允许URL:前沿TMG端口

Question

我有前线TMG 2010安装作为代理服务器，以限制互联网访问的用户。我通常有以下问题：

我不能用POP/IMAP和SMTP的URL来配置电子邮件客户端(Outlook)，我必须找到相应的IP以使其直接通过客户端工作。

2-使用某个内部IP和指定端口(即10.255.255.20:3911)访问本地网络资源(即网络打印机)是不可能的，而防火墙是打开的。

3-某些具有不同端口(即https://www.contoso.com:2083)的URL(通常是安全的HTTPS)无法工作。

我尝试了数十个演练来添加具有指定协议的新出站协议，但它们都不适合我。

Answer 1

1-你需要计划名字的解析。如果客户端没有连接到执行Internet名称的DNS服务器，则需要这样做。除非您在客户端计算机上安装防火墙客户端，TMG可以对HTTP执行此操作，但不是随机的无名称内容。

2-困惑的问题。防火墙在哪里破坏这个？如果您使用的是防火墙客户端(是“防火墙ON”吗？)，您需要确保内部网络定义涵盖内部网络中的所有is，这样客户端就不会尝试使用FWC进行本地网络中的连接。

默认情况下，TMG会阻塞随机的SSL端口，因此您需要使用TunnelPortRanges脚本来解决这个问题。https://technet.microsoft.com/en-us/library/cc302450.aspx

Answer 2

我不能用POP/IMAP和SMTP的URL来配置电子邮件客户端(Outlook)，我必须找到相应的IP以使其直接通过客户端工作。

这意味着客户端的DNS请求正在失败。您需要允许DNS请求到Internet并在客户端配置外部DNS服务器，或者您需要设置一个DNS服务器，其中根转发器配置为外部服务器，并且您的客户端需要将DNS服务器的IP配置为他们的首选DNS服务器。您还可以在TMG服务器上设置它。

2-使用某个内部IP和指定端口(即10.255.255.20:3911)访问本地网络资源(即网络打印机)是不可能的，而防火墙是打开的。

将本地资源LAN添加到浏览器和系统Internet选项中的排除项(在控制面板中)，因此请求总是直接而不是通过代理服务器发送。

3-某些具有不同端口(即https://www.contoso.com:2083)的URL(通常是安全的HTTPS)无法工作。

您需要创建并运行一个脚本来修改TMG OS对SSL的定义。我使用的ISA_TPR非常简单，即删除SSL并将其范围设置为您想要的范围，例如443 8443或443 9999。唯一的缺点是它不允许扩展oover 9999。http://www.isatools.org/isa_tpr.js