近期公司有业务需求通过TMG访问QQ,但配置多次均无法通过QQ收发图片,文字输入正常。
目前已解决,供参考:
这个问题是SSL端口默认使用了443,但QQ的离线文件不使用这个端口。所以ISA会把QQ的这个数据包给WEB代理筛选器,所以出错。解决办法,增加其它端口到ISA的SSL:
下载附件里的工具解压后放到ISA上,然后打命令 增加 80 8000-9000端口重启TMG或ISA 就OK 了1、下载如下压缩包,解压:
http://files.cnblogs.com/files/Eric-Young/isa_tpr.zip
2、点击add_tpr.bat文件,连续三次确认;
3、打开命令窗口,切换到上述文件夹中;
4、运行如下命令,开启QQ使用端口:
cscript isa_tpr.js /add ext80 80
cscript isa_tpr.js /add ext8000 8000
cscript isa_tpr.js /add ext9000 90005、重启TMG或ISA
具体的原因:http://www.isacn.org/info/info.php?sessid=&infoid=165
ISA防火墙同时是网络防火墙和Web代理服务器。ISA Server的防火墙组件允许它同时执行数据包过滤和应用层状态识别;而Web代理组件允许它作为CERN兼容的HTTP 1.1 Web代理服务器。Web代理组件(实际上是ISA Server 2004防火墙内部的Web代理过滤器)可以对HTTP通信进行解码,执行应用层状态过滤,然后在转发给外部的目的Web服务器时重建HTTP通信。 可是,对于在受ISA防火墙保护的网络中的主机和一台外部网络的Web服务器间建立的SSL连接有点不一样,当内部主机通过ISA防火墙的Web代理组件发起SSL请求时,ISA防火墙可以检查HTTP头或者根据访问规则来执行过滤;但是,当它们之间的SSL连接建立后,由于在它们之间传输的数据实行了SSL隧道加密,ISA防火墙将不能再检查它们之间传输的数据。 在内部Web客户和目的Web服务器之间建立SSL隧道的过程如下所示: 1、内部的Web客户通过在Web浏览器的地址栏中发起一个对目的Web服务器的SSL对象的请求,如 https:URL_Name 2、用户将把这个请求发送到ISA防火墙的8080端口(默认的Web代理侦听端口); CONNECT URL_name:443 HTTP/1.1 3、ISA防火墙连接目的Web服务器的443端口; 4、当连接建立后,ISA防火墙返回数据给Web客户; HTTP/1.0 200 connection established 从此时开始,客户直接和外部的Web服务器通信,而不再经过ISA防火墙的Web代理组件,因此,ISA防火墙不能再对封装在SSL隧道中的数据和命令执行应用层状态识别。 当外部Web服务器使用标准的SSL端口TCP 443时,一切都是很正常的,但是,有时候你的Web代理客户也会使用其他的端口来访问SSLWeb站点,例如,Web代理客户可能会使用端口4433替代443来访问银行的Web站点,这样会导致SNAT客户和防火墙客户产生错误,因为ISA防火墙默认会转发SNAT客户和防火墙客户的HTTP连接到Web代理过滤器,客户可能会看见空白页或者指出该页面不能访问的错误页。 这个问题就是Web代理过滤器会转发SSL连接到TCP端口443。如果客户想连接其他不使用TCP 443端口的SSL站点,那么连接尝试将会失败。你可以通过扩展SSL隧道端口范围来解决这个问题。为了做到这一点,你需要下载Jim Harrison的脚本,然后运行时输入你想让ISA防火墙Web代理组件使用的SSL隧道端口范围。