مشکل عدم شناسایی گروه های کاربری در TMG2010

[conroe7000]

سلام
یکبار نوشتم ارسال زدم ارور داد دوباره می نویسم .

من 3 سرور را روی vm را اندازی کرده ام به شرح زیر همه با ویندوز سرور 2008 آر2 انترپرایز

1- DC با نام FSERVER و IP:192.168.0.250
2- DHCP با نام DHCP و IP:192.168.0.240
3- TMG Server با نام WebServer2 و IP:192.168.0.200

در دامین کنترلر من تعدادی کاربر و تعدادی گروه کاربری در داخل ارگانیزیشن یونیت ها تعریف و دسته بندی کرده ام طبق تصویر زیر :





حالا درداخل TMG وقتی به دامین وصل می شوم و کاربران و یا گروه های کاربری را برای اعمال رول های امنیتی و وب اکسز اضافه می کنم نام دامنه و نام گروه آنها شناسایی نمی شود (شکل زیر )و از کلاینتها هنگام باز کردن یک وب سایت نام کاربری و رمز ورود درخواست می شود البته زمانی که استفاده از اینتر نت را برای AllUser آزاد می کنم مشکل حل می شود اما خوب دیگر امکان مدیریت و ساعت بندی از بین می رود
چه کار کنم که این مشکل حل شود و نام گروه و نام دامین در TMG هنگام اضافه کردن کاربران شناسایی شود ؟







لطفا اگر راه حلی به ذهن شما میرسد مرا راهنمایی نمایید
با تشکر فراوان از همه ی شما

---

موضوعات مشابه:

• راهنمایی برای جابجایی فولدر شیر شده بین دو سرور بدون از دست دادن تنظیمات دسترسی
• راهنمایی برای خرید تجهیزات مورد نیاز برای اتصال به Access Point هایی با فاصله چند کیلومتر
• آیا می توان آدرس جغرافیایی نانوهایی که از یک ISP سرویس می گیرند پیداکرد؟
• درخواست راهنمایی کانفیگ کردن مودم وایلس و راهنمایی برای توسعه شبکه بیسیم خانگی

---

[al1p0ur]

مشکل شما به خاطر این است که از DNS های اینترنتی روی کارت شبکه TMG استفاده میکنید . به همین خاطر این سرور در ارتباط با دامین داخلی دچار مشکل میشود .

[conroe7000]

سلام علی آقا :دی
خوب یعنی چی که از DNS اینترنتی استفاده می کنم ؟
من 2 تا کارت شبکه دارم یکی به مودمم وصله و ان یکی هم بهشبکه داخلی رنجهاشونم با هم فرق داره
Internal : 192.168.0.200
External : 192.168.1.200

حالا به نظر شما چه تنظیماتی در کجای TMG انجام بدم درست میشه ؟چکار کنم که نام کاربران و گروه و نام دامنه را درست شناسایی کنه ؟
در ضمن من همین حالا هم در جای دیگه Isa Server 2006 نصب کردم تقریبا با همین تنظیمات با این تفاوت که در اونجا ویندوز سرور من 2008 نیست و 2003 هستش

[al1p0ur]

تاپیک زیر رو بخونید و تنظیمات DNS رو که در اونجا گفتم رو روی سرور و کلاینت ها انجام بدید :
نمایش مکرر پنجره Authentication در هنگام استفاده از مرورگر در isa 2004

[conroe7000]

سلام
علی آقا ممنون اما 2 تا مسئله
اول اینکه من کاربرهامو که توی TMG اضافه می کنم TMG اونها روشناسایی نمیکنه در شکل زیر نشون دادم که منظرورم چیه


الته زمانی که به ALLUSER دسترسی استفاده از اینترنت رو میدم هیچ مشکلی نیست و کاربرها می تونن اینترنت استفاده کنند اما موقعی که یک گروه کاربری از دامین اضافه می کنم و بهش دسترسی میدم مشکل پیش مياد و ATUNTICATION می خواد که این هم به دلیل عدم شناسایی نام کاربری و رمزشه اون مشکله DNS که شما فرموده بودید رو چک کردم درست بود و مشکلی نداشت

راستی موقعی که ویندوز رو ریست میکنم و بالا میاد در قسمت SERVER MANAGER در قسمت ROLها یک پیام هشدار(Active Directory Lightweght Directory Service) (خطا نیست هشدار هست) میده که با باز کردنش با پیام زیر روبرو شدم آیا این می تواند دلیلش باشد با توجه به ایکه به Kerberos گیر داده ؟



The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a cleartext (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server.


Some clients may currently be relying on unsigned SASL binds or LDAP simple binds over a non-SSL/TLS connection, and will stop working if this configuration change is made. To assist in identifying these clients, if such binds occur this directory server will log a summary event once every 24 hours indicating how many such binds occurred. You are encouraged to configure those clients to not use such binds. Once no such events are observed for an extended period, it is recommended that you configure the server to reject such binds.

For more details and information on how to make this configuration change to the server, please see How to enable LDAP signing in Windows Server 2008.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher

[conroe7000]

سلام
پس چرا کمک به من استاپ خوردش
لطفا راهنمایی هاتون رو از من دریغ نفرماییدپمن گیر گیرم
لطفا در خصوص 5# راهنماییم کنید

[conroe7000]

ممنون از آقای حکیمی که دوست دارند مشکل در همینجا باقی بمونه حتی اگه حل نشه
خوب آقای حکیمی شما که این همه دقت نظردارین لطف بفرمایید و پیامی رو هم که برای شما ارسال کردم بخونید
من نمیتونم پیام خصوصی ارسال کنم و برای حل مشکلم هم نمی تونم ID و Pass را توی انجمن مطرح کنم
لطفا ابتدا مشکل من رو حل کنید تا ارتباط داخل انجمنی من بر قرار باشه اونوقت ببینید که من به کسی رو به بیرون انجمن هدایت می کنم یا نه
-------------------------------------------------------------------------------------------------------------
علی آقا ممنون اما مثل اینکه پست شما رو هم پاک فرمودند
لطفا یک قرار ی اگه زحمتی براتون نیست در همین جا بگذارید تا من هم حاضر بشم و در خدمت شما که اگه شدنی بود مشکل من حل بشه
در همین جا نه بیرون انجمن که آقای حکیمی ناراحت بشن

[conroe7000]

ممنون که تمامی دوستان که به آیزا مسلط هتین بسیج شدین مشکل من حل بشه

بابا شما رو به هر چی که دوسش داریت قسم کمک کنید بد جور گیرم
اینو چکارش کنم درس تبشه

[al1p0ur]

اگه DNS اوکی باشه نباید به جای نام کاربری ، SID نمایش داده بشه !
ضمنا هیچ رولی برای دسترسی دامین کنترلر به اینترنت با پروتکل DNS وجود نداره ! پس چطور میگید کارهایی رو که گفتم انجام دادید ؟!
دستورات زیر رو روی سرور TMG اجرا کنید و خروجی رو اینجا بگذارید :

کد:

ipconfig /all

کد:

nslookup firooz.com

از روی TMG ، ببینید با firooz.com\\ میتونید وارد Share دامین بشید . اگه error داد ، اینجا قرار بدید .
تو عکسی که گذاشتید (Selcet Domain) نام دامین رو پاک کنید .

[conroe7000]

با تشکر
با استفاده از \\firooz.com وارد share folder میشه
از قسمت select Domain هم نام دامنه رو پاک کردن
در مورد رول یرای دسترسی دامین متوجه نشدم اگه بصورت مرحله ای بگید انجامش بدم
دستور nslookup firooz.com روهم زدم و نتیجه ی زیر رو داد



- - - Updated - - -

من هنوز هم نمی تونم پیام خصوصی به کسی ارسال بزنم
جناب حکیمی لطفا توجه بفرمائید
ممنون

[al1p0ur]

ipconfig /all ؟

[conroe7000]

ببخشید جا افتاده بود

[al1p0ur]

از روی کارت شبکه ای که به مودم وصل هست ، DNS رو بردارید(192.168.1.1) و دستور ipconfig /flushdns را اجرا نمایید .
یعنی کلا روی سرور TMG فقط باید IP دامین کنترلر به عنوان DNS Server روی یکی از کارت های آن ست شود .

حالا دیگه نباید نام های کاربری به صورت SID دیده شوند .

بعد از این کار تمام درخواست های DNS روی TMG به سمت دامین کنترلر فرستاده میشود . پس روی دامین کنترل در تنظیمات کنسول DNS در قسمت Forwarders چند DNS اینترنتی ست نمایید .

سپس روی آیزا یک رول از IP دامین کنترلر به External با پروتکل DNS برای All User باز کنید تا دسترسی دامین کنترلر برای Resolve نام های اینترنتی برقرار گردد.
روی کلاینت ها هم فقط IP دامین کنترلر به عنوان DNS سرور ست شود .

بعد از این موارد دیگر نباید مشکلی داشته باشید .

اگر همه چیز همینطور بود که عرض کردم و باز هم مشکل داشتید ، یکبار TMG را از دامین خارج (تنظیم پسورد لوکال فراموش نشود ) و دوباره آن را Join نمایید .

[conroe7000]

بعد از این کار تمام درخواست های DNS روی TMG به سمت دامین کنترلر فرستاده میشود . پس روی دامین کنترل در تنظیمات کنسول DNS در قسمت Forwarders چند DNS اینترنتی ست نمایید .

سپس روی آیزا یک رول از IP دامین کنترلر به External با پروتکل DNS برای All User باز کنید تا دسترسی دامین کنترلر برای Resolve نام های اینترنتی برقرار گردد.

اینو متوجه نمیشم مگه نه اینکه همه ی درخواست ها باید به سمت TMG بیاد و اون تخیص بده کی اینترنت داشته باشه کی نداشته باشد مگه اتنتیکیشن در TMG انجام نميشه و اون نيست كه به ىامين وصله ؟

حالا هر چي من اين دو خط بالا رو كه نوشتين انجامش بدم متوجه نميشم

[conroe7000]

با تشکر از آقای علیپور
با راهنمایی های ایشون مشکلم حل شد
بعد از عوض کردن ویندوز و اجرای راهنمایی ایشون مشکل حل شد اما حالا یک مشکل جدید اما قابل حل و ساده چراکه خودم قبلا انجامش داده بودم اما حالا یادم نمیاد
در کلاینتها TMG Client نصب کردم اما فقط زمانی کلاینتم اینترنت داره که در تب Web Browser تیک enable web broser automatic configuration خورده باشه و اگه تیکش رو برداریم و یا ساده تر از تنظیمات IE وب پراکسی را غیر فعال کنیم اینترنت نداره
که البته این مسئله باعث میشه در بعضی برنامه ها که تنظیمات پراکسی ندارند اینترنت نداشته باشن مثل(Outlook)
تنظیمات فعال بودن اوتلوک را در TMG انجام داده ام اما مشکل اصلی من همون نکتهی اوله که گفتم کلاینتها حتما باید پراکسی ست بشه تا نت داشته باشند و من می خوام که بدون اینکه پراکسی ست بشه و یا تیک خورده باشه فقط با نصب TMG Client به کاربرام نت بدم