Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   [решено] TMG не хочет разрешать сайт по имени, но пропускает по IP (http://forum.oszone.net/showthread.php?t=298949)

Zuzzatel 25-04-2015 15:11 2500574

TMG не хочет разрешать сайт по имени, но пропускает по IP
 
Что может мешать TMG проходить по имени сайта но при этом позволяет постучать на IP?

Проблема, конечно, дурацкая, но где-то явно есть её корень, но где - не пойму

например

amazon.com -- failed

Error Code 64: Host not available

делаем ping, заходим по http://72.21.206.6/ и все открывается. Тоже самое с slideshare.net, habrastorage.org

Куда бы покопать?

DJ Mogarych 07-05-2015 09:21 2504667

В настройке сетевых адаптеров на TMG.
Там, насколько я помню, DNS-серверы нужно указывать только на внутреннем интерфейсе, причём DNS-серверы тоже должны быть внутренними. На внешних интерфейсах - только внешние IP и шлюз провайдера.

Суть в том, чтобы все DNS-запросы шли через внутренние DNS-серверы, а если нужно указать какие-то внешние, то это делается на внутренних DNS-серверах в разделе пересылки запросов.

Соответственно, на TMG нужно прописать правило (лучше, чтобы оно было первым в списке) - разрешить DNS-запросы таким-то внутренним DNS-серверам.

IT Shepherd 07-05-2015 12:12 2504715

Для полноты картины, можете привести ipconfig /all с сервера

winbond 08-05-2015 12:25 2505087

Правильность настройки DNS проверяется через nslookup. Либо резолвит, либо нет. Третьего не дано.

Скорее всего (судя по доменным именам), это отрабатывает правило запрета доступа на файлообменники или как там эта категория в ТМГ обзывается, забыл уже. А пинг вероятно открыт во все сети с ТМГ в системных правилах, для служебных проверок. Системные правила отрабатывают раньше кастомных, так что пинг в правило запрета не попадает. Вообще это в консоли тмг в логах спокойно отслеживается - забить там адреса source и destination, зайти с source на проблемный destination да увидеть какое правило запрещает, дел на минуту.

Цитата:

Цитата DJ Mogarych
Соответственно, на TMG нужно прописать правило (лучше, чтобы оно было первым в списке) - разрешить DNS-запросы таким-то внутренним DNS-серверам. »

Это правило лежит в системных правилах и по умолчанию включено, надо только указать внутренние DNS при настройке ТМГ.

Zuzzatel 08-06-2015 11:37 2515940

Совсем забыл про эту тему, извините :)
Проблема оказалась в аппаратном файрволле, про который все забыли


Время: 02:02.

Время: 02:02.
© OSzone.net 2001-