No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 Forefront TMG 2010
 Forefront TMG - Installazione e Configurazione
 TMG was unable to establish an SSL connection
 New Topic  Reply to Topic
 Printer Friendly
Author  Topic Next Topic  

marco.ferrara
Junior Member

117 Posts

Posted - 16/03/2015 :  09:35:02  Show Profile  Reply with Quote
Salve a tutti, ecco il mio problema:

1 Windows Server 2008 R2 Enterprise (server1) che fa da DC, DHCP, DNS

1 Windows Server 2008 R2 Enterprise (server2) con installato TMG 2010 che fa da gateway con 2 schede di rete.

Quasi tutti i giorni, soprattutto di notte (tra le 3:00 e le 5:00) sul Server2 (TMG) visualizzo i seguenti errori:


Forefront TMG was unable to establish an SSL connection with webmail.miodominio.it. Impossibile stabilire la connessione. 
Risposta non corretta della parte connessa dopo l'intervallo di tempo oppure mancata risposta dall'host collegato. 
The failure is due to error: Impossibile stabilire la connessione. 
Risposta non corretta della parte connessa dopo l'intervallo di tempo oppure mancata risposta dall'host collegato. 


questo di verifica soprattuto la notte e sono costretto a riavviare TMG per far funzionare di nuovo il tutto, altrimenti non riesco a navigare nella lan e non mi gira la posta all'host interno.

Grazie mille per il supporto.
Marco

IsaCab
Moderator

4298 Posts

Posted - 16/03/2015 :  09:59:36  Show Profile  Reply with Quote
Ciao,

serve qualche dettaglio in più, perché da quello che si legge sembra essere un problema del server remoto, ma se hai scritto qui evidentemente non è così.
G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 16/03/2015 :  10:15:41  Show Profile  Reply with Quote
Ciao,
grazie per la risposta.

la mia infrastruttura è la seguente:
Server2 con installato TMG 2010 Standard con 2 schede di rete.
LAN: 192.168.0.1
subnet: 255.255.255.0
gateway:
dns: 192.168.0.2

WAN IP pubblico senza DNS

Il server1 invece è DC del dominio miodominio.local ed ha l'ip 192.168.0.2

webmail.miodominio.it è il nome pubblico per raggiungere la posta interna pubblicata con un server Exchange 2010.
ed è mappata correttamente all'interno della mia lan, infatti se da TMG faccio nslookup webmail.grupposicis.it mi risponde l'ip interno del server corretto.

gli errori che vedo nei log di windows sono i seguenti:

ID EVENTO: 50
Il componente del protocollo RDP X.224 ha rilevato un errore nel flusso del protocollo e ha disconnesso il client.

ID EVENTO: 1006
Elaborazione dei Criteri di gruppo non riuscita. Impossibile eseguire l'autenticazione con il servizio Active Directory in un controller di dominio. Chiamata alla funzione di binding di LDAP non riuscita. Per ottenere il codice e una descrizione dell'errore, vedere la scheda dei dettagli.

ID EVENTO: 40961
Sistema di sicurezza: impossibile stabilire una connessione protetta con il server ldap/SERVER1/miodominio.local@MIODOMINIO.LOCAL. Nessun protocollo di autenticazione disponibile.

ID EVENTO: 36874
Ricevuta richiesta di connessione TLS 1.0 da un'applicazione client remota, ma il server non supporta nessuno dei pacchetti di crittografia supportati dall'applicazione client. Richiesta di connessione SSL non riuscita.

ID EVENTO: 36888
Generato avviso di errore irreversibile: 40. Lo stato dell'errore interno è 1205.

ID EVENTO: 1054
Elaborazione dei Criteri di gruppo non riuscita. Impossibile ottenere il nome di un controller di dominio. Il problema potrebbe essere dovuto a un errore di risoluzione dei nomi. Verificare che il servizio DNS (Domain Name System) sia configurato e che funzioni correttamente.

Spero di essere stato più chiaro.


Edited by - marco.ferrara on 16/03/2015 10:17:32
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 16/03/2015 :  10:44:47  Show Profile  Reply with Quote
Ciao,

hai una rule tra LocalHost To Internal e viceversa ?

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 16/03/2015 :  10:51:47  Show Profile  Reply with Quote
si ho le seguenti rules:

9.
Nome: Internal to Internal
ACTION: Allow
Protocols: All Outbound traffic
From: Internal, local Host, VPN CLIENT
to: Internal, local Host, VPN CLIENT

10
Nome: Internal to External
ACTION: Allow
Protocols: All Outbound traffic
From: Internal, local Host, VPN CLIENT
to: External
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 16/03/2015 :  11:06:38  Show Profile  Reply with Quote
oltre al primo errore ho anche questi:


Client authentication time exceeded 5 seconds. This occurred 20 times during the past 5 minutes. To configure this setting, see the Microsoft Knowledge Base article 952082. 
 
Description: Forefront TMG was unable to resolve the DNS name webmail.miodominio.it. Requests that use the Web publishing rule Exchange Active-Sync may be denied, or the response time may be slower than expected. 
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 16/03/2015 :  11:35:34  Show Profile  Reply with Quote
Ciao,

posta la regola di pubblicazione di Exchange
G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 16/03/2015 :  12:17:22  Show Profile  Reply with Quote
Ecco tutte le regole:

1.
Nome: Exchange Active-Sync
ACTION: Allow
Protocols: HTTPS
From: WebListener
to: webmail.miodominio.it
Conditions: All Authenticated Users

2.
Nome: Exchange OWA
ACTION: Allow
Protocols: HTTPS
From: WebListener
to: webmail.miodominio.it
Conditions: All Authenticated Users

3.
Nome: Exchange IMAP4 Server
ACTION: Allow
Protocols: IMAP4 Server
From: Anywhere
to: 192.168.0.3

4.
Nome: Exchange POP3 Server
ACTION: Allow
Protocols: POP3 Server
From: Anywhere
to: 192.168.0.3

5.
Nome: Exchange Exchange RPC Server
ACTION: Allow
Protocols: Exchange RPC Server
From: Anywhere
to: 192.168.0.3

6.
Nome: Exchange SMTP Server
ACTION: Allow
Protocols: SMTP Server
From: Anywhere
to: 192.168.0.3

7.
Nome: VPN
ACTION: Allow
Protocols: PPTP
From: VPN CLient
to: Internal, localhost
Conditions: All Users

8.
Nome: Remote Desktop
ACTION: Allow
Protocols: RDP (Terminal Services), RDP (Terminal Services) Server
From: External, VPN CLient, Internal, Localhost
to: Internal, localhost
Conditions: All Users

9.
Nome: Internal to Internal
ACTION: Allow
Protocols: All Outbound traffic
From: Internal, local Host, VPN CLIENT
to: Internal, local Host, VPN CLIENT
Conditions: All Users

10
Nome: Internal to External
ACTION: Allow
Protocols: All Outbound traffic
From: Internal, local Host, VPN CLIENT
to: External
Conditions: All Users

11.
Nome: local host to internal
ACTION: Allow
Protocols: All Outbound traffic
From: local host
to: internal
Conditions: All Users

12.
Nome: Internal to local host
ACTION: Allow
Protocols: All Outbound traffic
From: Internal
to: local host
Conditions: All Users


le regole 11 e 12 le ho appena inserite.
Se vado nelle proprietà di All Authenticated Users nel tab USERS è vuoto e non mi fa aggiungere niente.

Grazie per il supporto.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 16/03/2015 :  12:33:56  Show Profile  Reply with Quote
Ciao,

nel tab user della 11 e 12 devi avere solo all user.

Fatto questo riavvia i servizi di TMG ( o il server) e prova ad accedere da fuori ad owa.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 16/03/2015 :  12:39:39  Show Profile  Reply with Quote
ma ho solo all user nelle regole 11 e 12.

io mi riferivo al tab users di all autenticated users che è vuoto.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 16/03/2015 :  12:46:17  Show Profile  Reply with Quote
A ok scusa avevo capito male.

E' giusto che sia così. E' un gruppo predefinito di ISA/TMG
che identifica tutti gli utenti correttamente autenticati.

Riavvia cmq e prova.
G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 16/03/2015 :  13:17:29  Show Profile  Reply with Quote
Ok grazie.

Appena riesco riavvio tutta la macchina che ha anche installato la SP1 di TMG.
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 17/03/2015 :  09:27:01  Show Profile  Reply with Quote
ho riavviato solo stamattina,

ma anche stanotte nei log di windows visualizzo gli stessi errori.

Sui log di ISA non ho più quegli errori.

Un'ultima cosa:
nei log del server di posta ho questo warning:

ID EVENTO: 1040
La media degli intervalli di heartbeat [480] più recenti per la richiesta [Ping] utilizzati dai client è minore o uguale a [540].
Assicurarsi che la configurazione firewall in uso sia impostata per funzionare correttamente con Exchange ActiveSync e la tecnologia Direct Push. In particolare, verificare che il firewall sia configurato in modo tale che le richieste inviate a Exchange ActiveSync non scadano prima di essere elaborate.

Per ulteriori informazioni sulla configurazione delle impostazioni del firewall quando si utilizza Exchange ActiveSync, vedere l'articolo 905013 della Microsoft Knowledge Base "Configurazione del firewall aziendale per la tecnologia Direct Push di Exchange ActiveSync". (http://go.microsoft.com/fwlink/?linkid=3052&kbid=905013).
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 18/03/2015 :  10:08:47  Show Profile  Reply with Quote
Ciao,

hai seguito le note della KB ?

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 18/03/2015 :  16:53:07  Show Profile  Reply with Quote
quando provo a seguire la kb (riferita ad isa server 2004)


In the console tree of ISA Server Management, click Firewall Policy.

On the Toolbox tab, click Network Objects.

Expand the Web Listeners node, and then view the properties of the applicable Web Listener.

Click the Preferences tab, and then click Advanced.

Modify the Connection Timeout from the default 120 seconds (2 minutes) to 1800 seconds (30 minutes).

Click OK two times to accept these changes.

Click Apply.



non trovo il tab preference del weblistener

Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 18/03/2015 :  17:28:20  Show Profile  Reply with Quote
ora ho anche questo messaggio negli eventi di sistema di windows:

Errore ID: 5719
Impossibile stabilire una sessione sicura con un controller di dominio nel dominio MIODOMINIO per la causa seguente:
La chiamata di procedura remota è stata annullata.
Ciò può provocare problemi di autenticazione. Verificare che il computer sia connesso alla rete. Se il problema persiste, rivolgersi all'amministratore del dominio.

INFORMAZIONI AGGIUNTIVE
Se il computer è un controller di dominio per il dominio specificato, stabilirà la sessione sicura con l'emulatore del controller di dominio primario nel dominio specificato.
In caso contrario, il computer stabilisce la sessione sicura con un controller di dominio qualsiasi nel dominio specificato.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 19/03/2015 :  09:06:07  Show Profile  Reply with Quote
Ciao,

questi sembrano essere di più problemi di rete che di TMG. Hai per caso il firewall attivo sui server ?

Prova a descrivere meglio lo scenario in cui operi e cerchiamo di capire meglio.
G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 20/03/2015 :  09:32:06  Show Profile  Reply with Quote
Grazie per la risposta.

il firewall sul DC è spento.
solo il firewall di TMG è attivo.

sia TMG che DC sono macchine virtuali che risiedono sullo stesso ESXi, quindi confividono la scheda di rete LAN.

Può darsi che sia un problema di cavi o di switch?
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 20/03/2015 :  15:28:03  Show Profile  Reply with Quote
Una cosa strana che mi sono accorto in questo momento è la seguente:

se da un pc in dominio della lan faccio: nslookup www.google.it

mi restituisce quanto segue:

Server: UnKnown
Address: 192.168.0.2 (il DNS è sul DC)

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Tempo scaduto per la richiesta a UnKnown

mentre se lo faccio dal DC mi restituisce:

Server: UnKnown
Address: 192.168.0.2

Risposta da un server non autorevole:
Nome: www.google.it
Addresses: 2a00:1450:4002:808::2003
74.125.232.159
74.125.232.151
74.125.232.143
74.125.232.152
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 20/03/2015 :  17:06:38  Show Profile  Reply with Quote
Una cosa strana è la seguente, vedendo sulla rete possibili soluzioni per i miei errori di windows ho provato a lanciare il seguente comando, sia sul DC che su TMG con lo stesso errore:

dcdiag

Si è verificato un evento di errore. ID evento: 0x0000041E
Data e ora generazione: 03/20/2015 16.14.18
Stringa evento:
Elaborazione dei Criteri di gruppo non riuscita. Impossibile ottenere il nome di un controller di dominio. Il problema potrebbe essere dovuto a un errore di risoluzione dei nomi. Verificare che il servizio DNS (Domain Name System) sia configurato e che funzioni correttamente.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 21/03/2015 :  08:52:30  Show Profile  Reply with Quote
Ciao,

qui purtroppo andiamo OT. Hai molto probabilmente dei problemi di configurazione che andrebbero individuati con una indagine più approfondita.

Rimanendo su TMG verifica eventuali alert legati ad errori di spoofing e verifica anche che la rete internal sia correttamente individuata.

G:




________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 23/03/2015 :  09:34:14  Show Profile  Reply with Quote
Grazie per la risposta.

Come faccio a verificare che la rete internal sia correttamente individuata?
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 23/03/2015 :  09:55:54  Show Profile  Reply with Quote
quote:
Originally posted by marco.ferrara

Grazie per la risposta.

Come faccio a verificare che la rete internal sia correttamente individuata?



Ciao,

ma se ci fosse un problema del genere avresti degli alter di spoofing relativi alla classe ip non correttamente configurata. E nei log vedresti il traffico LAN bloccato. A me sembra più un problema di configurazione del/i DC e relativa AD.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 23/03/2015 :  10:37:49  Show Profile  Reply with Quote
l'unico errore di spoofing è il seguente:

Description: Forefront TMG detected a possible spoof attack from the IP address 0.0.0.0. A spoof attack occurs when an IP address that is not reachable through the network adapter on which the packet was received. If logging for dropped packets is enabled, you can view details of this attack in the Firewall log in Forefront TMG log viewer. If the IP address belongs to a VPN client, this event may be ignored.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 23/03/2015 :  10:54:33  Show Profile  Reply with Quote
Da mmc di TMG :

networking->networks->internal

qui dovresti vedere in address range le reti che lui ritiene attendibili.

Per sicurezza fai :

Properties (su internal) -> Addresses -> Add Adapter > e qui seleziona la scheda di rete interna. In automatico verranno aggiunte tutte le reti attendibili.

Fatto questo resetta gli arrori di spoofing (se puoi riavvia i servizi TMG) e vediamo cosa succede.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

marco.ferrara
Junior Member

117 Posts

Posted - 23/03/2015 :  11:03:53  Show Profile  Reply with Quote
Il problema ce l'ho solo sul TMG, e nei log di windows vedo sempre questi errori!

ID EVENTO: 50
Il componente del protocollo RDP X.224 ha rilevato un errore nel flusso del protocollo e ha disconnesso il client.

ID EVENTO: 1006
Elaborazione dei Criteri di gruppo non riuscita. Impossibile eseguire l'autenticazione con il servizio Active Directory in un controller di dominio. Chiamata alla funzione di binding di LDAP non riuscita. Per ottenere il codice e una descrizione dell'errore, vedere la scheda dei dettagli.

ID EVENTO: 40961
Sistema di sicurezza: impossibile stabilire una connessione protetta con il server ldap/SERVER1/miodominio.local@MIODOMINIO.LOCAL. Nessun protocollo di autenticazione disponibile.

ID EVENTO: 36874
Ricevuta richiesta di connessione TLS 1.0 da un'applicazione client remota, ma il server non supporta nessuno dei pacchetti di crittografia supportati dall'applicazione client. Richiesta di connessione SSL non riuscita.

ID EVENTO: 36888
Generato avviso di errore irreversibile: 40. Lo stato dell'errore interno è 1205.

ID EVENTO: 1054
Elaborazione dei Criteri di gruppo non riuscita. Impossibile ottenere il nome di un controller di dominio. Il problema potrebbe essere dovuto a un errore di risoluzione dei nomi. Verificare che il servizio DNS (Domain Name System) sia configurato e che funzioni correttamente.


Invece se vado a vedere la tabella di routing di TMG vedo quanto segue:
NETWORK DEST NETWORK GATEWAY/INT METRIC
0.0.0.0 0.0.0.0 x.X.X.201 (gateway IP Pubblico) 1
127.0.0.0 255.0.0.0 LoopBack Pseudo-Interface 1 256
127.0.0.1 255.255.255.255 LoopBack Pseudo-Interface 1 256
127.255.255.255 255.255.255.255 LoopBack Pseudo-Interface 1 256
192.168.0.0 255.255.255.0 LAN (mia lan) 256
192.168.0.1 255.255.255.255 LAN (mia lan) 256
192.168.0.108 255.255.255.255 192.168.0.108 1
192.168.0.109 255.255.255.255 RAS (DIAL IN) Interface 256
192.168.0.255 255.255.255.255 LAN (mia lan) 256
x.x.x.200 255.255.255.248 WAN 256 (ip che non ho mai configurato)
x.x.x.202 255.255.255.255 WAN (mio IP Pubblico) 256
x.x.x.207 255.255.255.255 WAN 256 (ip che non ho mai configurato)
224.0.0.0 240.0.0.0 RAS (DIAL IN) Interface 256
255.255.255.255 255.255.255.255 RAS (DIAL IN) Interface 256
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 23/03/2015 :  11:07:56  Show Profile  Reply with Quote
fai come ti ho detto.... poi vediamo.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
   Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association