No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 Forefront TMG 2010
 Forefront TMG - Installazione e Configurazione
 wpad e tmg client
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

paolinjo
Junior Member

131 Posts

Posted - 05/01/2011 :  13:23:26  Show Profile  Reply with Quote
Ciao ragazzi
Auguri per il nuovo anno.
Vorrei chiedervi se possibile un chiarimento tra l'uso del client forefront tmg, il file wpad.
Il tutto nasce da una poblematica sul crm

Premetto che abbiamo un dominio windows (w2008)
Abbiamo un server dhcp pr tutti i pc
Abbiamo un fw forefront tmg configurato x web proxy e secure nat
Su tutti i client windows vi e il client forefront tmg installato
Nel dhcp ho creato l'option 252 per il file wpad.dat che risiede stesso su tmg server

Tutti gli utenti che accedono al ns crm (crm.dominio.com) passano per il firewall e cio non deve accadere essendo esso interno alla rete.

Prima di tutto vorrei capire la differenza ad usare le impostazioni con wpad o usare il client.
Se non erro col client posso cntrollare anche le applicazioni che imposto nelle conf di tmg alla sezione network - client forefront mentre con il file wpad.dat configuro solo le impostazioni del server proxy di explorer. Giusto?

Non devo fare altro sui pc che non hanno il client tmg a far si che lggano il file wpad.dat?

Nel mio caso se voglio evitare che tutto il traffico della rete interna venga smistato al tmg server devo specificare nella tab delle proprieta della mia rete interna (su tmg server) di bypassare tutto cio che e diretto alle url *.dominio.com mae
posso aggiungere anche tutta la classe ip interna?

Come faccio lo stesso per chi non ha il client e usa il file wpad?

Per autenticare i pacchetti http e far si che possa creare policy diverse per utenti del dominio e necessario il tmg client o posso farlo anche con il file wpad.dat?

Grazie 1000

IsaCab
Moderator

4298 Posts

Posted - 05/01/2011 :  13:46:38  Show Profile  Reply with Quote
Ciao,

quote:
Prima di tutto vorrei capire la differenza ad usare le impostazioni con wpad o usare il client.
Se non erro col client posso cntrollare anche le applicazioni che imposto nelle conf di tmg alla sezione network - client forefront mentre con il file wpad.dat configuro solo le impostazioni del server proxy di explorer. Giusto?

Il WAPD serve solo per distribuire in automatico le impostazione Proxy e FWC.

Poi i tuoi client possono essere dei WebProxy e/o Forewall CLient a seconda delle impostazioni.

quote:
Non devo fare altro sui pc che non hanno il client tmg a far si che lggano il file wpad.dat?

Om IE nelle impostazione devi abitare l'autodetect delle impostazioni.

quote:
Nel mio caso se voglio evitare che tutto il traffico della rete interna venga smistato al tmg server devo specificare nella tab delle proprieta della mia rete interna (su tmg server) di bypassare tutto cio che e diretto alle url *.dominio.com mae
posso aggiungere anche tutta la classe ip interna?


I tab sono 3 :

1) Bypass proxy ....
2) Direct Access .... Domain TAB
3) Direct Access .... Addresses TAB

In aggiunta puoi specificare IP ed FQDN aggiuntivi nel riquadro : Directly access .....

Dopo di che devi :

1) Abilitare l'autodiscovery (publish....)
2) In Firewall Client abilitare Automatic Detect Setting

In questo modo il file WPAD verr usato sia dai WebProxy che fal FWC.

quote:
Per autenticare i pacchetti http e far si che possa creare policy diverse per utenti del dominio e necessario il tmg client o posso farlo anche con il file wpad.dat?

E' evidente che hai frainteso il senso del WPAD. Il WPAD non centra nulla con l'autenticazione. Il WPAD distribuisce in automatico le configurazioni necessarie al browser e/o al FWC e basta.

L'autenticazione viene operata dal PROXY dia WEB che Firewall, sono esclusi solo i securenat.

Quindi in sostanza (la faccio breve altrimenti bisognerebbe scrivere un manuale) se tutte le conf sono OK (sia con il wpad che senza) quando crei una access rule puoi decidere se deve essere richiesta l'autenticazione o no dal tab USER.


Valuta anche che :

I webProxy autenticano solo se richiesto, i FWC autenticano sempre.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 05/01/2011 :  16:58:53  Show Profile  Reply with Quote
Buongiorno Giulio
grazie della risposta
immaginavo la differenza tra WebProxy e FWC.

nelle TAB di TMG server (proprit della rete interna - Individiazione automatica) a pubblicazione della porta corretto che sia l'80 ?

Nel TAB ProxyWeb invece la connessione proxy arriva sulla porta 8080
giusto ?

Ho inserito poi il dominio e la subnet affinch i client (WebProxi o FWC) possano accedervi senza passare per tgm server.


corretta questa impostazione ?

nella option 252 ho inserito la stringa http://<servertmg>/wpad.dat
corretta ?
il file wpad in questo caso fornito direttamente da ISA e gi contiene le modifiche di escludere tali indirizzi dall'inoltro a TMG server ?

basta ci a far si che i client con FWC o WebProxy (ove impostata nelle ipostazioni di connessione 'Rileva automaticamente proxy')
accedano a tali indirizzi/domini senza interrogare il TMG ?

grazie sempre
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 05/01/2011 :  17:41:23  Show Profile  Reply with Quote
Ciao,

direi che va tutto bene. Un piccolo appunto solo per due aspetti :

1) usa sempre l'fqdn e non il nome netbios per il wpad.
2) inoltre (non indispensabile) a livello teorico e anche pratico se la LAT (addresses) definita correttamente, il range di IP della internal viene distribuito in automatico.

In tutti i casi se hai due minuti prova entrambe le soluzioni.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 05/01/2011 :  18:36:22  Show Profile  Reply with Quote
Si
il nome server che ho messo nella option 252
nome.dominio ed un nome pubblicato nel DNS
dato che vi anche il record wpad con CNAME il nome del server avrei potuto mettere
http://wpad/wpad.dat

Quindi dici che avrei potuto eliminare il range di indirizzi degli IP da NON considerare il TMG server ?

ciao
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 06/01/2011 :  16:00:05  Show Profile  Reply with Quote
Ciao,

in teoria si e in mainera particolare se hai anche il fwc installato. Ma sarebbe interessante una prova e relativi test da parte tua.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 07/01/2011 :  19:16:46  Show Profile  Reply with Quote
ciao Giulio
stasera provo a togliere la mia subnet della LAT x verificare che la mia stessa rete sia accessibile senza interagire con tmg.
come faccio a verificare che un client si prenda le impstazioni wpad da dhcp ed applichi lo script?
con wireshark dovrei vedere la richiesta al dhcp ma come verifico che esso venga applicato dal client?
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 08/01/2011 :  11:53:22  Show Profile  Reply with Quote
Ciao,

il modo migliore verificando il corretto funzionamento.

http://technet.microsoft.com/en-us/library/cc302643.aspx

Per il client chr hanno anche il fwc installato , puoi andare a visualizzare i file di configurazione (Common, managment e application).

http://technet.microsoft.com/en-us/library/cc995211.aspx

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 09/01/2011 :  12:41:37  Show Profile  Reply with Quote
...
su windows 7 ho trovato common.ini e management.ini (sono su user\<nome>\appdata etc etc) ma application.ini (dove dovrebbe essere presente la LAT e gli ip da non considerare nell'inoltro a TMG) non l'ho trovato.
sai dove stato messo o se tali info sono nel file del registro di configurazione ?
grazie
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 09/01/2011 :  15:26:45  Show Profile  Reply with Quote
Ciao,

quote:
On Windows Vista computers, the files are copied to the following locations:

\Users\All Users\Microsoft\Firewall Client 2004

\Users\username\AppData\Local\Microsoft\Firewall Client 2004


Immagino che su 7 sia uguale.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 09/01/2011 :  23:25:34  Show Profile  Reply with Quote
Gi avevo letto il technet dove sono pubblicati quei percorsi...
per common.ini e menagement.ini sono quelli
application.ini nenache l'ombra....
sto cercando...
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 10/01/2011 :  18:42:07  Show Profile  Reply with Quote
Giulio
la LAT, anche se non specifico gli indirizzi della rete interna nella rete da escludere, viene automaticamente inserita (nel file WPAD.DAT la rete LAT automaticamente inserita tra le reti da escludere all'inoltro verso il TMG).
Non la vedo nel file WSPAD.DAT per.... forse questo file lavora solo con le applicazioni ? in tale files vi il dominio .dominio.it da escludere ma non la LAT.
ciao
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 10/01/2011 :  20:17:28  Show Profile  Reply with Quote
Ciao,

lasciamo perdere per un attimo i dettagli su dove e come i dati vengono scritti e proviamo a fare un ragionamento.

Diamo per scontato che IE riceva corretamente gli IP da usare per bypassare ISA.

Ora analizziamo il comportamento di un webproxy client :

Il webproxy client deve tradurre la URL (fqdn) in IP per poter metchare e capire che si tratta di una richiesta diretta alla lan.

Il webproxy client non opera una risoluzione dei nomi lato client, ma lascia questo compito ad ISA che user i DNS sulla external per la query DNS. E qui molto probabilmente avviene il mismatch. Infatti potrebbe succedere che i DNS configurati sulla external restituiscano l'ip pubblico o peggio ancora restituiscano errore.

Quindi in questo caso anche se tutte le conf fossero corrette continueresti ad inviare le richieste attraverso il proxy.

Ora la domanda nasce spontanea :

Come faccio a dire ad un webproxy di usare i DNS lato client per la risoluzione dei nomi ?

Semplice, basta configurare il client anche come securenat e/o FWC. In questo modo la risoluzione avviene localmente e il match puo' essere operato.

Inoltre se via WPAD continui ad avere problemi prova ad usare in IE lo script di configurazione automatica :

http://FQDN:8080/array.dll?Get.Routing.Script

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 11/01/2011 :  08:46:38  Show Profile  Reply with Quote
Buongiorno Giulio
chiaro, se il client fosse configurato solo con web proxy ovviamente verrebbe demandato ad isa la risoluzione dns (che nel mio caso non e il dns x cui la query verrebbe riportata in esterno ai dns pubbliici).
nel mio caso il dns interno e un altro e ha dei record A e CNAME diversi da quello che i dns pubblici hanno.
i dns al client vengono passati in dhcp per cui eseguendo un ipconfig rlevo wins e dns corretti sul client.

supponiamo che allo stato attuale non abbia i FWC installati ma abbia la config automatica proxy attiva e considero di escludere dal web proxy il dominio locale miaazienda.it (in questo caso il client dovrebbe indirizzare al web proxy le richieste http https ftp e per tutto il resto lavorerebbe come secure nat)
se da un browser digito la una url del mio dominio (es crm.miaazienda.it) dal client cosa accade?
non dovrei demandare al proxy la gestione e risoluzione essendo tale dominio escluso nelle con di tmg dall'inoltro al web proxy.
se invece digito una altra qualsiasi url demando tutto al web proxy ed anche la risoluzione dei nomi ?(in questo caso x me sarebbe corretto in quanto il mio dns interno gestisce solo il mio dominio interno)

se invece sul client ho installato sia il fwc ed e' configurato explorer a rilevare automaticamente le imp. proxy come si comportano le richieste di cui sopra?
altre connessioni winsock che il client tmg dovrebbe gestire (ad esempio la posta outlook in quanto nelle conf del client fwc ho settato che exchenge32 abbia disable =0) vengono inviate direttamente al fwc senza tenere conto delle impostazioni del gateway del client. le connessioni che il fwc invece non gestisc dovrebbero seguire le nomali reglole di routing del client.

giusto o no ?

pardon la disquisizione a prima mattina ma capito questo molte problematiche si risolvono in modo logico.
se vi e' un doc. che va nel dettaglio del funzionamento di webproxy, fwc o secure nat me lo indichi?
grazie 1000
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 11/01/2011 :  09:45:15  Show Profile  Reply with Quote
Ciao,

quote:
se vi e' un doc. che va nel dettaglio del funzionamento di webproxy, fwc o secure nat me lo indichi?

Purtroppo un unico documento non esiste, ma esistono decine di micro informazioni che poi bisogna riassemblare.


quote:
chiaro, se il client fosse configurato solo con web proxy ovviamente verrebbe demandato ad isa la risoluzione dns (che nel mio caso non e il dns x cui la query verrebbe riportata in esterno ai dns pubbliici).
nel mio caso il dns interno e un altro e ha dei record A e CNAME diversi da quello che i dns pubblici hanno.
i dns al client vengono passati in dhcp per cui eseguendo un ipconfig rlevo wins e dns corretti sul client.

Ok, ma non dimenticare che ISA utilizza i DNS configurati sulla interfaccia External di ISA e non la Internal. Questo significa che 90/100 sono i DNS del provider, in alcuni casi (es il mio) un server DNS dedicato solo ad ISA (webProxy).

quote:
supponiamo che allo stato attuale non abbia i FWC installati ma abbia la config automatica proxy attiva e considero di escludere dal web proxy il dominio locale miaazienda.it (in questo caso il client dovrebbe indirizzare al web proxy le richieste http https ftp e per tutto il resto lavorerebbe come secure nat)
se da un browser digito la una url del mio dominio (es crm.miaazienda.it) dal client cosa accade?


In questo scanario (client cia WebProxy che Securenat) dovrebbe funzionare a prescindere. Infatti la risoluzione dei nomi viene operata localmente (client) e non da ISA e quindi .......

Ma allora perch non funziona ???

Qui ISA non centra nulla, ma la colpa del browser. Per completare il quadro dovresti operare qualche altra modifica (che poi potrai distribuire via GPO se hai AD) :

In IE TAB Sicurezza->Intranet Locale->Aggiungi il tuo dominio (http://*.miodominio.it) e metti un livello di protezione basso.

Se ancora cos non funziona, disabilita il WPAD e usa lo script di conf automatica.

Ma a me funziona (sharepoint interno) e sono fiducioso sul fatto che prima o poi troviamo il giusto compromesso.

quote:
altre connessioni winsock che il client tmg dovrebbe gestire (ad esempio la posta outlook in quanto nelle conf del client fwc ho settato che exchenge32 abbia disable =0) vengono inviate direttamente al fwc senza tenere conto delle impostazioni del gateway del client. le connessioni che il fwc invece non gestisc dovrebbero seguire le nomali reglole di routing del client.

giusto o no ?

Non proprio. Il FWC Intercetta tutte le chiamate Winsock e poi fa un ragionamento semplice :

E' una richiesta winsock per la LAN ?

Se SI , allora semplicemente lascia passare il traffico verso la destinazione

Se NO , rigira il traffico ad ISA e ne opera sempre e comunque l'autenticazione.

Considera che http/ftp sia via browser che non sono delle richieste winsock e quindi ........

Se Outlook abilitato (disable = 0) allora anche per outlook vale il ragionamento appena fatto.

CIao Giulio





________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 11/01/2011 :  10:26:53  Show Profile  Reply with Quote
Grazie
abbastanza chiaro
credo ora funzioni in quanto prima avevo una regola che abilitava il traffico net to net (origine Interna destinazione Interna) altrimenti non raggiungevo i serve rinterni sia con Ip sia con FQDN.
ora ho rimosso la regola e raggiungo tutto.
suppongo che funzioni.
voglio solo monitorare dei client e verificare che nopn vi siano richeste destinate a IP interni abbattute dalla regola di default.
a dopo
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 11/01/2011 :  10:29:19  Show Profile  Reply with Quote
Ciao,



.... wait ....

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 12/01/2011 :  10:56:35  Show Profile  Reply with Quote
Ciao Giulio
rieccomi....
ho fatto delle prove.
dal mio PC con FWC installato (ma anche da altri PC ove il FWC non installato ma usano il Web proxy) e collegandomi al crm nostro (crm.miazienda.it) vedo delle chiamate TCP verso il TMG.
il CRM funziona regolarmente ma vedo questi transitio bloccati sul CRM



premetto che:
miazienda.it anche un dominio esterno
crm.miazienda.it una delle URL inserite nei domini locali da escludere al transito verso TMG (se non la inserisco vedo che il TMG blocca il pacchetto con la regola predefinita ed il crm non funziona).
E' normale questo comportamento ? o mi perdo dei pacchetti ?
grazie
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 12/01/2011 :  11:40:36  Show Profile  Reply with Quote
Ciao,

non mi sembra un comportamento normale. Da quello che si legge sembra che lui non riconosca 172.16.0.21 come ip interno.

Per sicurezza fai queste verifiche :

1) Rigenera la addresses della internal rimuovendo tutto e facendo add adapte selezionado la schgeda di rete interna

2) Verifica che ci sia e sia in testa una regola che autorizzi il traffico tra Internal e LocalHost e viceversa

.... se ancora non si risolve bisognerebbe fare delle indagini pi approfondite.

Ciao Giulio


________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 12/01/2011 :  17:05:57  Show Profile  Reply with Quote
ok
dopo le 18:30 provo...
relativamente al punto 1) sulla rete internal non ho aggiunto la scheda ma il range di indirizzi....
per il punto 2) la regola che autorizza il traffico da internal ed host deve consentire tutto il traffico IP ?
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 12/01/2011 :  18:45:42  Show Profile  Reply with Quote
Ciao,

quote:
punto 1) sulla rete internal non ho aggiunto la scheda ma il range di indirizzi....

Purtroppo a mie spese hi imparato che non la stessa cosa. Fai come ti ho suggerito, (elimina prima il range esistente) e seleziona la scheda di rete internal.

quote:
punto 2) la regola che autorizza il traffico da internal ed host deve consentire tutto il traffico IP ?


Tranne esigenze particolari va bene tutto il traffico da e verso LocalHost (non host) da e verso Internal.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 12/01/2011 :  18:53:33  Show Profile  Reply with Quote
Fatto Giulio
1) ho tolto il range di indirizzi dalla rete internal
2) ho salvato ed applicato
3) ho inserito la scheda LAN come interfaccia internal (mi ha applicato lo stesso range che avevo)
4) ho creato due regolette da local host --> internale ed internal --> local host
5) ho applicato
6) FA LA STESSA COSA !!!!!!

.... suggerimenti ?

tieni presente che questo server stato installato da poco (2 settimane) e la configurazione ricaricata a mano senza importazione....

P.S. con wireshark attivo sulla mia macchina (da cui sto facendo i test) NON vedo per pacchetti IP verso il mio TMG server....
ho preso un log di TMG che parte da una porta TCP del mio pC ed ho cercato nel file pcap tutti i pacchetti partiti dal mio PC con la porta sorgente letta da TMG. ebbene tutti questi pacchetti sono diretti al server CRM, non al mio TMG server (????????)

grazie :(((

Edited by - paolinjo on 12/01/2011 19:04:43
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 12/01/2011 :  19:23:00  Show Profile  Reply with Quote
Ciao,

la prova andrebbe d fatta al contrario :

Sniffare i dati su TMG per vedere cosa gli arriva.

Certo il messaggio strano!!

Giulio



________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 12/01/2011 :  19:28:46  Show Profile  Reply with Quote
Ciao,

...... ma mica per caso hai IIS attivo su TMG ??

aspetta aspetta ..... wpad .... pubblicazione .... porta 80 !!!

Verifica negli eventi windows du TMG se hai degli errori http filter.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 12/01/2011 :  22:18:41  Show Profile  Reply with Quote
Ciao Giulio
nei LOG di windows non vi alcun errore su filtro http, iis non installato sul TMG server e domani provo con wireshark sul TMG server.
a domani e buonanotte
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 13/01/2011 :  08:50:54  Show Profile  Reply with Quote
Ciao,

controlla negli eventi di windows tutti gli errori legati a TMG.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 13/01/2011 :  09:40:39  Show Profile  Reply with Quote
Buongiorno Giulio
ho sniffato tutti i pck sul TMG server provenienti dal mio PC.
ebbene vi sono delle get http nel cui dettaglio vi proprio il refer "crm.miodominio.it".
vorrei postarti l'estratto ma vorrei evitare di pubblicare a todo el mundo il dettaglio.
come posso fare ?
ora controllo tra gli eventi di windows.

P.S. nella scheda delle propriet della interfaccia INTERNAL nello specificare i domini da escludere dall'inoltro a TMG la sintassi :
*.miodominio.it
o
*.miodominio.it/*
per escludere dall'inoltro tutto ci che ha la parola 'miodominio.it' ?

io ho settato *.miodominio.it

Edited by - paolinjo on 13/01/2011 09:47:09
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 13/01/2011 :  11:13:35  Show Profile  Reply with Quote
Ciao,

va bene cos per il dominio, Per il resto scrivimi in provato e ti rispondo con l'indirizzo di email a cui puoi inviare i dettagli.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 13/01/2011 :  12:18:53  Show Profile  Reply with Quote
Ciao,

rispostiamo la discussione sul forum :

quote:
P.S. se un PC nel dominio non ha il FWC installato ma rileva automaticamente le impostazioni proxy la sessione web proxy si autentica automaticamente da AD giusto ? Il pop-up di autenticazione sul client si presenta solo se l'utente non appartiene ad AD?


Il funzionamento di un client solo webproxy il seguente :

1) Il Browser invia una richiesta anomina
2) Il proxy (in questo caso ISA) verifica se richiesta autorizzazione e se richiesta rispinde al client (browser) di fornire le credenziali
3) Il browser fornisce le credenziali di logon (autenticazione integrata)
4) Se le credenziali sono valide passa altrimenti punto (5) o (6)
5) Se abilitata la richiesta di credenziali alternative risponder in modo tale che il browser possa richiederti le credenziali
6) Se disabilitata (default) hai un messaggio di errore di ISA.


Dai log che mi hai mandato non noto nulla di anormale. Verifica gli eventi di windows.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 13/01/2011 :  15:04:29  Show Profile  Reply with Quote
Ciao Giulio
ho visto tutti gli alert di applicazione nel registro di windows relativi ad avvisi e/o errori di TMG oggi e non vi alcun errore che identifichi la circostanza.
sono avvisi o erroiri che un client ha subito il numero di sessioni tcp o attacchi esterni o log sql....

la mia domanda :
ma queste richieste HTTP dal mio PC al TMG per tale richiesta sono leciti ?
secondo me no !
;-)
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 13/01/2011 :  16:52:53  Show Profile  Reply with Quote
Ciao,

il fatto che isa le possa intercettare potrebbe essere normale e dipende da una serie di fattori. Il blocco (apparente, perch poi tutto funziona) lo molto meno.

Purtroppo a questo punto via forum diventa difficoltoso proseguire. Diciamo che abbiamo almeno ottenuto l'obbiettico di far funzionare il sito interno correttamente.

Per quel tipo di errore necessaria pazienza e ricerca ......

Giulio




________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 13/01/2011 :  17:37:21  Show Profile  Reply with Quote
certo
capisco she sul forum uno stillicidio
ci lavoriamo
se ho news ti aggiorno
grazie
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 13/01/2011 :  17:59:37  Show Profile  Reply with Quote
Ciao,

si a questo punto le idee sono terminate e solo un troubleshoting in full immersion puo' portare a dei risultati.


Grazie a te anche per eventuali feedback sul problema.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso pi efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it  parte del network GITCA - Global IT Community Association