Собрание заметок об информационных технологиях
В процессе процедуры обнаружения (Discovery) для удалённой установки агента (Push-installation) SCOM 2012 на сервера с Forefront TMG мы можем получить ошибку по причине блокировки необходимых нам соединений.
Озадачившись вопросом автоматизации регулярного выполнения резервного копирования настроек Forefront TMG 2010 нашёл ряд интересных материалов, в том числе статью, описывающую процедуру настройки взаимодействия DPM сервера и DPM агента, установленного на сервере Threat Management Gateway – "How DPM 2010 Could Protect Forefront TMG 2010 with a Minimum Opening of Feeds" (в блоге The Microsoft MVP Award Program Blog). Учитывая то, что в моём случае серверы являются виртуальными и периодически подвергаются резервному копированию в виде VM на сервер DPM, нет особого смысла в установке агента DPM непосредственно внутрь этих виртуальных машин. Поэтому я решил ограничиться созданием на регулярной основе резервных копий конфигурации массива TMG. Из консоли Threat Management Gateway Management эта процедура вызывается из меню действий или контекстного меню на конкретном массиве – Export (Back Up).
Одним из улучшений недавно вышедшего Service Pack 2 для Forefront TMG 2010 стало появление нового механизма управления страницами сообщений об ошибках. Конечно и до установки SP2 можно было кастомизировать страницы сообщений об ошибках, которые находились в подкаталоге .\ErrorHtmls каталога установки TMG (путь по умолчанию C:\Program Files\Microsoft Forefront Threat Management Gateway). Но ранее могли возникнуть определённые сложности, если вы, желая придать этим веб-страницам корпоративный стиль, например, пытались вставить в эти страницы какие-то графические элементы. В обновлённой версии TMG в каталоге установки появляется подкаталог .Templates\WebObjectsTemplates\ISA в котором можно найти страницы ошибок в формате htm и подкаталог HTML который подразумевается использовать для хранения графических элементов.
Рассмотрим пример установки последнего пакета обновлений и исправлений Service Pack 2 для Forefront TMG 2010 в конфигурации с двумя серверами находящимися в отдельном массиве TMG (Standalone Array) и объединёнными в NLB-кластер.
Возникла необходимость использовать через TMG 2010 подключение к HTTPS узлу в интернете, использующему нестандартный порт (не 443). В настройке по умолчанию вэб-прокси TMG разрешает доступ только по порту 443. Для того чтобы изменить перечень разрешенных портов воспользуемся подключением к COM-объекту TMG с помощью PowerShell.
Для того чтобы получить текущий список открытых туннелируемых портов, непосредственно на TMG сервере выполним PS скрипт:
$ServerName = "MY-PROXY-SERVER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges
В первой строчке в переменной $ServerName укажите имя своего сервера TMG или имя массива TMG, если сервер является членом массива.
Для того чтобы расширить список открытых туннелируемых портов, например 444 портом, выполним PS скрипт:
$ServerName = "MY-PROXY-SERVER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges.AddRange("SSL 444", 444, 444)
$TMGObj.ApplyChanges()
Для того чтобы удалить ранее добавленный порт выполним PS скрипт:
$ServerName = "MY-PROXY-SERVER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges.Remove("SSL 444")
$TMGObj.ApplyChanges()
Дополнительные источники информации:
После установки рекомендуемых обновлений с WSUS, которые включают в себя новую версию браузера IE9 может перестать корректно работать консоль управления Forefront TMG 2010 на базе MMC - Forefront TMG Management. При попытке перехода к любому разделу управления TMG консоль будет порождать ошибку типа:
Есть жёсткий метод решения проблемы – редактирование файла C:Program FilesMicrosoft Forefront Threat Management GatewayUI_HTMLsTabsHandlerTabsHandler.htc как это описано например здесь: Технический блог Евгения Протопопова - TMG 2010 Console Error
Но можно избавиться от этой ошибки и более простым способом – изменением региональных настроек ОС. Открываем апплет изменения региональных настроек intl.cpl и на вкладке Formats сменить Format на English (United States)
После этого консоль заработает и можно будет спокойно дождаться выхода обновления исправляющего эту проблему и после его установки вернуть региональные настройки назад.
РАБОТАЕТ. PS был косяк, при сохранении из УПП-Пользователи с УЗ gMSA в Крнфигураторе оставалась/не обновлялась "старая" УЗ.
Поставил на Астра Линукс 1,8 Нет слов чтобы описать радость от Вашей статьи. Здоровья Вам крепче стали.
RSS - Записи
Последние комментарии