TMG не хочет разрешать сайт по имени, но пропускает по IP
 

Что может мешать TMG проходить по имени сайта но при этом позволяет постучать на IP?

Проблема, конечно, дурацкая, но где-то явно есть её корень, но где - не пойму

например

amazon.com -- failed

Error Code 64: Host not available

делаем ping, заходим по http://72.21.206.6/ и все открывается. Тоже самое с slideshare.net, habrastorage.org

Куда бы покопать?

В настройке сетевых адаптеров на TMG.
Там, насколько я помню, DNS-серверы нужно указывать только на внутреннем интерфейсе, причём DNS-серверы тоже должны быть внутренними. На внешних интерфейсах - только внешние IP и шлюз провайдера.

Суть в том, чтобы все DNS-запросы шли через внутренние DNS-серверы, а если нужно указать какие-то внешние, то это делается на внутренних DNS-серверах в разделе пересылки запросов.

Соответственно, на TMG нужно прописать правило (лучше, чтобы оно было первым в списке) - разрешить DNS-запросы таким-то внутренним DNS-серверам.

Для полноты картины, можете привести ipconfig /all с сервера

Правильность настройки DNS проверяется через nslookup. Либо резолвит, либо нет. Третьего не дано.

Скорее всего (судя по доменным именам), это отрабатывает правило запрета доступа на файлообменники или как там эта категория в ТМГ обзывается, забыл уже. А пинг вероятно открыт во все сети с ТМГ в системных правилах, для служебных проверок. Системные правила отрабатывают раньше кастомных, так что пинг в правило запрета не попадает. Вообще это в консоли тмг в логах спокойно отслеживается - забить там адреса source и destination, зайти с source на проблемный destination да увидеть какое правило запрещает, дел на минуту.

Это правило лежит в системных правилах и по умолчанию включено, надо только указать внутренние DNS при настройке ТМГ.

Совсем забыл про эту тему, извините :)
Проблема оказалась в аппаратном файрволле, про который все забыли