TMG作为微软的网关产品可以和其他产品建立Site-to-Site VPN，这样可以让两端防火墙后面的指定资源实现互访。而IPsec VPN是当前比较流行的VPN，又可以和其他设备兼容。在配置过程中，不少客户遇到了不同的问题，那么让我们来谈论下如何解决这些常见问题。 1. 问题：为什么我的客户端从 TMG 侧访问对端的 Web 服务器被 TMG 阻止？ 根据KB（ http://support.microsoft.com/kb/885351），ISA/TMG 都有这样一个问题。解决这个问题，我们需要创建一个自定义的HTTP（TCP 80 出向）协议。先配置一条规则来允许本site的内部资源访问对端的web...

  使用 TMG 来发布 Exchange 的服务已经是大多数 TMG 管理员的选择，今天我们从如何方便终端用户的角度来谈一谈 TMG 对于 OWA 的重定向。 对于 Exchange 的管理员来说都知道 /Exchange 和 /OWA 两个子目录意味着 OWA 服务，那么终端用户一定要去记住 https://mail.xxxx.com/owa 这样一个冗长的名字吗？用户能不能只输入 http://mail.xxxx.com 这个名字，之后的重定向都由系统来完成？   当然可以，下面就说下如何在 TMG 上配置这个重定向。 登录 TMG 1.    ...

一般来说 IPv6 封装指的是把 IPv6 的数据包封装在 IPv4 的数据包中，涉及到三种协议： 6to4, ISATAP, Teredo    具体关于 IPv6 封装的介绍，请参考： http://en.wikipedia.org/wiki/IPv6 http://technet.microsoft.com/en-us/library/bb727021.aspx#EFAA Windows 7 和 Windows 2008 默认会启用网卡的 IPv6 属性，和外部发起 IPv6 连接，这样可能造成安全隐患。 6to4   和   ISATAP...

用户有时会观察到 TMG 日志队列（ Log Queue ，扩展名为 .LLQ ）持续增长或 TMG 安装目录下 Logs 文件夹异常增长，如果 TMG 日志队列文件夹使用默认配置，则会导致 C 盘空间越来越少。伴随而来的问题还有： TMG 无法记日志，无法生成报告。   这个问题往往发生在日志格式改动、日志文件夹改动、日志保留时间改动等日志配置操作之后。   问题分析 ========== 1.     首先我们在 TMG 管理界面看到 日志状态（ TMG 管理控制台 à 日志和报告界面 à 查看日志状态）是 “ 连接中断 ” ，服务器状态上有个感叹号...

  我们企业的管理员常常会使用到 TMG 的 报告功能，但 TMG 的报告似乎不像 ISA 的报告那么稳定，可能会出现生成空报告的情况。 TMG 生成报告的机制和 ISA 相比，有了非常大的变化，原来 ISA 会在安装目录下生成 Daily summary 以及 Monthly summary 文件，以提供报告源数据， 但 TMG 会把每天生成的 Daily summary 和 Monthly summary 放在本地 SQL Server Express 数据库内；当 TMG 生成报告时，会从数据库中读取数据源。 遇到 TMG 生成空报告的原因非常多，我们首先需要确认数据库的记录类型必须是...

《本文转译自 微软知识库 文章“ Rollup 1 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 2 ”》 本文列举了汇总 1 为 Microsoft Forefront TMG 2010 Service Pack 2 （ SP2 ）解决的问题。 汇总 1 解决的问题 汇总 1 为 Microsoft Forefront TMG 2010 Service Pack 2 （ SP2 ）包含在下列微软知识库文章中，请点击微软知识库文章编号进一步查阅。 KB 文章 标题 2654016 修复：客户端尝试在 Forefront...

《本文转译自微软 Forefront 技术中心 文章 “ What's new in Forefront TMG 2010 SP2 ” 》 Forefront TMG 2010 Service Pack 2 (SP2) 将为 Forefront TMG 2010 已发行版本提供增强功能和新特性。本文提供了这些新特性和增强功能的概览。 新特性和增强功能 特性 描述 更多信息 （英文） 站点活动报告 全新的 Forefront TMG SP2...

我们经常会通过 ISA 或者 TMG 去发布内部网站，也常常会遇到一些问题。 如果遇到问题时，通常的检查方法是，查看 ISA 有没有允许外部客户端的访问请求。 我们可以通过 ISA 的日志功能进行查看，可以就客户端的 IP 地址进行过滤，   之后如果可以确认我们 ISA 规则包括 web listener 创建没有问题，客户端的访问请求仍旧被 ISA 的默认规则拒绝，那么可以尝试一下以下步骤： 1. 检查 ISA 、 TMG 服务器上是否装有防毒软件，如果有，卸载它。 2. 检查 ISA 、 TMG 服务器上是否装有 IIS 服务，如果有，卸载它。 IIS 默认会侦听在 80 端口上...

《本文转译自 微软知识库 文章 “ Software Update 1 Rollup 4 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 ”》 介绍 本文列举了软件更新 1 汇总 4 为 Microsoft Forefront TMG 2010 Service Pack （ SP1 ）解决的问题。 本文列出了若干篇与 Forefront TMG 2010 SP1 相关的微软知识库文章，这些文章中描述的问题在软件更新 1 汇总 4 中得到解决。 软件更新 1 汇总 4 解决的问题 KB 文章 标题 2518663...

《本文转译自 Forefront TMG (ISA Server) Product Team 博客文章 ” How to patch a TMG array– some thoughts on NLB high availability ” 》 使用 TMG 队列的原因之一是它提供了 NLB ， NLB 具有故障容错和网络负载均衡的功能。 NLB 依赖心跳技术（ heartbeats ）来判断集群节点是否正常工作。集群节点相互划分各自潜在的客户端 IP 地址（实际上使用 IP 的哈希值）并发送 heartbeats ，由此通知网络中其它成员它们已经开启并工作...

《本文转译自 微软知识库 文章 “ Software Update 1 Rollup 3 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 ”》 介绍 本文列举了软件更新1汇总3中为 Microsoft Forefront TMG 2010 Service Pack （SP1）解决的问题。 本文列出了若干篇与 Forefront TMG 2010 SP1 相关的微软知识库文章，这些文章中描述的问题在软件更新1汇总3中得到解决。 软件更新 1汇总3解决的问题 KB 文章 标题 2501646 修复：若您在由企业管理服务器...

在企业内使用 TMG/ISA 时，我们经常会部署 WPAD 来使 IE 客户端自动发现代理服务器。 Automatic Detection Concepts in ISA Server 2006 http://technet.microsoft.com/en-us/library/bb794779.aspx   可能您在部署过程中，会遇到 WPAD 记录从 DNS 服务器上解析不到的问题。 这是因为在 windows 2008 和 windows 2003 的 DNS 服务器上， WPAD 记录有可能已经被加入到黑名单中去了。   对于 windows 2008: 1. 显示哪些名字已经被列入黑名单...

《本文转译自 微软知识库 文章 “ Software Update 1 Rollup 2 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 ”》 介绍 本文列举了软件更新1汇总2中为 Microsoft Forefront TMG 2010 Service Pack （SP1）解决的问题。 本文列出了若干篇与 Forefront TMG 2010 SP1 相关的微软知识库文章，这些文章中描述的问题在软件更新1汇总2中得到解决。 软件更新1汇总2解决的问题 KB 文章 标题 2452980 在高速接入因特网的情况下...

Web  代理客户端通过 TMG/ISA 不能访问新浪微博等网站，Web 客户端返回错误：" Error Code: 502 Proxy Error. The request is not supported (50)”。 这类问题一般是由于网站回复的数据是压缩的所导致。遇到此类问题，您可以尝试以下方法： 1. 打开 IE 高级选项，启用以下 http 1.1选项。 2. 启用压缩选项： 2.1 启用企业级别的压缩选项： 2.2 启用阵列级别的压缩选项： 2.3 启用压缩选项。 3. 把网站目标 IP 地址加入到“Request Compressed Data” 微软安全支持专家...

《本文转译自 Forefront TMG (ISA Server) Product Team 博客文章 ” TMG URL Filtering fails ”》 介绍 用户在 TMG 2010服务器上开启了 URL 过滤功能但是该功能未能正常工作。 =============================== 解决方法 首先浏览一下 TMG MMC 中显示的警告： The failure is due to error: A certificate chain processed, but terminated in a root certificate which is not trusted...

        AD LDS(Active Directory Lightweight Directory Services) 是轻量级的动态目录服务，可以用作用户验证，使用 LDAP 查询。在一些情况下，客户可能希望在 AD LDS 中建立一些用户账号(例如公司外部用户账号)，然后在 ISA/TMG 中使用 LDAP 查询来验证 AD LDS 用户账号。         这样做似乎可行，但是经过我们的确认，目前 ISA/TMG 是不能支持基于 AD LDS...

[转译] Forefront TMG 软件更新1汇总3发布 《本文转译自 Yuri Diogenes 博客文章 “ Forefront TMG Update 1 Rollup 3 is now Available ”》 微软 Forefront TMG 2010软件的更新1汇总3日前发布。本次汇总解决了如下问题： KB 文章 标题 2501646 修复：若您在由企业管理服务器(EMS) 管理的，并且处于工作组环境下的的 Forefront TMG 2010 服务器上生成定期报告，您可能会遇到“安全软件包发生特定错误 (A security package specific error occurred...

《本文转译自 Microsoft Enterprise Networking Team 的博客文章 “ Cannot access the virtual or dedicated IP address of an NLB node (Guest) running in Unicast Mode on Windows Server 2008 R2 Hyper-V ”》 当您为 Windows Server 2008 R2 Hyper-V 上运行的虚拟机（也称客户机）配置单播模式 (unicast mode) 的网络负载均衡 (NLB) 时，您可能无法 ping 通虚拟机的虚拟 IP (virtual...

在安装并测试完 TMG 后，很多管理员会尝试更改 TMG 的网卡 IP 地址，以下给出修改 TMG 内网 IP 地址的具体步骤： 1.查看 TMG 的目前状态，确保 TMG 的阵列配置是同步的。 2.禁用 TMG 的 NLB（网络负载均衡），如果有 NLB 启用的话。 3.把新的内网 IP 地址加入到以下 TMG 管理组内。 4. 修改完配置后，确认阵列配置是同步的。 5. 修改 TMG 的内网卡的IP地址。 6.打开 system->点击服务器的属性页->communication, 修改到新的内网IP地址。应用配置，等待10分钟左右。 7. 在 TMG 上增加 host 记录，指向新的内网...

在安装新的MSN Live Messenger 2011软件后，Messenger客户端可能无法通过ISA代理服务器正常登录。 如果通过抓包分析，您可以看到MSN始终在尝试与MSN的gateway进行登陆尝试。但是永远无法成功。 问题原因 ===== 新的MSN Live Messenger 2011软件虽然在用户界面上可以手动设置代理服务器，但事实上，MSN并没有完全使用到web代理登陆(只有一部分登陆过程用到web代理)。 解决方法 ===== 我们发现MSN Live Messenger 2011只能通过调用了操作系统的winhttp代理来使用web代理 进行登录。Windows系统中winhttp代理默认是空的...

《本文转译自 Forefront TMG (ISA Server) Product Team 博客文章 “ No network adapters could be identified” error when choosing a network template in TMG ”》 介绍 一些用户在新安装 TMG后初始化网络配置时，可能会遇到下面描述的问题。在这里，我想与大家分享该问题的原因与解决方法。 问题重现 在已安装好的 Forefront TMG 2010中，当您在 Getting Started wizard （启动向导）中选择 Network Template （网络模板）时，出现错误...

最近TMG SP1的补丁发布后，许多客户已经陆续打了该补丁。但有些客户发现打了TMG SP1补丁后，启动TMG服务器需要很长时间，可能花费30分钟左右。当登录服务器后，甚至发现有许多TMG相关的服务没有自动启动，需要手动一个个启动。 如果您查看TMG的应用程序事件日志记录，您可能看到以下Event ID 7044的报错： 如果上述问题吻合，那就可以基本认定这是TMG的一个已知问题，该问题可能在TMG的后续补丁中修复。 目前的解决方法： 1. 首先打上 TMG 的最新补丁： TMG SP1: http://www.microsoft.com/downloads/en/details.aspx?FamilyID...

《本文转译自 MCS @ Middle East and Africa 博客文章 “ Problems after TMG SP1 solved with Software Update 1 Rollup 1 ”》 1. 在网络适配器支持 VLAN 标签 (VLAN tag) 或群组 (team) 的环境下，当您在 Forefront TMG 2010上启用网络负载均衡 (NLB: Network Load Balance) 时，可能会遇到“NLB 停止工作 – 配置错误 (NLB Stopped – Configuration Failure)”。 2. 当您试图访问 Forefront TMG...

《本文转译自 Forefront TMG (ISA Server) 博客文章“ Using Windows Server Update Service for the TMG Update Center ”》 引言 不久之前，微软发布了 TMG，它需要通过 Microsoft Updates 来更新 Network Inspection System (NIS) 和 Enhanced Malware Protection (EMP)。我们愿意借这个机会来帮助您创建策略，保证 TMG 从 Windows Server Update Services (WSUS) 成功获取更新。 这篇 TMG 博文...

《本文转译自 Forefront TMG (ISA Server) 博客文章“ Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 now available for download ”》 我们十分高兴地宣布，微软 Forefront TMG SP1 Software Update 1已正式发布。 本次更新包含如下的一些强化： 强制安全搜索 (SafeSearch) Forefront TMG 能够阻止常用搜索引擎的搜索结果中仅限于成人的文字、图像和视频。您可以选择对特定的群体或者整个组织启用强制安全搜索...