Início > Fore Front TMG 2010 > Atenção ao configurar o acesso a sites internos no Forefront TMG

Atenção ao configurar o acesso a sites internos no Forefront TMG

Saudações,

A uns dias atrás, um de nossos clientes efetuou uma migração de uma infra estrutura de servidores WEB. Os sites desenvolvidos nestes servidores eram hospedados em um provedor fora  da empresa.

Os gerentes decidiram por migrar todos os sites para dentro da infra estrutura da empresa, usando webservers dentro de uma DMZ. Até aí OK! O acesso interno ficaria mais rápido para os usuários e facilitaria as operações, mas, se esqueceram de um pequeno detalhe:

A estrutura deste cliente é assistida pelo Forefront TMG e após a migração verificaram que, nenhum dos sites estava acessível aos usuários internos.

Fui chamado a verificar a infra que consiste da seguinte especificação:

  • Dois servidores Forefront TMG em NLB (Padrão de rede Edge)
  • Acesso via webproxy e firewall client e as exceções configuradas no arquivo padrão do TMG (WPDAD.DAT).

Ao verificar as configurações vi que foi adicionado na rede interna o range de IP da DMZ onde os webservers estão e, por padrão, a range estava declarada no arquivo WPAD.DAT, porém, a partir dos servidores TMG não era possível chegar na DMZ onde estão hospedados os sites.

Efetuei um TRACERT dos servidores TMG para o IP do webserver e pude comprovar o que suspeitava ao ver que a conexão morria (dava time out) a partir do IP do TMG Server. Para resolver o problema simplesmente apliquei a rota de acordo com as informações passadas pelos responsáveis:

route add “range_destino” mask “subnet” “gateway” –p

Após aplicação desta rota o problema foi resolvido!

Quando o acesso ao TMG é feito pelo script do próprio produto, é necessário se certificar das seguintes configurações:

  • Adicionar a range ou IP do destino na rede interna do TMG
  • Se não existe roteamento direto do TMG para o destino, aplique a rota manualmente

Caso você não usa o script padrão do produto, pode se valer de outra opção que é o proxy.pac, onde o acesso é tratado diretamente no script antes de chegar ao TMG.

É possível também configurar as exceções no acesso via webproxy, onde as mesmas são declaradas no próprio Internet Explorer. Para casos como este, o administrador geralmente se vale de policies no AD para não ter que fazer a configuração máquina por máquina.

Fica aí a dica para quem usa este tipo de configuração. Caso tenham dúvidas, deixei seu comentário que responderei assim que possível.

Abraços

Uilson

Categorias:Fore Front TMG 2010
  1. 12 de fevereiro de 2015 às 14:02

    Boa tarde Uilson,

    Estou tendo um problema com o acesso ao meu script de acesso “proxy.pac”, que acredito que vc possa me ajudar…

    Tenho na minha rede, um servidor PROXY – Forefront TMG 2010, que eu preciso hospedar nele, o serviço de WPAD (Web Proxy Auto Discovery) na porta 80. Mas não estou conseguindo liberar essa porta, para que os meus desktops, possam acessar a Internet através do arquivo “.pac”, que eu implantei nesse servidor.

    Mas todo tipo de regra que faça, não libera a porta 80 de jeito nenhum. Estou testando através de “telnet 80 “, mas até agora nada.

    Waltécio Barbosa.

    • 12 de fevereiro de 2015 às 14:09

      Waltécio, boa tarde,

      Vc liberou o acesso de automatic Discovery no TMG – Networking – Internal – Auto Discovery ??

  2. 12 de fevereiro de 2015 às 14:29

    Oi Uilson, obrigado por ter me respondido prontamente…
    Não está habilitado. Achei que essa opção, seria para utilizar a detecção automática do proxy, pelo DNS ou pelo DHCP.

    • 12 de fevereiro de 2015 às 14:36

      Por nada chefe! Só não respondo quando não dá mesmo…as vezes demora, mas procuro atender na medida do possível e do meu conhecimento.

      Essa opção é o que libera a porta 80 no servidor…tem que estar habilitada…

      Pelo que entendi vc não está habilitando o WPAD via DNS então…vc criou um script PAC e hospedou ele no seu proxy e está querendo chegar nele pela porta 80 certo?

      De qualquer forma vc tem que habilitar essa opção…abs

  3. 12 de fevereiro de 2015 às 14:35

    Eu habilitando essa opção, o Firewall do TMG já vai liberar a porta 80 p/ eu testar com o telnet , por exemplo ???

  4. 12 de fevereiro de 2015 às 15:02

    Não estou conseguindo dar um telnet nessa porta do servidor TMG…
    Eu já vi com o pessoal de redes e já está liberado no Firewall Cisco e ele colocou um monitoramento da minha máquina para o Proxy e passou pelo Firewall Cisco e não chegou no TMG. Ele ainda está barrando.

    • 12 de fevereiro de 2015 às 15:10

      Pode me descrever como montou esse proxy.pac?

  5. 12 de fevereiro de 2015 às 15:31

    sim, mas eu não estou nem conseguindo chegar na porta 80 do meu IIS, onde está hospedado o meu “.pac” que está dentro do servidor TMG !!!

    • 12 de fevereiro de 2015 às 15:35

      Lembrando que, o IIS não lê a extensão PAC e você tem que adicionar um mime types para que isso seja possível (application/x-ns-proxy-autoconfig).
      Vc fez isso?

      Como configurou a acesso a esse proxy.pac no TMG?

  6. 12 de fevereiro de 2015 às 16:00

    Sim já fiz. Inclusive eu já homologuei em outro servidor. E está funcionando no meu servidor WEB apontando para o “.pac” que está hospedado no servidor WEB. A parte do IIS está igual ao que eu configurei no meu servidor WEB de homologação. Mas no TMG a porta 80 não funciona. Será que é porque está conflitando com o IIS ???

    • 12 de fevereiro de 2015 às 16:15

      Precisa ver se não é o caso de desativar o que lhe falei no TMG da porta 80 – auto Discovery – e ver se o site no IIS do TMG sobe direitinho. Outra opção é mudar a porta para 81 e testar.

  7. 12 de fevereiro de 2015 às 21:01

    É eu já testei desabilitar a publicação do “Auto Discovery” tanto para porta 80 como para 8080, mas quando eu faço isso, ele bloqueia a porta p/ telnet. E quando a porta fica desbloqueada, ou seja, a publicação do “Auto Discovery” fica habilitada, eu não consigo subir o serviço do IIS, para eu deixar a minha pagina do “.pac” no ar.

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: