none
конфликт правил в TMG RRS feed

  • Вопрос

  • Всем привет, настраиваю политику межсетевого экрана и возникла сложность. Необходимо определенным пользователям (группе безопасности, к примеру) настроить полный доступ в интернет. Создаю в AD группу безопасности, добавляю в неё нужные учётки, далее в TMG создаю правило, разрешающее весь исходящий трафик этой группе безопасности. И тут началось... при этом включенном правиле доступ в интернет вообще отваливается для всех и вся... как только выключаю правило - ситуация нормализуется. Может такая задача в TMG реализуется как-то иначе?
    1 августа 2011 г. 2:30

Ответы

  • Кажется, разобрался, в чём причина. Во-первых, правило с полным доступом избранным пользователям я поместил предпоследним (до правила, запрещающего всем всё). Во-вторых, структура сети такова, что филиал с главным офисом связаны shdsl модемами. Для доступа филиальных компов к контроллеру домена, на нём пришлось указать в настройках сетевой карты ip модема, а в настройках модема указать relay на шлюз. Вот и возникла ситуация, что на модеме не поменял relay на ip TMG и тем самым dns-запросы не обрабатывались.. Тему можно закрывать!

    1 августа 2011 г. 6:40

Все ответы

  • "Полный доступ" это все протоколы? Или только HTTP?


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    1 августа 2011 г. 5:25
    Модератор
  • "интернет вообще отваливается для всех и вся"

    Для созд. группы остается работать по правилу или тоже нет доступа?

    1 августа 2011 г. 5:44
  • "Полный доступ" это все протоколы? Или только HTTP?



    Полный доступ - это все протоколы, кроме http/https, так как для этих протоколов настроены свои правила доступа к конкретным сайтам.

     

    1 августа 2011 г. 6:18
  • "интернет вообще отваливается для всех и вся"

    Для созд. группы остается работать по правилу или тоже нет доступа?


    отваливается абсолютно для всех, даже ping.
    1 августа 2011 г. 6:19
  • Кажется, разобрался, в чём причина. Во-первых, правило с полным доступом избранным пользователям я поместил предпоследним (до правила, запрещающего всем всё). Во-вторых, структура сети такова, что филиал с главным офисом связаны shdsl модемами. Для доступа филиальных компов к контроллеру домена, на нём пришлось указать в настройках сетевой карты ip модема, а в настройках модема указать relay на шлюз. Вот и возникла ситуация, что на модеме не поменял relay на ip TMG и тем самым dns-запросы не обрабатывались.. Тему можно закрывать!

    1 августа 2011 г. 6:40