Forefront TMG Proxy блокирует внутренние HTTP-запросы для полного доменного имени

Question

Forefront TMG Proxy блокирует внутренние HTTP-запросы для полного доменного имени

У меня Forefront TMG установлен в качестве прокси-сервера. Однако всякий раз, когда я делаю HTTP-запросы к серверам во внутренней сети с полным DNS-именем, прокси-сервер запрещает соединение.

Denied Connection FRW-02 18/03/2011 20:06:37 
Log type: Web Proxy (Forward) 
Status: 12202 Forefront TMG denied the specified Uniform Resource Locator (URL).  
Rule: Default rule 
Source: Internal (10.50.75.21:21492) 
Destination: Internal (10.50.75.10:8080) 
Request: GET http://app-01.mydomain.com.br:9871/internalwebserver_deploy/MyServiceService.svc?wsdl 
Filter information: Req ID: 0a157279; Compression: client=No, server=No, compress rate=0% decompress rate=0% 
Protocol: http 
User: anonymous

Как я могу обойти этот блок? Это внутренний вызов, поэтому он не должен блокировать его.

Если я использую только http://app-01:9871/internalwebserver_deploy/MyServiceService.svc?wsdlбез домена после имени сервера он не блокируется.

10.50.75.10 - это ip брандмауэра и шлюз внутренней сети.

1

proxy blocking microsoft-ftmg-2010 microsoft-forefront microsoft-ftmg

Источник

Pascal 18 мар '11 в 23:18

1 ответ

Решение

Другие вопросы по тегам proxy blocking microsoft-ftmg-2010 microsoft-forefront microsoft-ftmg

TristanK 19 мар '11 в 06:33 2011-03-19 06:33 · Accepted Answer · 2011-03-19 06:33

Проблема двоякая:

Ваш браузер отправляет внутренний запрос в TMG, и
TMG предотвращает возможную атаку отражением (или, по крайней мере, не имеет правила, разрешающего это)

В зависимости от того, как настроен ваш браузер, лучшее решение с точки зрения минимальных затрат вычислительных циклов состоит в том, чтобы предоставить ему информацию, позволяющую ему не пересылать запросы на *.yourinternaldomain.com на прокси-сервер. {Избегать прокси} бьет {спрашивает у прокси что-то, что вы могли бы получить напрямую}.

Файлы WPAD (AutoDiscovery) и PAC являются распространенными способами сделать это, и TMG позволяет вам указать эти исключения для объекта Внутренняя сеть в разделе Сети - при условии, что клиент использует Автоопределение из поля TMG.

Если клиент этого не делает, вам нужно либо изменить свой файл PAC, либо просто установить исключение прокси ("Обход прокси для этих адресов") либо просто для yourhostname.yourinternaldomain.com, либо просто для *.yourinternaldomain.com, если вы ' не использовать разделенную систему DNS.

Кроме того, в прошлый раз, когда я смотрел, TMG по умолчанию выполняет поиск по строкам, а не по разрешению имен в скрипте автоопределения по умолчанию, поэтому, если вы имеете дело с голыми IP-адресами, а также с хорошими внутренними доменными именами, вам может потребоваться указать оба диапазона сети и шаблоны хоста (*.internal.dom).

Другой вариант - создать правило в TMG, чтобы разрешить Внутренний на Внутренний (что и делают большинство людей. Вместо этого, наименьшее количество привилегий должно было бы разрешить только HTTP с Внутреннего на этот конкретный хост), но это не относится к проблема браузера, вообще говоря, с TMG - браузер не должен отправлять внутренние запросы к прокси; это лучшая проблема для решения.