No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 Forefront TMG 2010
 Forefront TMG 2010 - HTTPS Inspection
 ERRORE 64 HTTPS
 New Topic  Reply to Topic
 Printer Friendly
Author  Topic Next Topic  

wassistemy
Junior Member

82 Posts

Posted - 09/01/2013 :  09:14:31  Show Profile  Reply with Quote
Ciao a tutti. Ho un problema strano. Se digito il sito www.nomesito.it mi compare errore:
Technical Information (for support personnel)
• Error Code 64: Host not available
• Background: The gateway or proxy server lost connection to the Web server.
• Date: 1/8/2013 3:51:48 PM [GMT]
• Server: TMG.Fiminox.it
• Source: Remote server

Se nel browser digito https://www.nomesito.it raggiungo correttamente la destinazione.
Come mai?
Grazie in anticipo

lconte
Amministratore del Forum

2017 Posts

Posted - 09/01/2013 :  21:11:47  Show Profile  Reply with Quote
Forse perché il sito è raggiungibile solo in HTTPS e non in HTTP.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 11/01/2013 :  14:03:29  Show Profile  Reply with Quote
Dal tmg il quale utilizza IP pubblico non è necessario. Lo stesso avviene su altri server che non utilizzano il firewall client.
Anche da mio nb in modo automatico si viene reindirizzati al sito http solamente digitando www.nomesito.it.
Non esiste il sistema per rendirizzare nel caso siano siti https la richiesta dei client che utilizzano il firewall client di tmg?
Ho visto dei doc disabilitare http 1.1 in ie e cmq questo accade anche utilizzando altri browser.
In un post si consigliava modifica chiave di registro e riavvio (io ho modificato solo quella in grassetto ma il risultato è sempre lo stesso: bisogna digitare https://www.nomedominio.it per raggiungere il sito:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:

a) EnableRSS=0
b) DisableTaskOffload=1
c) EnableTCPA =0
d) EnableTCPChimney =0
e) EnablePMTUBHDetect =1
f) EnablePMTUDiscovery =1

Sbaglio o ho tralasciato dei dettagli?
Grazie
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 11/01/2013 :  14:05:18  Show Profile  Reply with Quote
Dimenticavo: l'os del tmg è w2k8 r2
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 11/01/2013 :  15:38:34  Show Profile  Reply with Quote
Penso di aver risolto utilizzando un escamotage.
Mi è venuto in mente pensando ai miei studenti che invece di utilizzare internet x studio passavano il tempo su facebook.
Ogni volta che digitavano il sito FB su trovavano su sito della città del vaticano!!
Ho testato e funziona.
Ho creato una nuova firewall rule:
- GENERAL > REDIRECT (SPECIFICO AL REDIRECT CHE VOGLIO)
- ACTION > DENY
- PROTOCOLS > ALL OUTBOUND TRAFFIC
- FROM > INTERNAL e LOCAL HOST
- TO > URL SET (INSERIRE IL SITO NON RAGGIUNGIBILE (ES: HHTP:WWW.SITO.IT/*
HTTp:WWW.SITO.IT
WWW.SITO/*
WWW.SITO.IT)
- USER (ALL USER o GRUPPO SPECIFICO DI DOMINIO SE PRESENTE)
- ACTION ADVANCED > INSERIRE URL HTTPS://WWW.SITO.IT

Si intende che funziona per il sito http che non si raggiunge.
Non compare più l'errore 64.
Soluzione breve, efficace ma temporanea in quanto anche io voglio capire perché non in modo automatico TMG non reindirizza la richiesta http ad https.
Ciao a tutti
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 11/01/2013 :  15:51:12  Show Profile  Reply with Quote
Dimenticavo:
Ho inoltre duplicato la rule e nella redirezione della regola duplicata ho anche inserito /* per accedre completamente alle richieste e alle risposte del sito https
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 14/01/2013 :  10:51:24  Show Profile  Reply with Quote
Bravo, mi piace l'idea moralizzatrice verso il sito del Vaticano .

Il problema si manifesta sui client dove e' installato il TMG Client ed il browser è configurato come Webproxy?


Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 14/01/2013 :  13:44:04  Show Profile  Reply with Quote
Esattamente Luca,il problema si manifesta sui client dove e' installato il TMG Client. Nei browser non è configurato nelle avanzate la conf automatica. Ho provato cmq a disabilitare la rule ed attivarlo, ma niente da fare.
Tra l'altro devo raggiungere un altro sito https che viene raggiunto se abiliti solo il web browser e la conf auto. Contrariamente l'altro non viene raggiunto se abilitata.
Indago...
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 14/01/2013 :  14:07:27  Show Profile  Reply with Quote
Se non utilizzi il firewall client e configuri il browser per usare il proxy il problema non si presenta, corretto?

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 14/01/2013 :  14:51:11  Show Profile  Reply with Quote
Si non compare, ma purtroppo non vengono applicate le politiche di restrizione accesso a determinati siti se non erro.
Strano inoltre in networking/network/internal/webbrowser/ ho impostato un determinato range ip (sono i server) che hanno la nacessità di utilizzare internet senza limitazione o ausilio del client in modo diretto. Il primo sito https (quello presente nella rule di redirect) non funziona mentre l'altro sì.
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 14/01/2013 :  14:52:58  Show Profile  Reply with Quote
dimenticavo non compare ma i client non navigano se non hanno installato il firewall client.
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 14/01/2013 :  15:24:04  Show Profile  Reply with Quote
Se le richieste SSL sono gestite dal TMG Client e non dal WebProxy allora "potrebbe" spiegarsi perché la redirection non funzioni. Le richieste SSL del TMG Client sono gestite diversamente rispetto alle richieste SSL fatte dal WebProxy.
Comunque strano che i tuoi client non navighino configurando solo il Webproxy.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 14/01/2013 :  16:13:36  Show Profile  Reply with Quote
Veramente assurdo quello che testo e vedo Luca, Disabilito https inspection e il primo sito (quello che ho fatto redirect) e il secondo funzionano. A questo punto a rigor di logica disabilito il redirect (che non dovrebbe essere + necessario, ma il primo sito non si vede ed il secondo si.
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 14/01/2013 :  17:04:32  Show Profile  Reply with Quote
Della configurazione che adotti è strano che tu debba per forza di cose usare il TMG Client per poter navigare su Internet.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 15/01/2013 :  15:27:58  Show Profile  Reply with Quote
Scusa se rispondo ora. Se non utilizzo il client di TMG non mi vengono applicate restrizioni per accesso a determinati siti se non erro.
Giusto?
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 15/01/2013 :  16:10:07  Show Profile  Reply with Quote
La scelta di non configurare il proxy sui browser sarebbe dettata principalmente da questa ragione "...non vengono applicate restizioni di accesso a determinati siti...", giusto?
Per capire, quali sono queste restrizioni di accesso non ti verrebbero applicate?

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 15/01/2013 :  19:58:28  Show Profile  Reply with Quote
No Luca, a tua info ho testato che se in tmg non imposti l'utilizzo del firewall client le rule di restrizione non vengono applicate.
I client in poche parole ma soprattutto gli utenti fanno ciò che vogliono (fb etc etc etc).
Nel tmg è impostato utilizzo fw client ed è escluas la configurazione automatica del browser in quanto ho riscontrato ulteriormente che i client che ricevono nei browser la configurazione a volte navigano e a volte no.
Stabile è diventata la navigazione escludendo la conf browser in tmg.
Sul client quindi in general è impostato ip interno lan del tmg e disabilitato web browser.
Funziona tutto e bene (guard anche la ridondanza in posto che avevo pubblicat) e mantiene le restrizione delle rule denied. Le rule di tmg inoltre sono dettate con gruppi provenienti da Active Directory del dominio di appartenenza.
Appena posso voglio inserire le key di registro che avevo postato.
Spero di essermi espresso correttamente in quanto la struttura IT è complessa. Grazie per ora e aggiorno...
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 16/01/2013 :  20:28:55  Show Profile  Reply with Quote
Sul comportamento del TMG Client, niente da dire, solo che mi lascia qualche dubbio il fatto che configurando il client come WebProxy i client escano senza problemi. TMG processa le regola nello stesso identico modo indipendentemente dal client (TMG Client, WebProxy o SecureNAT), alcuni protocolli e funzionalità richiedono esplicitamente il TMG Client ma per traffico HTTP Autenticato WebProxy/TMG Client sono equivalenti. Qualcosa nella configurazione non mi torna.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
Fondatore di ISAserver.it/TMGserver.com
Consulta il blog di ISAServer.it - http://news.isaserver.it
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
   Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association