Web proxy yazmaq mecburi olsun istəyirəm
Salamlar. Bir ədəd TMG server varş Birdə DC. Və mən istəyirəmki 250 clientin hər birinin internetə çıxışı yalnız web proxy yazmaqla olsun. Yəni web proxy yazmadan internətə çıxış mümkün olmasın. Bunu necə edə bilərəm?
Baxılıb: 3519 dəfə
Cavablar ( 26 )
Salam Elnur bəy,
İlk bu sualı dəqiq cavab vermək üçün xahiş edirəmməlumat verəsiniz şəbəkədəki istifadəçi kompyuterlərin əməliyyat sistemlər nədir? Active directory yüklənmiş serverin əməliyyat sistemi nedir?
Siz istifadəçi kompyuterlərin default gateüaylarini TMG ye yonlerdirin. Bu zaman eger istifadeci kompuyerlerde internet explorerde proxy yazılmasa internete qoşulma olmayacaq. Siz proxy serverin yazilmasini group policy ilə və ya TMG client vasitəsilə təmin edə bilərsiniz
Elxan müəllimbelə deyim. Client komputerlərin əməliyyat sistemləri windowsdur. Active Directory, DNS ve DHCP yuklenen yuklenen serverin emeliyyat sitemi windows server 2008 R2-dir. DHCP avtomatik ip verdikde default getewayi onsuzda tmg-nin ip-ni verir. Ve client komputerlerde internet explorerde web proxy yazildiqdada yazilmadqdada internete cixis olur. Men GPO ile web proxy paylayiram. Ama bezi komputerler domainde olmadigi ucun proxy goturmurler. Mende isteyiremki proxy goturmeyen komuterlerde internet olmasin. Bu komputerler DCHP-den onsuzda tmg-nin ip-ni goturur. Ve rahatliqla internete qowulurlar. Men nece edimki web proxy yazilmadiqda internete cixiw olmasin. Sualim beledir.
Xahis eidrem TMG serverde asaqidaki yoxlamalari edin. eger ferqlilik varsa konfiqurasiyani buna kokleyin. Butun yoxlamalari internal ve localhost networkleri ucun eynile edin.
Forefront tmg —networking bolmesinden edeceksini konfiqurasiya yoxlamalarini
Eyni ile beledir Elxan müəllim. Lakin web proxy yazmadan clientler interenete cixis elde edir.
Elnur bey Siz TMG de loglara nezer yetirende, deqiq olaraq butun klient komyuterlerin ona muraciet etdiyinin sahidi olursuz? Ola bilermi ki Klient komyuterlerde hansisa routing yazilsin ki o routing de traffiki basqa bir gatewaya gondersin. Biraz bundan subheli qalmisam. Bu ehtimal varmi?
Xeyr Elxan muellim.Bu ehtimal yoxdur.. Bunlara baxmiwam daha once.
Proxy rule lere nezer yetirin gorun hamisinda source olaraq internal gosterilibmi? Sekildeki kimi her bir rulenin uzerinde web proxy enabled yazisinin olduquna emin olun. HEr bir rule ye ayri ayriliqda nezer yetirin x.e.
Mumkunse print screen edib bu bolmenin seklini yerlesdiresiniz
Elxan muellim buyurun.. Axi siz dediyiniz kimi her bir rule-de internal ola bilmez axi. Axi bezi rule-ler varki onlari sadece bezi client komputerlere uygulamaq lazim gelir. Axi her biri internal olsa alem deyer bir birine.
Elnur bey raziyam Sizinle , ona gore de Print screen xahis etdim ki, baxim gorum IP uzre interneti paylayirsiniz yoxsa Domain integrated userler uzerinden. Demek ki TMG uzerinde port enabledir. Butun rulelerde beldirse o zaman biraz arasdirma aparim birdaha fikri bildirmeye calisacam
Elnur bey olar biz test meqsedile 1 dene rule yaradaq ve internal dan externala full dostup verek. Rule ni prioritetde 1 ci yere qoyaq ki aktiv rule olsun. Port enable veziyetde yoxlayaq gorek istediyimizi verir ya yox?
Bele deyimki hazirki TMG-ni yeni qurmuwam. Ve bir neche gun sadece siz deyen kimi internaldan externala full dostupla iwledi internet. hech bir elave rule olmadan. Sekildede gorunduyu kimi evvel sadece bu rule idi. Amma men istediyim o haldada yox idi tessuffki
Salam Sizin TMG basqa mode de isleyir. Bus ebebden de proxy yazilmadan sistem inerneti qebul edir. TMG ni yukledikde Edge firewall kimi yuklemisiniz? TMG uzerindenece network kart var?
TMG ni web proxy client moduna deyismek laizmdir.Sizin TMG SecureNet modundadir halhazirda
Beli TMG-ni yükledikdə Edge firewall secmiwem. Iki network kart var hazirda serverde. Server dell ower edge 2950-dir.
O zaman Default olaraq Sizin TMG web proxy yazmaqi teleb etmeli idi. Cox maraqlidir niye teleb etmesin. Dusunurem ki klientlerde tmg client de yazilmayib. Eger yazilsa bu hal ola bilerdi Biraz arasdirma aparim nese tapsam yazacam insAllah
Men bele basa dusurem ki Sizde TMG Web proxy rejimindedi, bu rejimde roxu yazmaq teleb olunmalidir, Secirity NAT rejiminde ise teleb olunmur.
Elnur bey yuxaridaki sekilde internal -in propertiesinden – domains bolmesine xahsi edirem baxin, orada hansi domainleri qeyd etmisiniz?Domain hisse bos olmalidir.
Elxan muellim boşdur qeyd etdiyiniz hissə..:)
Elnur bey Siz tesadufen Internaldan Externala – Meselen butun portlar uzre ve ya http https portlar uzre butun muracietlerin ISP nin iplerine NAT rule qurmamisiniz? Olarmi ki Siz firewall policy bolmesini de print screen edib bize goteresiniz. Bundan basqa Dashboard hisseni de rint screen etmeyinizi xahis edirem
Bundan basqa WDAP ile DHCP uzerinden ve ya DNS uzerinden deyisiklikler etmemisiniz? Eger WDAP qurulubsa sistem proxy ni avtomatik tapacaq, Sizden proxy yazmaqi teleb etmeyecek.
http://www.isaserver.org/articles-tutorials/configuration-general/Configuring-Web-Proxy-Automatic-Discovery-WPAD-Forefront-Threat-Management-Gateway-TMG-2010.html
Beli men full_network rulu altinda internaldan externala all protocols-dan access vermiwem. Amma bu sistemde WPAD konfiqurasiyasi yoxdur. Ele menimde fikrimde odurki, clientleri internete yalniz web proxy ile cixarim, ve proxy-nide WPAD ile DHCP uzerinden paylayim
Bu normaldir, bu access rule dur NAt deyil diye bu rule probleme sebeb ola bilmez. Xahis eidrem dashboard hisseni print screen edin, baxaq gorek Heqiqeten de klientler TMG ye Web proxy uzerinden muraciet edir ya yox.
Beli gorunduyu kimi hem web proxy hemde secure nat uzerinden muraciet olunur.
Salam,
HTTP Protocol`unun Properties`ni PrintScreen edib, bura yerləşdirə bilərsinizmi?
buyurun Turqut muellim
Elnur bey salam.
Siz DHCP ile default Gateway olaraq TMG nin ipsini paylayirsiz. Bu zaman TMG SecureNet (transparent) modunda isleyir. (Iki ve daha artiq network cart)
Ona gore de istifadeciler internete daxil ola bilir.
Transparent modda HTTPS filter ede bilmeyeceksiz. (Youtube, Facebook ve s. block etmek olmur)
Bunun ucun Web proxy istifade elemelisiz amma clientler browserden web proxy ayarini qaldirib yene de daxil ola bilecekler.
Butun trafikin TMG uzerinden kecmesi şertdir yoxsa size üeb saytlara ( HTTP, HTTPS) filter tetbiq etmek lazimdir ?
Vahid ve Elnur beyler,
Belke WDAP tetbiqi ile proxynin avtomatik yazilmasini temin edek. Domainde olan ve olmayan kompyuterler DHCP den IP aldiqindan Web proxy mode de interneti goturecekler. Belelikle de isyteyimize qismen nail oluruq. Domainde olan kompyuterlerde LAN settings bolmesine girisi GPO ile baqlayaq, domainde olmayan kompyuterlerde ise ya local GPO ile bunu temin edeke ya da xususi proqramlarla. Bu fikre + ve – reylerinizi bilsem sad olardim
Salam Elxan bey. Tam raziyam. Hal hazirda men de ele tetbiq edirem.