我安装了 Forefront TMG 2010 作为代理服务器,以限制用户的互联网访问。我通常会遇到以下问题:
1-我无法使用 POP/IMAP 和 SMTP 的 URL 配置电子邮件客户端(Outlook),并且我必须找到相应的 IP 才能使其直接通过客户端工作。
2- 防火墙开启时,无法使用特定的内部 IP 和分配的端口(即 10.255.255.20:3911)访问本地网络资源(即网络打印机)。
3- 具有不同端口的某些 URL(通常是安全 HTTPS)(即https://www.contoso.com:2083) 不起作用。
我尝试了数十种方法来添加具有指定协议的新出站协议,但是它们都不适合我。
答案1
1 - 您需要规划名称解析。如果客户端未连接到执行 Internet 名称的 DNS 服务器,则这是意料之中的。除非您在客户端计算机上安装防火墙客户端,否则 TMG 可以针对 HTTP URL 执行此操作,但不能针对随机的无名称内容执行此操作。
2 - 令人困惑的问题。防火墙在哪里是打开的,可以打破这种情况吗?如果您使用的是防火墙客户端(即“防火墙打开”?),则需要确保您的内部网络定义涵盖内部网络内的所有 IP,以便客户端不会尝试使用 FWC 进行本地网络内的连接。
3 - TMG 默认阻止随机 SSL 端口,因此您需要使用 TunnelPortRanges 脚本来修复该问题。 https://technet.microsoft.com/en-us/library/cc302450.aspx
答案2
1-我无法使用 POP/IMAP 和 SMTP 的 URL 配置电子邮件客户端(Outlook),并且我必须找到相应的 IP 才能使其直接通过客户端工作。
这意味着您的客户端的 DNS 请求失败。您需要允许 DNS 请求发送到 Internet 并在客户端配置外部 DNS 服务器,或者您需要设置一个 DNS 服务器,并将根转发器配置为外部服务器,并且您的客户端需要将您的 DNS 服务器的 IP 配置为其首选 DNS 服务器。您也可以在 TMG 服务器上进行设置。
2- 防火墙开启时,无法使用特定的内部 IP 和分配的端口(即 10.255.255.20:3911)访问本地网络资源(即网络打印机)。
将本地资源 LAN IP 添加到浏览器和系统 Internet 选项(在控制面板中)的排除项中,这样请求总是直接进行,而不是通过代理服务器。
3- 具有不同端口的某些 URL(通常是安全 HTTPS)(即https://www.contoso.com:2083) 不起作用。
您需要创建并运行一个脚本来修改 TMG OS 的 SSL 定义。我使用 ISA_TPR,它非常简单,即删除 SSL 并添加 SSL,并将范围设置为所需的范围,例如 443 8443 或 443 9999。唯一的缺点是它不允许范围扩展到端口 9999 之外。http://www.isatools.org/isa_tpr.js