Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   [решено] Публикация web-сервера с помощью ForeFront TMG (http://forum.oszone.net/showthread.php?t=171763)

monolit 31-03-2010 10:06 1381323
Публикация web-сервера с помощью ForeFront TMG
 
Приветствую всех! Целую неделю борюсь с публикацией web-сервера (наружу) без SSL, с помощью ForeFront TMG, мозги потихоньку вскипают... Просьба помочь если кого-нибудь знает в чём может быть проблема =)
Опишу в кратции, что да как:
ForeFront TMG установлен на Win Server 2008, 2 сетевые карточки первая смотрит внутрь, вторая наружу.
Сайт расположен на другом сервачке тоже под управлением Win Server 2008, внутри сети работает с помощью IIS 7.0, порт 808.
Суть - При наборе в браузере внешнего ip адреса сервера TMG с указанием порта :808 пользовтель, из Интернета должен попадать на web-server.
Firewall Policy: 1) внутри сети любой трафик гуляет свободно по следующему правилу - Allow -> All outbound traffic -> from-Internal, Local Host -> To-Internal, Local Host. 2) Allow -> Protocols-HTTP -> From-External -> To-Local Host, web-server. 3) Allow -> Protocols-HTTP -> From-Local Host, web-server -> To-External.
Настройка публикации web-server: Allow -> From-Anywhere -> To-web-server -> Traffic-HTTP, web (Direction-Inbound, Port Range From: 808 To: 808) -> Listener-(Networks-External; Connections-Enable HTTP... port: 808; Authentication-No Authentication) -> Public Name-указал внешний ip адрес сервера TMG с портом :808 -> Path -по умолчанию /* -> Authentication Delegation-No delegation, but client may authenticate directly -> Bridging-Redirect requests to HTTP port: 808 -> Users-All Users.
Network Rules: 1) Source-Internal -> destination-Internal -> Network Relationship-Route; 2) Source-Internal -> destination-External -> Network Relationship-Nat ->default ip adress; 3) Source-External -> destination-Internal -> Network Relationship-Nat ->default ip adress.
Информация из логов: Initiated Connection - Result Code - 0x0 SUCCESS; Closed Connection - Result Code - 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN
В Firewall Policy вместо протокола HTTP пробовал ставить везде All outbound traffic, но проблема не решилась...

Telepuzik 31-03-2010 15:20 1381573
Приведите крины настроек правила публикации для закладок "Прослушиватель" и "Куда". Впринципе публикуется без проблем. У клиента который с инета заходит что за ошибка в браузере?

monolit 31-03-2010 16:46 1381657
Вложений: 2
Скрины вложил. В разделе "To" this rule applies to this published site сейчас указан адрес сервера на который нужно переадресовать запрос, но пробовал ставить внешний адрес TMG по которому заходит пользователь, но проблема осталась... Может проблема не с TMG?

Dimas_83 31-03-2010 22:13 1381924
У вас две составляющие, которые следует проверить:
1. Работает ли сайт внутри сети по запросу Ip_local:808. Да/Нет
2. При обращении к серверу по Ip_external:808, отрабатывает ли этот входящее соединение TMG? (через слежение)

monolit 01-04-2010 17:38 1382626
Вложений: 1
1) Да, в сети cайт работает и по запросу Ip_local:808 и по имени машины в сети:808
2) Если смотреть по логам то да, отрабатывает. Информация из логов Initiated Connection - Result Code - 0x0 SUCCESS; Closed Connection - Result Code - 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN. Больше ничего не показывает.
как ещё можно проследить на какой стадии он в ступор впадает?
Если провести Test Rule то показывает что якобы прослушиватель настроен на прослушивание SSL, однако он настроен на HTTP (см. скрин. )

Telepuzik 02-04-2010 09:55 1383096
monolit
Покажите скриншоты закладок: "Authentication delegation" и из свойств прослушивателя вкладка "Проверка подлинности".

monolit 02-04-2010 14:47 1383387
Вложений: 1
Аутентификацию на TMG я убрал (см. скриншот) оставил аутентификацию на IIS где расположен сайт (Windows Authentication - Enabled, остальное Disabled). Если заходить с инета по ip_external без указания порта, то выходит ошибка что соединение сброшено Error Code 10061: Connection refused что лишний раз доказывает что TMG видит соединение. А с указанием порта, подключается но не преадресовывает на нужный сервер... Может я ещё где-нибудь не указал порт в TMG?

Telepuzik 02-04-2010 14:49 1383391
Вбейте на вкладе "Куда" в поле "Computer name or IP address" вместо имени сервера его IP адрес, а на вкладке "Authentication delegation" поставьте "Без делегирования, клиент не может выполнять проверку подлинности".

monolit 02-04-2010 16:54 1383537
Теперь выходит другая ошибка... В браузере клиента сообщние - Error Code: 403 Forbidden. The server denied the specified.
в логах - HTTP Statu Code 12202 Forefront TMG denied the URL
Result code 0x80074e20 FWX_E_GRACEFUL_SHUTDOWN - можно сказать красиво послал :-)
буду разбераться дальше что ему опять не нравится...

Telepuzik 02-04-2010 17:15 1383560
Цитата:
Цитата monolit
Error Code: 403 Forbidden. The server denied the specified »
Это уже похоже на ошибку авторизации IIS, смотрите там.

Dimas_83 02-04-2010 23:41 1383851
Как всегда, всё оказалось просто

monolit 05-04-2010 13:48 1385395
Цитата:
Цитата Telepuzik
Это уже похоже на ошибку авторизации IIS, смотрите там. »
Точно... убрал авторизацию на IIS и залетел на сайт без вопросов)
Спасибо огромное за помощь!


Время: 11:11.

Время: 11:11.
© OSzone.net 2001-