我将Forefront TMG安装为代理服务器。 但是,每当我使用完全限定的DNS名称向内部networking上的服务器发出HTTP请求时,代理将拒绝连接。
Denied Connection FRW-02 18/03/2011 20:06:37 Log type: Web Proxy (Forward) Status: 12202 Forefront TMG denied the specified Uniform Resource Locator (URL). Rule: Default rule Source: Internal (10.50.75.21:21492) Destination: Internal (10.50.75.10:8080) Request: GET http://app-01.mydomain.com.br:9871/internalwebserver_deploy/MyServiceService.svc?wsdl Filter information: Req ID: 0a157279; Compression: client=No, server=No, compress rate=0% decompress rate=0% Protocol: http User: anonymous 我怎样才能绕过这个街区? 这是一个内部电话,所以不应该阻止它。
如果我仅使用http://app-01:9871/internalwebserver_deploy/MyServiceService.svc?wsdl ,而服务器名称后面没有域,则不会被阻止。
10.50.75.10是防火墙的ip,是内部networking的网关。
问题是双重的:
根据您的浏览器configuration方式,从最小浪费计算周期的angular度来看,更好的解决scheme是向其提供信息,使其不会将* .yourinternaldomain.com的请求转发给代理服务器。 {避免代理}击败{向代理索取你可能直接得到的东西}。
WPAD(自动search)和PAC文件是执行此操作的常用方法, 只要客户端使用TMG框中的“自动检测” ,TMG就可以在“networking”下的“内部networking对象”中指定这些排除项。
如果客户端不是 ,您需要修改您的PAC文件,或者只是为yourhostname.yourinternaldomain.com设置代理排除(“绕过这些地址的代理”),或者只是* .yourinternaldomain.com,不要使用拆分的DNS系统。
就像我上一次看到的一样,TMG在默认情况下在自动检测脚本中执行string匹配而不是名称parsing,所以如果处理裸IP和良好的内部域名,则可能需要指定networking范围和主机模式(* .internal.dom)。
你的另一个select是在TMG中创build一个允许从内部到内部的规则(这是大多数人所做的 – 相反,最小权限解决scheme是只允许从内部到特定主机的HTTP),但是这不能解决浏览器与TMG交谈的问题首先 – 浏览器不应该向代理发送内部请求; 这是要解决的更好的问题。