В процессе процедуры обнаружения (Discovery) для удалённой установки агента (Push-installation) SCOM 2012 на сервера с Forefront TMG мы можем получить ошибку по причине блокировки необходимых нам соединений.
Спасибо, помогло!
Собрание заметок об информационных технологиях
Озадачившись вопросом автоматизации регулярного выполнения резервного копирования настроек Forefront TMG 2010 нашёл ряд интересных материалов, в том числе статью, описывающую процедуру настройки взаимодействия DPM сервера и DPM агента, установленного на сервере Threat Management Gateway – "How DPM 2010 Could Protect Forefront TMG 2010 with a Minimum Opening of Feeds" (в блоге The Microsoft MVP Award Program Blog). Учитывая то, что в моём случае серверы являются виртуальными и периодически подвергаются резервному копированию в виде VM на сервер DPM, нет особого смысла в установке агента DPM непосредственно внутрь этих виртуальных машин. Поэтому я решил ограничиться созданием на регулярной основе резервных копий конфигурации массива TMG. Из консоли Threat Management Gateway Management эта процедура вызывается из меню действий или контекстного меню на конкретном массиве – Export (Back Up).
Одним из улучшений недавно вышедшего Service Pack 2 для Forefront TMG 2010 стало появление нового механизма управления страницами сообщений об ошибках. Конечно и до установки SP2 можно было кастомизировать страницы сообщений об ошибках, которые находились в подкаталоге .\ErrorHtmls каталога установки TMG (путь по умолчанию C:\Program Files\Microsoft Forefront Threat Management Gateway). Но ранее могли возникнуть определённые сложности, если вы, желая придать этим веб-страницам корпоративный стиль, например, пытались вставить в эти страницы какие-то графические элементы. В обновлённой версии TMG в каталоге установки появляется подкаталог .Templates\WebObjectsTemplates\ISA в котором можно найти страницы ошибок в формате htm и подкаталог HTML который подразумевается использовать для хранения графических элементов.
Возникла необходимость использовать через TMG 2010 подключение к HTTPS узлу в интернете, использующему нестандартный порт (не 443). В настройке по умолчанию вэб-прокси TMG разрешает доступ только по порту 443. Для того чтобы изменить перечень разрешенных портов воспользуемся подключением к COM-объекту TMG с помощью PowerShell.
Для того чтобы получить текущий список открытых туннелируемых портов, непосредственно на TMG сервере выполним PS скрипт:
$ServerName = "MY-PROXY-SERVER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges
В первой строчке в переменной $ServerName укажите имя своего сервера TMG или имя массива TMG, если сервер является членом массива.
Для того чтобы расширить список открытых туннелируемых портов, например 444 портом, выполним PS скрипт:
$ServerName = "MY-PROXY-SERVER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges.AddRange("SSL 444", 444, 444)
$TMGObj.ApplyChanges()
Для того чтобы удалить ранее добавленный порт выполним PS скрипт:
$ServerName = "MY-PROXY-SERVER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges.Remove("SSL 444")
$TMGObj.ApplyChanges()
Дополнительные источники информации:
После установки рекомендуемых обновлений с WSUS, которые включают в себя новую версию браузера IE9 может перестать корректно работать консоль управления Forefront TMG 2010 на базе MMC - Forefront TMG Management. При попытке перехода к любому разделу управления TMG консоль будет порождать ошибку типа:
Есть жёсткий метод решения проблемы – редактирование файла C:Program FilesMicrosoft Forefront Threat Management GatewayUI_HTMLsTabsHandlerTabsHandler.htc как это описано например здесь: Технический блог Евгения Протопопова - TMG 2010 Console Error
Но можно избавиться от этой ошибки и более простым способом – изменением региональных настроек ОС. Открываем апплет изменения региональных настроек intl.cpl и на вкладке Formats сменить Format на English (United States)
После этого консоль заработает и можно будет спокойно дождаться выхода обновления исправляющего эту проблему и после его установки вернуть региональные настройки назад.
Последние комментарии