QRS
11-02-2011, 21:12
Народ, может кто сталкивался и может подсказать...
Есть домен 2008 и шлюз TMG2010.sp1 для выхода в сеть Интернет.
Внтури разворачивается несколько рабочих мест клиента системы Deltapay (http://deltapay.ru) .
Цель - настроить правила на TMG, чтобы:
1. выход в Инет предоставлялся на основе аутентификации AD;
2. у пользователя ПК были минимальные привилегии и он не мог настраивать клиент Deltapay;
3. кроме клиента ничего в Инет ходить не должно.
Проблема:
1. клиент deltapay отказывается работать с TMG-Client;
2. судя по логам TMG, клиент лезет: Http - для проверки CRL и скачивания каких-то XML, Branchcache (443) - трафик обновления приложения; HTTPS (443) - основной трафик обмена данными с сервером; DNS (udp 53) - сампытается лезть на внешние DNS-сервера для разрешения DNS-имени (полностью игнорирует локальную настройку DNS-серверов);
3. настройка прокси в самой программе не помогает, т.к. пользователь не должен залезать в соответствующие настройки и менять пароль (когда истек срок действия).
Как мне казалось, целевой идеей должно стать решение "как заставить клиент работать через TMGC" и какие правила создать на шлюзе, чтобы был разрешен исключительно трафик deltapay-клиента...
Кто что может посоветовать?
Есть домен 2008 и шлюз TMG2010.sp1 для выхода в сеть Интернет.
Внтури разворачивается несколько рабочих мест клиента системы Deltapay (http://deltapay.ru) .
Цель - настроить правила на TMG, чтобы:
1. выход в Инет предоставлялся на основе аутентификации AD;
2. у пользователя ПК были минимальные привилегии и он не мог настраивать клиент Deltapay;
3. кроме клиента ничего в Инет ходить не должно.
Проблема:
1. клиент deltapay отказывается работать с TMG-Client;
2. судя по логам TMG, клиент лезет: Http - для проверки CRL и скачивания каких-то XML, Branchcache (443) - трафик обновления приложения; HTTPS (443) - основной трафик обмена данными с сервером; DNS (udp 53) - сампытается лезть на внешние DNS-сервера для разрешения DNS-имени (полностью игнорирует локальную настройку DNS-серверов);
3. настройка прокси в самой программе не помогает, т.к. пользователь не должен залезать в соответствующие настройки и менять пароль (когда истек срок действия).
Как мне казалось, целевой идеей должно стать решение "как заставить клиент работать через TMGC" и какие правила создать на шлюзе, чтобы был разрешен исключительно трафик deltapay-клиента...
Кто что может посоветовать?