Центр деятельности TMG - выделяйте аутентифицируемый трафик
nmap-v имя хоста
Nmap является самым полным сканером портов, когда-либо сделанным.
Я создал тестовую среду и применил предложенную мной конфигурацию к одному IP. К сожалению, похоже, что если в Forefront используется правило с проверкой подлинности, проверка подлинности не рассматривается как часть правила, а подвергается постобработке - весь трафик направляется в это правило, и если трафик анонимный, он автоматически отбрасывается.
Я надеялся, что в хорошо спроектированном продукте критерии пользователя будут рассматриваться как часть определения основного правила - если критерии не соблюдены, трафик перейдет к следующему правилу в цепочке. Это не вариант.
Ответ выше описывает проблему упорядочивания правил.
Анонимные правила должны обрабатываться до аутентифицированных правил; невозможно спекулятивно запросить у клиента аутентификацию, исходя из того, где, по вашему мнению, это закончится.
С точки зрения HTTP, первый GET всегда анонимен, поэтому правила анонимности должны быть первыми, чтобы не быть аутентификация-gated.
На практике это означает, что вы можете иметь несколько аутентифицированных правил, относящихся к одному и тому же месту назначения, или сначала одно анонимное правило, но не аутентифицированное правило, которое не заставляет пользователя аутентифицироваться, а затем анонимное правило. Я не уверен, что есть дизайн, который может это приспособить.
Правила аутентификации для клиентов веб-прокси разделены по протоколу, источнику, пространству имен, и различные другие ручки, так что да, у вас могут быть правила, применимые к HTTP, которые не обязательно аутентифицируют SMTP (верхний совет: имейте отдельные правила веб-протокола и правила, не относящиеся к веб-протоколу); имеют правила, которые применяются только на основе исходной подсети или набора URL-адресов назначения и т. д.
По-прежнему лучшая ссылка на обработку правил ISA / TMG: