Hallo Leutz,

Forefront TMG bietet eine ausgehende HTTPS-Ueberpruefung. Es koennen URL Ausnahmen konfiguriert werden. Wie ist das aber, wenn man nur die IP-Adressen als Ausnahmen konfigurieren moechte? Konkretes Beispiel war die Frage eines Besucher an meinem Stand, wie er Elster von der HTTPS-Ueberpruefung ausschliessen kann, da hier wohl nur IP-Adressen bekannt sind. In den Ausnahmen kann man ja nur URL-Sets konfigurieren, also sind IP-Adressen nicht zulaessig. Eine Antwort hatte ich nicht parat, ausser das DNS umzubiegen und mit gefakten DNS Name Mappings zu arbeiten.

Also kurzerhand die Frage an Experten gestellt 🙂 und kurze Zeit spaeter kam die Antwort von Jim Harrison:

“No, but if you know the certificate subject and SAN names used by those services, you can enter those in the exceptions.

TMG uses the subject and SAN attributes to determine if the upstream server is “exceptional” as well as how to build the spoof cert if it needs to.

The primary reason IPs aren’t usable is that in the hosted cloud Internet of today, IP addresses do not represent anything even remotely like “identity” and identity is exactly the context in which certificate validation operates.”

 Gruss Marc

Hallo Leutz,

ich bin gerade bei einem Kunden und migriere von Exchange Server 2003 auf Exchange Server 2010. Es sind verschiedene Active Directory Subdomaenen im Einsatz, welche durch ISA Server 2006 EE Arrays getrennt sind. Bei einem Mailbox Move von Exchange Server 2003 zu Exchange Server 2010 ueber Domaenen- und somit ISA Grenzen hinweg erscheint folgende Fehlermeldung:

Die Loesung:
http://support.microsoft.com/kb/976301/en-us

Gruss Marc