TMG 2010 版本列表

TMG 2010最新的版本是Rollup 5, Service Pack 2. 这也是我们推荐您环境中使用的版本 (7.0.9193.640)。这个版本早在2014年6月底发布。如果您环境中的TMG还没有升级到最新,请尽早计划升级,以防止各种已知异常现象。 下表是对于TMG每个重要更新所对应的版本号,方便您的查找。 RTM, Service Pack, Rollup Version Updates Information TMG 2010 RTM 7.0.7734.100 Service Pack 1 7.0.8108.200 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=16734 Update 1 for Service Pack 1 7.0.9027.400 http://www.microsoft.com/download/en/details.aspx?id=11445 SP1, Update 1 Rollup 1 7.0.9027.410 http://support.microsoft.com/kb/2433623 SP1, Update 1 Rollup 2 7.0.9027.425 http://support.microsoft.com/kb/2475183 SP1, Update 1 Rollup 3 7.0.9027.441 http://support.microsoft.com/kb/2498770 SP1,…

1

[技术分享-ISA/TMG]怎样在 ISA 或者 TMG 上禁止 IPv6 tunneling

一般来说 IPv6 封装指的是把 IPv6 的数据包封装在 IPv4 的数据包中,涉及到三种协议:6to4, ISATAP, Teredo    具体关于 IPv6 封装的介绍,请参考: http://en.wikipedia.org/wiki/IPv6 http://technet.microsoft.com/en-us/library/bb727021.aspx#EFAA Windows 7 和 Windows 2008 默认会启用网卡的 IPv6 属性,和外部发起 IPv6 连接,这样可能造成安全隐患。 6to4  和  ISATAP 使用的 IPv4 端口为 IP 41, Teredo 使用的 IPv4 端口为 UDP 3544,如果我们需要在 ISA/TMG 防火墙上阻止 IPv6 tunneling, 可以创建如下规则:   1. 创建阻止 IPv6 的访问规则:     2. 定义 6to4 Tunneling 协议:     3. 定义…

1

[技术分享] Web 发布失败被默认规则拒绝?

我们经常会通过 ISA 或者 TMG 去发布内部网站,也常常会遇到一些问题。 如果遇到问题时,通常的检查方法是,查看 ISA 有没有允许外部客户端的访问请求。 我们可以通过 ISA 的日志功能进行查看,可以就客户端的 IP 地址进行过滤,   之后如果可以确认我们 ISA 规则包括 web listener 创建没有问题,客户端的访问请求仍旧被 ISA 的默认规则拒绝,那么可以尝试一下以下步骤: 1.检查 ISA、TMG 服务器上是否装有防毒软件,如果有,卸载它。 2.检查 ISA、TMG 服务器上是否装有 IIS 服务,如果有,卸载它。IIS 默认会侦听在80端口上,如果我们发布服务器的 web listener 也是80端口,就会有端口冲突。 3.检查是否有任何三方软件,是否侦听的端口和 ISA、TMG 侦听的端口有冲突。 查看80端口是否被侦听:netstat -ano, 并找出对应的 PID     运行 Tasklist 来找出 PID 对应的进程   微软安全支持专家 James Yi

0

[技术分享]20110930,WPAD 怎么不工作了

在企业内使用 TMG/ISA 时,我们经常会部署 WPAD 来使 IE 客户端自动发现代理服务器。 Automatic Detection Concepts in ISA Server 2006 http://technet.microsoft.com/en-us/library/bb794779.aspx   可能您在部署过程中,会遇到 WPAD 记录从 DNS 服务器上解析不到的问题。 这是因为在 windows 2008和 windows 2003的 DNS 服务器上,WPAD 记录有可能已经被加入到黑名单中去了。   对于 windows 2008: 1. 显示哪些名字已经被列入黑名单: dnscmd /info /globalqueryblocklist 2. 禁用 DNS 黑名单 dnscmd /config /enableglobalqueryblocklist 0 3. 移除所有黑名单内的名字 dnscmd /config /globalqueryblocklist     对于 windows…

0

[技术分享] 20110803,Web 代理客户端通过 TMG ISA 不能访问新浪微博等网站

Web  代理客户端通过 TMG/ISA 不能访问新浪微博等网站,Web 客户端返回错误:” Error Code: 502 Proxy Error. The request is not supported (50)”。 这类问题一般是由于网站回复的数据是压缩的所导致。遇到此类问题,您可以尝试以下方法: 1. 打开 IE 高级选项,启用以下 http 1.1选项。 2. 启用压缩选项: 2.1 启用企业级别的压缩选项: 2.2 启用阵列级别的压缩选项: 2.3 启用压缩选项。 3. 把网站目标 IP 地址加入到“Request Compressed Data” 微软安全支持专家 James Yi

0

[技术分享] 20110725,媒体播放器通过 ISA 服务器不能播放网络广播

Windows 媒体播放器(版本 11),通过ISA服务器,无论是使用 web 代理还是 ISA 防火墙客户端,都不能成功网络播放, 通过抓包(防火墙客户端),我们发现客户端发送了请求 “rtsp://XX.com.cn/audio_cn RTSP/1.0” 到 ISA 服务器, 但之后,客户端主动发送”FIN”结束了与服务器的连接。 在这种情况下,问题出在客户端上,而不是 ISA 上。 经过反复尝试,发现这个可能是 windows 媒体播放器(版本11)的 Bug, 在媒体播放器的网络选项中取消 ”RTSP/UDP”之后,问题随之解决。 测试表明,Windows 媒体播放器(版本 12)不存在类此问题。   微软安全支持专家 James Yi

0

[技术分享] 20110617,ISA/TMG 是否支持基于 AD LDS 的用户验证

        AD LDS(Active Directory Lightweight Directory Services) 是轻量级的动态目录服务,可以用作用户验证,使用 LDAP 查询。在一些情况下,客户可能希望在 AD LDS 中建立一些用户账号(例如公司外部用户账号),然后在 ISA/TMG 中使用 LDAP 查询来验证 AD LDS 用户账号。         这样做似乎可行,但是经过我们的确认,目前 ISA/TMG 是不能支持基于 AD LDS 的用户验证的。 微软安全支持专家 James Yi

0

[技术分享- ISA篇] 20110606,如何解决IE7/8客户端与ISA验证时弹框的问题

        如果我们发现所有的IE6可以与ISA正常验证,而IE7/8则一直出现弹框,那就极有可能是Kerberos 验证问题。        这是因为IE6默认只能使用NTLM验证,而IE7/8默认会首先尝试使用Kerberos,如果Kerberos验证失败,就会发生弹框问题。        简单有效的解决方法有以下两种:        方法一:修改配置,迫使IE 7/8只使用NTLM验证。取消Internet选项->高级->”启用集成Windows验证 (Enable Integrated Windows Authentication)”选项即可。        方法二:在IE7/8的代理服务器设置中,指定ISA的IP地址为代理服务器。        如果您要查找出为何Kerberos验证会失败,您需联系微软技术支持服务。 微软安全支持专家 James Yi

0

[技术分享 – ISA 篇] 20101116 – 2, ISA 服务器发布规则失败的原因

ISA 服务器发布规则失败的原因可能有许多,但可以肯定百分之七十以上与下列问题有关: 打开 ISA 的管理界面,双击服务器发布规则,点击”到”,如果你发现指定 ISA 服务器如何将请求转发到发布的服务器为”使请求显示为来自初始客户端”, 那你要注意了,这样的话,内部服务器看到的请求源 IP 地址是来自外部客户端,这就需要在内部服务器上正确设置路由以保证内部服务器到外部客户端的回复数据包也经过 ISA 服务器。 如果不能保证内部服务器到外部客户端的回复数据包也经过 ISA 服务器,那就修改 ISA 服务器发布规则,把指定 ISA 服务器如何将请求转发到发布的服务器改为”使请求显示为来自 ISA 服务器计算机”,这样内部服务器看到的请求来自 ISA 内网卡 IP 地址,回复的数据包就一定会经过 ISA 服务器。 参考: Server Publishing is failing through ISA Server http://blogs.technet.com/b/isablog/archive/2009/01/09/server-publishing-is-failing-through-isa-server.aspx James Yi 微软安全支持专家

0

[技术分享 – ISA 篇] 20100630 – 3, 网卡相关四不要 – DNS 设置篇

不要在两个网卡上都设置 DNS。 比如内网卡设置内网 DNS 同时外网卡设置外网 DNS,或者在一个网卡上即设置内部的 DNS 又设置外部的 DNS。试图通过这两种方式来使得ISA能解析内外网的域名,反而会造成 ISA 不能正确解析域名,例如 ISA 不能正确解析 DC 的名字而无法与 DC 通讯进行身份验证。只在内网卡上设置内网的 DNS。对于外网的域名解析,可以通过在内网的 DNS上设置条件转发来转发给外网或者 ISP 的 DNS。这样既满足了内外网名字解析的需要,又不会造成内外网名字解析的问题。 可以通过使用 ipconfig /all 命令查看网卡的 DNS 配置 参考 Configuring DNS Servers for ISA Server 2004 http://technet.microsoft.com/en-us/library/cc302590.aspx Q: Why not point the external ISA NIC to the ISP for DNS? A: The problem here is…

2