Чтобы добавлять сообщения и комментарии, .

@Dant:
Dant

Очередные бодания с супер-современным-стильным и новомодным протоколом фэ-тэ-пэ да в TMG : ) Для доступа к ftp через порт web-прокси ввели какую-то мутную ссучность в виде протокола FTP over HTTP, который можно задать только на уровне array, но не enterprise.

Короче, шобы разрешить ходить на фтп через ИЕ нужно отдельное и спецыальное правило, разрешающее FTP over HTTP на уровне каждого массива. При ISA такого бардака не было, но и FTP через веб-прокси никогда толком не работал, да : ))

mikehowells.wordpress.com

@Dant:
Dant

Rollup 4 for Forefront Threat Management Gateway 2010 Service Pack 2: support.microsoft.com

Итого, последовательность обновления TMG2010 и версии билдов продукта (все не кумулятивное, делается последовательно, пропускать апдейты низя ; )

TMG2010: 7.0.7734.100
SP1: 7.0.8108.200 — KB981324
SP1_SU1: 7.0.9027.400 — KB2288910
SP2: 7.0.9193.500 — KB2555840
SP2_RU1: 7.0.9193.515 — KB2649961
SP2_RU2: 7.0.9193.540 — KB2689195
SP2_RU3: 7.0.9193.575 — KB2735208
SP2_RU4: 7.0.9193.601 — KB2870877

FW Client:
Base: 7.00.7734.100 microsoft.com
RU October 2011: 7.0.7734.186 support.microsoft.com

@Dant:
Dant

Migrating from ISA Server 2004/2006 to Forefront TMG:

tmgblog.richardhicks.com
technet.microsoft.com

isaserver.ru
habrahabr.ru

@Dant:
Dant

Should you replace your TMG firewalls with UAG: isaserver.org

Although some folks think of UAG as “TMG on steroids,” that’s not really accurate. While it offers functionalities that TMG doesn’t, it also lacks some of TMG’s important functionalities, such as outbound proxy services and email publishing and filtering. It’s also a good deal more expensive than TMG, and finally, we have no guarantees that Microsoft has long-term plans to keep developing and supporting UAG. It could go the way of TMG in the future.
For all these reasons, if you’re looking at what to use to replace your TMG firewalls, I’d recommend that you look beyond UAG.

@Dant:
Dant

Про аутентификацию запросов к порту веб-прокси ISA/TMG сервера:

tmgblog.richardhicks.com

forums.isaserver.org

It appears that your access rule requires authentication, but your web application is not handling the challenge for authentication (HTTP 407) appropriately. You'll need to either remove the requirement for authenticaiton on the rule (not a good idea), investigate ways that your application can more appropriately handle the challenge for authentication, or use the Firewall Client as it always provides authentication with each request. If you are going to use the Firewall Client, make sure you configure the ISA firewall to bypass the web proxy for this domain so that the communication is handled by the Firewall Client.

@Dant:
Dant

Список адресов, используемый сервисами WSUS/Microsoft Windows Update для акцесс-листов на проксях:

windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
*.update.microsoft.com
*.update.microsoft.com
*.windowsupdate.com
download.windowsupdate.com
download.microsoft.com
*.download.windowsupdate.com
test.stats.update.microsoft.com
ntservicepack.microsoft.com

@Dant:
Dant

SCCM 2012 – Client Push Install для серверов Forefront TMG: amaksimov.wordpress.com

Ports Used by Configuration Manager: technet.microsoft.com

@Dant:
Dant

Включение логирования неудачных попыток аутентификации на TMG2010: support.microsoft.com

@Dant:
Dant

Processing domain name sets and URL sets (ISA/TMG): technet.microsoft.com

@Dant:
Dant

Переезд мега-кластера с ISA 2006 Ынтырпрайз да на TMG 2010 Ынтырпрайз типа пассед. Первый раз за 3-е суток выдохнул и вернулся к жызни : )))

Не так был страшен тот чорт, и все как обычно. Отвалились и не привалились обратно только внешние ондроидные Lync-клиенты (очень, очень хорошо что не iPad/iPhone, да : ).

Расширенная поддержка TMG2010 до 2020г. На 2012 сервере не взлетит. Альтернативного прокси-шлюза для интернетов от МС типа не будет — юзайте hardware appliance от партнеров в вашем прекрасном светлом будущем, а для публикации ресурсов юзайте портал UAG — он не умред. Всем спасибо, все свободны, короче....

@Dant:
Dant

Пришло время заапггрейдитцо с ISA 2006 на TMG 2010, ISA сама не заапгрейдитцо : )

List of Build Numbers for Microsoft Forefront Threat Management Gateway (TMG): social.technet.microsoft.com

How to Determine Which Version of TMG Server 2010 Is Installed: social.technet.microsoft.com

ISA/TMG Server Build Numbers: blogs.technet.com

Understand ISA/TMG updates: blogs.technet.com

@Dant:
Dant

/me вдумчиво изучил возможность апгрейда пары ынтырпрайзных организаций ISA 2004/2006 на Win2008R2/TMG 2010. 8 серверов без поддержки 64-х бит нужно выбрасывать...

psexec @isasrv.lst -c -v coreinfo.exe /accepteula /v > isasrv-cpu-info.txt
psexec @isasrv.lst -c -v coreinfo.exe /accepteula /f |findstr EM64T > isasrv-cpu-64.txt

@Dant:
Dant

How to change Microsoft ISA Server 2006 NLB from Unicast to Multicast: isaserver.org

@Dant:
Dant

Отоноче... ISA/TMG типа всё и ой? Нада курить UAG и понимать, насколько он морально готов заменить ISA/TMG. Если с публикацией более-менее понятно, то к нему, как к серверу доступа в интернеты есть вопросы : )

blogs.technet.com

@Dant:
Dant

Кручение параметров Application Compatibility в gpedit позваляет поставить консоль управления ISA 2004 на Windows 7, например : )

blogs.msdn.com

@Dant:
Dant

Пять глупостей, которые админы проделывают с брандмауэром ISA/TMG:
forefront-tmg.ru
isaserver.org

Самая популярная глупость, конечно, закрывать ISA/TMG от внутренней сети дополнительным аппартным файрволом : ) dl.dropbox.com

@Dant:
Dant

А между тем, службы Windows Live не умеют работать через isa/tmg-client от слова "совсем" : ) Live Mesh удалось запустить только после неочевидных телодвижений в виде:
netsh winhttp import proxy source=ie
dbastas.blogspot.com

@Dant:
Dant

Thawte c 2010 года переколбасил систему CA, выпускающих сертификаты. В связи с чем /me поимел неиллюзорное к-во гимороя, в попытках заставить корректно жыть wildcard сертификат, выпущенный цепочкой CA на иса-сервере в ссл-листенере.
Но, таки враг был разбит и победа осталась за нами : ))

Online SSL toolbox: ssl-tools.verisign.com
Thawte SSL Certificate Installation Checker: search.thawte.com

Symantec SSL Assistant: search.thawte.com

How to Disable the thawte Primary Root CA certificate: search.thawte.com
Installing Intermediate Certificates: search.thawte.com

Сertificate issued after June 26 2010 not trusted: search.thawte.com

Thawte Certificate renewal: forums.isaserver.org

@Dant:
Dant

Automatic Discovery for Firewall and Web Proxy Clients: technet.microsoft.com

@i-mry:
i-mry

Q: I have a crazy cisco guy, who is insisting that he doesnt want to use static routes on the network he designed. He wants to use dynamic routing protocols to update themselves (OSPF). When I informed him that this isnt support by ISA, he has said he has found a way that the server OS will.
A: TMG does not support routing protocols. And TMG also does not support IPv6 (except for DirectAccess)

Закапывайте!

@Dant:
Dant

Внезапно закончилась основная поддержка ISA 2006. Похоже поедем с 2004 сразу в TMG... В 2017 году : ))

support.microsoft.com
blogs.technet.com

@Dant:
Dant

Компании Одобе — превед и наилучшие пожелания убиться ап какую-нить очень и очень не мягкую стену : ))
Пожелание родилось после ряда безуспешных попыток поставить блиаццкий флэш-плеер через новомодный онлайн-айр-инсталлер из-за ISA-сервера.

А вот в наше время давали прямые ссылки и полный дистрибутив, подумал /me и старческо-трагически вздохнул : )

@Dant:
Dant

How to Configure Certificate Based Authentication for OWA

blogs.technet.com
blogs.technet.com

support.microsoft.com

@Dant:
Dant

Ключи реестра, управляющие DNS GlobaQueryBlockList для настройки в win 2k3 dns:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\EnableGlobaQueryBlockList
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
vipcon.ru

@Dant:
Dant

Сброс DNS Global Query Block List на WIN2008 для корректной работы механизма автодетекта прокси-сервера через wpad A-запись в днсах:

dnscmd /info /globalqueryblocklist
dnscmd /config /globalqueryblocklist
conetrix.com
technet.microsoft.com

@Dant:
Dant

Задачку массовой настройки ISA/TMG Firewall Client в 21 веке через инишке (!) решают политики GP Preferences ( По мотивам #775259 ; ) Преференсез рулят и в целом и в частном. Зачотная тема...

Компутерные инишке:
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\common.ini
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\management.ini
Пользовательские инишке:

"%USERPROFILE%\Local Settings\Application Data\Microsoft\Firewall Client 2004"

@Dant:
Dant

OWA + ISA 2006 + Exchange 2007 + SmartCard Logon = thedigitalpostman.blogspot.com

ISA 2006 and Kerberos Constrained Delegation: technet.microsoft.com

@Dant:
Dant

cntlm — локальный прокси-сервис для линуксов, который может работать через parent-proxy c ntlm-auth (ISA/TMG). Для SUSE/Ubuntu/Debian/Fedora пакеты типа есть : )

cntlm.sourceforge.net

@i-mry:
i-mry

Ису я таки поимел. Все галлюцинации с remote_proxy были связаны с тем, что я пинговал сеть за циской прямо с исы. И эта падла подсовывала циске в ответ свой внешний айпишник. Как только я решил пингануть с хоста ЗА исой, туннель мгновенно поднялся. Ну кто бы знал....

@i-mry:
i-mry

Дано: ISA 2006 и Cisco 831. Задача: объединить их IPSec'ом.
Все бы хорошо, но при установке ipsec соединения циски и исой, я вижу в дебаге циски remote_proxy= 94.141.хх.хх
WTF!? почему в remote_proxy она запихнула внешний белый айпишник исы??? local_proxy причем верный — 192.168.4.0

@Dant:
Dant

Бакап конфигурации ISA-сервера:

isaserver.org
thebackroomtech.com

technet.microsoft.com
support.microsoft.com

forums.isaserver.org
forums.isaserver.org

@Dant:
Dant

У нас тут лето включили, а я вместо того что бы вот, сижу на работе, обновляю мигрирую в Самый Последний ИСА- Кластер. После чего аццкая головоломка — "собери ынтерпрайз-ИСА-организацию из 20и массивов с едиными политиками в один домен" будет практически зовершена. Победой разума над ... : )))

@Dant:
Dant

C танцами и бубнами вокруг сертификатов, но — таки публикация Terminal Server Gateway ( #727488 ) на ISA 2006 зажыла своей интим^W интересной жызнью : ) Занятная тема. А внутре у ней — RPC over HTTPS : )

@Dant:
Dant

Хочу политику для массового изменения настроек ISA-клиента (для переключения режима автодетекта, конфигурирования браузера, явного задания прокси-сервера итеде).

Писать политику для правки инишек common.ini и management.ini не хочу:
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004
%USERPROFILE%\Local Settings\Application Data\Microsoft\Firewall Client 2004

Вот какого ху...дожника в 21 веке и в таком нативно-микросовтовом софте настройки хранятся в инишках?

@Dant:
Dant

Публикация TS Gateway на ISA 2006: technet.microsoft.com

windowsecurity.com
windowsecurity.com

PPTP/L2TP VPN для удаленного доступа в сеть не нужен, чоуж : )

@toxin:
toxin

MS TMG 2010 в сравнении с ISA заметно повзрослел. Добавилось много "вкусностей" как проверка HTTPS, NIS.

@Dant:
Dant

Безопасность узнала, что есть такой софт как TeamViewer, с помощью которого любой вася с доступом в интернеты по http спокойно может пустить за свой комп кого угодно из внешней сети несмотря на исы, асы, пиксы и прочее. Озадачили принять меры хотя-бы на исе. Есть у кого-нить успешный опыт борьбы с таким софтом?

Нагуглил пока это: anbat.ru Как-то не вдохновляет по части url блокировать. Нужен еще список айпишников-сетей для закрытия доступа через isa-клиент, который вычисляется только эмпирически и может меняться.
Будем думать. Не было печали, чоуж : ))

@Dant:
Dant

Настройка сетевых интерфейсов венды в cmd tinyurl.com

Понадобилось для быстрого прописывания и снятия ip-алиасов в иса-кластере аш с 4-мя сетевыми интерфейсами : ) Посмотрим как отработает сей чудо-шелл : )

@Dant:
Dant

Внезапно, после обновления версии, MS-антивирус MSSE перестал ходить в интернеты за обновлениями через isa-сервер. Расследование показало, что начал стучаться в прокси анонимно, а не от имени пользователя.
Странно это как-то. То-ли специально изменили логику , дабы ограничить использование персонального антивируса в корпоративной среде то-ли просто глюк.

Нарисовал анонимные правила для айпишников пока. Но как-то это некрасиво, по айпишникам чтой-то фильтровать и разрешать а не по пользователям.

@Dant:
Dant

Вернулся с мс-семинару techdays. Говорили за Win7, UAC и совместимость приложений, Exch 2010 и TMG 2010. Семинар хороший, годный. Но и особо волшебного ничего не было : )

Интересовала меня тема ISA-TMG. Докладаю: TMG 2010 — это допиленная ISA 2006, работает на 2k8 x64 only, есть поддержка 2-х аплинков с балансировкой или без, есть отдельная политика (а-ля Firewall plicy) за доступ к http c фильтрацией по категориям (списки берутся из онлайну), есть встроенная проверка трафика на маловарь и прочую гадость, расширенное журналирование (детектит атаки с описаниями из обновляемой базы), проксирует и инспектирует https трафик (оппа! :) Вцелом — революции о которой так долго говорили — нет.

Будем посмотреть на. Содрогаюсь от мысли о предстоящем апгрейде организации : )