- Remove From My Forums
-
Вопрос
-
Здравствуйте.
Выкладываю полную настройку правила публикации своего сайта. Сначала была ошибка » Код ошибки: 403 Запрет доступа. Forefront TMG настроен на блокирование HTTP-запросов, которые требуют проверки подлинности. (12320) » пока не включил подчеркнутое
ниже. Теперь сайт просто не откликается. Тестирование проходит полностью.Вкладка: «Общие»
Имя: Roks
Включить +
Вкладка «Действие»
Выполняемые действия: Разрешить
Заносить в журнал заросы, попадающие под данное правило +
Вкладка «Откуда»
Это правило применяется к трафику от следующих источников: Везде
Вкладка «Куда»
Данное правило применяется к опубликованному сайту: www.roks.biz
Имя компьютера или IP-адрес (требуется, если имя внутреннего веб-сайта отличается или его не удается разрешить): alegria.roks.biz
Пересылать исходный заголовок сайта вместо действительного: —
Запросы приходят от исходного клиента +
Вкладка «Трафик»
HTTP
Вкладка «Прослушиватель»
Прослушиватель «web»
==================================
Свойства прослушивателя:
Вкладка «Общие»
Имя: web
Вкладка «Сети»
Внешняя +
Вкладка «Подключения»
Включить подключения для данного порта [80] +
Количество подключений: без ограничений
Вкладка «Сертификаты» неактивна
Вкладка «Единый вход» неактивна
Вкладка «Формы» неактивна
Вкладка «Проверка подлинности»
Метод, используемый клиентами при проверке подлинности на Forefront TMG: Без проверки подлинности
Кнопка «Дополнительно»
Разрешить проверку подлинности клиента через HTTP +
===================================
Вкладка «Параметры приложения» неактивна
Вкладка «Делегирование проверки подлинности»
Метод для использования сервером Forefront TMG при проверке подлинности на опубликованном веб-сервере: Без делегирования, но клиент может выполнять проверку подлинности
Вкладка «Преобразование ссылок»
Применить преобразование ссылок к этому правилу: —
Вкладка «Внешнее имя»
Это правило применяется к: Все запросы
Веб-сайты и IP-адреса: www.roks.biz
Вкладка «Пути»
Внешний путь: такой же как внутренний
Внутренний путь: /*
Вкладка «Использование моста»
Веб-сервер: +
Перенаправлять запросы на HTTP-порт [80] +
FTP-сервер: —
Вкладка «Пользователи»
Все пользователи
Вкладка «Расписание»
Всегда.Прошу помощи.
Спасибо.
Ответы
-
Коллеги, вот с такими настройками, сайт был успешно опубликован, красным выделены изменения:
Вкладка: «Общие»
Имя: Roks
Включить +
Вкладка «Действие»
Выполняемые действия: Разрешить
Заносить в журнал заросы, попадающие под данное правило +
Вкладка «Откуда»
Это правило применяется к трафику от следующих источников: Везде
Вкладка «Куда»
Данное правило применяется к опубликованному сайту: www.roks.biz
Имя компьютера или IP-адрес (требуется, если имя внутреннего веб-сайта отличается или его не удается разрешить): alegria.roks.biz
[192.168.10.2]
Пересылать исходный заголовок сайта вместо действительного: —
Запросы приходят от исходного клиента + [-]
[Запросы приходят от компьютера Forefront TMG +]
Вкладка «Трафик»
HTTP
Вкладка «Прослушиватель»
Прослушиватель «web»
==================================
Свойства прослушивателя:
Вкладка «Общие»
Имя: web
Вкладка «Сети»
Внешняя +
[Внутренняя +]
Вкладка «Подключения»
Включить подключения для данного порта [80] +
Количество подключений: без ограничений
Вкладка «Сертификаты» неактивна
Вкладка «Единый вход» неактивна
Вкладка «Формы» неактивна
Вкладка «Проверка подлинности»
Метод, используемый клиентами при проверке подлинности на Forefront TMG: Без проверки подлинности
Кнопка «Дополнительно»
Разрешить проверку подлинности клиента через HTTP +
===================================
Вкладка «Параметры приложения» неактивна
Вкладка «Делегирование проверки подлинности»
Метод для использования сервером Forefront TMG при проверке подлинности на опубликованном веб-сервере: Без делегирования, но клиент может выполнять проверку подлинности
Вкладка «Преобразование ссылок»
Применить преобразование ссылок к этому правилу: —
Вкладка «Внешнее имя»
Это правило применяется к: Все запросы
Веб-сайты и IP-адреса: www.roks.biz
Вкладка «Пути»
Внешний путь: такой же как внутренний
Внутренний путь: /*
Вкладка «Использование моста»
Веб-сервер: +
Перенаправлять запросы на HTTP-порт [80] +
FTP-сервер: —
Вкладка «Пользователи»
Все пользователи
Вкладка «Расписание»
Всегда.-
Помечено в качестве ответа
3 сентября 2010 г. 8:20
-
Помечено в качестве ответа
- Remove From My Forums
-
Question
-
I am trying to access a webserver from the internet and am getting 403 Forbidden errors from Forefront TMG 2010. Details on the rule I created are as follows:
Non-web publishing rule
Allow
HTTPS Server
From Anywhere
To the internal IP of the server (Requests appear to come from the original client)
Networks — External — selected an external IP that nothing else uses (which was added to the NIC of the TMG box)
Schedule — AlwaysThe TMG box can get to the webserver in question.
Thanks!
Answers
-
A server publishing rule for protocol ‘HTTPS-Server’ is more than fine in scenarios where you cannot import the certificate into the TMG box properly (which makes web publishing a real pain).
The issue here was that the server publishing rule was not going into effect because of port binding issues cause by other rules/protocols in the firewall policy. There were several other rules that were inadvertantly created that published port 443 across
all external IP addresses, as opposed to specific IPs on the external network. Once these were all cleared up, the firewall services were bounced and no more port binding issues appeared in the Application log whenever the Firewall services were changed. The
rule worked expected at this point. (Netstat -an | find «443» also finally showed the TMG box listenining on the individual external IP address for 443)-
Marked as answer by
Saturday, July 7, 2012 4:14 AM
-
Marked as answer by
если админ грамотный — обойти не удасться. если нет — можете попробовать настроить браузер на «прокси-анонимайзер» (ищите в гугл, или задавайте отдельным вопросом)
в подобных случая единственный вариант — купить USB модем Yota или SkyLink, смотря что есть в Вашем городе. если этих нет, можно любого другого сотового оператора — оленя от MTS или что ни будь от Билайн и так далее, но сотовая связь с интернетом будет дороже. для аськи расход трафика достаточно маленький, а вот просто серфинг через сотовую связь может оказаться дорого
кроме того что воспользоваться такой связью с рабочео компьютера требуются еще условия:
1 — выбранный модем должен ловить сигнал, а это зависит от расположения офиса и даже от толщины стен иногда
2 — нужен доступ к USB а он может быть запрещен, это возможно (сам делал)
3 — нужны права админитратора на свой компьютер для установки драйверов, это так же может быть заблокировано администраторами
4 — если 1, 2 и 3 разрешено, все равно надо выполнить тонкую настройку, что бы доступ к рабочим сайтам и локальной сети был стандартный, а выход в интернет через модем. если справитесь с 2 и 3 — пишите, можно помочь и с этим, но потребуется более детально разбираться
5 — приобрести смартфон или планшет и выходить в интернет с него
ps тут дали совет про TOR, но он использует SSL трафик, а TMG (то что у Вас установили) специально заточен что бы контроллировать SSL. вероятность мала, но попробовать можно. но там так же не тривиальные настройки. для использования TOR идеально поставить еще один браузер и отдельно настроить его на тор, так удобнее
Hi,
I have a bit of an issue with publishing a website though Forefront TMG 2010.
Alot of website are already working, there is just one that doesn’t seem to do work.
I get a 403 Forbidden. The server denied the specified Uniform Resource Locator (URL). Contact the server administrator. (12202).
(server names a fictif in the next example).
There is a non microsoft applications that has a web app in a virtual directory under the default site on an iis7 server. Lets say the server is called web01.
When i browse to https://web01/appname i can login and access the app (i do get a certificate error ofcourse).
Now i made a publishing rule in Forefront TMG. It should redirect http to https and that part is working.
We want to be able to access the url by using appname.companyname.nl.
There is an ssl cert for that url and i also added that to both the web01 server and the forefront TMG server.
When i create the publishing rule in forefront tmg i can go to the url http://appname.companyname.nl and it will redirect it to https://appname.companyname.nl.
I also get a popup box to login. When i enter my credentials is get the 403 Forbidden. The server denied the specified Uniform Resource Locator (URL). Contact the server administrator. (12202) error.
Internally (going to https://web01/application) i can perfectly login using the same credentials.
Any help appriciated as Forefront and i are currently not the best of friends 
I’ve a DotnetOpenAuth authorization server which works great on my localhost. However after publishing it my refresh access token request is blocked.
The request for a accesstoken, with success
POST https://myurl/identity/oauth/token HTTP/1.1
Authorization: Basic dsjSDLFJKSKLJesww
Content-Type: application/x-www-form-urlencoded; charset=utf-8
User-Agent: DotNetOpenAuth.Core/4.2.1.13026
Host: myhost
Cache-Control: no-store,no-cache
Pragma: no-cache
Content-Length: 86
Expect: 100-continue
Connection: Keep-Alive
username=theusername&password=fancypassword&scope=somescope&grant_type=password
The refresh request:
POST https://myurl/identity/oauth/token HTTP/1.1
Authorization: Basic dsjSDLFJKSKLJesww
Content-Type: application/x-www-form-urlencoded; charset=utf-8
User-Agent: DotNetOpenAuth.Core/4.2.1.13026
Host: myhost
Cache-Control: no-store,no-cache
Pragma: no-cache
Content-Length: 272
Expect: 100-continue
refresh_token=_ttH%21IAAAAGiYhlufAaXURH5P2oDOnPYgJx7YhoR33isvZkPPvlyUgQAAAAHoBYyDMLhq1qwGHHH2uGrLoHZli77XHbCnSFJSKLFJ3kl2j3klj2kljKFSJKLSJKL#$k3ljfsklfjl2
And the response:
Technical Information (for support personnel)
Error Code: 403 Forbidden. The server denied the specified Uniform
Resource Locator (URL). Contact the server administrator. (12202)
Any help, guidelines, pointers in any direction, would be very much appriciated!
I changed the url/username/password/scope/base64/refreshtoken for this example.