ISA 2006 不允许使用 FQDN 的流量

ISA 2006 不允许使用 FQDN 的流量

我在使用 MS ISA 2006 通过 SSL 访问 Tomcat 时遇到问题。

当我使用内部 IP 地址访问时(例如https://10.0.42.136/...) 一切正常,localhost_access_log。向我显示查询返回 200。

但是 - 使用 FQDN 访问同一台服务器(例如https://mydomain.com/..。) 在浏览器中抛出 403 - Forbidden。在 Tomcat 服务器上,我发现列出的是 401 错误,而不是 403。换句话说 - ISA 抛出 403,而 Tomcat 抛出 401。

托管 Tomcat 的服务器以及查询 Tomcat 应用程序的服务器都可以完全访问互联网。

我认为 ISA 服务器可能存在问题,因为我假设 IP 地址流量直接传输,而 FQDN 流量先“出去”,然后再“进来”。但我对此并不确定。

Tomcat 是否需要任何额外的配置来从外部提供 https 流量,例如添加 ISA 服务器的 IP 地址,因为它使用 IP 地址就可以正常工作?

我们是否需要对证书采取任何措施,如下所示:http://webcache.googleusercontent.com/search?q=cache:Y0BozNSUpN4J:forums.isaserver.org/fb.aspx%3Fm%3D2002034493+tomcat+behind+isa+server+certificates&cd=1&hl=no&ct=clnk&gl=no

为什么来自外部的客户端机器的流量正常,但来自内部网络的流量却失败了?

答案1

假设nslookup mycompany.com打印 ISA 服务器的 IP 地址,并且10.0.42.136是 Tomcat(而不是 ISA)的 IP 地址。

因此,当您连接到时,https://10.0.42.136/您直接连接到 Tomcat(没有 ISA)。如果您将以下内容写入您的hosts 文件

10.0.42.136     mycompany.com

(该文件的路径通常为c:\windows\system32\drivers\etc\hosts/etc/hosts。)

之后检查ping文件hosts输入是否正确。命令和结果应如下所示:

c:\>ping mycompany.com

Pinging mycompany.com [10.0.42.136] with 32 bytes of data:
...

如果是 ping,请在浏览器中10.0.42.136检查https://mycompany.com/。也许您需要先重新启动浏览器,并且不要忘记hosts稍后从文件中删除该行。

如果网站与hosts文件条目配合良好,则肯定是 ISA 服务器问题。否则,问题与 Tomcat 有关。

答案2

您还没有提到客户端,而这一点很重要。客户端是否应该“出去”访问 FQDN?您是否告诉过它是本地的,或者它应该避免使用代理,对于该 URL?(客户端是什么?)

无论如何,除此之外,我认为您可能会遇到反射攻击保护。

更经典的说法是:如果您的规则集没有表明内部主机可以与其他内部主机对话,那么它们就不能对话。

如果 FQDN 旨在退出您的网络并通过 ISA 返回,则它需要一组允许该组合的规则。

因此,如果您想允许内部网络客户端连接到您的 HTTPS 外部网站,请尝试类似的规则:允许/HTTP&HTTPS/发件人:内部网络/收件人:您正在使用的主机的内部 IP(也可以尝试包含它的 URL 集,但这可能不是必需的。

相关内容