Отваливается Outlook 2007 через NVG-клиента
 

Добрый вечер господа!
Такая вот проблема, после установки SP1 на TMG отваливается outlook 2007. Вот такие логи:


И вот такие логи с Outlook


Что я только не делал с параметром outlook disable .... и 0 и удалял - бесполезно... и пару раз ребутал службы межсетевого экрана...
При выключенном клиенте, при работе через web-прокси все работает как надо.

Вопросы стандартные:

1. Какой SP стоит на TMG?
2. Все ли стоят hotfix`ы для TMG?
3. Какая версия клиента TMG стоит у клиента?
4. Пробовали делать тестовое правило всё-всем? Результат какой?

1. SP1
2. Hotfix'ы все те, которые приходят вместе с Windows update.
3. Версия 7.0. Сборка 7.0.7734.182.
4.Не пробовал, пробовал отключать агента и прописывать настройки веб-прокси. Все работает на ура.

В общем вчера откатился на образ Акроникосовский, где еще не устанавливал SP1. Все работает.
В строке настройки клиента outlook disable значение 1. Тобишь outlook работает даже с таким параметром....
Ставить SP1 пробовал 3 раза - отваливается outlook...
Образ TMG 2010 качал с сайта Microsoft.... Полная рабочая версия с оценочным сроком действия фильтрации URL и проверки вредоносных программ...

См. системную политику, там в sp1 её подправили немного, вероятно дело в ней.

Не хочется опять восстановлением заниматься, политику все перелопачивал. Там разве может быть такое правило специально для ТМГ-клиента? Ведь с веб-прокси все норм

Теоретически не должно быть, хотя протокол TMG клиента могут туда и запихнуть не в курсе, вот по этому и порекомендовал просмотреть её всё.

Сделайте тестовое правило всем всё. И проверьте при включённом tmg клиенте.

P.S. Скриншот основный правил выложите.

Сделал, удалил все правила, сделал доступ всем - весь трафик от внутренней к внешней - не помогло.
Там всего два правила - последнее по умолчанию блокировка всего и второе - разрешить всем и вся от внутренней к внешней по всем протоколам.

Вот такой СКРИН выдает мониторинг при попытке получить почту.

Не только, но и из внутренней сети к локальному компьютеру и от локального компьютера во внутреннюю сеть. ;)

403 Forbidden :(

Обновил скрин!
После добавления остались только такие логи:

код результата намного более информативен, чем пустые поля сигнатуры NIS и протокола приложения.

telnet 172.208.83.99 110
telnet 172.208.83.99 25
с клиента проходят?

Нет, пишет сбой подключения

это я ошиблась =)
telnet 178.208.83.99 110
telnet 178.208.83.99 25

Проходит. Servise ready в обоих случаях....

тогда давайте сделаем в TMG-FW Client Settings
outlook disable 0
после этого перезагрузим клиента и поглядим в свежий logging при попытке подключения.

Сделали , правда изначально я этот параметр вообще удалил, вбил заново руками.

ВУАЛЯ!

Тоже думаю что глючит параметр disable в outlook! Но как его "впрямить"....(

странно, соединение по 110 порту закрывается по таймауту.

так, а если удалить FWC то это всё работает нормально?
скажите, какой у вас антивирус на клиентском ПК?

если удалить, то не работает все равно.
На данный момент имеется второй ТМГ (обеспечивает офис), на котором нет SP1 и там все работает, правда один момент:на клиентских машинах в настройках адаптера прописан шлюз (по умолчанию DHCP раздает), при его отсутствии outlook 2007 не пашет!
Сейчас настраиваю серв ТМГ (тестовый) с SP1 - тут и при прописанном шлюзе и без него отказывается работать outlook.... Переключаюсь м/у ними обнаружением ТМГ.

Антивирус Nod32 Business 4.0. Попробовал при отключенном антивире - доставка и отправка не проходит все равно -ошибка, те же логи...

Для проверки запустил Outlook Express - там прием и передача работает...

а, то есть даже так.
давайте по-подробнее, где прописан шлюз, а где нет?
а лучше покажите ipconfig /all с
- проблемного TMG
- безпроблемного TMG
- клиента

шлюз прописан на клиентских машинах под управлением TMG-клиент.


СКРИН - проблемного TMG с SP1 - не пашет outlook 2007 с клиентов ни при каких обстоятельствах. Параметр disable 0.

СКРИН - безпроблемного TMG без SP1 outlook 2007 с клиентов пашет, только при прописанном шлюзе по умолчанию в настройках сетевухи (раздает DHCP). Параметр disable 1(не трогал его вовсе, и так работает outlook, не рискнул его изменять во избежании глюков).

СКРИН - клиента на котором стоит TMG-клиент версия 7.0 (сборка 7.0.7734.182.

Системную политику не трогал. Правила доступа не блокируют pop3 и smtp. Outlook Express работает.

а если там прописать как основной шлюз 192.168.0.2 то что-нибудь изменится?

что-то совсем какая-то мистика.

http://support.microsoft.com/kb/2288910
http://support.microsoft.com/kb/2475183
http://support.microsoft.com/kb/2498770/en-us
http://support.microsoft.com/kb/2517957/en-us
установлены?

Все обновления, которые приходили с Windows update установились успешно. По-мойму стоят.
ТУТ

К сожалению нет(

Сегодня поднял ISA 2006 для тестов . Попробовал его через FWC-клиента - все работает, но outlook 2007 опять те же ошибки!

Что я могу делать не так? Правила всем - вся. Системные не трогал. Disable 0.

Agnicul,
А на клиентском компьютере у вас установлен какой нибудь антивирус? Если установлен попробуйте его отключить/удалить на время и проверить работоспособность Outlook-а.

попробуйте обновить одного клиента через WU и установить все апдейты для офиса.

Проверял, антивирус не влияет на работу. Outlook express работает.

Между клиентскими компами и ИСА стоят CISCO Catalyst 3560 Series в качестве СВИЧЕЙ. Может они как то отбрасывают запросы FWC???????

Если Outlook express работает, то проблема скорее всего не в TMG, так что я бы на вашем месте все таки посмотрел работает ли Outlook на машине без антивируса.

Удалил антивирус, у меня затрясся глаз, outlook заработал....
Стоял Nod32 4 Business. В настройках отключал абсолютно всё - помогло только удаление...

Вот думаю что дальше делать, антивирус куплен до февраля....

=) =) =)
какая формулировка, нужно запомнить.

давайте проведём эксперимент, если у вас есть возможность.

- удалите FWC
- netsh winsock reset
- установите FWC
- установите NOD32 (у вас наверняка свой файл конфиг, через ERA сделаный, приложите его, можно без "лишних данных"). Какой именно у вас билд и разрядность?
- проверьте работу.

2 дня назад спрашивала :)

cameron, все намного проще, нужно залезть сюда - это пункт расширенной настройки.
Дело в том, что по какой-то причине ESET не определяет клиента TMG как классифицированные приложения (даже если его выставить ЯВНО в исключенные приложения) , поэтому необходимо выбрать вариант "Порты POP3 и HTTP".
При таком раскладе нужно теперь пройтись по всем машинам (более 100) и вручную настроить всем Антивирь!! Жесть!) ERAC не подключал) Я пошел, к вечеру управлюсь!

Всем спасибо за участие в решении данной проблемы!)

интересно, у меня таких полей нет :)
ну вот что бы не проходиться по всем установите ERAC и раздайте всем нужный конфиг =)