchange2010. Не обновлялась на клиентах (outlook2010) адресная книга, нашёл, что если занести CAS-server в исключения т.е. клиентам обращаться не через прокси а напрямую (просто галка не использовать прокси для локальных адресов почему-то не помогает). Вот т.е. нужно раскидать исключения на все ПК, почти на всех установлен FWC. Так вот когда на TMG ставлю галку использовать скрипт, затем обновляю на клиенте в FWC->configure now, настройки передаются с TMG, использовать скрипт для определения proxy, но инет на клиенте не работает и видно ie ломится на ip 13.10.10.191 хотя у него 13.10.10.10. Скачав wpad.dat и открыв его я вижу такие строки:

     

    function MakeProxies(){

    this[0]=new Node("13.10.10.191",2152731195,1.000000);

    }

    но у меня у TMG ip другой, а 191 используется тоже tmg только он поднимается как dial-in для vpn клиентов. Что нужно сделать чтобы вбился туда реальный ip TMG?

     


Все ответы

  • попробуй в свойствах internal снять галки про автодетект и конфигурацию прокси, применить. а потом поставить галки обратно
    а и еще, проверь чтобы у винды в сетевых подключениях внутренняя сетевуха была первой
    Отвечающий
  • и кстати советую переключить tmg в режим чтобы в скрипт автоконфигурации он писал  не ип а имя, имя в днс у тебя наверняка правильное, и при использовании fqdn браузеры новее ie7 будут использовать kerberos для аутенфикации на прокси а не ntlm
    Отвечающий
  • Локальную сетевуху вынес на верх (перегрузил), галки убрал применил и затем вернул применил, ничего не изменилось, запускаешь интернет explorer думает секунд под 45, и пишет внизу соединяюсь на ip 13.10.10.191,  затем страница загружается (если стоят все 4е галки). Вопросов ещё больше стало т.е. если я хочу использовать скрипт то:

    1. активна ли д.б. галка Forefront TMG Client Configuration? (тут вписано fqdn имя).

    2. Ещё подскажите нужно 2е галки на автодетект ставить и использование скрипта?

    3. Use a Web proxy server активна или нет? (тут вписано fqdn имя).

    Пробовал и так и так, делал всё активным, тогда долго думает а затем всё таки загружает (видимо пытается найти автоматически потом через скрипт, а затем лезет и залазит по FQDN который указан вручную), а если делать активными только 2е галки из 2го пункта, то не загружает страницы.

    Если использовать скрипт то всё равно адресная книга не загружется, хотя на TMG стоит исключение на почтовый сервер чтобы на прямую шло соединение. А если добавляешь явно вручную, на клиенте, то всё ок, как вообще узнать отработал ли этот скрипт?

    a) Ещё если скрипт отработал, исключенные имена или ip, д.б. видны на клиенте в IE? У меня там пусто после применения скрипта.

    b) Что ещё странно что у меня 5ть филиалов и на всех tmg2010 в wpad.dat вписан ip который присваивается в dial-in... В чём может быть засада?




  • 1. это для клиента тмг, если юзаешь то включай

    2.3. это что больше нравится, все эти галки использует клиент tmg когда настраивает браузер, они повторяют галки в настройках ie (автодетект, скрипт, вручную)

    а) нет конечно, там показывают только то что туда вбито руками или через политику. скрипт отрабатывает при каждом открытии браузера или сайта (в зависимости от настроек кэширования браузера)
    b) это известный баг (или как они его называют issue) tmg, попробуй накатить все обновы на tmg, и если не поможет пиши в суппорт микрософта. как обходные варианты:
    1) используй fqdn вместо ip в качестве прокси в настройках через скрипт, как я писал выше (http://blogs.technet.com/b/isablog/archive/2008/06/26/understanding-by-design-behavior-of-isa-server-2006-using-kerberos-authentication-for-web-proxy-requests-on-isa-server-2006-with-nlb.aspx)
    2) хости wpad.dat не на тмг а на любом другом http сервере, там в wpad можшь сам вписать нужные адреса
    3) настраивай браузер руками/политикой на конкретную прокси с исключениями

    Отвечающий
  • да дело в том что не вписывал я там ip нигде, везде fqdn, обновлен до Software Update 1 Rollup 3 for TMG 2010 Service Pack 1

    самый приемлимый думаю вариант номер 2, только вот что хостить? только wpad.dat? и какую строку написать на выполнение скрипта в tmg, попробовал закинуть wpad.dat а строку оставил такую: http://serv.bdx.local:8080/array.dll?Get.Routing.Script а мне пишет файл мол или директория не найдена, а вот если http://serv.bdx.local:8080/wpad.dat то всё гут находит и даёт скачать, но вот как сделать чтобы он как скрипт обработался?
  • да и не можешь ты туда вписать ничего, ни ип ни fqdn - wpad или скрипт иса генерит сама и хостит на себе. по умолчанию она в скрипт генерит адрес прокси ипшником (что тмг делает криво судя по сообщениям на форумах, за исой я такого не замечал), а в статье по ссылке (прочитай ее внимательно, там есть полезные вещи) пишут как изменить это ее поведение и заставить в скрипте генерить fqdn

    по второму варианту: сначала определить как ты прокси настраиваешь - wpad и скрипт это взаимоисключающие вещи, браузер будет юзать либо одно либо другое в зависимости от того какие у него стоят галочки в настройке. я предпочитаю wpad. хостить его элементарно, я обычно скачиваю wpad с самой исы, меняю там что мне надо (а надо мне чтобы браузеры цеплялись к виртуальному имени nlb isa кластера), и кладу файл на другой веб сервер на который настроен автодетект (запись wpad в днс или dhcp).

    Отвечающий
  • Попробовал скрипт, он отработал, после этого не смог загрузиться, в синий экран падает, долго грузится потом соединяется с инетом, также с филиалами, потом связь пропадает, а потом BSOD, там написано для 2006, в tmg2010 может что-то изменилось.

    Wpad изменил закинул на другой сервер в iis открыл по 80 порту (браузером файл доступен), и создал CNAME wpad запись на сомодельный wpad, также в dhcp, сейчас как только оутлук стартует сразу выкидывает окно авторизации connect to autodiscover.bpi.by, проверка автоконфигурации почты также не проходит, но как только руками добавляю в исключение CAS сервер, всё становится гуд. Как можно наверняка проверить отработал ли wpad? и поможет ли мне это, т.к. оутлук стартует у пользователей в автомате сразу после загрузки ПК.



  • ну если верить этому то скрипт на tmg вроде тоже должен работать, но сам я пока не проверял http://social.technet.microsoft.com/Forums/en-GB/ForefrontedgeIA/thread/2c4e342f-0ab7-4cd7-b007-0f2b0c559704

    проверить можно на браузере, если на исе правила требуют аутенфикации, то в браузере оставляем только галку про автодетект, выключаем fwc и проверяем работу инета - если wpad отработал то браузер продет через прокси с аутенфикацией, а если нет то не пройдет. в это время в логах того iis где wpad можно обнаружить запросы этого файла, а в логах исы обращение аутенфицированного юзера к через прокси
    а все что надо в исключения вписано?

    Отвечающий
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий