to post messages and comments.

Очередные бодания с супер-современным-стильным и новомодным протоколом фэ-тэ-пэ да в TMG : ) Для доступа к ftp через порт web-прокси ввели какую-то мутную ссучность в виде протокола FTP over HTTP, который можно задать только на уровне array, но не enterprise.

Короче, шобы разрешить ходить на фтп через ИЕ нужно отдельное и спецыальное правило, разрешающее FTP over HTTP на уровне каждого массива. При ISA такого бардака не было, но и FTP через веб-прокси никогда толком не работал, да : ))

mikehowells.wordpress.com

Rollup 4 for Forefront Threat Management Gateway 2010 Service Pack 2: support.microsoft.com

Итого, последовательность обновления TMG2010 и версии билдов продукта (все не кумулятивное, делается последовательно, пропускать апдейты низя ; )

TMG2010: 7.0.7734.100
SP1: 7.0.8108.200 — KB981324
SP1_SU1: 7.0.9027.400 — KB2288910
SP2: 7.0.9193.500 — KB2555840
SP2_RU1: 7.0.9193.515 — KB2649961
SP2_RU2: 7.0.9193.540 — KB2689195
SP2_RU3: 7.0.9193.575 — KB2735208
SP2_RU4: 7.0.9193.601 — KB2870877

FW Client:
Base: 7.00.7734.100 microsoft.com
RU October 2011: 7.0.7734.186 support.microsoft.com

Should you replace your TMG firewalls with UAG: isaserver.org

Although some folks think of UAG as “TMG on steroids,” that’s not really accurate. While it offers functionalities that TMG doesn’t, it also lacks some of TMG’s important functionalities, such as outbound proxy services and email publishing and filtering. It’s also a good deal more expensive than TMG, and finally, we have no guarantees that Microsoft has long-term plans to keep developing and supporting UAG. It could go the way of TMG in the future.
For all these reasons, if you’re looking at what to use to replace your TMG firewalls, I’d recommend that you look beyond UAG.

Про аутентификацию запросов к порту веб-прокси ISA/TMG сервера:

tmgblog.richardhicks.com

forums.isaserver.org

It appears that your access rule requires authentication, but your web application is not handling the challenge for authentication (HTTP 407) appropriately. You'll need to either remove the requirement for authenticaiton on the rule (not a good idea), investigate ways that your application can more appropriately handle the challenge for authentication, or use the Firewall Client as it always provides authentication with each request. If you are going to use the Firewall Client, make sure you configure the ISA firewall to bypass the web proxy for this domain so that the communication is handled by the Firewall Client.

Список адресов, используемый сервисами WSUS/Microsoft Windows Update для акцесс-листов на проксях:

windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
*.update.microsoft.com
*.update.microsoft.com
*.windowsupdate.com
download.windowsupdate.com
download.microsoft.com
*.download.windowsupdate.com
test.stats.update.microsoft.com
ntservicepack.microsoft.com

Переезд мега-кластера с ISA 2006 Ынтырпрайз да на TMG 2010 Ынтырпрайз типа пассед. Первый раз за 3-е суток выдохнул и вернулся к жызни : )))

Не так был страшен тот чорт, и все как обычно. Отвалились и не привалились обратно только внешние ондроидные Lync-клиенты (очень, очень хорошо что не iPad/iPhone, да : ).

Расширенная поддержка TMG2010 до 2020г. На 2012 сервере не взлетит. Альтернативного прокси-шлюза для интернетов от МС типа не будет — юзайте hardware appliance от партнеров в вашем прекрасном светлом будущем, а для публикации ресурсов юзайте портал UAG — он не умред. Всем спасибо, все свободны, короче....

/me вдумчиво изучил возможность апгрейда пары ынтырпрайзных организаций ISA 2004/2006 на Win2008R2/TMG 2010. 8 серверов без поддержки 64-х бит нужно выбрасывать...

psexec @isasrv.lst -c -v coreinfo.exe /accepteula /v > isasrv-cpu-info.txt
psexec @isasrv.lst -c -v coreinfo.exe /accepteula /f |findstr EM64T > isasrv-cpu-64.txt

Отоноче... ISA/TMG типа всё и ой? Нада курить UAG и понимать, насколько он морально готов заменить ISA/TMG. Если с публикацией более-менее понятно, то к нему, как к серверу доступа в интернеты есть вопросы : )

blogs.technet.com

А между тем, службы Windows Live не умеют работать через isa/tmg-client от слова "совсем" : ) Live Mesh удалось запустить только после неочевидных телодвижений в виде:
netsh winhttp import proxy source=ie
dbastas.blogspot.com

Thawte c 2010 года переколбасил систему CA, выпускающих сертификаты. В связи с чем /me поимел неиллюзорное к-во гимороя, в попытках заставить корректно жыть wildcard сертификат, выпущенный цепочкой CA на иса-сервере в ссл-листенере.
Но, таки враг был разбит и победа осталась за нами : ))

Online SSL toolbox: ssl-tools.verisign.com
Thawte SSL Certificate Installation Checker: search.thawte.com

Symantec SSL Assistant: search.thawte.com

How to Disable the thawte Primary Root CA certificate: search.thawte.com
Installing Intermediate Certificates: search.thawte.com

Сertificate issued after June 26 2010 not trusted: search.thawte.com

Thawte Certificate renewal: forums.isaserver.org

Q: I have a crazy cisco guy, who is insisting that he doesnt want to use static routes on the network he designed. He wants to use dynamic routing protocols to update themselves (OSPF). When I informed him that this isnt support by ISA, he has said he has found a way that the server OS will.
A: TMG does not support routing protocols. And TMG also does not support IPv6 (except for DirectAccess)

Закапывайте!

Компании Одобе — превед и наилучшие пожелания убиться ап какую-нить очень и очень не мягкую стену : ))
Пожелание родилось после ряда безуспешных попыток поставить блиаццкий флэш-плеер через новомодный онлайн-айр-инсталлер из-за ISA-сервера.

А вот в наше время давали прямые ссылки и полный дистрибутив, подумал /me и старческо-трагически вздохнул : )

Ключи реестра, управляющие DNS GlobaQueryBlockList для настройки в win 2k3 dns:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\EnableGlobaQueryBlockList
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
vipcon.ru

Задачку массовой настройки ISA/TMG Firewall Client в 21 веке через инишке (!) решают политики GP Preferences ( По мотивам #775259 ; ) Преференсез рулят и в целом и в частном. Зачотная тема...

Компутерные инишке:
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\common.ini
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\management.ini
Пользовательские инишке:

"%USERPROFILE%\Local Settings\Application Data\Microsoft\Firewall Client 2004"

Ису я таки поимел. Все галлюцинации с remote_proxy были связаны с тем, что я пинговал сеть за циской прямо с исы. И эта падла подсовывала циске в ответ свой внешний айпишник. Как только я решил пингануть с хоста ЗА исой, туннель мгновенно поднялся. Ну кто бы знал....

Дано: ISA 2006 и Cisco 831. Задача: объединить их IPSec'ом.
Все бы хорошо, но при установке ipsec соединения циски и исой, я вижу в дебаге циски remote_proxy= 94.141.хх.хх
WTF!? почему в remote_proxy она запихнула внешний белый айпишник исы??? local_proxy причем верный — 192.168.4.0

У нас тут лето включили, а я вместо того что бы вот, сижу на работе, обновляю мигрирую в Самый Последний ИСА- Кластер. После чего аццкая головоломка — "собери ынтерпрайз-ИСА-организацию из 20и массивов с едиными политиками в один домен" будет практически зовершена. Победой разума над ... : )))

C танцами и бубнами вокруг сертификатов, но — таки публикация Terminal Server Gateway ( #727488 ) на ISA 2006 зажыла своей интим^W интересной жызнью : ) Занятная тема. А внутре у ней — RPC over HTTPS : )

Хочу политику для массового изменения настроек ISA-клиента (для переключения режима автодетекта, конфигурирования браузера, явного задания прокси-сервера итеде).

Писать политику для правки инишек common.ini и management.ini не хочу:
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004
%USERPROFILE%\Local Settings\Application Data\Microsoft\Firewall Client 2004

Вот какого ху...дожника в 21 веке и в таком нативно-микросовтовом софте настройки хранятся в инишках?

MS TMG 2010 в сравнении с ISA заметно повзрослел. Добавилось много "вкусностей" как проверка HTTPS, NIS.

Безопасность узнала, что есть такой софт как TeamViewer, с помощью которого любой вася с доступом в интернеты по http спокойно может пустить за свой комп кого угодно из внешней сети несмотря на исы, асы, пиксы и прочее. Озадачили принять меры хотя-бы на исе. Есть у кого-нить успешный опыт борьбы с таким софтом?

Нагуглил пока это: anbat.ru Как-то не вдохновляет по части url блокировать. Нужен еще список айпишников-сетей для закрытия доступа через isa-клиент, который вычисляется только эмпирически и может меняться.
Будем думать. Не было печали, чоуж : ))

Настройка сетевых интерфейсов венды в cmd tinyurl.com

Понадобилось для быстрого прописывания и снятия ip-алиасов в иса-кластере аш с 4-мя сетевыми интерфейсами : ) Посмотрим как отработает сей чудо-шелл : )

Внезапно, после обновления версии, MS-антивирус MSSE перестал ходить в интернеты за обновлениями через isa-сервер. Расследование показало, что начал стучаться в прокси анонимно, а не от имени пользователя.
Странно это как-то. То-ли специально изменили логику , дабы ограничить использование персонального антивируса в корпоративной среде то-ли просто глюк.

Нарисовал анонимные правила для айпишников пока. Но как-то это некрасиво, по айпишникам чтой-то фильтровать и разрешать а не по пользователям.

Вернулся с мс-семинару techdays. Говорили за Win7, UAC и совместимость приложений, Exch 2010 и TMG 2010. Семинар хороший, годный. Но и особо волшебного ничего не было : )

Интересовала меня тема ISA-TMG. Докладаю: TMG 2010 — это допиленная ISA 2006, работает на 2k8 x64 only, есть поддержка 2-х аплинков с балансировкой или без, есть отдельная политика (а-ля Firewall plicy) за доступ к http c фильтрацией по категориям (списки берутся из онлайну), есть встроенная проверка трафика на маловарь и прочую гадость, расширенное журналирование (детектит атаки с описаниями из обновляемой базы), проксирует и инспектирует https трафик (оппа! :) Вцелом — революции о которой так долго говорили — нет.

Будем посмотреть на. Содрогаюсь от мысли о предстоящем апгрейде организации : )