[技术分享 – TMG 篇] 20110729,TMG URL 过滤功能出现故障


《本文转译自 Forefront TMG (ISA Server) Product Team 博客文章TMG URL Filtering fails”》
介绍
用户在 TMG 2010服务器上开启了 URL 过滤功能但是该功能未能正常工作。
===============================
解决方法
首先浏览一下 TMG MMC 中显示的警告:

The failure is due to error: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.

Description: An error occurred while trying to communicate with the Microsoft Reputation Service server. If this Forefront TMG server is chained to an upstream server, verify that the WinHTTP proxy is set to localhost. If this issue persists, check that Internet connectivity is available.

(该故障是因为如下的原因:一条证书链因某个根证书未能取得信任机制的提供者的信任而中止。
描述:与微软声望服务器连接时发生错误。如果该 Forefront TMG 服务器链向一个上游服务器,请确认 WinHTTP 代理的设置为本机。如果该问题仍然存在,请确认因特网连接可用。)
在本案例中,我们可以正常连接因特网并且其他的设置一切正常。
为了解决该问题,我们从 TMG 服务器访问了 MRS 网页 https://10.ds.mrs.microsoft.comhttps://10.ts.mrs.microsoft.com 并且收到了一个证书未受信的错误。
我们继而发现服务器上缺失由“GTE CyberTrust Global Root”颁发的根证书。
为了让 URL 过滤的功能正常工作,我们需要在 TMG 服务器上安装所有受信的根证书。
在安装“根证书更新”后,该问题得到了妥善解决。详见:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=25249786-2B8E-4C51-8F4B-727CE25CC2C5
===============================
总结
URL 过滤是一个云端服务,故若要使该服务正常工作 TMG 服务器必须可以成功建立与任何一个 MSR(微软声望服务)网页之间的 HTTPS 连接。详见:
http://technet.microsoft.com/en-us/library/ee869543.aspx
作者
Junaid Ahmad Jan
Security Support Engineer,
Microsoft CSS Forefront Security Edge Team
技术校对

Richard Barker

Sr. Security Support Escalation Engineer,

Microsoft CSS Forefront Security Edge Team

Comments (0)

Skip to main content