TMG 2010 版本列表

TMG 2010最新的版本是Rollup 5, Service Pack 2. 这也是我们推荐您环境中使用的版本 (7.0.9193.640)。这个版本早在2014年6月底发布。如果您环境中的TMG还没有升级到最新,请尽早计划升级,以防止各种已知异常现象。 下表是对于TMG每个重要更新所对应的版本号,方便您的查找。 RTM, Service Pack, Rollup Version Updates Information TMG 2010 RTM 7.0.7734.100 Service Pack 1 7.0.8108.200 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=16734 Update 1 for Service Pack 1 7.0.9027.400 http://www.microsoft.com/download/en/details.aspx?id=11445 SP1, Update 1 Rollup 1 7.0.9027.410 http://support.microsoft.com/kb/2433623 SP1, Update 1 Rollup 2 7.0.9027.425 http://support.microsoft.com/kb/2475183 SP1, Update 1 Rollup 3 7.0.9027.441 http://support.microsoft.com/kb/2498770 SP1,…

1

[技术分享]小谈 TMG 建立 IPsec Site-to-Site VPN

TMG作为微软的网关产品可以和其他产品建立Site-to-Site VPN,这样可以让两端防火墙后面的指定资源实现互访。而IPsec VPN是当前比较流行的VPN,又可以和其他设备兼容。在配置过程中,不少客户遇到了不同的问题,那么让我们来谈论下如何解决这些常见问题。 1. 问题:为什么我的客户端从 TMG 侧访问对端的Web服务器被TMG阻止? 根据KB(http://support.microsoft.com/kb/885351),ISA/TMG都有这样一个问题。解决这个问题,我们需要创建一个自定义的HTTP(TCP 80 出向)协议。先配置一条规则来允许本site的内部资源访问对端的web 服务器;更重要的是请创建另一条规则,阻止内部资源从标准的HTTP协议访问web服务器,这样TMG就不会再为这些资源匹配HTTP过滤器(filter)了。 关于创建自定义的HTTP协议的更多信息,请参考: Why do I need a deny rule to make an allow rule for a custom protocol work correctly? http://blogs.technet.com/b/isablog/archive/2006/09/25/why-do-i-need-a-deny-rule-to-make-an-allow-rule-for-a-custom-protocol-work-correctly.aspx 2. 问题:为什么我的VPN只能单向通? 曾经遇到不少客户用Cisco的ASA和TMG做VPN,但是只能从Cisco端触发流量访问到TMG端,一旦通道建立,两端就可以正常通讯了。客户只能长ping TMG端的资源保持通道建立,这带来了不少麻烦。 其实问题的根源是由于两边VPN隧道的感兴趣流不匹配造成的。在ASA端我们一般使用ACL来抓取感兴趣流: access-list 10 extended permit IP 192.168.107.0 255.255.255.0 172.21.254.250 255.255.255.255 意思是本地流量192.168.107.0/24 如果去往172.21.254.250/32根据后面的配置将不走NAT,而走VPN的隧道。 那么在TMG端,如何定义感兴趣流呢。有些客户认为是在VPN的建立过程中选择源地址的时候定义的,其实并不是这样,其实这段源地址的定义是在Internal 网卡上,然后会用IP子网的方式写到VPN的配置总结上,比如: 在这里,由于这段地址段(172.18.0.0-172.18.253.255)并不能用的一个网段表示,所以TMG将其拆分,让每段都能被表示出来,组合起来就是整个网段了。 如果对端ASA需要写感兴趣流的目的,应当选取上图中的一个或多个来表示,来匹配两端的感兴趣流。 请注意,我们在TMG上所做的所有有关VPN的配置总结下来会影响到以下3个表: 1. 网络规则(NAT,route关系) 2….

0

[技术分享]如何在 TMG 上配置 OWA 的重定向

  使用 TMG 来发布 Exchange 的服务已经是大多数 TMG 管理员的选择,今天我们从如何方便终端用户的角度来谈一谈 TMG 对于 OWA 的重定向。 对于 Exchange 的管理员来说都知道/Exchange 和/OWA 两个子目录意味着 OWA 服务,那么终端用户一定要去记住 https://mail.xxxx.com/owa 这样一个冗长的名字吗?用户能不能只输入 http://mail.xxxx.com 这个名字,之后的重定向都由系统来完成?   当然可以,下面就说下如何在TMG上配置这个重定向。 登录TMG 1.    先检查 Exchange 发布规则所对应的 listener   确保 listener 侦听在80和443端口上,并且所有的80的流量都会重定向到443端口。 2.    复制一下你当前的 Exchange 的发布规则,然后再右击粘贴一条同样的规则     3.    然后修改复制的规则,右键选择属性 Properties      4.    切换到 Action 选项卡上,选择 Deny 然后选择 redirect        5.   …

0

[技术分享-ISA/TMG]怎样在 ISA 或者 TMG 上禁止 IPv6 tunneling

一般来说 IPv6 封装指的是把 IPv6 的数据包封装在 IPv4 的数据包中,涉及到三种协议:6to4, ISATAP, Teredo    具体关于 IPv6 封装的介绍,请参考: http://en.wikipedia.org/wiki/IPv6 http://technet.microsoft.com/en-us/library/bb727021.aspx#EFAA Windows 7 和 Windows 2008 默认会启用网卡的 IPv6 属性,和外部发起 IPv6 连接,这样可能造成安全隐患。 6to4  和  ISATAP 使用的 IPv4 端口为 IP 41, Teredo 使用的 IPv4 端口为 UDP 3544,如果我们需要在 ISA/TMG 防火墙上阻止 IPv6 tunneling, 可以创建如下规则:   1. 创建阻止 IPv6 的访问规则:     2. 定义 6to4 Tunneling 协议:     3. 定义…

1

[技术分享]20120628TMG 日志队列突然增长怎么办

用户有时会观察到 TMG 日志队列(Log Queue,扩展名为 .LLQ)持续增长或 TMG 安装目录下 Logs 文件夹异常增长,如果TMG日志队列文件夹使用默认配置,则会导致C盘空间越来越少。伴随而来的问题还有:TMG无法记日志,无法生成报告。   这个问题往往发生在日志格式改动、日志文件夹改动、日志保留时间改动等日志配置操作之后。   问题分析 ========== 1.    首先我们在 TMG 管理界面看到 日志状态(TMG 管理控制台 à 日志和报告界面 à 查看日志状态)是“连接中断”,服务器状态上有个感叹号,并且有几 MB 乃至数十 GB 的日志队列。这表示日志无法正常记入日志数据库,都暂存在日志队列中。 2.    同时,查看一下应用程序事件日志,发现有许多 MSSQL$MSFW 的报错,事件 ID 为 17204 (或 1720X),报错信息是无法打开 TMG 日志文件如 ISALOG_20120101_FWS_000.mdf (系统找不到指定的文件)。 3.    出现以上两种症状的原因是: 1)    TMG 日志是记在本地的 SQL Express 数据库里,或者曾经记录在本地 SQL Express 数据库而后改为记到远程 SQL 服务器。 SQL…

0

[技术分享] 20120401,TMG 生成报告,但内容为空

  我们企业的管理员常常会使用到 TMG 的 报告功能,但 TMG 的报告似乎不像 ISA 的报告那么稳定,可能会出现生成空报告的情况。TMG 生成报告的机制和 ISA 相比,有了非常大的变化,原来 ISA 会在安装目录下生成 Daily summary 以及 Monthly summary 文件,以提供报告源数据, 但 TMG 会把每天生成的 Daily summary 和 Monthly summary 放在本地 SQL Server Express 数据库内;当 TMG 生成报告时,会从数据库中读取数据源。 遇到 TMG 生成空报告的原因非常多,我们首先需要确认数据库的记录类型必须是 本地的 SQL server Express, 无论是远程 SQL 或者是本地 File 方式记录日志,都不能生成报告,这个是 TMG 的设计原因或者说是限制,如果我们选择了远程 SQL 或者 File 方式记录日志,您会看到如下图警告,提示您要生成报告,必须使用本地 SQL Server…

0

[转译] Forefront TMG SP2汇总1发布

《本文转译自微软知识库文章“ Rollup 1 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 2”》 本文列举了汇总1为 Microsoft Forefront TMG 2010 Service Pack 2(SP2)解决的问题。 汇总1解决的问题 汇总1为 Microsoft Forefront TMG 2010 Service Pack 2(SP2)包含在下列微软知识库文章中,请点击微软知识库文章编号进一步查阅。 KB 文章 标题 2654016 修复:客户端尝试在 Forefront TMG 2010 环境下获取发布到网络上的 Java SSO 应用可能失败。 2653703 修复:Forefront TMG 2010 环境下,在用户或网站活动报告中收到子报告无法显示(Error: Subreport could not be shown”)的出错消息。 2654585 修复:在 Forefront…

0

Forefront TMG 2010 SP2 新特性概览

《本文转译自微软 Forefront 技术中心 文章 “ What’s new in Forefront TMG 2010 SP2 ”》    Forefront TMG 2010 Service Pack 2 (SP2) 将为Forefront TMG 2010 已发行版本提供增强功能和新特性。本文提供了这些新特性和增强功能的概览。   新特性和增强功能 特性 描述 更多信息 (英文) 站点活动报告 全新的 Forefront TMG SP2 站点活动报告允许用户生成与特定网站间的数据传输报告。 规划报告 改进的出错页面 Forefront TMG SP2 改进了网页浏览器出错页面的外观,方便用户定制出错界面。 定制 HTML 出错消息 为 NLB 队列提供Kerberos 认证 新版 Forefront TMG 允许用户在配置 NLB…

0

[技术分享] Web 发布失败被默认规则拒绝?

我们经常会通过 ISA 或者 TMG 去发布内部网站,也常常会遇到一些问题。 如果遇到问题时,通常的检查方法是,查看 ISA 有没有允许外部客户端的访问请求。 我们可以通过 ISA 的日志功能进行查看,可以就客户端的 IP 地址进行过滤,   之后如果可以确认我们 ISA 规则包括 web listener 创建没有问题,客户端的访问请求仍旧被 ISA 的默认规则拒绝,那么可以尝试一下以下步骤: 1.检查 ISA、TMG 服务器上是否装有防毒软件,如果有,卸载它。 2.检查 ISA、TMG 服务器上是否装有 IIS 服务,如果有,卸载它。IIS 默认会侦听在80端口上,如果我们发布服务器的 web listener 也是80端口,就会有端口冲突。 3.检查是否有任何三方软件,是否侦听的端口和 ISA、TMG 侦听的端口有冲突。 查看80端口是否被侦听:netstat -ano, 并找出对应的 PID     运行 Tasklist 来找出 PID 对应的进程   微软安全支持专家 James Yi

0

[转译] Forefront TMG SP1软件更新1汇总4发布

《本文转译自微软知识库文章 “Software Update 1 Rollup 4 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 1”》 介绍 本文列举了软件更新1汇总4为 Microsoft Forefront TMG 2010 Service Pack(SP1)解决的问题。 本文列出了若干篇与 Forefront TMG 2010 SP1 相关的微软知识库文章,这些文章中描述的问题在软件更新1汇总4中得到解决。 软件更新1汇总4解决的问题 KB 文章 标题 2518663  修复:当您在 Microsoft Forefront TMG 2010 中将“阻止文件大于(兆)”的选项设置为允许超大文件时,恶意软件扫描会花费比预期更长的时间。 2518670 修复:在 Forefront TMG 2010 环境中,如果 ReturnAuthRequiredIfAuthUserDenied 属性设为真并且有用户因某条适用于“所有用户”的规则而被拒绝访问时,系统会弹出要求验证身份的对话框。 2527291 修复:在 Forefront TMG 2010 环境中,如果启用了反恶意软件检测,发送给客户端的内容可能出现部分丢失。…

0